Regler for anmeldelse af organer under EU's cybersikkerhedscertificering

(1)

I henhold til artikel 61, stk. 1, i forordning (EU) 2019/881 (forordningen om cybersikkerhed) er de nationale cybersikkerhedscertificeringsmyndigheder ansvarlige for at underrette Kommissionen om de overensstemmelsesvurderingsorganer, der er akkrediteret og, hvor det er relevant, bemyndiget til at udstede europæiske cybersikkerhedsattester på specifikke tillidsniveauer, og de skal underrette Kommissionen om eventuelle senere ændringer heraf. I henhold til artikel 61, stk. 2, i forordning (EU) 2019/881 skal Kommissionen desuden et år efter ordningens ikrafttræden offentliggøre en liste i Den Europæiske Unions Tidende over de overensstemmelsesvurderingsorganer, der er anmeldt under en europæisk cybersikkerhedscertificeringsordning. For at sikre en harmoniseret tilgang til anmeldelserne og lette underretningsprocessen for nationale cybersikkerhedscertificeringsmyndigheder bør denne forordning yderligere præcisere vilkårene, formaterne og procedurerne for underretningerne. Disse aspekter er vigtige at præcisere med henblik på anvendelsen af den første europæiske cybersikkerhedscertificeringsordning baseret på fælles kriterier (EUCC), der er fastsat ved Kommissionens gennemførelsesforordning (EU) 2024/482 .

(2)

Med denne forordning anerkendes synergierne mellem forordning (EU) 2019/881 og den relevante EU-harmoniseringslovgivning, herunder Europa-Parlamentets og Rådets forordning (EU) 2024/2847 (forordningen om cyberrobusthed) . Det foreslås derfor, at de nationale cybersikkerhedscertificeringsmyndigheder underretter Kommissionen via det elektroniske notifikationsværktøj, der er udviklet og forvaltes af Kommissionen, jf. Europa-Parlamentets og Rådets afgørelse 768/2008/EF . Uden at det berører Kommissionens forpligtelse til at offentliggøre listen over anmeldte overensstemmelsesvurderingsorganer i Den Europæiske Unions Tidende, bør listen også gøres offentligt tilgængelig via det elektroniske notifikationsværktøj, der er udviklet og forvaltes af Kommissionen.

(3)

Anmeldelse af akkrediterede og, hvor det er relevant, bemyndigede overensstemmelsesvurderingsorganer betyder, at der er tillid til disse organer med hensyn til at udføre evaluerings- og certificeringsaktiviteter i overensstemmelse med forordning (EU) 2019/881, hvilket bidrager til de europæiske cybersikkerhedscertificeringsordningers overordnede omdømme. Det er derfor vigtigt at sikre, at overensstemmelsesvurderingsorganer, der er blevet anmeldt, bliver ved med at opfylde de krav, der stilles til dem, og deres forpligtelser. Den offentliggjorte liste over anmeldte overensstemmelsesvurderingsorganer bør være retvisende og ajourført og afspejle organernes opfyldelse af kravene i forordning (EU) 2019/881 og, hvor det er relevant, de specifikke eller supplerende krav i henhold til en europæisk cybersikkerhedscertificeringsordning. Med henblik herpå er det nødvendigt, at de nationale cybersikkerhedscertificeringsmyndigheder hurtigst muligt underretter Kommissionen om eventuelle ændringer af anmeldelsen i overensstemmelse med artikel 61, stk. 1, i forordning (EU) 2019/881.

(4)

De nationale cybersikkerhedscertificeringsmyndigheder er ansvarlige for at sikre, at overensstemmelsesvurderingsorganerne overholder forordning (EU) 2019/881 og de europæiske cybersikkerhedscertificeringsordninger, og i den forbindelse for at sikre, at anmeldelserne er retvisende. Disse aktiviteter er genstand for peerreview, hvis resultater bør bidrage til at afgøre, hvilke ændringer der er nødvendige for at øge deres effektivitet. De nationale cybersikkerhedscertificeringsmyndigheder kan eventuelt konstatere, at et overensstemmelsesvurderingsorgan ikke længere opfylder de relevante krav som følge af betænkeligheder, som de er blevet gjort opmærksom på under andre omstændigheder. Hvor det er relevant, bør resultaterne af peervurderingsmekanismerne understøtte de nationale cybersikkerhedscertificeringsmyndigheders overvågning af de anmeldte overensstemmelsesvurderingsorganers fortsatte kompetence. Desuden kan andre nationale cybersikkerhedscertificeringsmyndigheder, Kommissionen eller interessenter give udtryk for betænkeligheder med hensyn til et anmeldt overensstemmelsesvurderingsorgans fortsatte kompetence over for den anmeldende nationale cybersikkerhedscertificeringsmyndighed.

(5)

Når den anmeldende nationale cybersikkerhedscertificeringsmyndighed træffer afgørelse om at suspendere, begrænse eller inddrage anmeldelsen af et overensstemmelsesvurderingsorgan, skal den samarbejde med det nationale akkrediteringsorgan, der er udpeget i henhold til Europa-Parlamentets og Rådets forordning (EF) nr. 765/2008 . Dette er i overensstemmelse med forordning (EU) 2019/881, hvori det fastsættes, at de nationale cybersikkerhedscertificeringsmyndigheder aktivt bør bistå, støtte og samarbejde med de nationale akkrediteringsorganer i forbindelse med deres overvågnings- og tilsynsaktiviteter. Der bør ved begrænsningen af anmeldelsen henvises til et tilfælde, hvor akkrediteringens omfang eller, hvor det er relevant, bemyndigelsens omfang, og dermed anmeldelsens omfang, indskrænkes.

(6)

I henhold til artikel 54, stk. 1, litra n), i forordning (EU) 2019/881 skal hver europæisk cybersikkerhedscertificeringsordning, hvor det er relevant, indeholde regler om overensstemmelsesvurderingsorganers opbevaring af optegnelser. Det er derfor nødvendigt ved begrænsning, suspension eller inddragelse af en anmeldelse, eller hvis det anmeldte overensstemmelsesvurderingsorgan har indstillet sine aktiviteter, at den anmeldende nationale cybersikkerhedscertificeringsmyndighed sikrer, at det pågældende overensstemmelsesvurderingsorgans optegnelser opbevares på en sikker måde og i det nødvendige tidsrum som foreskrevet i en europæisk cybersikkerhedscertificeringsordning.

(7)

Foranstaltningerne i denne forordning er i overensstemmelse med udtalelse fra det udvalg, der er nedsat ved artikel 66 i forordning (EU) 2019/881 —