Implementierung des Zertifizierungsverfahrens

Die obige Abbildung zeigt die Funktionsweise eines Zertifizierungsverfahrens auf nationaler Ebene.

Ein Zertifikat kann über eine Konformitätsbewertungsstelle (KBS) oder, wenn die Möglichkeit dazu besteht, über eine Konformitätsselbstbewertung erlangt werden.

1. Ein Schema kann eine Konformitätsselbstbewertung (1) umfassen. Das bedeutet, dass ein Hersteller oder Anbieter selbst bewertet, ob sein IT-Produkt, sein -Dienst oder sein -Prozess die nach einem bestimmten Schema festgelegten Sicherheitsanforderungen erfüllt. Wenn die im Schema genannten Anforderungen erfüllt sind, kann der Hersteller bzw. Anbieter ein Zertifikat erhalten. Nicht jedes Schema bietet diese Möglichkeit. Sollte dies nicht der Fall sein, so gilt es nur für das Sicherheitsniveau „niedrig“. Nur die EUSC bietet derzeit eine Selbsteinschätzung für die Sicherheitsstufe „niedrig“ an.
2. BELAC, die nationale Akkreditierungsbehörde (2) (NAB), akkreditiert eine Konformitätsbewertungsstelle (KBS) für maximal fünf Jahre für ein bestimmtes Schema. 

Eine anerkannte KBS kann ihrerseits einen Hersteller oder Dienstleister für seine IT-Produkte, -Dienste oder -Prozesse zertifizieren, soweit er die Sicherheitsanforderungen desjenigen Schemas erfüllt, für das die Zertifizierung beantragt wird. Erfüllt der Hersteller oder Dienstleister die Anforderungen nicht und wird die Bescheinigung von einer KBS verweigert, kann beim ZCB Einspruch eingelegt werden.

Aufgrund des Rechtsakts zur Cybersicherheit (Cybersecurity Act) ist es einer nicht-belgischen KBS mit Sitz in Belgien möglich, sich bei der BELAC akkreditieren zu lassen. Sie unterliegt dann der belgischen Aufsicht. Für das Sicherheitsniveau „hoch“ bevorzugt Belgien momentan für die europäischen Cybersicherheitszertifikate die vollständige oder teilweise Beauftragung der BELAC-anerkannten KBS.