Die meisten Produkte, wie Haushaltsgeräte, Computerspiele oder mobile Anwendungen, unterliegen einer Selbsteinschätzung durch den Hersteller.
Für bestimmte Produkte, die unter dem Gesichtspunkt der Cybersicherheit als wichtig erachtet werden, wie Antivirensoftware, Bootmanager oder Netzwerkmanagementsysteme, müssen die Hersteller jedoch entweder harmonisierte Normen anwenden oder sich einer Bewertung durch einen Dritten namens Benannte Stelle (eine Konformitätsbewertungsstelle, die im Rahmen der Ratingagentur notifiziert wird) unterziehen. In einigen Fällen unterliegen Produkte wie sichere Elemente, Firewalls oder Hypervisoren obligatorischen Konformitätsbewertungen durch Dritte.
Was sind die wichtigsten Regeln?
Konformitätsbewertungsstellen
Konformitätsbewertungsstellen sind im Allgemeinen private Unternehmen, die den Herstellern helfen, die Konformität im Rahmen der Ratingagentur nachzuweisen. Bevor sie tätig werden können, müssen sie von dem Mitgliedstaat, in dem sie niedergelassen sind, bewertet, benannt, notifiziert und überwacht werden. Die interessierten Stellen können sich an die zuständige notifizierende Behörde wenden, die sie über das betreffende Verfahren unterrichtet. Sobald eine Konformitätsbewertungsstelle zu einer benannten Stelle geworden ist, wird sie auf der NANDO-Website der Europäischen Kommission veröffentlicht.
Produktkategorien & Ampere; Konformitätsbewertungsverfahren
In der Regel behält der Hersteller die Flexibilität bei der Wahl des Verfahrens (Selbstbewertung oder Bewertung durch Dritte), mit dem er die Konformität mit der Ratingagentur nachweist, mit Ausnahme einiger Produktkategorien (wichtige und kritische Produkte, die in Anhang III bzw. Anhang IV der Ratingagentur aufgeführt sind), für die eine strengere Konformitätsbewertung erforderlich ist:
- Standardproduktkategorie (z. B. Speicherchips, mobile Apps, intelligente Lautsprecher, Computerspiele): Eine Selbstbewertung ist unabhängig von der technischen Spezifikation zulässig, die der Hersteller zum Nachweis der Konformität verwendet.
- Wichtige Produkte (z.B. Betriebssysteme, Antivirus, Router, Firewalls): In einigen Fällen ist die Teilnahme einer benannten Stelle obligatorisch, insbesondere wenn der Hersteller keine harmonisierten Normen zur Unterstützung der Ratingagentur angewandt hat.
- Kritische Produkte (z. B. Smartcards, sichere Elemente, Smart Meter Gateways): Der Rückgriff auf eine notifizierte Stelle ist in jedem Fall verpflichtend.
Die Europäische Kommission hat die technischen Beschreibungen der Produktkategorie mit der Durchführungsverordnung (EU) 2025/2392 spezifiziert.
Die Konformitätsbewertungsverfahren sind in der Ratingagentur festgelegt (siehe Anhang VIII), und weitere Leitlinien können die Umsetzung unterstützen. In Zukunft benötigen Produkte, die im Rahmen eines EU-Systems für die Cybersicherheitszertifizierung zertifiziert sind, möglicherweise nicht mehr die Teilnahme einer benannten Stelle. Die genauen Bedingungen müssen von der Kommission im Wege eines delegierten Rechtsakts festgelegt werden.
Die Mitgliedstaaten spielen eine wichtige Rolle bei der Verwaltung der Konformitätsbewertungsstellen. Sie können beschließen, die Kompetenz der Konformitätsbewertungsstellen in Zusammenarbeit mit den nationalen Akkreditierungsstellen zu bewerten.
Einschlägige Kooperationsstellen
- Liste der benannten notifizierenden Behörden
- Arbeitsgruppe der notifizierenden Behörden (eingeschränkt)
- Die European Co-operation for Accreditation (EA) ist das offizielle Netzwerk nationaler Akkreditierungsstellen (NABs) in Europa, das von der Europäischen Kommission offiziell anerkannt wurde.
- Arbeitsgruppe der benannten Ratingagenturen (Link in Kürze verfügbar)
Referenzdokumente und Links
Auf der NANDO-Website sind die benannten Stellen nach den Rechtsvorschriften der Europäischen Union aufgeführt, einschließlich (einmalig verfügbar) für die Ratingagentur.
Zugehöriger Inhalt
Gesamtbild