Auf Grundlage des am 28.05.2021 in Kraft getretenen Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz 2.0), wurde das Bundesamt für Sicherheit in der Informationstechnik (BSI) als die Nationale Behörde für Cybersicherheitszertifizierung (im englischen "National Cybersecurity Certification Authority [NCCA]) ernannt. Die Aufgaben der NCCA ergeben sich aus Artikel 58 der Verordnung (EU) 2019/88 (Cybersecurity Act, kurz: CSA).

Das BSI als NCCA

Das BSI ist als NCCA mit zwei wichtigen Funktionen ausgestattet, der Zertifizierung sowie der Aufsichtsführung. Diese Funktionen werden gem. Artikel 58 Abs. 4 CSA streng getrennt und unabhängig voneinander durchgeführt. Im Rahmen ihrer gesetzlich festgelegten Aufsichtstätigkeiten ist die NCCA für folgende Aufgaben zuständig (Art. 58 Abs. 7 CSA):

• Überwachung und Durchsetzung der Vorschriften im Rahmen der europäischen Schemata für Cybersicherheitszertifizierung
• Überwachung und Durchsetzung der Verpflichtungen von Herstellern im Rahmen der Selbstbewertung der Konformität
• Unterstützung der nationalen Akkreditierungsstelle (DAkkS) bei der Überwachung und Beaufsichtigung der Tätigkeiten der Konformitätsbewertungsstellen und Ermächtigung über die Befugniserteilung gem. § 9a BSIG
• Überwachung und Beaufsichtigung der zertifizierenden NCCA im BSI im Rahmen der europäischen Schemata
• Verfolgung einschlägiger Entwicklungen auf dem Gebiet der Cybersicherheitszertifizierung

Weiterführend: FAQ NCCA

Die Befugnisse der NCCA

Um sicherzustellen, dass alle Inhaberinnen und Inhaber europäischer Cybersicherheitszertifikate, alle Ausstellerinnen und Aussteller von EU-Konformitätserklärungen und alle Konformitätsbewertungsstellen im Hoheitsgebiet der NCCA die Vorschriften der europäischen Schemata für Cybersicherheitszertifizierung einhalten, hat die NCCA gem. CSA verschiedene Befugnisse, um ihre Aufgaben erfüllen zu können (Art. 58 Abs. 8 CSA). So kann die aufsichtsführende NCCA:

• notwendige Auskünfte anfordern
• Untersuchungen in Form von Audits durchführen
• sich Zugang zu den Räumlichkeiten verschaffen
• Cybersicherheitszertifikate widerrufen
• Sanktionen gem. Art. 65 CSA verhängen

Die NCCA als (nationaler) Knotenpunkt in der europäischen Zertifizierungslandschaft

Ein weiterer Aufgabenbereich der aufsichtsführenden NCCA im BSI ist die Kooperation mit der Europäischen Kommission sowie mit den NCCAs der europäischen Mitgliedstaaten. Hier wird sowohl die aktive und wirksame Mitarbeit in der Europäischen Gruppe für die Cybersicherheitszertifizierung (im englischen "European Cybersecurity Certification Group" [ECCG]) der Europäischen Kommission als auch der Austausch und die gegenseitige Begutachtung der europäischen NCCA untereinander (Art. 59 CSA) als Aufgaben definiert.

Die NCCA muss den Informationsfluss an die europäische Ebene sicherstellen. So wird im CSA die Erstellung eines Jahresberichts gefordert, der von allen Mitgliedstaaten an die European Union Agency for Cybersecurity (ENISA) und an die ECCG übersandt wird. Zudem muss die NCCA über die Notifikation (Art. 61 CSA) für jedes Schema der europäischen Cybersicherheitszertifizierung der Kommission die Konformitätsbewertungsstellen, die für die Erteilung von Zertifikaten vorgesehen sind, melden. Diese werden dann wiederum ein Jahr nach Inkrafttreten eines europäischen Schemas im Amtsblatt der Europäischen Union gelistet.

Kontakt

Bundesamt für Sicherheit in der Informationstechnik
Referat SZ 14
Postfach 20 03 63
53133 Bonn
E-Mail: ncca@bsi.bund.de

Für die verschlüsselte Kommunikation verwenden Sie bitte das S/MIME-Zertifikat (Gültigkeit: 23.06.2022 bis 24.06.2025,
Fingerabdruck: ‎5A 9D 59 27 7D 6B 1C 62 EA 49 57 51 5C 67 69 99 56 7E 60 24).

Oder den

Öffentlichen Schlüssel für ncca@bsi.bund.de

Schlüssel-ID: 3526 612C 65B1 BEA9
Fingerprint: 0A3B 5520 6368 9071 3999 049B 3526 612C 65B1 BEA9