La norma descrive una metodologia di valutazione della cybersecurity per prodotti ICT che può essere implementata utilizzando risorse temporali e carichi di lavoro predefiniti. È destinata a essere applicata a tutti e tre i livelli di garanzia definiti nel Cybersecurity act o CSA (ossia base, sostanziale ed elevato). La metodologia comprende diversi blocchi di valutazione che includono attività di valutazione conformi ai requisiti di valutazione del CSA per i tre livelli di garanzia citati. Ove è appropriato, può essere applicata sia alla valutazione di terza parte che all'autovalutazione