Gennemførelsesforordning

Tredjeland, Dataoverførselsnet, Datakriminalitet, International Norm, Databeskyttelse, Informationsteknologi, Teknisk Norm, Institutionernes Funktion, Den Europæiske Unions Agentur For Cybersikkerhed, Informationssikkerhed

Europa-Kommissionen, Generaldirektoratet for Kommunikationsnet, Indhold og Teknologi

EUCC-ordningen: Regler for cybersikkerhedscertificering baseret på fælles kriterier

(Kommissionens gennemførelsesforordning (EU) 2024/482 af 31. januar 2024 om regler for anvendelsen af Europa-Parlamentets og Rådets forordning (EU) 2019/881 for så vidt angår vedtagelsen af den europæiske cybersikkerhedscertificeringsordning baseret på fælles kriterier (EUCC))

Artikel 1

Genstand og anvendelsesområde

I denne forordning fastsættes den europæiske ordning for cybersikkerhedscertificering baseret på fælles kriterier (EUCC).

Denne forordning finder anvendelse på alle informations- og kommunikationsteknologiprodukter (»IKT«), herunder deres dokumentation, som indgives med henblik på certificering i henhold til EUCC, og på alle beskyttelsesprofiler, som indgives med henblik på certificering som led i den IKT-proces, der fører til certificering af IKT-produkter.

Artikel 2

Definitioner

I denne forordning forstås ved:

»fælles kriterier«: de fælles kriterier for evaluering af informationsteknologisikkerhed som fastsat i ISO-standarden ISO/IEC 15408

»fælles evalueringsmetode«: den fælles metode til evaluering af informationsteknologisikkerhed som fastsat i ISO/IEC-standarden ISO/IEC 18045

»evalueringsmål«: et IKT-produkt eller en del heraf eller en beskyttelsesprofil som led i en IKT-proces, som underkastes en cybersikkerhedsevaluering med henblik på at opnå EUCC-certificering

»sikkerhedsmål«: en påstand om implementeringsafhængige sikkerhedskrav for et specifikt IKT-produkt

»beskyttelsesprofil«: en IKT-proces, der fastsætter sikkerhedskrav for en specifik kategori af IKT-produkter, imødekommer implementeringsuafhængige sikkerhedsbehov, og som kan anvendes til at vurdere IKT-produkter, der er omfattet af denne specifikke kategori, med henblik på certificering heraf

»rapport om teknisk evaluering«: et dokument udarbejdet af en ITSEF med henblik på at fremlægge de resultater, bedømmelser og begrundelser, der er fremkommet under evalueringen af et IKT-produkt eller en beskyttelsesprofil i overensstemmelse med de regler og forpligtelser, der er fastsat i denne forordning

»ITSEF«: en facilitet til evaluering af informationsteknologisk sikkerhed, som er et overensstemmelsesvurderingsorgan som defineret i artikel 2, nr. 13), i forordning (EF) nr. 765/2008, der udfører evalueringsopgaver

»AVA_VAN-niveau«: et tillids- og sårbarhedsanalyseniveau, der angiver graden af cybersikkerhedsevalueringsaktiviteter, der er udført for at bestemme graden af modstandsdygtighed over for potentiel udnyttelse af fejl eller svagheder i evalueringsmålet i det operationelle miljø som fastsat i de fælles kriterier

»EUCC-attest«: en cybersikkerhedsattest udstedt i henhold til EUCC for IKT-produkter eller for beskyttelsesprofiler, der udelukkende kan anvendes i IKT-certificeringsprocessen for IKT-produkter

10)

»sammensat produkt«: et IKT-produkt, der evalueres sammen med et andet underliggende IKT-produkt, som allerede har modtaget en EUCC-attest, og hvis sikkerhedsfunktion det sammensatte IKT-produkt afhænger af

11)

»national cybersikkerhedscertificeringsmyndighed«: en myndighed, der er udpeget af en medlemsstat i henhold til artikel 58, stk. 1, i forordning (EU) 2019/881

12)

»certificeringsorgan«: et overensstemmelsesvurderingsorgan som defineret i artikel 2, nr. 13), i forordning (EF) nr. 765/2008, som udfører certificeringsaktiviteter

13)

»teknisk område«: en fælles teknisk ramme vedrørende en bestemt teknologi for harmoniseret certificering med en række karakteristiske sikkerhedskrav

14)

»statusdokument«: et dokument, der specificerer de evalueringsmetoder, -teknikker og -værktøjer, der gælder for certificering af IKT-produkter, eller sikkerhedskravene til en generisk IKT-produktkategori eller andre krav, der er nødvendige for certificering, med henblik på at harmonisere evalueringen, navnlig af tekniske områder eller beskyttelsesprofiler

15)

»markedsovervågningsmyndighed«: en myndighed som defineret i artikel 3, nr. 4), i forordning (EU) 2019/1020.

Artikel 3

Evalueringsstandarder

Følgende standarder finder anvendelse på evalueringer, der foretages under EUCC-ordningen:

de fælles kriterier

den fælles evalueringsmetode.

Artikel 4

Tillidsniveauer

1. Certificeringsorganerne udsteder EUCC-attester på tillidsniveauet »væsentligt« eller »højt«.

2. EUCC-attester på tillidsniveauet »væsentligt« skal svare til attester, der dækker AVA_VAN-niveau 1 eller 2.

3. EUCC-attester på tillidsniveauet »højt« skal svare til attester, der dækker AVA_VAN-niveau 3, 4 eller 5.

4. Det sikkerhedsniveau, der bekræftes i en EUCC-attest, skal skelne mellem overensstemmende og udvidet anvendelse af sikkerhedskomponenterne som angivet i de fælles kriterier i overensstemmelse med bilag VIII.

5. Overensstemmelsesvurderingsorganerne anvender de tillidskomponenter, som det valgte AVA_VAN-niveau afhænger af, i overensstemmelse med de standarder, der er omhandlet i artikel 3.

Artikel 5

Metoder til certificering af IKT-produkter

1. Certificering af et IKT-produkt foretages i forhold til dets sikkerhedsmål:

som defineret af ansøgeren eller

ved at indarbejde en certificeret beskyttelsesprofil som en del af IKT-processen, hvor IKT-produktet falder ind under den IKT-produktkategori, der er omfattet af den pågældende beskyttelsesprofil.

2. Beskyttelsesprofiler certificeres udelukkende med henblik på certificering af IKT-produkter, der falder ind under den specifikke kategori af IKT-produkter, der er omfattet af beskyttelsesprofilen.

Artikel 6

Selvvurdering af overensstemmelse

Selvvurdering af overensstemmelse som omhandlet i artikel 53 i forordning (EU) 2019/881 er ikke tilladt.

KAPITEL II

CERTIFICERING AF IKT-PRODUKTER

AFDELING I

Specifikke standarder og krav til evaluering

Artikel 7

Evalueringskriterier og -metoder for IKT-produkter

1. Et IKT-produkt, som indgives med henblik på certificering, evalueres som minimum i overensstemmelse med følgende:

de relevante elementer i de standarder, der er omhandlet i artikel 3

sikkerhedskravene til sårbarhedsvurdering og uafhængig funktionstest som fastsat i de evalueringsstandarder, der er omhandlet i artikel 3

det risikoniveau, der er forbundet med den tilsigtede anvendelse af de pågældende IKT-produkter i henhold til artikel 52 i forordning (EU) 2019/881, og deres sikkerhedsfunktioner, der understøtter de sikkerhedsmål, der er fastsat i artikel 51 i forordning (EU) 2019/881

de i bilag I anførte relevante statusdokumenter og

de i bilag II anførte relevante certificerede beskyttelsesprofiler.

2. I ekstraordinære og behørigt begrundede tilfælde kan et overensstemmelsesvurderingsorgan anmode om at undlade at anvende det relevante statusdokument. I sådanne tilfælde underretter overensstemmelsesvurderingsorganet den nationale cybersikkerhedscertificeringsmyndighed med en behørigt begrundet begrundelse for sin anmodning. Den nationale cybersikkerhedscertificeringsmyndighed vurderer begrundelsen for en undtagelse og godkender den, hvis det er berettiget. Overensstemmelsesvurderingsorganet udsteder ingen attest, før den nationale cybersikkerhedscertificeringsmyndighed har truffet afgørelse. Den nationale cybersikkerhedscertificeringsmyndighed underretter uden unødigt ophold Den Europæiske Cybersikkerhedscertificeringsgruppe, som kan afgive en udtalelse, om den godkendte undtagelse. Den nationale cybersikkerhedscertificeringsmyndighed tager størst muligt hensyn til udtalelsen fra Den Europæiske Cybersikkerhedscertificeringsgruppe.

3. Certificering af IKT-produkter på AVA_VAN-niveau 4 eller 5 er kun mulig i følgende scenarier:

Artikel 8

Nødvendige oplysninger ved certificering

1. En ansøger, der ansøger om certificering i henhold til EUCC, skal forelægge eller på anden måde stille alle de oplysninger, der er nødvendige for certificeringsaktiviteterne, til rådighed for certificeringsorganet og ITSEF.

2. De oplysninger, der er omhandlet i stk. 1, omfatter al relevant dokumentation i overensstemmelse med afsnittene om »Developer action elements« (aktionselementer for udviklere) i det relevante format som fastsat i afsnittene om »Content and presentation of evidence element« (indhold og fremlæggelse af dokumentationselement) i de fælles kriterier og den fælles evalueringsmetode for det valgte sikkerhedstillidsniveau og de tilhørende sikkerhedstillidskrav. Dokumentationen skal om nødvendigt omfatte oplysninger om IKT-produktet og dets kildekode i overensstemmelse med denne forordning med forbehold af sikkerhedsforanstaltninger mod uautoriseret videregivelse.

3. Ansøgere om certificering kan forelægge certificeringsorganet og ITSEF relevante evalueringsresultater fra forudgående certificering i henhold til:

denne forordning

en anden europæisk cybersikkerhedscertificeringsordning vedtaget i henhold til artikel 49 i forordning (EU) 2019/881

en national ordning som omhandlet i nærværende forordnings artikel 49.

4. Hvis evalueringsresultaterne er relevante for ITSEF's opgaver, kan den genanvende evalueringsresultaterne, forudsat at resultaterne er i overensstemmelse med de gældende krav, og at deres ægthed bekræftes.

5. Hvis certificeringsorganet tillader, at produktet underkastes certificering af et sammensat produkt, skal ansøgeren om certificering stille alle nødvendige elementer til rådighed for certificeringsorganet og ITSEF'en, hvis det er relevant, i overensstemmelse med statusdokumentet.

6. Ansøgere om certificering skal også give certificeringsorganet og ITSEF'en følgende oplysninger:

linket til deres websted, som indeholder de supplerende cybersikkerhedsoplysninger, der er omhandlet i artikel 55 i forordning (EU) 2019/881

Artikel 9

Betingelser for udstedelse af en EUCC-attest

1. Certificeringsorganerne udsteder en EUCC-attest, hvis alle følgende betingelser er opfyldt:

kategorien af IKT-produkter er omfattet af akkrediteringens anvendelsesområde og, hvor det er relevant, bemyndigelsen af det certificeringsorgan og den ITSEF, der er involveret i certificeringen

ansøgeren om en certificering har underskrevet en erklæring, hvori denne påtager sig alle de forpligtelser, der er anført i stk. 2

ITSEF'en har afsluttet evalueringen uden indsigelse i overensstemmelse med de evalueringsstandarder, -kriterier og -metoder, der er omhandlet i artikel 3 og 7

certificeringsorganet har afsluttet gennemgangen af evalueringsresultaterne uden indsigelser

certificeringsorganet har kontrolleret, at ITSEF'ens tekniske evalueringsrapporter er i overensstemmelse med den fremlagte dokumentation, og at de evalueringsstandarder, -kriterier og -metoder, der er omhandlet i artikel 3 og 7, er anvendt korrekt.

2. Ansøgere om en certificering skal påtage sig følgende forpligtelser:

at give certificeringsorganet og ITSEF'en alle de nødvendige fuldstændige og korrekte oplysninger og give yderligere nødvendige oplysninger, hvis der anmodes herom

at undlade at markedsføre IKT-produktet som certificeret i henhold til EUCC, før EUCC-attesten er udstedt

udelukkende at markedsføre IKT-produktet som certificeret med hensyn til det anvendelsesområde, der er fastsat i EUCC-attesten

Artikel 10

EUCC-attestens indhold og format

1. En EUCC-attest skal mindst indeholde de oplysninger, der er fastsat i bilag VII.

2. Omfanget af og grænserne for det certificerede IKT-produkt angives utvetydigt i EUCC-attesten eller certificeringsrapporten med angivelse af, om hele IKT-produktet er blevet certificeret eller kun dele heraf.

3. Certificeringsorganet fremsender EUCC-attesten til ansøgeren i det mindste i elektronisk form.

4. Certificeringsorganet udarbejder en certificeringsrapport i overensstemmelse med bilag V for hver EUCC-attest, det udsteder. Certificeringsrapporten baseres på den rapport om teknisk evaluering, der er udarbejdet af ITSEF. I rapporten om teknisk evaluering og certificeringsrapporten angives de specifikke evalueringskriterier og -metoder, der er omhandlet i artikel 7, og som er anvendt til evalueringen.

5. Certificeringsorganet fremsender alle EUCC-attester og alle certificeringsrapporter til den nationale cybersikkerhedscertificeringsmyndighed og ENISA i elektronisk form.

Artikel 11

Mærkning og etiketter

1. En attestindehaver kan anbringe en mærkning og en etiket på et certificeret IKT-produkt. Mærkningen og etiketten viser, at IKT-produktet er certificeret i overensstemmelse med denne forordning. Mærkningen og etiketten anbringes i overensstemmelse med denne artikel og bilag IX.

2. Mærkningen og etiketten skal anbringes synligt, letlæseligt og uudsletteligt på det certificerede IKT-produkt eller dets dataskilt. Hvis produktet er af en sådan art, at dette ikke er muligt eller berettiget, skal mærkningen og etiketten anbringes på emballagen og i følgedokumenterne. Hvis det certificerede IKT-produkt leveres i form af software, skal mærkningen og etiketten fremgå tydeligt, letlæseligt og uudsletteligt i den ledsagende dokumentation, eller denne dokumentation skal gøres let og direkte tilgængelig for brugerne via et websted.

3. Mærkningen og etiketten skal være i overensstemmelse med bilag IX og indeholde:

tillidsniveauet og AVA_VAN-niveauet for det certificerede IKT-produkt

den entydige identifikation af attesten bestående af: 1) ordningens navn 2) navnet og referencenummeret på akkrediteringen af det certificeringsorgan, der har udstedt attesten 3) udstedelsesår og -måned 4) identifikationsnummer tildelt af det certificeringsorgan, der har udstedt attesten.

4. Mærkningen og etiketten skal ledsages af en QR-kode med et link til et websted, der som minimum indeholder:

oplysninger om attestens gyldighedsperiode

de nødvendige certificeringsoplysninger, jf. bilag V og VII

de oplysninger, som attestindehaveren skal gøre offentligt tilgængelige i henhold til artikel 55 i forordning (EU) 2019/881, og

hvis det er relevant, historiske oplysninger vedrørende den specifikke certificering eller de specifikke certificeringer af IKT-produktet for at muliggøre sporbarhed.

Artikel 12

EUCC-attestens gyldighedsperiode

1. Certificeringsorganet fastsætter en gyldighedsperiode for hver EUCC-attest, der udstedes, under hensyntagen til det certificerede IKT-produkts karakteristika.

2. EUCC-attestens gyldighedsperiode må ikke overstige fem år.

3. Uanset stk. 2 må denne periode overstige fem år med forbehold af forudgående godkendelse fra den nationale cybersikkerhedscertificeringsmyndighed. Den nationale cybersikkerhedscertificeringsmyndighed underretter uden unødigt ophold Den Europæiske Cybersikkerhedscertificeringsgruppe om den meddelte godkendelse.

Artikel 13

Revision af en EUCC-attest

1. Efter anmodning fra attestindehaveren eller af andre begrundede årsager kan certificeringsorganet beslutte at revidere EUCC-attesten for et IKT-produkt. Revisionen foretages i overensstemmelse med bilag IV. Certificeringsorganet fastsætter omfanget af revisionen. Hvis det er nødvendigt for revisionen, anmoder certificeringsorganet ITSEF'en om at foretage en fornyet evaluering af det certificerede IKT-produkt.

2. Efter resultaterne af revisionen og, hvor det er relevant, af den fornyede evaluering skal certificeringsorganet:

bekræfte EUCC-attesten

tilbagekalde EUCC-attesten i henhold til artikel 14

tilbagekalde EUCC-attesten i henhold til artikel 14 og udstede en ny EUCC-attest med samme anvendelsesområde og en forlænget gyldighedsperiode eller

tilbagekalde EUCC-attesten i henhold til artikel 14 og udstede en ny EUCC-attest med et andet anvendelsesområde.

3. Certificeringsorganet kan uden unødigt ophold beslutte at suspendere EUCC-attesten i henhold til artikel 30, indtil indehaveren af EUCC-attesten har truffet afhjælpende foranstaltninger.

Artikel 14

Tilbagekaldelse af en EUCC-attest

1. Med forbehold af artikel 58, stk. 8, litra e), i forordning (EU) 2019/881 tilbagekaldes en EUCC-attest af det certificeringsorgan, der udstedte attesten.

2. Certificeringsorganet i stk. 1 underretter den nationale cybersikkerhedscertificeringsmyndighed om tilbagekaldelsen af attesten. Det underretter også ENISA om tilbagekaldelsen med henblik på at lette udførelsen af dets opgaver i henhold til artikel 50 i forordning (EU) 2019/881. Den nationale cybersikkerhedscertificeringsmyndighed underretter andre relevante markedsovervågningsmyndigheder.

3. Indehaveren af en EUCC-attest kan anmode om tilbagekaldelse af attesten.

KAPITEL III

CERTIFICERING AF BESKYTTELSESPROFILER

AFDELING I

SPECIFIKKE STANDARDER OG KRAV TIL EVALUERING

Artikel 15

Evalueringskriterier og -metoder

1. En beskyttelsesprofil vurderes som minimum i overensstemmelse med følgende:

de relevante elementer i de standarder, der er omhandlet i artikel 3

det risikoniveau, der er forbundet med den tilsigtede anvendelse af de pågældende IKT-produkter i henhold til artikel 52 i forordning (EU) 2019/881, og de sikkerhedsfunktioner, der understøtter de sikkerhedsmål, som er fastsat i nævnte forordnings artikel 51, og

de relevante statusdokumenter, som er anført i bilag I. En beskyttelsesprofil, der er omfattet af et teknisk område, skal certificeres efter kravene på det pågældende tekniske område.

2. I ekstraordinære og behørigt begrundede tilfælde kan et overensstemmelsesvurderingsorgan certificere en beskyttelsesprofil uden at anvende de relevante statusdokumenter. I sådanne tilfælde underretter det den kompetente nationale cybersikkerhedscertificeringsmyndighed og giver en begrundelse for den påtænkte certificering uden anvendelse af de relevante statusdokumenter samt den foreslåede evalueringsmetode. Den nationale cybersikkerhedscertificeringsmyndighed vurderer begrundelsen og godkender, hvor det er berettiget, den manglende anvendelse af de relevante statusdokumenter og godkender eller ændrer, hvor det er relevant, den evalueringsmetode, som overensstemmelsesvurderingsorganet skal anvende. Overensstemmelsesvurderingsorganet udsteder ingen attest til beskyttelsesprofilen, før den nationale cybersikkerhedscertificeringsmyndighed har truffet afgørelse. Den nationale cybersikkerhedscertificeringsmyndighed underretter uden unødigt ophold Den Europæiske Cybersikkerhedscertificeringsgruppe, som kan afgive en udtalelse, om den tilladte manglende anvendelse af de relevante statusdokumenter. Den nationale cybersikkerhedscertificeringsmyndighed tager størst muligt hensyn til udtalelsen fra Den Europæiske Cybersikkerhedscertificeringsgruppe.

AFDELING II

Udstedelse, fornyelse og tilbagekaldelse af eucc-attester for beskyttelsesprofiler

Artikel 16

Oplysninger, der er nødvendige for certificering af beskyttelsesprofiler

En ansøger, der ansøger om certificering af en beskyttelsesprofil, skal forelægge eller på anden måde stille alle de oplysninger, der er nødvendige for certificeringsaktiviteterne, til rådighed for certificeringsorganet og ITSEF'en. Artikel 8, stk. 2, 3, 4 og 7 finder tilsvarende anvendelse.

Artikel 17

Udstedelse af EUCC-attester for beskyttelsesprofiler

1. Ansøgere om en certificering skal give certificeringsorganet og ITSEF'en alle de nødvendige fuldstændige og korrekte oplysninger.

2. Artikel 9 og 10 finder tilsvarende anvendelse.

3. ITSEF'en vurderer, om en beskyttelsesprofil er fuldstændig, konsekvent, teknisk forsvarlig og effektiv i forhold til den tilsigtede brug og sikkerhedsmålene for den kategori af IKT-produkter, der er omfattet af beskyttelsesprofilen.

4. En beskyttelsesprofil certificeres udelukkende af:

en national cybersikkerhedscertificeringsmyndighed eller et andet offentligt organ, der er akkrediteret som certificeringsorgan, eller

et certificeringsorgan efter forudgående godkendelse fra den nationale cybersikkerhedscertificeringsmyndighed for hver enkelt beskyttelsesprofil.

Artikel 18

Gyldighedsperiode for en EUCC-attest for beskyttelsesprofiler

1. Certificeringsorganet fastsætter en gyldighedsperiode for hver EUCC-attest.

2. Gyldighedsperioden kan være op til beskyttelsesprofilens levetid.

Artikel 19

Revision af en EUCC-attest for beskyttelsesprofiler

1. Efter anmodning fra attestindehaveren eller af andre begrundede årsager kan certificeringsorganet beslutte at revidere EUCC-attesten for en beskyttelsesprofil. Revisionen foretages under anvendelse af betingelserne i artikel 15. Certificeringsorganet fastsætter omfanget af revisionen. Hvis det er nødvendigt for revisionen, anmoder certificeringsorganet ITSEF'en om at foretage en fornyet evaluering af den certificerede beskyttelsesprofil.

2. Efter resultaterne af revisionen og, hvor det er relevant, af den fornyede evaluering skal certificeringsorganet:

bekræfte EUCC-attesten

tilbagekalde EUCC-attesten i henhold til artikel 20

tilbagekalde EUCC-attesten i henhold til artikel 20 og udstede en ny EUCC-attest med samme anvendelsesområde og en forlænget gyldighedsperiode

tilbagekalde EUCC-attesten i henhold til artikel 20 og udstede en ny EUCC-attest med et andet anvendelsesområde.

Artikel 20

Tilbagekaldelse af en EUCC-attest for beskyttelsesprofiler

1. Med forbehold af artikel 58, stk. 8, litra e), i forordning (EU) 2019/881 tilbagekaldes en EUCC-attest til en beskyttelsesprofil af det certificeringsorgan, der udstedte attesten. Artikel 14 finder tilsvarende anvendelse.

2. En attest for en beskyttelsesprofil, der er udstedt i overensstemmelse med artikel 17, stk. 4, litra b), trækkes tilbage af den nationale cybersikkerhedscertificeringsmyndighed, der godkendte attesten.

KAPITEL IV

OVERENSSTEMMELSESVURDERINGSORGANER

Artikel 21

Yderligere eller specifikke krav til et certificeringsorgan

1. Et certificeringsorgan bemyndiges af den nationale cybersikkerhedscertificeringsmyndighed til at udstede EUCC-attester på tillidsniveauet »højt«, hvis dette organ ud over at opfylde kravene i artikel 60, stk. 1, og bilaget til forordning (EU) 2019/881 vedrørende akkreditering af overensstemmelsesvurderingsorganer dokumenterer følgende:

det har den ekspertise og de kompetencer, der er nødvendige for afgørelsen om certificering på tillidsniveauet »højt«

det udfører sine certificeringsaktiviteter i samarbejde med et organ, der er bemyndiget i henhold til artikel 22 og

det har de nødvendige kompetencer og træffer passende tekniske og operationelle foranstaltninger for effektivt at beskytte fortrolige og følsomme oplysninger med sikringsniveauet »høj« ud over de krav, der er fastsat i artikel 43.

2. Den nationale cybersikkerhedscertificeringsmyndighed vurderer, om et certificeringsorgan opfylder alle kravene i stk. 1. Denne vurdering skal som minimum omfatte strukturerede interviews og en gennemgang af mindst én pilotcertificering udført af certificeringsorganet i overensstemmelse med denne forordning.

Den nationale cybersikkerhedscertificeringsmyndighed kan i sin vurdering genanvende relevant dokumentation fra forudgående bemyndigelse eller lignende aktiviteter, der er fremlagt i henhold til:

denne forordning

en anden europæisk cybersikkerhedscertificeringsordning vedtaget i henhold til artikel 49 i forordning (EU) 2019/881

en national ordning som omhandlet i nærværende forordnings artikel 49.

3. Den nationale cybersikkerhedscertificeringsmyndighed udarbejder en bemyndigelsesrapport, som er genstand for peerevaluering i overensstemmelse med artikel 59, stk. 3, litra d), i forordning (EU) 2019/881.

Artikel 22

Yderligere eller specifikke krav til en ITSEF

1. En ITSEF bemyndiges af den nationale cybersikkerhedscertificeringsmyndighed til at udføre evaluering af IKT-produkter, der er genstand for certificering på tillidsniveauet »højt«, hvis den pågældende ITSEF ud over at opfylde kravene i artikel 60, stk. 1, og bilaget til forordning (EU) 2019/881 vedrørende akkreditering af overensstemmelsesvurderingsorganer dokumenterer, at den overholder alle følgende betingelser:

den har den nødvendige ekspertise til at udføre evalueringsaktiviteterne med henblik på at fastslå modstandsdygtigheden over for de mest avancerede cyberangreb, der udføres af aktører med betydelige færdigheder og ressourcer

for så vidt angår de tekniske områder og beskyttelsesprofiler, som er en del af IKT-processen for disse IKT-produkter, har den: 1) ekspertisen til at udføre de specifikke evalueringsaktiviteter, der er nødvendige for metodisk at fastlægge et mål for evalueringens resistens over for kvalificerede angribere i det operationelle miljø, idet det antages, at angrebspotentialet er »moderat« eller »højt« som fastsat i de standarder, der er omhandlet i artikel 3 2) de tekniske kompetencer, der fremgår af de statusdokumenter, der er anført i bilag I

den har de nødvendige kompetencer og har truffet passende tekniske og operationelle foranstaltninger til effektivt at beskytte fortrolige og følsomme oplysninger med tillidsniveauet »højt« ud over de krav, der er fastsat i artikel 43.

2. Den nationale cybersikkerhedscertificeringsmyndighed vurderer, om en ITSEF opfylder alle kravene i stk. 1. Denne vurdering skal som minimum omfatte strukturerede interviews og en gennemgang af mindst én pilotevaluering udført af udvalget i overensstemmelse med denne forordning.

3. Den nationale cybersikkerhedscertificeringsmyndighed kan i sin vurdering genanvende relevant dokumentation fra forudgående bemyndigelse eller lignende aktiviteter, der er fremlagt i henhold til:

denne forordning

Artikel 23

Anmeldelse af certificeringsorganer

1. Den nationale cybersikkerhedscertificeringsmyndighed underretter Kommissionen om, hvilke certificeringsorganer på dens område der er kompetente til at certificere på tillidsniveauet »væsentligt« på grundlag af deres akkreditering.

2. Den nationale cybersikkerhedscertificeringsmyndighed underretter Kommissionen om, hvilke certificeringsorganer på dens område der er kompetente til at certificere på tillidsniveauet »højt« på grundlag af deres akkreditering og afgørelsen om bemyndigelse.

3. Den nationale cybersikkerhedscertificeringsmyndighed skal som minimum give følgende oplysninger, når den underretter Kommissionen om certificeringsorganerne:

det eller de tillidsniveauer, som certificeringsorganet har kompetence til at udstede EUCC-attester for

følgende oplysninger vedrørende akkreditering: 1) akkrediteringsdatoen 2) certificeringsorganets navn og adresse 3) certificeringsorganets registrerede hjemland 4) akkrediteringens referencenummer 5) akkrediteringens anvendelsesområde og gyldighedsperiode 6) adresse, beliggenhed og link til det nationale akkrediteringsorgans relevante websted og

følgende oplysninger vedrørende bemyndigelse for niveauet »høj«: 1) bemyndigelsesdatoen 2) bemyndigelsens referencenummer 3) bemyndigelsens gyldighedsperiode 4) bemyndigelsens anvendelsesområde, herunder det højeste AVA_VAN-niveau og det omfattede tekniske område, hvor det er relevant.

4. Den nationale cybersikkerhedscertificeringsmyndighed sender en kopi af den underretning, der er omhandlet i stk. 1 og 2, til ENISA med henblik på offentliggørelse af nøjagtige oplysninger på webstedet for cybersikkerhedscertificering om certificeringsorganernes bemyndigelse.

5. Den nationale cybersikkerhedscertificeringsmyndighed undersøger uden unødigt ophold alle oplysninger fra det nationale akkrediteringsorgan om ændring af status for akkrediteringen. Hvis akkrediteringen eller bemyndigelsen er blevet tilbagekaldt, underretter den nationale cybersikkerhedscertificeringsmyndighed Kommissionen herom og kan indgive en anmodning til Kommissionen i overensstemmelse med artikel 61, stk. 4, i forordning (EU) 2019/881.

Artikel 24

Anmeldelse af en ITSEF

De nationale cybersikkerhedscertificeringsmyndigheders anmeldelsesforpligtelser, jf. artikel 23, finder også anvendelse på ITSEF. Meddelelsen skal indeholde adressen på den pågældende enhed, den gyldige akkreditering og, hvor det er relevant, den pågældende ITSEF's gyldige bemyndigelse.

KAPITEL V

OVERVÅGNING, MANGLENDE OVERENSSTEMMELSE OG MANGLENDE OVERHOLDELSE

AFDELING I

Overvågning af overholdelse

Artikel 25

Den nationale cybersikkerhedscertificeringsmyndigheds overvågningsaktiviteter

1. Med forbehold af artikel 58, stk. 7, i forordning (EU) 2019/881 overvåger den nationale cybersikkerhedscertificeringsmyndighed:

at certificeringsorganet og ITSEF'en overholder deres forpligtelser i henhold til nærværende forordning og forordning (EU) 2019/881

at EUCC-attestindehavere overholder deres forpligtelser i henhold til nærværende forordning og forordning (EU) 2019/881

at de certificerede IKT-produkter overholder de krav, der er fastsat i EUCC-attesten

at det tillidsniveau, der er anført i EUCC-attesten, overholder kravene i overensstemmelse med det skiftende trusselsbillede.

2. Den nationale cybersikkerhedscertificeringsmyndighed udfører sine overvågningsaktiviteter på grundlag af især:

oplysninger fra certificeringsorganer, nationale akkrediteringsorganer og relevante markedsovervågningsmyndigheder

oplysninger fra dens egne eller en anden myndigheds revisioner og undersøgelser

stikprøvekontrol gennemført i overensstemmelse med stk. 3

indkomne klager.

3. Den nationale cybersikkerhedscertificeringsmyndighed udtager i samarbejde med andre markedsovervågningsmyndigheder årligt prøver af mindst 4 % af EUCC-attesterne som fastsat ved en risikovurdering. Efter anmodning og på vegne af den kompetente nationale cybersikkerhedscertificeringsmyndighed bistår certificeringsorganerne og om nødvendigt ITSEF den pågældende myndighed med at overvåge overholdelsen.

Artikel 26

Certificeringsorganets overvågningsaktiviteter

1. Certificeringsorganet overvåger:

at attestindehavere overholder deres forpligtelser i henhold til nærværende forordning og forordning (EU) 2019/881 i forhold til den EUCC-attest, der er udstedt af certificeringsorganet

at de IKT-produkter, som det har certificeret, overholder deres respektive sikkerhedskrav

at det tillidsniveau, der er anført i de certificerede beskyttelsesprofiler, overholdes.

2. Certificeringsorganet udfører sine overvågningsaktiviteter på grundlag af:

de oplysninger, der er givet på grundlag af de forpligtelser, som ansøgeren om certificering har påtaget sig, jf. artikel 9, stk. 2

oplysninger, der følger af andre relevante markedsovervågningsmyndigheders aktiviteter

indkomne klager

sårbarhedsoplysninger, der kan påvirke de IKT-produkter, det har certificeret.

3. Den nationale cybersikkerhedscertificeringsmyndighed kan udarbejde regler for en regelmæssig dialog mellem certificeringsorganer og EUCC-attestindehavere for at kontrollere og rapportere om overholdelsen af de forpligtelser, der er indgået i henhold til artikel 9, stk. 2, uden at dette berører aktiviteter vedrørende andre relevante markedsovervågningsmyndigheder.

Artikel 27

Overvågningsaktiviteter udført af attestindehaveren

1. EUCC-attestindehavere udfører følgende opgaver med henblik på at overvåge, at certificerede IKT-produkt er i overensstemmelse med dets sikkerhedskrav:

overvåge sårbarhedsoplysninger vedrørende det certificerede IKT-produkt, herunder kendt afhængighed, med egne midler, men også under hensyntagen til: 1) en offentliggørelse eller et indlæg vedrørende sårbarhedsoplysninger fra en bruger eller sikkerhedsforsker som omhandlet i artikel 55, stk. 1, litra c), i forordning (EU) 2019/881 2) oplysninger fra enhver anden kilde

overvåge tillidsniveauet som anført i EUCC-attesten.

2. Indehaveren af en EUCC-attest samarbejder med certificeringsorganet, ITSEF og, hvor det er relevant, den nationale cybersikkerhedscertificeringsmyndighed for at støtte deres overvågningsaktiviteter.

AFDELING II

Overensstemmelse og overholdelse

Artikel 28

Konsekvenser af et certificeret IKT-produkts eller en certificeret beskyttelsesprofils manglende overensstemmelse

1. Hvis et certificeret IKT-produkt eller en certificeret beskyttelsesprofil ikke er i overensstemmelse med kravene i nærværende forordning og forordning (EU) 2019/881, underretter certificeringsorganet indehaveren af EUCC-attesten om den konstaterede manglende overensstemmelse og anmoder om afhjælpende foranstaltninger.

2. Hvis et tilfælde af manglende overensstemmelse med bestemmelserne i nærværende forordning kan påvirke overholdelsen af anden relevant EU-lovgivning, som giver mulighed for at påvise formodningen om overensstemmelse med kravene i den pågældende retsakt ved hjælp af EUCC-attesten, underretter certificeringsorganet straks den nationale cybersikkerhedscertificeringsmyndighed herom. Den nationale cybersikkerhedscertificeringsmyndighed underretter straks den markedsovervågningsmyndighed, der er ansvarlig for en sådan anden relevant EU-lovgivning, om den konstaterede manglende overensstemmelse.

3. Efter modtagelsen af de oplysninger, der er omhandlet i stk. 1, foreslår EUCC-attestindehaveren inden for den frist, som certificeringsorganet har fastsat, og som ikke må overstige 30 dage, certificeringsorganet de afhjælpende foranstaltninger, som er nødvendige for at afhjælpe den manglende overensstemmelse.

4. Certificeringsorganet kan uden unødigt ophold suspendere EUCC-attesten i henhold til artikel 30 i nødsituationer, eller hvis EUCC-attestindehaveren ikke samarbejder behørigt med certificeringsorganet.

5. Certificeringsorganet foretager en gennemgang i henhold til artikel 13 og 19 og vurderer, om de afhjælpende foranstaltninger afhjælper den manglende overensstemmelse.

6. Hvis indehaveren af EUCC-attesten ikke foreslår passende afhjælpende foranstaltninger i den periode, der er omhandlet i stk. 3, suspenderes attesten i overensstemmelse med artikel 30 eller tilbagekaldes i overensstemmelse med artikel 14 eller 20.

7. Denne artikel finder ikke anvendelse på tilfælde af sårbarheder, der påvirker et certificeret IKT-produkt, som håndteres i overensstemmelse med kapitel VI.

Artikel 29

Konsekvenser af manglende overensstemmelse fra attestindehaverens side

1. Hvis certificeringsorganet finder, at:

EUCC-attestindehaveren eller ansøgeren om certificering ikke opfylder sine forpligtelser som fastsat i artikel 9, stk. 2, artikel 17, stk. 2, artikel 27 og 41 eller

EUCC-attestindehaveren ikke opfylder artikel 56, stk. 8, i forordning (EU) 2019/881 eller kapitel VI i nærværende forordning fastsætter det en frist på højst 30 dage, inden for hvilken EUCC-attestindehaveren skal træffe afhjælpende foranstaltninger.

2. Hvis EUCC-attestindehaveren ikke foreslår passende afhjælpende foranstaltninger i den periode, der er omhandlet i stk. 1, suspenderes attesten i overensstemmelse med artikel 30 eller tilbagekaldes i overensstemmelse med artikel 14 og 20.

3. EUCC-attestindehaverens fortsatte eller tilbagevendende overtrædelse af de forpligtelser, der er omhandlet i stk. 1, udløser tilbagekaldelse af EUCC-attesten i overensstemmelse med artikel 14 eller 20.

4. Certificeringsorganet underretter den nationale cybersikkerhedscertificeringsmyndighed om de resultater, der er omhandlet i stk. 1. Hvis den manglende overensstemmelse påvirker overholdelsen af anden relevant EU-lovgivning, underretter den nationale cybersikkerhedscertificeringsmyndighed straks den markedsovervågningsmyndighed, der er ansvarlig for denne anden relevante EU-lovgivning, om det konstaterede tilfælde af manglende overensstemmelse.

Artikel 30

Suspension af EUCC-attesten

1. Hvis der i denne forordning henvises til suspension af en EUCC-attest, suspenderer certificeringsorganet den pågældende EUCC-attest i en periode, der er passende i forhold til de omstændigheder, der udløser suspensionen, og som ikke overstiger 42 dage. Suspensionsperioden begynder dagen efter den dag, hvor certificeringsorganet har truffet sin afgørelse. Suspensionen berører ikke attestens gyldighed.

2. Certificeringsorganet underretter uden unødigt ophold attestindehaveren og den nationale cybersikkerhedscertificeringsmyndighed om suspensionen og angiver årsagerne til suspensionen, de foranstaltninger, der anmodes om, og suspensionsperioden.

3. Attestindehavere underretter køberne af de pågældende IKT-produkter om suspensionen og om certificeringsorganets begrundelse for suspensionen, undtagen de dele af årsagerne, hvis deling ville udgøre en sikkerhedsrisiko, eller som indeholder følsomme oplysninger. Disse oplysninger skal også gøres offentligt tilgængelige af attestindehaveren.

4. Hvis anden relevant EU-lovgivning indeholder bestemmelser om en formodning om overensstemmelse på grundlag af attester, der er udstedt i henhold til bestemmelserne i denne forordning, underretter den nationale cybersikkerhedscertificeringsmyndighed den markedsovervågningsmyndighed, der er ansvarlig for den anden relevante EU-lovgivning, om suspensionen.

5. ENISA underrettes om suspensionen af en attest i overensstemmelse med artikel 42, stk. 3.

6. I behørigt begrundede tilfælde kan den nationale cybersikkerhedscertificeringsmyndighed give tilladelse til en forlængelse af perioden for suspension af en EUCC-attest. Den samlede suspensionsperiode må ikke overstige et år.

Artikel 31

Konsekvenser af overensstemmelsesvurderingsorganets manglende overensstemmelse

1. Hvis et certificeringsorgan eller en ITSEF ikke overholder sine forpligtelser, skal den nationale cybersikkerhedscertificeringsmyndighed uden unødigt ophold:

med støtte fra den berørte ITSEF identificere de potentielt berørte EUCC-attester

om nødvendigt anmode om, at evalueringsaktiviteter udføres på et eller flere IKT-produkter eller en eller flere beskyttelsesprofiler af enten den enhed, der har foretaget evalueringen, eller enhver anden akkrediteret og, hvor det er relevant, bemyndiget ITSEF, der kan være i en bedre teknisk position med hensyn til at støtte denne identifikation

analysere virkningerne af manglende overensstemmelse

underrette den EUCC-attestindehaver, der er berørt af den manglende overensstemmelse.

2. På grundlag af de foranstaltninger, der er omhandlet i stk. 1, vedtager certificeringsorganet en af følgende afgørelser for hver berørt EUCC-attest:

at opretholde EUCC-attesten uændret

at tilbagekalde EUCC-attesten i overensstemmelse med artikel 14 eller 20 og, hvor det er relevant, udstede en ny EUCC-attest.

3. På grundlag af de foranstaltninger, der er omhandlet i stk. 1, skal den nationale cybersikkerhedscertificeringsmyndighed:

om nødvendigt indberette certificeringsorganets eller den tilknyttede ITSEF's manglende overensstemmelse til det nationale akkrediteringsorgan

Artikel 32

Omfanget af sårbarhedsstyring

Dette kapitel finder anvendelse på IKT-produkter, for hvilke der er udstedt en EUCC-attest.

AFDELING I

Sårbarhedsstyring

Artikel 33

Procedurer for sårbarhedsstyring

1. En EUCC-attestindehaver indfører og opretholder alle nødvendige procedurer for sårbarhedsstyring i overensstemmelse med reglerne i denne afdeling om nødvendigt suppleret med procedurerne i EN ISO/IEC 30111.

2. Indehaveren af en EUCC-attest vedligeholder og offentliggør passende metoder til at modtage oplysninger om sårbarheder i forbindelse med deres produkter fra eksterne kilder, herunder brugere, certificeringsorganer og sikkerhedsforskere.

3. Hvis en indehaver af en EUCC-attest opdager eller modtager oplysninger om en potentiel sårbarhed, der påvirker et certificeret IKT-produkt, registrerer indehaveren dette og foretager en sårbarhedskonsekvensanalyse.

4. Når en potentiel sårbarhed påvirker et sammensat produkt, underretter EUCC-attestindehaveren indehavere af afhængige EUCC-attester om potentiel sårbarhed.

5. Som svar på en rimelig anmodning fra det certificeringsorgan, der udstedte attesten, fremsender EUCC-attestindehaveren alle relevante oplysninger om potentielle sårbarheder til det pågældende certificeringsorgan.

Artikel 34

Sårbarhedskonsekvensanalyse

1. I sårbarhedskonsekvensanalysen henvises til målet for evalueringen og de sikkerhedserklæringer, der er indeholdt i attesten. Sårbarhedskonsekvensanalyser gennemføres inden for en frist, der er passende for det certificerede IKT-produkts risiko for at blive udnyttet og kritiske karakter.

2. Hvis det er relevant, foretages en beregning af angrebspotentialet i overensstemmelse med den relevante metode i de standarder, der er omhandlet i artikel 3, og de relevante statusdokumenter, der er opført i bilag I, med henblik på at fastslå sårbarhedens risiko for at blive udnyttet. Der skal tages hensyn til EUCC-attestens AVA_VAN-niveau.

Artikel 35

Rapport om sårbarhedskonsekvensanalyse

1. Indehaveren udarbejder en rapport om sårbarhedskonsekvensanalysen, hvis konsekvensanalysen viser, at sårbarheden sandsynligvis har en indvirkning på IKT-produktets overensstemmelse med dets attest.

2. Rapporten om sårbarhedskonsekvensanalysen skal indeholde en vurdering af følgende elementer:

sårbarhedens indvirkning på det certificerede IKT-produkt

mulige risici i forbindelse med et angrebs nærhed eller tilgængelighed

hvorvidt sårbarheden kan afhjælpes

mulige løsninger på sårbarheden, hvis sårbarheden kan afhjælpes.

3. Rapporten om sårbarhedskonsekvensanalysen skal, hvor det er relevant, indeholde nærmere oplysninger om, hvordan sårbarheden eventuelt kan udnyttes. Oplysninger om, hvordan sårbarheden eventuelt kan udnyttes, behandles i overensstemmelse med passende sikkerhedsforanstaltninger for at beskytte fortroligheden og om nødvendigt sikre, at de kun videregives i begrænset omfang.

4. Indehaveren af en EUCC-attest fremsender uden unødigt ophold en rapport om sårbarhedskonsekvensanalysen til certificeringsorganet eller den nationale cybersikkerhedscertificeringsmyndighed i overensstemmelse med artikel 56, stk. 8, i forordning (EU) 2019/881.

5. Hvis det i rapporten om sårbarhedskonsekvensanalysen fastslås, at sårbarheden ikke udgør en fortsat risiko i henhold til de standarder, der er omhandlet i artikel 3, og at den kan afhjælpes, finder artikel 36 anvendelse.

6. Hvis det i rapporten om sårbarhedskonsekvensanalysen fastslås, at sårbarheden ikke udgør en fortsat risiko, og at den ikke kan afhjælpes, tilbagekaldes EUCC-attesten i overensstemmelse med artikel 14.

7. EUCC-attestindehaveren overvåger eventuelle tilbageværende sårbarheder for at sikre, at de ikke kan udnyttes i tilfælde af ændringer i det operationelle miljø.

Artikel 36

Afhjælpning af sårbarheder

EUCC-attestindehaveren forelægger certificeringsorganet et forslag til passende afhjælpende foranstaltninger. Certificeringsorganet reviderer attesten i overensstemmelse med artikel 13. Revisionens omfang bestemmes af den foreslåede afhjælpning af sårbarheden.

AFDELING II

Offentliggørelse af sårbarheder

Artikel 37

Oplysninger, der deles med den nationale cybersikkerhedscertificeringsmyndighed

1. De oplysninger, som certificeringsorganet giver den nationale cybersikkerhedscertificeringsmyndighed, skal omfatte alle de elementer, der er nødvendige for, at den nationale cybersikkerhedscertificeringsmyndighed kan forstå virkningen af sårbarheden, de ændringer, der skal foretages af IKT-produktet, og eventuelle oplysninger fra certificeringsorganet om de bredere konsekvenser af sårbarheden for andre certificerede IKT-produkter.

2. De oplysninger, der gives i henhold til stk. 1, må ikke indeholde nærmere oplysninger om, hvordan sårbarheden kan udnyttes. Denne bestemmelse berører ikke den nationale cybersikkerhedscertificeringsmyndigheds undersøgelsesbeføjelser.

Artikel 38

Samarbejde med andre nationale cybersikkerhedscertificeringsmyndigheder

1. Den nationale cybersikkerhedscertificeringsmyndighed deler de relevante oplysninger, der er modtaget i overensstemmelse med artikel 37, med andre nationale cybersikkerhedscertificeringsmyndigheder og ENISA.

2. Andre nationale cybersikkerhedscertificeringsmyndigheder kan beslutte at analysere sårbarheden yderligere eller, efter at have underrettet indehaveren af EUCC-attesten, anmode de relevante certificeringsorganer om at vurdere, om sårbarheden kan påvirke andre certificerede IKT-produkter.

Artikel 39

Offentliggørelse af sårbarheden

Efter tilbagekaldelse af en attest offentliggør og registrerer EUCC-attestindehaveren enhver offentligt kendt og afhjulpet sårbarhed i IKT-produktet i den europæiske sårbarhedsdatabase, der er oprettet i overensstemmelse med artikel 12 i Europa-Parlamentets og Rådets direktiv (EU) 2022/2555 , eller andre onlinedatabaser som omhandlet i artikel 55, stk. 1, litra d), i forordning (EU) 2019/881.

KAPITEL VII

OPBEVARING, VIDEREGIVELSE OG BESKYTTELSE AF OPLYSNINGER

Artikel 40

Certificeringsorganernes og ITSEF's opbevaring af optegnelser

1. ITSEF og certificeringsorganerne fører et registreringssystem med alle de dokumenter, der er udarbejdet i forbindelse med hver evaluering og certificering, som de udfører.

2. Certificeringsorganerne og ITSEF lagrer registreringerne på en sikker måde og opbevarer disse fortegnelser i det tidsrum, der er nødvendigt med henblik på denne forordning, og i mindst fem år efter tilbagekaldelsen af den relevante EUCC-attest. Når certificeringsorganet har udstedt en ny EUCC-attest i overensstemmelse med artikel 13, stk. 2, litra c), opbevarer det dokumentationen for den tilbagekaldte EUCC-attest sammen med og så længe som dokumentationen for den nye EUCC-attest.

Artikel 41

Oplysninger, der gøres tilgængelige af en attestindehaver

1. De oplysninger, der er omhandlet i artikel 55 i forordning (EU) 2019/881, skal være tilgængelige på et sprog, der er let tilgængeligt for brugerne.

2. EUCC-attestindehaveren opbevarer følgende sikkert i det tidsrum, der er nødvendigt med henblik på denne forordning, og i mindst fem år efter tilbagekaldelsen af den relevante EUCC-attest:

optegnelser over de oplysninger, der gives til certificeringsorganet og til ITSEF under certificeringsprocessen,

et prøveeksemplar af det certificerede IKT-produkt.

3. Når certificeringsorganet har udstedt en ny EUCC-attest i overensstemmelse med artikel 13, stk. 2, litra c), opbevarer indehaveren dokumentationen for den tilbagekaldte EUCC-attest sammen med og så længe som dokumentationen for den nye EUCC-attest.

4. Efter anmodning fra certificeringsorganet eller den nationale cybersikkerhedscertificeringsmyndighed stiller EUCC-attestindehaveren de optegnelser og prøveeksemplarer, der er omhandlet i stk. 2, til rådighed.

Artikel 42

Oplysninger, der gøres tilgængelige af ENISA

1. ENISA offentliggør følgende oplysninger på det websted, der er omhandlet i artikel 50, stk. 1, i forordning (EU) 2019/881:

alle EUCC-attester

oplysninger om status for en EUCC-attest, navnlig om den er i kraft, suspenderet, tilbagekaldt eller udløbet

certificeringsrapporter svarende til hver EUCC-attest

en liste over akkrediterede overensstemmelsesvurderingsorganer

en liste over bemyndigede overensstemmelsesvurderingsorganer

de statusdokumenter, der er anført i bilag I

udtalelserne fra Den Europæiske Cybersikkerhedscertificeringsgruppe, jf. artikel 62, stk. 4, litra c), i forordning (EU) 2019/881

peervurderingsrapporter udstedt i overensstemmelse med artikel 47.

2. De oplysninger, der er omhandlet i stk. 1, stilles til rådighed på mindst engelsk.

3. Certificeringsorganerne og, hvor det er relevant, de nationale cybersikkerhedscertificeringsmyndigheder underretter straks ENISA om deres afgørelser, der påvirker indholdet af eller status for en EUCC-attest som omhandlet i stk. 1, litra b).

4. ENISA sikrer, at de oplysninger, der offentliggøres i overensstemmelse med stk. 1, litra a), b) og c), klart identificerer de versioner af et certificeret IKT-produkt, der er omfattet af en EUCC-attest.

Artikel 43

Beskyttelse af oplysninger

Overensstemmelsesvurderingsorganer, nationale cybersikkerhedscertificeringsmyndigheder, ECCG, ENISA, Kommissionen og alle andre parter sørger for at sikre og beskytte forretningshemmeligheder og andre fortrolige oplysninger, herunder handelshemmeligheder, og for at beskytte intellektuelle ejendomsrettigheder, og de træffer de nødvendige og passende tekniske og organisatoriske foranstaltninger.

KAPITEL VIII

AFTALER OM GENSIDIG ANERKENDELSE MED TREDJELANDE

Artikel 44

Betingelser

1. Tredjelande, der er villige til at certificere deres produkter i henhold til denne forordning, og som ønsker en sådan certificering anerkendt i Unionen, indgår en aftale om gensidig anerkendelse med Unionen.

2. Aftalen om gensidig anerkendelse skal omfatte de gældende tillidsniveauer for certificerede IKT-produkter og, hvor det er relevant, beskyttelsesprofiler.

3. De i stk. 1 omhandlede aftaler om gensidig anerkendelse kan kun indgås med tredjelande, der opfylder følgende betingelser:

har en myndighed, der: 1) er et offentligt organ, som er uafhængigt af de enheder, det fører tilsyn med og overvåger, med hensyn til organisatorisk og juridisk struktur, finansiel finansiering og beslutningstagning 2) har passende overvågnings- og tilsynsbeføjelser til at foretage undersøgelser og har beføjelse til at træffe passende korrigerende foranstaltninger for at sikre overensstemmelse 3) har et sanktionssystem, der er effektivt, står i et rimeligt forhold til overtrædelsen og har afskrækkende virkning, for at sikre overensstemmelse 4) accepterer at samarbejde med Den Europæiske Cybersikkerhedscertificeringsgruppe og ENISA om at udveksle bedste praksis og relevant udvikling inden for cybersikkerhedscertificering og at arbejde hen imod en ensartet fortolkning af de gældende evalueringskriterier og -metoder, bl.a. ved at anvende harmoniseret dokumentation, der svarer til de statusdokumenter, der er opført i bilag I

har et uafhængigt akkrediteringsorgan, der udfører akkrediteringer baseret på standarder, der svarer til de standarder, der er omhandlet i forordning (EF) nr. 765/2008

garanterer, at evaluerings- og certificeringsprocesserne og -procedurerne gennemføres på en tilstrækkelig professionel måde under hensyntagen til overholdelsen af de internationale standarder, der er omhandlet i denne forordning, navnlig artikel 3

har kapacitet til at indberette tidligere uopdagede sårbarheder og en etableret og passende procedure for sårbarhedsstyring og offentliggørelse

Artikel 45

Peervurderingsprocedure

1. Et certificeringsorgan, der udsteder EUCC-attester på tillidsniveauet »højt«, skal regelmæssigt og mindst hvert femte år gennemgå en peervurdering. De forskellige typer peervurderinger er anført i bilag VI.

2. Den Europæiske Cybersikkerhedscertificeringsgruppe udarbejder og ajourfører en oversigt over peervurderinger, der sikrer, at dette krav om hyppighed overholdes. Undtagen i behørigt begrundede tilfælde foretages peervurderinger på stedet.

3. Peervurderinger kan baseres på dokumentation, der er indsamlet i forbindelse med tidligere peervurderinger eller tilsvarende procedurer foretaget af det peervurderede certificeringsorgan eller den nationale cybersikkerhedscertificeringsmyndighed, forudsat at:

resultaterne ikke er ældre end fem år

resultaterne ledsages af en beskrivelse af de peervurderingsprocedurer, der er fastsat for den pågældende ordning, hvis de vedrører en peervurdering foretaget under en anden certificeringsordning

det i den peervurderingsrapport, der er omhandlet i artikel 47, angives, hvilke resultater der er genanvendt med eller uden yderligere vurdering.

4. Hvis en peervurdering dækker et teknisk område, skal den pågældende ITSEF også vurderes.

5. Det peervurderede certificeringsorgan og om nødvendigt den nationale cybersikkerhedscertificeringsmyndighed sikrer, at alle relevante oplysninger stilles til rådighed for peervurderingsteamet.

6. Peervurderingen foretages af et peervurderingsteam, der er oprettet i overensstemmelse med bilag VI.

Artikel 46

Faser i peervurdering

1. I den forberedende fase gennemgår medlemmerne af peervurderingsteamet certificeringsorganets dokumentation, der omfatter dets politikker og procedurer, herunder anvendelsen af statusdokumenterne.

2. I fasen for besøg på stedet vurderer peervurderingsteamet organets tekniske kompetence og, hvor det er relevant, kompetencen hos en ITSEF, der har udført mindst én evaluering af IKT-produkter, som er omfattet af peervurderingen.

3. Varigheden af fasen for besøg på stedet kan forlænges eller forkortes afhængigt af faktorer som f.eks. muligheden for at genanvende eksisterende peervurderingsdokumentation og -resultater eller af antallet af ITSEF'er og tekniske områder, som certificeringsorganet udsteder attester for.

4. Hvis det er relevant, fastlægger peervurderingsteamet hver ITSEF's tekniske kompetence ved at besøge dens tekniske laboratorium eller laboratorier og interviewe dens evalueringseksperter for så vidt angår det tekniske område og relaterede specifikke angrebsmetoder.

5. I rapporteringsfasen dokumenterer vurderingsteamet sine resultater i en peervurderingsrapport, som omfatter en bedømmelse og, hvor det er relevant, en liste over observerede afvigelser, der hver er klassificeret efter alvorlighed.

6. Peervurderingsrapporten skal først drøftes med det peervurderede certificeringsorgan. Efter disse drøftelser fastlægger det peervurderede certificeringsorgan en tidsplan for de foranstaltninger, der skal træffes for at afhjælpe resultaterne.

Artikel 47

Rapport om peervurdering

1. Peervurderingsteamet forelægger det peervurderede certificeringsorgan et udkast til peervurderingsrapporten.

2. Det peervurderede certificeringsorgan indgiver bemærkninger vedrørende resultaterne og en liste over tilsagn med henblik på at afhjælpe de mangler, der er identificeret i udkastet til peervurderingsrapporten, til peervurderingsteamet.

3. Peervurderingsteamet indgiver en endelig peervurderingsrapport, som også indeholder det peervurderede certificeringsorgans bemærkninger og tilsagn, til Den Europæiske Cybersikkerhedscertificeringsgruppe. Peervurderingsteamet anfører også sin holdning til bemærkningerne og til, hvorvidt disse tilsagn er tilstrækkelige til at afhjælpe de konstaterede mangler.

4. Hvis der konstateres manglende overensstemmelse i peervurderingsrapporten, kan Den Europæiske Cybersikkerhedscertificeringsgruppe fastsætte en passende frist for, hvornår det peervurderede certificeringsorgan skal have afhjulpet manglerne.

5. Den Europæiske Cybersikkerhedscertificeringsgruppe vedtager en udtalelse om peervurderingsrapporten:

hvis peervurderingsrapporten ikke identificerer manglende overensstemmelse, eller hvis det peervurderede certificeringsorgan på passende vis har afhjulpet den manglende overensstemmelse, kan Den Europæiske Cybersikkerhedscertificeringsgruppe afgive en positiv udtalelse, og alle relevante dokumenter offentliggøres på ENISA's certificeringswebsted

hvis det peervurderede certificeringsorgan ikke på passende vis afhjælper manglerne inden for den fastsatte frist, kan Den Europæiske Cybersikkerhedscertificeringsgruppe afgive en negativ udtalelse, der offentliggøres på ENISA's certificeringswebsted, inklusive peervurderingsrapporten og alle relevante dokumenter.

6. Forud for offentliggørelsen af udtalelsen fjernes alle følsomme, personlige eller ejendomsretligt beskyttede oplysninger fra de offentliggjorte dokumenter.

KAPITEL X

VEDLIGEHOLDELSE AF ORDNINGEN

Artikel 48

Vedligeholdelse af EUCC

1. Kommissionen kan anmode Den Europæiske Cybersikkerhedscertificeringsgruppe om at vedtage en udtalelse med henblik på at opretholde EUCC og foretage det nødvendige forberedende arbejde.

2. Den Europæiske Cybersikkerhedscertificeringsgruppe kan vedtage en udtalelse om godkendelse af statusdokumenter.

3. Statusdokumenter, der er godkendt af Den Europæiske Cybersikkerhedscertificeringsgruppe, offentliggøres af ENISA.

KAPITEL XI

AFSLUTTENDE BESTEMMELSER

Artikel 49

Nationale ordninger, der er omfattet af EUCC

1. I overensstemmelse med artikel 57, stk. 1, i forordning (EU) 2019/881 og med forbehold af denne forordnings artikel 57, stk. 3, ophører alle nationale cybersikkerhedscertificeringsordninger og de relaterede procedurer for IKT-produkter og -processer, der er omfattet af EUCC, med at have virkning fra 12 måneder efter nærværende forordnings ikrafttræden.

2. Uanset artikel 50 kan der indledes en certificeringsproces inden for rammerne af en national cybersikkerhedscertificeringsordning senest 12 måneder efter denne forordnings ikrafttræden, forudsat at certificeringsprocessen er afsluttet senest 24 måneder efter forordningens ikrafttræden.

3. Attester, der er udstedt i henhold til nationale cybersikkerhedscertificeringsordninger, kan revideres. Nye attester, der erstatter de reviderede attester, udstedes i overensstemmelse med denne forordning.

Artikel 50

Ikrafttræden

Denne forordning træder i kraft på tyvendedagen efter offentliggørelsen i Den Europæiske Unions Tidende.

Den finder anvendelse fra den 27. februar 2025.

Kapitel IV og bilag V finder anvendelse fra datoen for denne forordnings ikrafttræden.

Denne forordning er bindende i alle enkeltheder og gælder umiddelbart i hver medlemsstat.

Udfærdiget i Bruxelles, den 31. januar 2024.

På Kommissionens vegne

Ursula VON DER LEYEN

Formand

EUT L 151 af 7.6.2019, s. 15.

Mutual Recognition Agreement of Information Technology Security Evaluation Certificates, version 3.0 fra januar 2010 findes på sogis.eu, godkendt af Gruppen af Højtstående Embedsmænd vedrørende Informationssystemers Sikkerhed under Europa-Kommissionen som svar på punkt 3 i Rådets henstilling 95/144/EF af 7. april 1995 om ensartede kriterier for vurdering af informationsteknologisk sikkerhed (EFT L 93 af 26.4.1995, s. 27).

Joint Interpretation Library: Minimum ITSEF Requirements for Security Evaluations of Smart cards and similar devices, version 2.1 fra februar 2020 findes på sogis.eu.

Europa-Parlamentets og Rådets forordning (EU) 2019/1020 af 20. juni 2019 om markedsovervågning og produktoverensstemmelse og om ændring af direktiv 2004/42/EF og forordning (EF) nr. 765/2008 og (EU) nr. 305/2011 (EUT L 169 af 25.6.2019, s. 1).

Europa-Parlamentets og Rådets direktiv (EU) 2022/2555 af 14. december 2022 om foranstaltninger til sikring af et højt fælles cybersikkerhedsniveau i hele Unionen, om ændring af forordning (EU) nr. 910/2014 og direktiv (EU) 2018/1972 og om ophævelse af direktiv (EU) 2016/1148 (NIS 2-direktivet) (EUT L 333 af 27.12.2022, s. 80).

BILAG I

Tekniske områder og statusdokumenter

Tekniske områder på AVA_VAN-niveau 4 eller 5:

dokumenter vedrørende harmoniseret evaluering af det tekniske område »smartcards og lignende enheder«, herunder navnlig følgende dokumenter i deres respektive udgaver i kraft den [ikrafttrædelsesdato]: 1) »Minimum ITSEF requirements for security evaluations of smart cards and similar devices« (minimumskrav til sikkerhedsevalueringer af smartcards og lignende enheder), oprindelig godkendt af ECCG den 20. oktober 2023 2) »Minimum Site Security Requirements« (minimumskrav til sikkerhed på stedet), oprindelig godkendt af ECCG den 20. oktober 2023 3) »Application of Common Criteria to integrated circuits« (anvendelse af fælles kriterier på integrerede kredsløb), oprindelig godkendt af ECCG den 20. oktober 2023 4) »Security Architecture requirements (ADV_ARC) for smart cards and similar devices« (krav til sikkerhedsarkitektur (ADV_ARC) for smartcards og lignende enheder), oprindelig godkendt af ECCG den 20. oktober 2023 5) »Certification of »open« smart card products« (certificering af »åbne« smartcardprodukter), oprindelig godkendt af ECCG den 20. oktober 2023 6) »Composite product evaluation for smart cards and similar devices« (evaluering af sammensatte produkter til smartcards og lignende enheder), oprindelig godkendt af ECCG den 20. oktober 2023 7) »Application of Attack Potential to Smartcards« (anvendelse af angrebspotentiale på smartcards), oprindelig godkendt af ECCG den 20. oktober 2023

Indledning og bemærkninger

KOMMISSIONENS GENNEMFØRELSESFORORDNING (EU) 2024/482

af 31. januar 2024

om regler for anvendelsen af Europa-Parlamentets og Rådets forordning (EU) 2019/881 for så vidt angår vedtagelsen af den europæiske cybersikkerhedscertificeringsordning baseret på fælles kriterier (EUCC)

(EØS-relevant tekst)

EUROPA-KOMMISSIONEN HAR —

under henvisning til traktaten om Den Europæiske Unions funktionsmåde,

under henvisning til Europa-Parlamentets og Rådets forordning (EU) 2019/881 af 17. april 2019 om ENISA (Den Europæiske Unions Agentur for Cybersikkerhed), om cybersikkerhedscertificering af informations- og kommunikationsteknologi og om ophævelse af forordning (EU) nr. 526/2013 (forordningen om cybersikkerhed) , særlig artikel 49, stk. 7, og

ud fra følgende betragtninger:

(1)

I nærværende forordning præciseres roller, regler og forpligtelser samt strukturen for den europæiske cybersikkerhedscertificeringsordning baseret på fælles kriterier (EUCC) i overensstemmelse med den europæiske ramme for cybersikkerhedscertificering, der er fastsat i forordning (EU) 2019/881. EUCC bygger på Gruppen af Højtstående Embedsmænd vedrørende Informationssystemers Sikkerheds (SOG-IS') aftale om gensidig anerkendelse (MRA) under anvendelse af de fælles kriterier, herunder gruppens procedurer og dokumenter.

(2)

Ordningen bør baseres på etablerede internationale standarder. Fælles kriterier er en international standard for evaluering af informationssikkerhed, der f.eks. er offentliggjort som ISO/IEC 15408 Informationssikkerhed, cybersikkerhed og beskyttelse af privatlivets fred — Evalueringskriterier for IT-sikkerhed. Den er baseret på tredjepartsevalueringer og arbejder med syv Evaluation Assurance Levels (»EAL«). De fælles kriterier ledsages af den fælles evalueringsmetode, der f.eks. er offentliggjort som ISO/IEC 18045 — Informationssikkerhed, cybersikkerhed og privatlivsbeskyttelse — Evalueringskriterier for IT-sikkerhed — Metodik for IT-sikkerhedsevaluering. Specifikationer og dokumenter, der anvender bestemmelserne i denne forordning, kan vedrøre en offentligt tilgængelig standard, der afspejler den standard, der anvendes ved certificering i henhold til denne forordning, såsom fælles kriterier for evaluering af informationsteknologisk sikkerhed og fælles metode til informationsteknologisk sikkerhedsevaluering.

(3)

EUCC anvender de fælles kriteriers sårbarhedsvurderingsfamilie (AVA_VAN), komponent 1-5. De fem komponenter omfatter alle de vigtigste determinanter og afhængighedsforhold til analyse af IKT-produkters sårbarheder. Da komponenterne svarer til tillidsniveauerne i denne forordning, giver de mulighed for et velinformeret valg af sikkerhed på grundlag af de evalueringer af sikkerhedskravene, der er foretaget, og den risiko, der er forbundet med den tilsigtede anvendelse af IKT-produktet. Ansøgere om en EUCC-attest bør fremlægge dokumentationen vedrørende den påtænkte anvendelse af IKT-produktet og en analyse af de risikoniveauer, der er forbundet med en sådan anvendelse, for at gøre det muligt for overensstemmelsesvurderingsorganet at vurdere egnetheden af det valgte tillidsniveau. Hvis evaluerings- og certificeringsaktiviteterne udføres af det samme overensstemmelsesvurderingsorgan, bør ansøgeren kun indsende de ønskede oplysninger én gang.

(4)

Et teknisk område udgør en referenceramme, der dækker en gruppe IKT-produkter, som har specifikke og ensartede sikkerhedsfunktioner, som afbøder angreb, hvor karakteristikaene er fælles for et givet tillidsniveau. I statusdokumentet for et teknisk område beskrives de specifikke sikkerhedskrav samt yderligere evalueringsmetoder, -teknikker og -værktøjer, der finder anvendelse ved certificering af IKT-produkter, som er omfattet af det pågældende tekniske område. Et teknisk område fremmer derfor også harmoniseringen af evalueringen af de omfattede IKT-produkter. Der anvendes i øjeblikket i vid udstrækning to tekniske områder til certificering på niveauerne AVA_VAN.4 og AVA_VAN.5. Det første tekniske område er det tekniske område »smartcards og lignende enheder«, hvor betydelige dele af de krævede sikkerhedsfunktioner afhænger af specifikke, skræddersyede og ofte adskillelige hardwareelementer (f.eks. smartcardhardware, integrerede kredsløb, sammensatte produkter til smartcards, Trusted Platform Modules som anvendt i sikre computersystemer eller digitale takografkort). Det andet tekniske område er »hardwareenheder med sikkerhedsbokse«, hvor væsentlige dele af de krævede sikkerhedsfunktioner afhænger af en fysisk hardwareramme (en såkaldt »sikkerhedsboks«), der er udformet til at modstå direkte angreb, f.eks. betalingsterminaler, takografkøretøjsenheder, intelligente målere, adgangskontrolterminaler og hardwaresikkerhedsmoduler).

(5)

Ved ansøgning om certificering bør ansøgeren knytte sin begrundelse for valget af et sikringsniveau til de mål, der er fastsat i artikel 51 i forordning (EU) 2019/881, og til udvælgelsen af komponenter fra kataloget over sikkerhedskrav og sikkerhedskrav i de fælles kriterier. Certificeringsorganerne bør vurdere hensigtsmæssigheden af det valgte tillidsniveau og sikre, at det valgte niveau står i et rimeligt forhold til det risikoniveau, der er forbundet med den tilsigtede anvendelse af IKT-produktet.

(6)

I henhold til de fælles kriterier foretages certificeringen i forhold til et konkret sikkerhedsmål, der omfatter en definition af IKT-produktets sikkerhedsproblem samt de sikkerhedsmålsætninger, der afhjælper sikkerhedsproblemet. Sikkerhedsproblemet indeholder nærmere oplysninger om den tilsigtede anvendelse af IKT-produktet og de risici, der er forbundet med en sådan anvendelse. Et udvalgt sæt sikkerhedskrav svarer til både sikkerhedsproblemet og sikkerhedsmålsætningerne for et IKT-produkt.

(7)

Beskyttelsesprofiler er et effektivt middel til at fastsætte de fælles kriterier, der gælder for en given kategori af IKT-produkter, og derfor også et væsentligt element i certificeringsprocessen for IKT-produkter, der er omfattet af beskyttelsesprofilen. Til at vurdere fremtidige sikkerhedsmål, som falder ind under den pågældende IKT-produktkategori, der er omfattet af denne beskyttelsesprofil, anvendes en beskyttelsesprofil. De strømliner og øger effektiviteten af IKT-produktcertificeringsprocessen yderligere og hjælper brugerne med korrekt og effektivt at specificere et IKT-produkts funktioner. Beskyttelsesprofiler bør derfor betragtes som en integreret del af den IKT-proces, der fører til certificering af IKT-produkter.

(8)

For at muliggøre beskyttelsesprofilernes rolle i IKT-processen, som støtter udviklingen og leveringen af et certificeret IKT-produkt, bør de kunne certificeres uafhængigt af en certificering af det specifikke IKT-produkt, som er omfattet af den pågældende beskyttelsesprofil. Det er derfor vigtigt at anvende mindst samme grad af kontrol af beskyttelsesprofiler som af sikkerhedsmål for at sikre et højt cybersikkerhedsniveau. Beskyttelsesprofilerne bør evalueres og certificeres særskilt fra det relaterede IKT-produkt og udelukkende ved anvendelse af de fælles kriteriers og den fælles evalueringsmetodes tillidsklasse for beskyttelsesprofiler og, hvor det er relevant, for konfigurationerne af beskyttelsesprofiler. På grund af deres vigtige og følsomme rolle som benchmark i forbindelse med certificering af IKT-produkter bør de kun certificeres af offentlige organer eller af et certificeringsorgan, der har fået forhåndsgodkendelse til den specifikke beskyttelsesprofil af den nationale cybersikkerhedscertificeringsmyndighed. På grund af deres afgørende rolle med hensyn til certificering på tillidsniveauet »højt«, navnlig uden for tekniske områder, bør beskyttelsesprofiler udarbejdes som statusdokumenter, der bør godkendes af Den Europæiske Cybersikkerhedscertificeringsgruppe.

(9)

Certificerede beskyttelsesprofiler bør medtages i de nationale cybersikkerhedscertificeringsmyndigheders EUCC-overensstemmelses- og -overholdelsesovervågning. Hvis metoder, værktøjer og færdigheder, der anvendes i forbindelse med tilgange til evaluering af IKT-produkter, er tilgængelige for specifikke certificerede beskyttelsesprofiler, kan tekniske områder baseres på disse specifikke beskyttelsesprofiler.

(10)

For at opnå en høj grad af tillid til certificerede IKT-produkter bør selvvurderinger ikke være tilladt i henhold til denne forordning. Kun overensstemmelsesvurderinger foretaget af ITSEF og certificeringsorganer bør tillades.

(11)

SOG-IS-fællesskabet bidrog med fælles fortolkninger og tilgange til anvendelsen af de fælles kriterier og den fælles evalueringsmetode i forbindelse med certificering, navnlig med hensyn til sikringsniveauet »høj«, der forfølges inden for de tekniske områder »smartcards og lignende enheder« og »hardwareenheder med sikkerhedsbokse«. Videreanvendelse af sådanne støttedokumenter i EUCC-ordningen sikrer en gnidningsløs overgang fra de nationalt gennemførte SOG-IS-ordninger til den harmoniserede EUCC-ordning. Derfor bør harmoniserede evalueringsmetoder, som generelt er relevante for alle certificeringsaktiviteter, medtages i denne forordning. Kommissionen bør desuden kunne anmode Den Europæiske Cybersikkerhedscertificeringsgruppe om at vedtage en udtalelse, der godkender og anbefaler anvendelsen af de evalueringsmetoder, der er angivet i statusdokumenterne, til certificering af IKT-produktet eller beskyttelsesprofilen under EUCC-ordningen. Bilag I til denne forordning indeholder derfor en liste over statusdokumenter til de evalueringsaktiviteter, der udføres af overensstemmelsesvurderingsorganer. Den Europæiske Cybersikkerhedscertificeringsgruppe bør godkende og vedligeholde statusdokumenterne. Statusdokumenterne bør anvendes i forbindelse med certificering. Kun i ekstraordinære og behørigt begrundede tilfælde må et overensstemmelsesvurderingsorgan undlade at anvende dem på særlige betingelser, navnlig den nationale cybersikkerhedscertificeringsmyndigheds godkendelse.

(12)

Certificering af IKT-produkter på AVA_VAN-niveau 4 eller 5 bør kun være mulig på særlige betingelser, og hvis der findes en specifik evalueringsmetode. Den specifikke evalueringsmetode kan være nedfældet i statusdokumenter, der er relevante for det tekniske område, eller i specifikke beskyttelsesprofiler, der er vedtaget som statusdokument, og som er relevante for den pågældende produktkategori. Kun i ekstraordinære og behørigt begrundede tilfælde bør certificering på disse tillidsniveauer være mulig på særlige betingelser, navnlig den nationale cybersikkerhedscertificeringsmyndigheds godkendelse, herunder af den gældende evalueringsmetode. Sådanne ekstraordinære og behørigt begrundede tilfælde kan forekomme, hvor EU-lovgivning eller national lovgivning kræver certificering af et IKT-produkt på AVA_VAN-niveau 4 eller 5. Tilsvarende kan beskyttelsesprofiler i ekstraordinære og behørigt begrundede tilfælde certificeres uden anvendelse af de relevante statusdokumenter på særlige betingelser, navnlig med den nationale cybersikkerhedscertificeringsmyndigheds godkendelse, herunder af den gældende evalueringsmetode.

(13)

De mærker og etiketter, der anvendes under EUCC, har til formål tydeligt at dokumentere det certificerede IKT-produkts troværdighed over for brugerne og sætte dem i stand til at træffe et informeret valg, når de køber IKT-produkter. Brugen af mærker og etiketter bør også være underlagt de regler og betingelser, der er fastsat i ISO/IEC 17065 og, hvor det er relevant, ISO/IEC 17030 med den gældende vejledning.

(14)

Certificeringsorganerne bør træffe afgørelse om attesternes gyldighedsperiode under hensyntagen til det pågældende IKT-produkts livscyklus. Gyldighedsperioden bør ikke overstige fem år. De nationale cybersikkerhedscertificeringsmyndigheder bør arbejde på at harmonisere gyldighedsperioden i Unionen.

(15)

Hvis anvendelsesområdet for en eksisterende EUCC-attest indskrænkes, tilbagekaldes attesten, og der bør udstedes en ny attest med det nye anvendelsesområde for at sikre, at brugerne er klart informeret om det nuværende anvendelsesområde og tillidsniveau for attesten for et givet IKT-produkt.

(16)

Certificeringen af beskyttelsesprofiler adskiller sig fra certificeringen af IKT-produkter, da den vedrører en IKT-proces. Eftersom en beskyttelsesprofil dækker en kategori af IKT-produkter, kan evaluering og certificering heraf ikke foretages på grundlag af et enkelt IKT-produkt. Da en beskyttelsesprofil forener de generelle sikkerhedskrav vedrørende en kategori af IKT-produkter og uafhængigt af, hvordan IKT-produktet kommer til udtryk ved leverandøren, bør gyldighedsperioden for en EUCC-attest til en beskyttelsesprofil i princippet gælde i mindst fem år og kunne forlænges til beskyttelsesprofilens levetid.

(17)

Et overensstemmelsesvurderingsorgan defineres som et organ, der udfører overensstemmelsesvurderingsaktiviteter, herunder kalibrering, afprøvning, certificering og inspektion. For at sikre tjenester af høj kvalitet præciseres det i denne forordning, at prøvningsaktiviteter på den ene side og certificerings- og inspektionsaktiviteter på den anden bør udføres af enheder, der opererer uafhængigt af hinanden, nemlig henholdsvis informationsteknologisikkerhedsvurderingsfaciliteter (»ITSEF«) og certificeringsorganer. Begge typer overensstemmelsesvurderingsorganer bør akkrediteres og i visse situationer godkendes.

(18)

Et certificeringsorgan bør akkrediteres i overensstemmelse med ISO/IEC 17065 af det nationale akkrediteringsorgan for tillidsniveauet »betydeligt« og »højt«. Ud over akkrediteringen i overensstemmelse med forordning (EU) 2019/881 sammenholdt med forordning (EF) nr. 765/2008 bør overensstemmelsesvurderingsorganerne opfylde specifikke krav for at garantere deres tekniske kompetence til at evaluere cybersikkerhedskravene på tillidsniveauet »højt« i EUCC, hvilket bekræftes af en »bemyndigelse«. For at støtte bemyndigelsesprocessen bør der udvikles relevante statusdokumenter, som ENISA offentliggør efter godkendelse fra Den Europæiske Cybersikkerhedscertificeringsgruppe.

(19)

En ITSEF's tekniske kompetencer bør vurderes gennem akkreditering af prøvningslaboratoriet i overensstemmelse med ISO/IEC 17025 suppleret med ISO/IEC 23532-1 for alle evalueringsaktiviteter, der er relevante for tillidsniveauet og specificeret i ISO/IEC 18045 sammenholdt med ISO/IEC 15408. Både certificeringsorganet og ITSEF'en bør etablere og vedligeholde et passende kompetencestyringssystem for personalet, der er baseret på ISO/IEC 19896-1, for så vidt angår kompetenceelementerne og -niveauerne og for så vidt angår bedømmelsen af kompetencerne. For så vidt angår niveauet af viden, færdigheder, erfaring og uddannelse bør de gældende krav til bedømmerne baseres på ISO/IEC 19896-3. Tilsvarende bestemmelser og foranstaltninger vedrørende afvigelser fra sådanne kompetenceforvaltningssystemer bør påvises i overensstemmelse med systemets mål.

(20)

For at blive godkendt bør en ITSEF dokumentere, at den kan fastslå, at der ikke foreligger kendte sårbarheder, at de nyeste sikkerhedsfunktioner for den pågældende specifikke teknologi gennemføres korrekt og konsekvent, og at det pågældende IKT-produkt er modstandsdygtigt over for drevne angribere. For så vidt angår bemyndigelser på det tekniske område »smartcards og lignende enheder« bør en ITSEF desuden dokumentere den tekniske kapacitet, der er nødvendig for evalueringsaktiviteterne og de dermed forbundne opgaver som defineret i støttedokumentet »Minimum ITSEF requirements for security evaluations of smart cards and similar devices« i henhold til de fælles kriterier. For så vidt angår bemyndigelser på det tekniske område »hardwareenheder med sikkerhedsbokse« bør en ITSEF desuden dokumentere de tekniske minimumskrav, der er nødvendige for at udføre evalueringsaktiviteter og relaterede opgaver på hardwareudstyr med sikkerhedsbokse som anbefalet af ECCG. I forbindelse med minimumskravene bør ITSEF kunne udføre de forskellige typer angreb, der er fastsat i støttedokumentet »Application of Attack Potential to Hardware Devices with Security Boxes« i henhold til de fælles kriterier. Disse kapaciteter omfatter evaluatorens viden og færdigheder samt det udstyr og de evalueringsmetoder, der er nødvendige for at fastlægge og vurdere de forskellige typer angreb.

(21)

Den nationale cybersikkerhedscertificeringsmyndighed bør overvåge certificeringsorganernes, ITSEF og attestindehaveres overholdelse af deres forpligtelser i henhold til nærværende forordning og forordning (EU) 2019/881. Den nationale cybersikkerhedscertificeringsmyndighed bør anvende alle relevante informationskilder til dette formål, herunder oplysninger modtaget fra deltagere i certificeringsprocessen og egne undersøgelser.

(22)

Certificeringsorganerne bør samarbejde med relevante markedsovervågningsmyndigheder og tage hensyn til eventuelle sårbarhedsoplysninger, der kan være relevante for IKT-produkter, som de har udstedt attester for. Certificeringsorganerne bør overvåge de beskyttelsesprofiler, de har certificeret, for at fastslå, om de sikkerhedskrav, der er fastsat for en kategori af IKT-produkter, fortsat afspejler den seneste udvikling i trusselsbilledet.

(23)

Til støtte for overensstemmelsesovervågningen bør de nationale cybersikkerhedscertificeringsmyndigheder samarbejde med de relevante markedsovervågningsmyndigheder i overensstemmelse med artikel 58 i forordning (EU) 2019/881 og Europa-Parlamentets og Rådets forordning (EU) 2019/1020 . Erhvervsdrivende i Unionen er forpligtet til at udveksle oplysninger og samarbejde med markedsovervågningsmyndighederne i henhold til artikel 4, stk. 3, i forordning (EU) 2019/1020.

(24)

Certificeringsorganerne bør overvåge, at indehavere af en attest overholder kravene, og at alle attester, der er udstedt under EUCC, er i overensstemmelse med bestemmelserne. Ved overvågningen bør det sikres, at alle evalueringsrapporter fra et ITSEF organ og konklusionerne deri samt evalueringskriterierne og -metoderne anvendes konsekvent og korrekt i alle certificeringsaktiviteter.

(25)

Hvis der konstateres potentielle problemer med manglende overholdelse, som påvirker et certificeret IKT-produkt, er det vigtigt at sikre en forholdsmæssig reaktion. Attester kan derfor suspenderes. Suspensionen bør medføre visse begrænsninger med hensyn til fremme og anvendelse af det pågældende IKT-produkt, men bør ikke berøre attestens gyldighed. Indehaveren af EU-attesten bør underrette køberne af de berørte IKT-produkter om suspensionen, mens de relevante markedsovervågningsmyndigheder bør underrettes af den relevante nationale cybersikkerhedscertificeringsmyndighed. For at informere offentligheden bør ENISA offentliggøre oplysninger om en suspension på et særligt websted.

(26)

Indehaveren af en EUCC-attest bør gennemføre de nødvendige procedurer for sårbarhedsstyring og sikre, at disse procedurer er integreret i deres organisation. Når indehaveren af EUCC-attesten bliver opmærksom på en potentiel sårbarhed, bør vedkommende foretage en sårbarhedskonsekvensanalyse. Hvis sårbarhedsanalysen bekræfter, at sårbarheden kan udnyttes, bør attestindehaveren sende en rapport om vurderingen til certificeringsorganet, som derefter bør underrette den nationale cybersikkerhedscertificeringsmyndighed. Rapporten bør indeholde oplysninger om virkningen af sårbarheden, de nødvendige ændringer eller afhjælpende løsninger, der er nødvendige, herunder eventuelle bredere konsekvenser af sårbarheden samt afhjælpende løsninger for andre produkter. Om nødvendigt bør standarden EN ISO/IEC 29147 supplere proceduren for offentliggørelse af sårbarheder.

(27)

Med henblik på certificering indhenter overensstemmelsesvurderingsorganer og nationale cybersikkerhedscertificeringsmyndigheder fortrolige og følsomme data og forretningshemmeligheder, også vedrørende intellektuel ejendomsret eller overvågning af overholdelse, der kræver tilstrækkelig beskyttelse. De bør derfor have den nødvendige tekniske kompetence og viden og bør etablere systemer til beskyttelse af oplysninger. Kravene og betingelserne for beskyttelse af oplysninger bør opfyldes i forbindelse med både akkreditering og bemyndigelse.

(28)

ENISA bør fremlægge listen over certificerede beskyttelsesprofiler på sit websted for cybersikkerhedscertificering og angive deres status i overensstemmelse med forordning (EU) 2019/881.

(29)

I nærværende forordning fastsættes betingelserne for aftaler om gensidig anerkendelse med tredjelande. Sådanne aftaler om gensidig anerkendelse kan være bi- eller multilaterale og bør erstatte lignende eksisterende aftaler. For at lette en gnidningsløs overgang til sådanne aftaler om gensidig anerkendelse kan medlemsstaterne fortsætte de eksisterende samarbejdsordninger med tredjelande i en begrænset periode.

(30)

Certificeringsorganer, der udsteder EUCC-attester på tillidsniveauet »højt«, samt de relevante tilknyttede ITSEF bør underkastes peervurderinger. Formålet med peervurderinger bør være at fastslå, om et peervurderet certificeringsorgans vedtægter og procedurer fortsat er i overensstemmelse med kravene i EUCC-ordningen. Peervurderinger adskiller sig fra peerreviews blandt nationale cybersikkerhedscertificeringsmyndigheder, jf. artikel 59 i forordning (EU) 2019/881. Med peervurderinger bør det sikres, at certificeringsorganerne arbejder på en harmoniseret måde og producerer attester af samme kvalitet, og de bør identificere enhver potentiel styrke eller svaghed i certificeringsorganernes præstationer, også med henblik på at udveksle bedste praksis. Eftersom der er forskellige typer certificeringsorganer, bør forskellige typer peervurderinger tillades. I mere komplekse tilfælde, f.eks. ved certificeringsorganer, der udsteder attester på forskellige AVA_VAN-niveauer, kan der anvendes forskellige typer peervurderinger, forudsat at alle krav er opfyldt.

(31)

Den Europæiske Cybersikkerhedscertificeringsgruppe bør spille en vigtig rolle i forbindelse med vedligeholdelse af ordningen. Ordningen bør bl.a. gennemføres i samarbejde med den private sektor, oprettelse af specialiserede undergrupper og relevant forberedende arbejde og bistand, som Kommissionen anmoder om. Den Europæiske Cybersikkerhedscertificeringsgruppe spiller en vigtig rolle i godkendelsen af statusdokumenter. Ved godkendelse og vedtagelse af statusdokumenter bør der tages behørigt hensyn til de elementer, der er omhandlet i artikel 54, stk. 1, litra c), i forordning (EU) 2019/881. Tekniske områder og statusdokumenter bør offentliggøres i bilag I til nærværende forordning. Beskyttelsesprofiler, der er vedtaget som statusdokumenter, bør offentliggøres i bilag II. For at sikre, at disse bilag er dynamiske, kan Kommissionen ændre dem i overensstemmelse med proceduren i artikel 66, stk. 2, i forordning (EU) 2019/881 og under hensyntagen til udtalelsen fra Den Europæiske Cybersikkerhedscertificeringsgruppe. Bilag III indeholder anbefalede beskyttelsesprofiler, som på tidspunktet for nærværende forordnings ikrafttræden ikke er statusdokumenter. De bør offentliggøres på ENISA's websted, jf. artikel 50, stk. 1, i forordning (EU) 2019/881.

(32)

Nærværende forordning bør finde anvendelse 12 måneder efter dens ikrafttræden. Kravene i kapitel IV og bilag V kræver ikke en overgangsperiode og bør derfor finde anvendelse fra nærværende forordnings ikrafttræden.

(33)

Foranstaltningerne i nærværende forordning er i overensstemmelse med udtalelsen fra Det Europæiske Udvalg for Cybersikkerhed, der er nedsat ved artikel 66 i forordning (EU) 2019/881 —

VEDTAGET DENNE FORORDNING: