Forordning
Europa-Parlamentet, Rådet for Den Europæiske Union
EU's cybersikkerhedsforordning om ENISA og IKT-certificering Artikel 56
Artikel 56
Cybersikkerhedscertificering
1. IKT-produkter, -tjenester og -processer, der er certificeret i henhold til en europæisk cybersikkerhedscertificeringsordning, som er vedtaget i medfør af artikel 49, formodes at overholde kravene i en sådan ordning.
2. Cybersikkerhedscertificeringen skal være frivillig, medmindre andet er fastsat i EU-retten eller i medlemsstaternes ret.
3. Kommissionen vurderer regelmæssigt effektiviteten og anvendelsen af de vedtagne europæiske cybersikkerhedscertificeringsordninger, og hvorvidt en bestemt europæisk cybersikkerhedscertificeringsordning skal gøres obligatoriske ved hjælp af relevant EU-ret for at sikre et tilstrækkeligt cybersikkerhedsniveau for IKT-produkter, -tjenester og -processer i Unionen og forbedre det indre markeds funktion. Den første sådanne vurdering skal foretages senest den 31. december 2023 og efterfølgende vurderinger mindst hvert andet år derefter. Kommissionen identificerer på grundlag af resultatet af disse vurderinger de IKT-produkter, -tjenester og -processer, der er omfattet af en eksisterende certificeringsordning, og som skal omfattes af en obligatorisk certificeringsordning. Som en prioritet fokuserer Kommissionen på de sektorer i bilag II til direktiv (EU) 2016/1148, som skal vurderes senest to år efter vedtagelsen af den første europæiske cybersikkerhedscertificeringsordning.
Ved udarbejdelsen af vurderingen skal Kommissionen:
| a) | tage hensyn til foranstaltningernes indvirkning på producenter og udbydere af sådanne IKT-produkter, -tjenester og -processer og på brugerne i form af omkostninger ved disse foranstaltninger samt de samfundsmæssige eller økonomiske fordele som følge af det forventede øgede sikkerhedsniveau for de pågældende IKT-produkter, -tjenester og -processer |
|---|
| b) | tage hensyn til eksistensen og gennemførelsen af relevant ret i medlemsstaterne eller tredjelande |
|---|
| c) | gennemføre en åben, gennemsigtig og inklusiv høringsproces med alle relevante interessenter og medlemsstater |
|---|
| d) | tage hensyn til eventuelle gennemførelsesfrister og overgangsforanstaltninger eller -perioder under hensyntagen til navnlig foranstaltningens mulige indvirkning på producenter eller udbydere af IKT-produkter, -tjenester og -processer, herunder SMV'er |
|---|
| e) | foreslå den hurtigste og mest effektive måde, hvorpå overgangen fra frivillige til obligatoriske certificeringsordninger skal gennemføres. |
|---|
4. De overensstemmelsesvurderingsorganer, der er omhandlet i artikel 60, udsteder europæiske cybersikkerhedsattester i henhold til nærværende artikel på grundlag af de kriterier, der fremgår af den europæiske cybersikkerhedscertificeringsordning, som Kommissionen har vedtaget i medfør af artikel 49, idet de henviser til tillidsniveauet »grundlæggende« eller »betydeligt«.
5. Uanset stk. 4 kan det i behørigt begrundede tilfælde fastsættes i en specifik europæisk cybersikkerhedscertificeringsordning, at en europæisk cybersikkerhedsattest i medfør af denne ordning kun må udstedes af et offentligt organ. Et sådant organ skal være en af følgende:
| a) | en national cybersikkerhedscertificeringsmyndighed som omhandlet i artikel 58, stk. 1, eller |
|---|
| b) | et offentligt organ, der er akkrediteret som overensstemmelsesvurderingsorgan i medfør af artikel 60, stk. 1. |
|---|
6. I tilfælde, hvor en europæisk cybersikkerhedscertificeringsordning vedtaget i medfør af artikel 49 indeholder krav om tillidsniveau »højt«, kan den europæiske cybersikkerhedsattest i henhold til den pågældende ordning kun udstedes af en national cybersikkerhedscertificeringsmyndighed eller i følgende tilfælde af et overensstemmelsesvurderingsorgan:
| a) | efter at den nationale cybersikkerhedscertificeringsmyndighed på forhånd har godkendt hver enkelt europæisk cybersikkerhedsattest, som er udstedt af et overensstemmelsesvurderingsorgan, eller |
|---|
| b) | på grundlag af den nationale cybersikkerhedscertificeringsmyndigheds generelle delegation af opgaven med at udstede sådanne europæiske cybersikkerhedsattester til et overensstemmelsesvurderingsorgan. |
|---|
7. Den fysiske eller juridiske person, der indgiver IKT-produkter, -tjenester eller -processer til certificering, stiller alle oplysninger, der er nødvendige for at gennemføre certificeringsproceduren, til rådighed for den i artikel 58 omhandlede nationale cybersikkerhedscertificeringsmyndighed, hvis denne myndighed er det organ, der udsteder den europæiske cybersikkerhedsattest, eller for det i artikel 60 omhandlede overensstemmelsesvurderingsorgan.
8. Indehaveren af en europæisk cybersikkerhedsattest underretter den myndighed eller det organ, der er omhandlet i stk. 7, om eventuelle efterfølgende opdagede sårbarheder eller uregelmæssigheder i forbindelse med det certificerede IKT-produkts, den certificerede IKT-proces' eller den certificerede IKT-tjenestes sikkerhed, som kan have en indvirkning på overholdelsen af de med certificeringen forbundne krav. Vedkommende organ eller myndighed sender hurtigst muligt disse oplysninger til den pågældende nationale cybersikkerhedscertificeringsmyndighed.
9. En europæisk cybersikkerhedsattest udstedes for den periode, som er fastsat i den pågældende europæiske cybersikkerhedscertificeringsordning, og kan fornys, såfremt de relevante krav fortsat er opfyldt.
10. En europæisk cybersikkerhedsattest udstedt i henhold til denne artikel skal anerkendes i alle medlemsstater.