Choose the experimental features you want to try

This document is an excerpt from the EUR-Lex website

Document 32024R3143

Kommissionens gennemførelsesforordning (EU) 2024/3143 af 18. december 2024 om fastlæggelse af vilkår, formater og procedurer for anmeldelser i henhold til artikel 61, stk. 5, i Europa-Parlamentets og Rådets forordning (EU) 2019/881 om ENISA (Den Europæiske Unions Agentur for Cybersikkerhed) og om cybersikkerhedscertificering af informations- og kommunikationsteknologi

C/2024/8889

EUT L, 2024/3143, 19.12.2024, ELI: http://data.europa.eu/eli/reg_impl/2024/3143/oj (BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

Legal status of the document In force

ELI: http://data.europa.eu/eli/reg_impl/2024/3143/oj

European flag

Den Europæiske Unions
Tidende

DA

L-udgaven


2024/3143

19.12.2024

KOMMISSIONENS GENNEMFØRELSESFORORDNING (EU) 2024/3143

af 18. december 2024

om fastlæggelse af vilkår, formater og procedurer for anmeldelser i henhold til artikel 61, stk. 5, i Europa-Parlamentets og Rådets forordning (EU) 2019/881 om ENISA (Den Europæiske Unions Agentur for Cybersikkerhed) og om cybersikkerhedscertificering af informations- og kommunikationsteknologi

(EØS-relevant tekst)

EUROPA-KOMMISSIONEN HAR —

under henvisning til traktaten om Den Europæiske Unions funktionsmåde,

under henvisning til Europa-Parlamentets og Rådets forordning (EU) 2019/881 af 17. april 2019 om ENISA (Den Europæiske Unions Agentur for Cybersikkerhed), om cybersikkerhedscertificering af informations- og kommunikationsteknologi og om ophævelse af forordning (EU) nr. 526/2013 (forordningen om cybersikkerhed) (1), særlig artikel 61, stk. 5, og

ud fra følgende betragtninger:

(1)

I henhold til artikel 61, stk. 1, i forordning (EU) 2019/881 (forordningen om cybersikkerhed) er de nationale cybersikkerhedscertificeringsmyndigheder ansvarlige for at underrette Kommissionen om de overensstemmelsesvurderingsorganer, der er akkrediteret og, hvor det er relevant, bemyndiget til at udstede europæiske cybersikkerhedsattester på specifikke tillidsniveauer, og de skal underrette Kommissionen om eventuelle senere ændringer heraf. I henhold til artikel 61, stk. 2, i forordning (EU) 2019/881 skal Kommissionen desuden et år efter ordningens ikrafttræden offentliggøre en liste i Den Europæiske Unions Tidende over de overensstemmelsesvurderingsorganer, der er anmeldt under en europæisk cybersikkerhedscertificeringsordning. For at sikre en harmoniseret tilgang til anmeldelserne og lette underretningsprocessen for nationale cybersikkerhedscertificeringsmyndigheder bør denne forordning yderligere præcisere vilkårene, formaterne og procedurerne for underretningerne. Disse aspekter er vigtige at præcisere med henblik på anvendelsen af den første europæiske cybersikkerhedscertificeringsordning baseret på fælles kriterier (EUCC), der er fastsat ved Kommissionens gennemførelsesforordning (EU) 2024/482 (2).

(2)

Med denne forordning anerkendes synergierne mellem forordning (EU) 2019/881 og den relevante EU-harmoniseringslovgivning, herunder Europa-Parlamentets og Rådets forordning (EU) 2024/2847 (forordningen om cyberrobusthed) (3). Det foreslås derfor, at de nationale cybersikkerhedscertificeringsmyndigheder underretter Kommissionen via det elektroniske notifikationsværktøj, der er udviklet og forvaltes af Kommissionen, jf. Europa-Parlamentets og Rådets afgørelse 768/2008/EF (4). Uden at det berører Kommissionens forpligtelse til at offentliggøre listen over anmeldte overensstemmelsesvurderingsorganer i Den Europæiske Unions Tidende, bør listen også gøres offentligt tilgængelig via det elektroniske notifikationsværktøj, der er udviklet og forvaltes af Kommissionen.

(3)

Anmeldelse af akkrediterede og, hvor det er relevant, bemyndigede overensstemmelsesvurderingsorganer betyder, at der er tillid til disse organer med hensyn til at udføre evaluerings- og certificeringsaktiviteter i overensstemmelse med forordning (EU) 2019/881, hvilket bidrager til de europæiske cybersikkerhedscertificeringsordningers overordnede omdømme. Det er derfor vigtigt at sikre, at overensstemmelsesvurderingsorganer, der er blevet anmeldt, bliver ved med at opfylde de krav, der stilles til dem, og deres forpligtelser. Den offentliggjorte liste over anmeldte overensstemmelsesvurderingsorganer bør være retvisende og ajourført og afspejle organernes opfyldelse af kravene i forordning (EU) 2019/881 og, hvor det er relevant, de specifikke eller supplerende krav i henhold til en europæisk cybersikkerhedscertificeringsordning. Med henblik herpå er det nødvendigt, at de nationale cybersikkerhedscertificeringsmyndigheder hurtigst muligt underretter Kommissionen om eventuelle ændringer af anmeldelsen i overensstemmelse med artikel 61, stk. 1, i forordning (EU) 2019/881.

(4)

De nationale cybersikkerhedscertificeringsmyndigheder er ansvarlige for at sikre, at overensstemmelsesvurderingsorganerne overholder forordning (EU) 2019/881 og de europæiske cybersikkerhedscertificeringsordninger, og i den forbindelse for at sikre, at anmeldelserne er retvisende. Disse aktiviteter er genstand for peerreview, hvis resultater bør bidrage til at afgøre, hvilke ændringer der er nødvendige for at øge deres effektivitet. De nationale cybersikkerhedscertificeringsmyndigheder kan eventuelt konstatere, at et overensstemmelsesvurderingsorgan ikke længere opfylder de relevante krav som følge af betænkeligheder, som de er blevet gjort opmærksom på under andre omstændigheder. Hvor det er relevant, bør resultaterne af peervurderingsmekanismerne understøtte de nationale cybersikkerhedscertificeringsmyndigheders overvågning af de anmeldte overensstemmelsesvurderingsorganers fortsatte kompetence. Desuden kan andre nationale cybersikkerhedscertificeringsmyndigheder, Kommissionen eller interessenter give udtryk for betænkeligheder med hensyn til et anmeldt overensstemmelsesvurderingsorgans fortsatte kompetence over for den anmeldende nationale cybersikkerhedscertificeringsmyndighed.

(5)

Når den anmeldende nationale cybersikkerhedscertificeringsmyndighed træffer afgørelse om at suspendere, begrænse eller inddrage anmeldelsen af et overensstemmelsesvurderingsorgan, skal den samarbejde med det nationale akkrediteringsorgan, der er udpeget i henhold til Europa-Parlamentets og Rådets forordning (EF) nr. 765/2008 (5). Dette er i overensstemmelse med forordning (EU) 2019/881, hvori det fastsættes, at de nationale cybersikkerhedscertificeringsmyndigheder aktivt bør bistå, støtte og samarbejde med de nationale akkrediteringsorganer i forbindelse med deres overvågnings- og tilsynsaktiviteter. Der bør ved begrænsningen af anmeldelsen henvises til et tilfælde, hvor akkrediteringens omfang eller, hvor det er relevant, bemyndigelsens omfang, og dermed anmeldelsens omfang, indskrænkes.

(6)

I henhold til artikel 54, stk. 1, litra n), i forordning (EU) 2019/881 skal hver europæisk cybersikkerhedscertificeringsordning, hvor det er relevant, indeholde regler om overensstemmelsesvurderingsorganers opbevaring af optegnelser. Det er derfor nødvendigt ved begrænsning, suspension eller inddragelse af en anmeldelse, eller hvis det anmeldte overensstemmelsesvurderingsorgan har indstillet sine aktiviteter, at den anmeldende nationale cybersikkerhedscertificeringsmyndighed sikrer, at det pågældende overensstemmelsesvurderingsorgans optegnelser opbevares på en sikker måde og i det nødvendige tidsrum som foreskrevet i en europæisk cybersikkerhedscertificeringsordning.

(7)

Foranstaltningerne i denne forordning er i overensstemmelse med udtalelse fra det udvalg, der er nedsat ved artikel 66 i forordning (EU) 2019/881 —

VEDTAGET DENNE FORORDNING:

Artikel 1

Genstand

Ved denne forordning fastsættes vilkårene, formaterne og procedurerne for de nationale cybersikkerhedscertificeringsmyndigheders anmeldelser af overensstemmelsesvurderingsorganer i henhold til artikel 61, stk. 1, i forordning (EU) 2019/881.

Artikel 2

Anmeldelsesprocedurer

1.   I overensstemmelse med artikel 61, stk. 1, i forordning (EU) 2019/881 underretter de nationale cybersikkerhedscertificeringsmyndigheder Kommissionen om de overensstemmelsesvurderingsorganer, der opfylder kravene i forordning (EU) 2019/881 og, hvor det er relevant, om de specifikke eller supplerende krav i henhold til en europæisk cybersikkerhedscertificeringsordning.

2.   De nationale cybersikkerhedscertificeringsmyndigheder underretter Kommissionen ved at indgive en anmeldelse ved hjælp af det elektroniske notifikationsværktøj, der er udviklet og forvaltes af Kommissionen, jf. afgørelse 768/2008/EF.

3.   Anmeldelsen skal indeholde de oplysninger, der er angivet i bilaget.

Artikel 3

Identifikationsnumre for og liste over overensstemmelsesvurderingsorganer

1.   Kommissionen tildeler hvert anmeldt overensstemmelsesvurderingsorgan et identifikationsnummer. Hvert organ tildeles kun ét identifikationsnummer, også selv om organet er anmeldt i henhold til flere europæiske cybersikkerhedscertificeringsordninger eller EU-retsakter.

2.   Når Kommissionen stiller listen over anmeldte overensstemmelsesvurderingsorganer til rådighed ved hjælp af det elektroniske notifikationsværktøj, der er udviklet og forvaltes af Kommissionen, skal den medtage de identifikationsnumre, der er tildelt de anmeldte overensstemmelsesvurderingsorganer, og de aktiviteter, som anmeldelsen omfatter.

3.   ENISA stiller oplysningerne om de anmeldte overensstemmelsesvurderingsorganer til rådighed på sit særlige websted om europæiske cybersikkerhedscertificeringsordninger, jf. artikel 50, stk. 1, i forordning (EU) 2019/881.

Artikel 4

Ændringer af anmeldelser

1.   De nationale cybersikkerhedscertificeringsmyndigheder underretter hurtigst muligt Kommissionen om eventuelle efterfølgende ændringer af anmeldelserne, jf. artikel 2, via det elektroniske anmeldelsesværktøj, der er udviklet og forvaltes af Kommissionen, i overensstemmelse med artikel 61, stk. 1, i forordning (EU) 2019/881.

2.   Hvis en national cybersikkerhedscertificeringsmyndighed i samarbejde med det nationale akkrediteringsorgan, jf. forordning (EU) 2019/881, har konstateret, at et anmeldt overensstemmelsesvurderingsorgan ikke længere opfylder de krav eller forpligtelser, som det er underlagt, begrænser, suspenderer eller inddrager den nationale cybersikkerhedscertificeringsmyndighed anmeldelsen, alt efter hvad der er mest hensigtsmæssigt og afhængigt af, hvor alvorlig den manglende opfyldelse af disse krav eller forpligtelser er. Den underretter hurtigst muligt Kommissionen herom via det elektroniske notifikationsværktøj, der er udviklet og forvaltes af Kommissionen.

3.   Ved begrænsning, suspension eller inddragelse af en anmeldelse, eller hvis det anmeldte overensstemmelsesvurderingsorgan har indstillet sine aktiviteter, træffer den anmeldende nationale cybersikkerhedscertificeringsmyndighed de nødvendige foranstaltninger for at sikre, at det pågældende overensstemmelsesvurderingsorgans optegnelser opbevares på en sikker måde og i det nødvendige tidsrum som foreskrevet i en europæisk cybersikkerhedscertificeringsordning.

Artikel 5

Ikrafttræden

Denne forordning træder i kraft på tyvendedagen efter offentliggørelsen i Den Europæiske Unions Tidende.

Denne forordning er bindende i alle enkeltheder og gælder umiddelbart i hver medlemsstat.

Udfærdiget i Bruxelles, den 18. december 2024.

På Kommissionens vegne

Ursula VON DER LEYEN

Formand


(1)   EUT L 151 af 7.6.2019, s. 15, ELI: http://data.europa.eu/eli/reg/2019/881/oj.

(2)  Kommissionens gennemførelsesforordning (EU) 2024/482 af 31. januar 2024 om regler for anvendelsen af Europa-Parlamentets og Rådets forordning (EU) 2019/881 for så vidt angår vedtagelsen af den europæiske cybersikkerhedscertificeringsordning baseret på fælles kriterier (EUCC) (EUT L, 2024/482, 7.2.2024, ELI: http://data.europa.eu/eli/reg_impl/2024/482/oj).

(3)  Europa-Parlamentets og Rådets forordning (EU) 2024/2847 af 23. oktober 2024 om horisontale cybersikkerhedskrav til produkter med digitale elementer og om ændring af forordning (EU) nr. 168/2013 og (EU) 2019/1020 og direktiv (EU) 2020/1828 (forordningen om cyberrobusthed) (EUT L, 2024/2847, 20.11.2024, ELI: http://data.europa.eu/eli/reg/2024/2847/oj).

(4)  Europa-Parlamentets og Rådets afgørelse nr. 768/2008/EF af 9. juli 2008 om fælles rammer for markedsføring af produkter og om ophævelse af Rådets afgørelse 93/465/EØF (EUT L 218 af 13.8.2008, s. 82, ELI: http://data.europa.eu/eli/dec/2008/768(1)/oj).

(5)  Europa-Parlamentets og Rådets forordning (EF) nr. 765/2008 af 9. juli 2008 om kravene til akkreditering og markedsovervågning i forbindelse med markedsføring af produkter og om ophævelse af Rådets forordning (EØF) nr. 339/93 (EUT L 218 af 13.8.2008, s. 30, ELI: http://data.europa.eu/eli/reg/2008/765/oj).


BILAG

Oplysninger, der i medfør af artikel 61, stk. 1, i forordning (EU) 2019/881 skal indgå i anmeldelsen af et overensstemmelsesvurderingsorgan i henhold til en europæisk cybersikkerhedscertificeringsordning, jf. artikel 2, stk. 3, i nærværende forordning

1.   

Generelle oplysninger:

1)

Navnet på cybersikkerhedscertificeringsordningen

2)

Tillidsniveau(er) (f.eks. grundlæggende, betydeligt, højt), hvor det er relevant, og tilknyttede overensstemmelsesvurderingsprocedurer

3)

Anvendelsesområde (f.eks. akkrediteringens omfang, kategorier eller typer af produkter, tjenesteydelser, processer)

2.   

Oplysninger om den nationale cybersikkerhedscertificeringsmyndighed:

1)

Navn

2)

Land

3)

Postadresse

4)

E-mailadresse(r)

5)

Telefonnummer/-numre

6)

Websted

3.   

Oplysninger om det anmeldte overensstemmelsesvurderingsorgan:

1)

Navn

2)

Land

3)

Postadresse

4)

E-mailadresse(r)

5)

Telefonnummer/-numre

6)

Websted

4.   

Oplysninger om akkrediteringen:

1)

Akkreditering:

a)

Akkrediteringsdato

b)

Akkrediteringens referencenummer

c)

Akkrediteringens omfang

d)

Akkrediteringens gyldighedsperiode

2)

Nationalt akkrediteringsorgan:

a)

Navn

b)

Land

c)

Postadresse

d)

E-mailadresse(r)

e)

Telefonnummer/-numre

f)

Websted

5.   

Oplysninger om bemyndigelsen (hvor det er relevant):

1)

Bemyndigelse:

a)

Bemyndigelsesdato

b)

Bemyndigelsens referencenummer

c)

Bemyndigelsens omfang

d)

Bemyndigelsens gyldighedsperiode

2)

Bemyndigende national cybersikkerhedsmyndighed (hvis denne er en anden end den anmeldende nationale cybersikkerhedscertificeringsmyndighed):

a)

Navn

b)

Land

c)

Postadresse

d)

E-mailadresse(r)

e)

Telefonnummer/-numre

f)

Websted

6.   

Yderligere oplysninger:

1)

Eventuelle yderligere oplysninger, der kræves i en specifik europæisk cybersikkerhedscertificeringsordning

2)

Enhver supplerende dokumentation


ELI: http://data.europa.eu/eli/reg_impl/2024/3143/oj

ISSN 1977-0634 (electronic edition)


Top