Официален вестник
на Европейския съюз
BG
Серия L
|
|
Официален вестник |
BG Серия L |
|
2024/3143 |
19.12.2024 |
РЕГЛАМЕНТ ЗА ИЗПЪЛНЕНИЕ (ЕС) 2024/3143 НА КОМИСИЯТА
от 18 декември 2024 година
за установяване на обстоятелствата, форматите и процедурите за нотификациите съгласно член 61, параграф 5 от Регламент (ЕС) 2019/881 на Европейския парламент и на Съвета относно ENISA (Агенцията на Европейския съюз за киберсигурност) и сертифицирането на киберсигурността на информационните и комуникационните технологии
(текст от значение за ЕИП)
ЕВРОПЕЙСКАТА КОМИСИЯ,
като взе предвид Договора за функционирането на Европейския съюз,
като взе предвид Регламент (ЕС) 2019/881 на Европейския парламент и на Съвета от 17 април 2019 г. относно ENISA (Агенцията на Европейския съюз за киберсигурност) и сертифицирането на киберсигурността на информационните и комуникационните технологии, както и за отмяна на Регламент (ЕС) № 526/2013 (Акт за киберсигурността) (1), и по-специално член 61, параграф 5 от него,
като има предвид, че:
|
(1) |
Съгласно член 61, параграф 1 от Регламент (ЕС) 2019/881 (Акт за киберсигурността) националните органи за сертифициране на киберсигурността (НОСК) трябва да нотифицират на Комисията органите за оценяване на съответствието, които са акредитирани и когато е приложимо — оправомощени да издават европейски сертификати за киберсигурност за определени нива на увереност, и следва да актуализират нотификацията. Освен това съгласно член 61, параграф 2 от Регламент (ЕС) 2019/881 от Комисията се изисква да публикува в Официален вестник на Европейския съюз списък на органите за оценяване на съответствието, за които е била нотифицирана съгласно европейска схема за сертифициране на киберсигурността, една година след влизането в сила на схемата. За да се гарантира хармонизиран подход към нотификациите и да се улесни процеса на нотифициране за НОСК, в настоящия регламент следва допълнително да се уточнят обстоятелствата, форматите и процедурите за нотификациите. Важно е тези аспекти да бъдат изяснени с оглед на прилагането на първата европейска схема за сертифициране на киберсигурността, основана на общи критерии (ЕССК), установена с Регламент за изпълнение (ЕС) 2024/482 на Комисията (2). |
|
(2) |
Настоящият регламент отчита полезните взаимодействия между Регламент (ЕС) 2019/881 и съответното законодателство на Съюза за хармонизация, включително Регламент (ЕС) 2024/2847 на Европейския парламент и на Съвета (Акт за киберустойчивост) (3). Поради това се предлага НОСК да нотифицират Комисията чрез посоченото в Решение № 768/2008/ЕО на Европейския парламент и на Съвета (4) средство за електронно нотифициране, разработено и управлявано от Комисията. Без да се засяга задължението на Комисията да публикува списъка на нотифицираните органи за оценяване на съответствието в Официален вестник на Европейския съюз, списъкът следва също така да бъде публично достъпен чрез средството за електронно нотифициране, разработено и управлявано от Комисията. |
|
(3) |
Нотифицирането на акредитираните и когато е приложимо, оправомощените органи за оценяване на съответствието означава, че на тези органи може да се има доверие при извършването на дейностите по оценяване и сертифициране в съответствие с Регламент (ЕС) 2019/881, което допринася за цялостната репутация на европейските схеми за сертифициране на киберсигурността. Поради това е от съществено значение да се гарантира, че нотифицираните органи за оценяване на съответствието отговарят на изискванията и изпълняват задълженията си с течение на времето. Публикуваният списък на нотифицираните органи за оценяване на съответствието следва да бъде точен и актуализиран, като отразява тяхното съответствие с изискванията, определени в Регламент (ЕС) 2019/881, и когато е приложимо, със конкретните или допълнителните изисквания съгласно европейска схема за сертифициране на киберсигурността. За тази цел е необходимо НОСК да информират Комисията без ненужно забавяне за всички промени в нотификацията в съответствие с член 61, параграф 1 от Регламент (ЕС) 2019/881. |
|
(4) |
НОСК са отговорни да гарантират, че органите за оценяване на съответствието спазват Регламент (ЕС) 2019/881 и европейските схеми за сертифициране на киберсигурността, и в този контекст гарантират точността на нотификациите. Тези дейности подлежат на партньорска проверка, чийто резултат следва да спомогне за определяне на всички необходими промени за повишаване на тяхната ефективност. НОСК може да установят, че даден орган за оценяване на съответствието вече не отговаря на относимите изисквания вследствие на опасения, които са били доведени до знанието им при различни обстоятелства. Когато е приложимо, констатациите от механизмите за партньорска оценка следва да подпомагат НОСК при наблюдението на това дали нотифицираните органи за оценяване на съответствието все още разполагат с необходимата компетентност. Освен това други НОСК, Комисията или заинтересованите страни могат да изразяват опасения пред нотифициращия НОСК относно това дали нотифицираните органи за оценяване на съответствието все още разполагат с необходимата компетентност. |
|
(5) |
Когато решава временно да спре, да ограничи или да оттегли нотификацията на орган за оценяване на съответствието, нотифициращият НОСК си сътрудничи с националния орган по акредитация, определен съгласно Регламент (ЕО) № 765/2008 на Европейския парламент и на Съвета (5). Това е в съответствие с Регламент (ЕС) 2019/881, където се предвижда, че НОСК следва активно да съдействат, подпомагат и си сътрудничат с националните органи по акредитация в техните дейности за наблюдение и надзор. Ограничаването на нотификацията следва да се отнася до случай, в който обхватът на акредитацията или, когато е приложимо, обхватът на разрешението, а оттам и обхватът на нотификацията, е намален. |
|
(6) |
Съгласно член 54, параграф 1, буква н) от Регламент (ЕС) 2019/881 всяка европейска схема за сертифициране на киберсигурността трябва да включва, когато е приложимо, правила за съхраняването на документация от органите за оценяване на съответствието. Поради това е необходимо в случай на ограничаване, временно спиране или оттегляне на нотификацията или когато нотифицираният орган за оценяване на съответствието е преустановил дейността си, нотифициращият НОСК да гарантира, че документацията на този орган за оценяване на съответствието се съхранява по сигурен начин и за необходимия срок, както е предвидено съгласно европейска схема за сертифициране на киберсигурността. |
|
(7) |
Мерките, предвидени в настоящия регламент, са в съответствие със становището на комитета, създаден съгласно член 66 от Регламент (ЕС) 2019/881, |
ПРИЕ НАСТОЯЩИЯ РЕГЛАМЕНТ:
Член 1
Предмет
С настоящия регламент се установяват обстоятелствата, форматите и процедурите за нотификациите на органите за оценяване на съответствието от страна на националните органи за сертифициране на киберсигурността (НОСК) съгласно член 61, параграф 1 от Регламент (ЕС) 2019/881.
Член 2
Процедура за нотифициране
1. В съответствие с член 61, параграф 1 от Регламент (ЕС) 2019/881 НОСК нотифицират на Комисията органите за оценяване на съответствието, които са изпълнили изискванията, определени в Регламент (ЕС) 2019/881, и когато е приложимо, конкретните или допълнителните изисквания съгласно европейска схема за сертифициране на киберсигурността.
2. НОСК нотифицират Комисията чрез средството за електронно нотифициране, разработено и управлявано от нея, както е посочено в Решение № 768/2008/ЕО.
3. Нотификацията включва информацията, установена в приложението.
Член 3
Идентификационни номера и списък на органите за оценяване на съответствието
1. Комисията определя идентификационен номер на нотифицирания орган за оценяване на съответствието. Тя определя един идентификационен номер дори когато органът е нотифициран съгласно няколко европейски схеми за сертифициране на киберсигурността или няколко акта на Съюза.
2. Когато предоставя списъка на нотифицираните органи за оценяване на съответствието чрез средството за електронно нотифициране, разработено и управлявано от Комисията, последната включва идентификационните номера, които са били определени на нотифицираните органи за оценяване на съответствието, и дейностите, за които те са били нотифицирани.
3. ENISA предоставя информацията относно нотифицираните органи за оценяване на съответствието на своя специален уебсайт за европейските схеми за сертифициране на киберсигурността, посочен в член 50, параграф 1 от Регламент (ЕС) 2019/881.
Член 4
Промени в нотификациите
1. НОСК уведомяват Комисията без ненужно забавяне за всички последващи промени в нотификацията по член 2 чрез средството за електронно нотифициране, разработено и управлявано от Комисията, в съответствие с член 61, параграф 1 от Регламент (ЕС) 2019/881.
2. Когато НОСК установи в сътрудничество с националния орган по акредитация, както е предвидено в Регламент (ЕС) 2019/881, че нотифициран орган за оценяване на съответствието вече не отговаря на изискванията или задълженията, на които подлежи, НОСК според случая ограничава, временно спира или оттегля нотификацията в зависимост от сериозността на неспазването на тези изисквания или на неизпълнението на тези задължения. Без ненужно забавяне той съответно информира Комисията чрез средството за електронно нотифициране, разработено и управлявано от нея.
3. В случай на ограничаване, временно спиране или оттегляне на нотификацията или когато нотифицираният орган за оценяване на съответствието е преустановил дейността си, нотифициращият НОСК предприема необходимите мерки, за да гарантира, че документацията на този орган за оценяване на съответствието се съхранява по сигурен начин и за необходимия срок, както е предвидено съгласно европейска схема за сертифициране на киберсигурността.
Член 5
Влизане в сила
Настоящият регламент влиза в сила на двадесетия ден след деня на публикуването му в Официален вестник на Европейския съюз.
Настоящият регламент е задължителен в своята цялост и се прилага пряко във всички държави членки.
Съставено в Брюксел на 18 декември 2024 година.
За Комисията
Председател
Ursula VON DER LEYEN
(1) ОВ L 151, 7.6.2019 г., стр. 15, ELI: http://data.europa.eu/eli/reg/2019/881/oj.
(2) Регламент за изпълнение (ЕС) 2024/482 на Комисията от 31 януари 2024 г. за определяне на правила за прилагането на Регламент (ЕС) 2019/881 на Европейския парламент и на Съвета по отношение на приемането на европейската схема за сертифициране на киберсигурността, основана на общи критерии (ЕССК) (ОВ L, 2024/482, 7.2.2024 г., ELI: http://data.europa.eu/eli/reg_impl/2024/482/oj).
(3) Регламент (ЕС) 2024/2847 на Европейския парламент и на Съвета от 23 октомври 2024 г. относно хоризонтални изисквания за киберсигурност за продукти с цифрови елементи и за изменение на регламенти (ЕС) № 168/2013 и (ЕС) 2019/1020 и Директива (ЕС) 2020/1828 (Акт за киберустойчивост) (ОВ L, 2024/2847, 20.11.2024 г., ELI: http://data.europa.eu/eli/reg/2024/2847/oj)
(4) Решение № 768/2008/ЕО на Европейския парламент и на Съвета от 9 юли 2008 г. относно обща рамка за предлагането на пазара на продукти и за отмяна на Решение 93/465/ЕИО на Съвета (ОВ L 218, 13.8.2008 г., стр. 82, ELI: http://data.europa.eu/eli/dec/2008/768(1)/oj).
(5) Регламент (ЕО) № 765/2008 на Европейския парламент и на Съвета от 9 юли 2008 г. за определяне на изискванията за акредитация и надзор на пазара във връзка с предлагането на пазара на продукти и за отмяна на Регламент (ЕИО) № 339/93 (ОВ L 218, 13.8.2008 г., стр. 30, ELI: http://data.europa.eu/eli/reg/2008/765/oj).
ПРИЛОЖЕНИЕ
Информация, която трябва да бъде включена в нотификацията на орган за оценяване на съответствието по европейска схема за сертифициране на киберсигурността съгласно член 61, параграф 1 от Регламент (ЕС) 2019/881, както е посочено в член 2, параграф 3 от настоящия регламент
1.
Обща информация:|
1) |
Наименование на схемата за сертифициране на киберсигурността |
|
2) |
Нива на увереност, когато е приложимо, и съответните процедури за оценяване на съответствието (напр. основно, значително, високо) |
|
3) |
Обхват (напр. обхват на акредитацията, категории или видове продукти, услуги, процеси) |
2.
Информация за нотифициращия национален орган за сертифициране на киберсигурността:|
1) |
Наименование |
|
2) |
Държава |
|
3) |
Пощенски адрес |
|
4) |
Адрес(и) на електронна поща |
|
5) |
Телефонен(ни) номер(а) |
|
6) |
Уебсайт |
3.
Информация за нотифицирания орган за оценяване на съответствието:|
1) |
Наименование |
|
2) |
Държава |
|
3) |
Пощенски адрес |
|
4) |
Адрес(и) на електронна поща |
|
5) |
Телефонен(ни) номер(а) |
|
6) |
Уебсайт |
4.
Информация за акредитацията:|
1) |
Акредитация:
|
|
2) |
Национален орган по акредитация:
|
5.
Информация за разрешението (ако е приложимо):|
1) |
Разрешение:
|
|
2) |
Разрешаващ национален орган за киберсигурност (ако е различен от нотифициращия национален орган за сертифициране на киберсигурността):
|
6.
Допълнителна информация:|
1) |
Всяка допълнителна информация, изисквана по конкретна европейска схема за сертифициране на киберсигурността |
|
2) |
Всички придружаващи документи |
ELI: http://data.europa.eu/eli/reg_impl/2024/3143/oj
ISSN 1977-0618 (electronic edition)