(1)

Με τον παρόντα κανονισμό προσδιορίζονται οι ρόλοι, οι κανόνες και οι υποχρεώσεις καθώς και η δομή του βασισμένου σε κοινά κριτήρια ευρωπαϊκού σχήματος πιστοποίησης της κυβερνοασφάλειας (EUCC), σύμφωνα με το ευρωπαϊκό πλαίσιο πιστοποίησης της κυβερνοασφάλειας που περιγράφεται στον κανονισμό (ΕΕ) 2019/881. Το EUCC βασίζεται στη συμφωνία αμοιβαίας αναγνώρισης (στο εξής: ΣΑΑ) των πιστοποιητικών ασφάλειας της τεχνολογίας των πληροφοριών της Ομάδας Ανώτερων Υπαλλήλων για την Ασφάλεια των Συστημάτων Πληροφοριών (2) (στο εξής: SOG-IS) που χρησιμοποιούν τα κοινά κριτήρια, συμπεριλαμβανομένων των διαδικασιών και των εγγράφων της SOG-IS.

(2)

Το σχήμα θα πρέπει να βασίζεται σε θεσπισθέντα διεθνή πρότυπα. Τα κοινά κριτήρια (Common Criteria) είναι διεθνές πρότυπο για την αξιολόγηση της ασφάλειας των πληροφοριών, το οποίο δημοσιεύθηκε, για παράδειγμα, ως ISO/IEC 15408 Ασφάλεια πληροφοριών, κυβερνοασφάλεια και προστασία της ιδιωτικότητας — Κριτήρια αξιολόγησης για την ασφάλεια της τεχνολογίας πληροφοριών. Βασίζεται σε αξιολόγηση από τρίτους και προβλέπει επτά επίπεδα διασφάλισης της αξιολόγησης (EAL). Τα κοινά κριτήρια συνοδεύονται από την κοινή μεθοδολογία αξιολόγησης (Common Evaluation Methodology), η οποία δημοσιεύθηκε, για παράδειγμα, ως ISO/IEC 18045 — Ασφάλεια πληροφοριών, κυβερνοασφάλεια και προστασία της ιδιωτικότητας — Κριτήρια αξιολόγησης για την ασφάλεια της τεχνολογίας πληροφοριών — Μεθοδολογία για την αξιολόγηση της ασφάλειας της τεχνολογίας πληροφοριών. Οι προδιαγραφές και τα έγγραφα που εφαρμόζουν τις διατάξεις του παρόντος κανονισμού μπορεί να σχετίζονται με δημόσια διαθέσιμο πρότυπο, το οποίο προσομοιάζει το πρότυπο εκείνο που χρησιμοποιείται για την πιστοποίηση δυνάμει του παρόντος κανονισμού, όπως τα κοινά κριτήρια για την αξιολόγηση της ασφάλειας της τεχνολογίας πληροφοριών και η κοινή μεθοδολογία για την αξιολόγηση της ασφάλειας της τεχνολογίας πληροφοριών.

(3)

Το EUCC χρησιμοποιεί τις συνιστώσες 1 έως 5 της προδιαγραφής αξιολόγησης της τρωτότητας (AVA_VAN) των κοινών κριτηρίων. Οι πέντε συνιστώσες παρέχουν όλους τους κύριους καθοριστικούς παράγοντες και τις εξαρτήσεις για την ανάλυση των τρωτών σημείων των προϊόντων ΤΠΕ. Δεδομένου ότι οι συνιστώσες αντιστοιχούν στα επίπεδα διασφάλισης του παρόντος κανονισμού, καθιστούν δυνατή την τεκμηριωμένη επιλογή διασφάλισης, βάσει αξιολογήσεων των απαιτήσεων ασφάλειας και του κινδύνου που σχετίζεται με την προβλεπόμενη χρήση του προϊόντος ΤΠΕ. Ο αιτών πιστοποιητικό EUCC θα πρέπει να παρέχει την τεκμηρίωση που σχετίζεται με την προβλεπόμενη χρήση του προϊόντος ΤΠΕ και την ανάλυση των επιπέδων κινδύνου που σχετίζονται με την εν λόγω χρήση, ώστε ο οργανισμός αξιολόγησης της συμμόρφωσης να μπορεί να αξιολογήσει την καταλληλότητα του επιλεγμένου επιπέδου διασφάλισης. Όταν οι δραστηριότητες αξιολόγησης και πιστοποίησης εκτελούνται από τον ίδιο οργανισμό αξιολόγησης της συμμόρφωσης, ο αιτών θα πρέπει να υποβάλει τις ζητούμενες πληροφορίες μόνον άπαξ.

(4)

Ως τεχνικός τομέας νοείται ένα πλαίσιο αναφοράς το οποίο καλύπτει ομάδα προϊόντων ΤΠΕ που έχουν ειδική και παρόμοια λειτουργικότητα ασφάλειας η οποία μετριάζει τις επιθέσεις όταν τα χαρακτηριστικά είναι κοινά σε συγκεκριμένο επίπεδο διασφάλισης. Ο τεχνικός τομέας περιγράφει σε έγγραφα στάθμης της τεχνικής τις ειδικές απαιτήσεις ασφάλειας καθώς και πρόσθετες μεθόδους, τεχνικές και εργαλεία αξιολόγησης που εφαρμόζονται στην πιστοποίηση προϊόντων ΤΠΕ που καλύπτονται από τον εν λόγω τεχνικό τομέα. Επομένως, ο τεχνικός τομέας προάγει επίσης την εναρμόνιση της αξιολόγησης των καλυπτόμενων προϊόντων ΤΠΕ. Επί του παρόντος, δύο τεχνικοί τομείς χρησιμοποιούνται ευρέως για την πιστοποίηση στα επίπεδα AVA_VAN.4 και AVA_VAN.5. Ο πρώτος είναι ο τεχνικός τομέας «Έξυπνες κάρτες και παρεμφερείς διατάξεις», στον οποίο σημαντικό μέρος της απαιτούμενης λειτουργικότητας ασφάλειας εξαρτάται από ειδικά, εξατομικευμένα και συχνά διαχωρίσιμα στοιχεία υλισμικού [π.χ. υλισμικό έξυπνης κάρτας, ολοκληρωμένα κυκλώματα, σύνθετα προϊόντα έξυπνης κάρτας, δομοστοιχεία Trusted Platform Module τα οποία χρησιμοποιούνται στην έμπιστη υπολογιστική (trusted computing) ή κάρτες ψηφιακού ταχογράφου]. Ο δεύτερος είναι ο τεχνικός τομέας «Διατάξεις υλισμικού με θυρίδες ασφαλείας», στον οποίο σημαντικό μέρος της απαιτούμενης λειτουργικότητας ασφάλειας εξαρτάται από υλικό περίβλημα υλισμικού (το οποίο ονομάζεται «θυρίδα ασφαλείας») σχεδιασμένο κατά τρόπο ώστε να είναι ανθεκτικό σε άμεσες επιθέσεις (π.χ. τερματικά πληρωμής, εποχούμενες μονάδες ταχογράφου, έξυπνοι μετρητές, τερματικά ελέγχου πρόσβασης και δομοστοιχεία ασφάλειας λογισμικού).

(5)

Όταν υποβάλλει αίτηση πιστοποίησης, ο αιτών θα πρέπει να συνδέει τη συλλογιστική του για την επιλογή επιπέδου διασφάλισης με τους στόχους που περιγράφονται στο άρθρο 51 του κανονισμού (ΕΕ) 2019/881 και με την επιλογή συνιστωσών από τον κατάλογο λειτουργικών απαιτήσεων ασφάλειας και απαιτήσεων κατοχύρωσης της ασφάλειας που περιλαμβάνονται στα κοινά κριτήρια. Οι οργανισμοί πιστοποίησης θα πρέπει να αξιολογούν την καταλληλότητα του επιλεγέντος επιπέδου διασφάλισης και να διασφαλίζουν ότι το επιλεγέν επίπεδο είναι ανάλογο προς το επίπεδο κινδύνου που συνδέεται με την προβλεπόμενη χρήση του προϊόντος ΤΠΕ.

(6)

Βάσει των κοινών κριτηρίων, η πιστοποίηση διενεργείται ως προς έναν στόχο ασφάλειας, ο οποίος περιλαμβάνει ορισμό του προβλήματος ασφάλειας του προϊόντος ΤΠΕ καθώς και τους στόχους ασφάλειας που αντιμετωπίζουν το πρόβλημα ασφάλειας. Το πρόβλημα ασφάλειας παρέχει πληροφορίες σχετικά με την προβλεπόμενη χρήση του προϊόντος ΤΠΕ και τους κινδύνους που συνδέονται με την εν λόγω χρήση. Ένα ειδικό σύνολο απαιτήσεων ασφάλειας αποκρίνεται τόσο στο πρόβλημα ασφάλειας όσο και στους στόχους ασφάλειας του προϊόντος ΤΠΕ.

(7)

Τα χαρακτηριστικά προστασίας είναι ένα αποτελεσματικό μέσο για τον προκαθορισμό των κοινών κριτηρίων που μπορούν να εφαρμοστούν σε συγκεκριμένη κατηγορία προϊόντων ΤΠΕ και, ως εκ τούτου, είναι επίσης σημαντικό στοιχείο της διαδικασίας πιστοποίησης προϊόντων ΤΠΕ που καλύπτονται από το χαρακτηριστικό προστασίας. Τα χαρακτηριστικά προστασίας χρησιμοποιούνται για την αξιολόγηση μελλοντικών στόχων ασφάλειας οι οποίοι εμπίπτουν στη συγκεκριμένη κατηγορία προϊόντων ΤΠΕ που αφορά το συγκεκριμένο χαρακτηριστικό προστασίας. Τα χαρακτηριστικά προστασίας εξορθολογίζουν και βελτιώνουν περαιτέρω την αποδοτικότητα της διαδικασίας πιστοποίησης του προϊόντος ΤΠΕ και βοηθούν τους χρήστες να προσδιορίζουν ορθά και αποτελεσματικά τη λειτουργικότητα του προϊόντος ΤΠΕ. Επομένως, τα χαρακτηριστικά προστασίας θα πρέπει να θεωρούνται αναπόσπαστο μέρος της διαδικασίας ΤΠΕ που καταλήγει στην πιστοποίηση προϊόντων ΤΠΕ.

(8)

Προκειμένου να μπορούν να επιτελέσουν τον ρόλο τους στη διαδικασία ΤΠΕ που στηρίζει την ανάπτυξη και την παράδοση πιστοποιημένου προϊόντος ΤΠΕ, τα ίδια τα χαρακτηριστικά προστασίας θα πρέπει να μπορούν να πιστοποιηθούν ανεξάρτητα από την πιστοποίηση του συγκεκριμένου προϊόντος ΤΠΕ που καλύπτεται από το αντίστοιχο χαρακτηριστικό προστασίας. Ως εκ τούτου, είναι απαραίτητο στα χαρακτηριστικά προστασίας να εφαρμόζεται τουλάχιστον το ίδιο επίπεδο ελέγχου με εκείνο που εφαρμόζεται στους στόχους ασφάλειας, προκειμένου να διασφαλίζεται υψηλό επίπεδο κυβερνοασφάλειας. Τα χαρακτηριστικά προστασίας θα πρέπει να αξιολογούνται και να πιστοποιούνται χωριστά από το σχετικό προϊόν ΤΠΕ και μόνον μέσω της εφαρμογής της κλάσης διασφάλισης των κοινών κριτηρίων και της κοινής μεθοδολογίας αξιολόγησης για χαρακτηριστικά προστασίας (APE) και, όπου συντρέχει περίπτωση, για διαμορφώσεις χαρακτηριστικών προστασίας (ACE). Λόγω του σημαντικού και ευαίσθητου ρόλου των χαρακτηριστικών προστασίας ως σημείου αναφοράς κατά την πιστοποίηση προϊόντων ΤΠΕ, τα χαρακτηριστικά προστασίας θα πρέπει να πιστοποιούνται μόνον από δημόσιους οργανισμούς ή από οργανισμό πιστοποίησης ο οποίος έχει λάβει προηγούμενη έγκριση για το συγκεκριμένο χαρακτηριστικό προστασίας από την εθνική αρχή πιστοποίησης της κυβερνοασφάλειας. Λόγω του σημαντικού ρόλου τους για την πιστοποίηση με «υψηλό» επίπεδο διασφάλισης, ειδικότερα εκτός τεχνικών τομέων, τα χαρακτηριστικά προστασίας θα πρέπει να αναπτύσσονται με τη μορφή εγγράφων στάθμης της τεχνικής τα οποία θα πρέπει να εγκρίνονται από την ευρωπαϊκή ομάδα πιστοποίησης της κυβερνοασφάλειας (στο εξής: ΕΟΠΙΚ).

(9)

Τα πιστοποιημένα χαρακτηριστικά προστασίας θα πρέπει να περιλαμβάνονται στην παρακολούθηση της συμμόρφωσης του EUCC από τις εθνικές αρχές πιστοποίησης της κυβερνοασφάλειας. Σε περίπτωση που για συγκεκριμένα πιστοποιημένα χαρακτηριστικά προστασίας διατίθενται η μεθοδολογία, τα εργαλεία και οι δεξιότητες που εφαρμόζονται σε προσεγγίσεις για την αξιολόγηση των προϊόντων ΤΠΕ, οι τεχνικοί τομείς μπορούν να βασίζονται στα εν λόγω συγκεκριμένα χαρακτηριστικά προστασίας.

(10)

Προκειμένου να επιτευχθεί υψηλό επίπεδο εμπιστοσύνης και διασφάλισης για τα πιστοποιημένα προϊόντα ΤΠΕ, η αυτοαξιολόγηση δεν θα πρέπει να επιτρέπεται βάσει του παρόντος κανονισμού. Θα πρέπει να επιτρέπεται μόνον αξιολόγηση της συμμόρφωσης από τρίτους και συγκεκριμένα την εγκατάσταση αξιολόγησης της ασφάλειας της τεχνολογίας πληροφοριών και τους οργανισμούς πιστοποίησης.

(11)

Η κοινότητα SOG-IS παρείχε κοινές ερμηνείες και προσεγγίσεις για την εφαρμογή στην πιστοποίηση των κοινών κριτηρίων και της κοινής μεθοδολογίας αξιολόγησης, ειδικότερα για το «υψηλό» επίπεδο διασφάλισης που επιδιώκεται στους τεχνικούς τομείς «Έξυπνες κάρτες και παρεμφερείς διατάξεις» και «Διατάξεις υλισμικού με θυρίδες ασφαλείας». Η εκ νέου χρήση τέτοιας συνοδευτικής τεκμηρίωσης στο σχήμα EUCC διασφαλίζει την ομαλή μετάβαση από τα εθνικά εφαρμοζόμενα σχήματα της SOG-IS στο εναρμονισμένο σχήμα EUCC. Ως εκ τούτου, στον παρόντα κανονισμό θα πρέπει να περιληφθούν εναρμονισμένες μεθοδολογίες αξιολόγησης οι οποίες είναι γενικά χρήσιμες για όλες τις δραστηριότητες πιστοποίησης. Επιπλέον, η Επιτροπή θα πρέπει να μπορεί να ζητεί από την ευρωπαϊκή ομάδα πιστοποίησης της κυβερνοασφάλειας να εκδίδει γνώμη, με την οποία θα εγκρίνει και θα συνιστά την εφαρμογή μεθοδολογιών αξιολόγησης που προσδιορίζονται σε έγγραφα στάθμης της τεχνικής για την πιστοποίηση του προϊόντος ΤΠΕ ή του χαρακτηριστικού προστασίας στο πλαίσιο του σχήματος EUCC. Κατά συνέπεια, στο παράρτημα I του παρόντος κανονισμού παρατίθενται τα έγγραφα στάθμης της τεχνικής για τις δραστηριότητες αξιολόγησης που εκτελούν οργανισμοί αξιολόγησης της συμμόρφωσης. Επομένως, η ευρωπαϊκή ομάδα πιστοποίησης της κυβερνοασφάλειας θα πρέπει να εγκρίνει και να τηρεί έγγραφα στάθμης της τεχνικής. Τα έγγραφα στάθμης της τεχνικής θα πρέπει να χρησιμοποιούνται στην πιστοποίηση. Μόνο σε εξαιρετικές και δεόντως αιτιολογημένες περιπτώσεις μπορεί ένας οργανισμός αξιολόγησης της συμμόρφωσης να μην τα χρησιμοποιήσει, υπό συγκεκριμένες προϋποθέσεις όπως, ειδικότερα, η έγκριση της εθνικής αρχής πιστοποίησης της κυβερνοασφάλειας.

(12)

Η πιστοποίηση προϊόντων ΤΠΕ σε επίπεδο AVA_VAN 4 ή 5 θα πρέπει να είναι δυνατή μόνον υπό συγκεκριμένες προϋποθέσεις και σε περίπτωση που υπάρχει συγκεκριμένη μεθοδολογία αξιολόγησης. Η συγκεκριμένη μεθοδολογία αξιολόγησης μπορεί να κατοχυρώνεται σε έγγραφα στάθμης της τεχνικής σχετικά με τον τεχνικό τομέα ή σε συγκεκριμένα χαρακτηριστικά προστασίας τα οποία θεσπίζονται ως έγγραφα στάθμης της τεχνικής σχετικά με την οικεία κατηγορία προϊόντος. Μόνο σε εξαιρετικές και δεόντως αιτιολογημένες περιπτώσεις θα πρέπει να είναι δυνατή η πιστοποίηση των εν λόγω επιπέδων διασφάλισης, υπό συγκεκριμένες προϋποθέσεις όπως, ειδικότερα, η έγκριση εκ μέρους της εθνικής αρχής πιστοποίησης της κυβερνοασφάλειας, συμπεριλαμβανομένης της εφαρμοστέας μεθοδολογίας αξιολόγησης. Τέτοιες εξαιρετικές και δεόντως αιτιολογημένες περιπτώσεις μπορεί να συντρέχουν όταν η ενωσιακή ή η εθνική νομοθεσία απαιτεί την πιστοποίηση προϊόντος ΤΠΕ σε επίπεδο AVA_VAN 4 ή 5. Ομοίως, σε εξαιρετικές και δεόντως αιτιολογημένες περιπτώσεις, χαρακτηριστικά προστασίας μπορούν να πιστοποιηθούν χωρίς την εφαρμογή των σχετικών εγγράφων στάθμης της τεχνικής, υπό συγκεκριμένες προϋποθέσεις, ειδικότερα την έγκριση της εθνικής αρχής πιστοποίησης της κυβερνοασφάλειας, συμπεριλαμβανομένης της εφαρμοστέας μεθοδολογίας αξιολόγησης.

(13)

Στόχος των σημάτων και των επισημάνσεων που χρησιμοποιούνται στο πλαίσιο του EUCC είναι να καταδεικνύεται εμφανώς στους χρήστες η αξιοπιστία του πιστοποιημένου προϊόντος ΤΠΕ, ώστε να μπορούν να προβαίνουν σε τεκμηριωμένη επιλογή κατά την αγορά προϊόντων ΤΠΕ. Η χρήση σημάτων και επισημάνσεων θα πρέπει επίσης να υπόκειται στους κανόνες και στις προϋποθέσεις που καθορίζονται στο πρότυπο ISO/IEC 17065 και, κατά περίπτωση, στο πρότυπο ISO/IEC 17030 με την αντίστοιχη καθοδήγηση.

(14)

Οι οργανισμοί πιστοποίησης θα πρέπει να αποφασίζουν την περίοδο ισχύος των πιστοποιητικών λαμβάνοντας υπόψη τον κύκλο ζωής του οικείου προϊόντος ΤΠΕ. Η περίοδος ισχύος δεν θα πρέπει να υπερβαίνει τα 5 έτη. Οι εθνικές αρχές πιστοποίησης της κυβερνοασφάλειας θα πρέπει να καταβάλουν προσπάθειες ώστε να εναρμονίσουν την περίοδο ισχύος στην Ένωση.

(15)

Σε περίπτωση περιορισμού του πεδίου ενός υφιστάμενου πιστοποιητικού EUCC το πιστοποιητικό ανακαλείται, θα πρέπει δε να εκδίδεται νέο πιστοποιητικό με το νέο πεδίο ώστε να διασφαλίζεται ότι οι χρήστες είναι σαφώς ενημερωμένοι σχετικά με το ισχύον πεδίο και επίπεδο διασφάλισης του πιστοποιητικού συγκεκριμένου προϊόντος ΤΠΕ.

(16)

Η πιστοποίηση χαρακτηριστικών προστασίας διαφέρει από την πιστοποίηση προϊόντων ΤΠΕ, καθώς αφορά μια διαδικασία ΤΠΕ. Δεδομένου ότι το χαρακτηριστικό προστασίας αφορά μια κατηγορία προϊόντων ΤΠΕ, η αξιολόγηση και η πιστοποίησή του δεν μπορούν να πραγματοποιούνται βάσει ενός και μόνον προϊόντος ΤΠΕ. Δεδομένου ότι το χαρακτηριστικό προστασίας ενοποιεί τις γενικές απαιτήσεις ασφάλειας όσον αφορά μια κατηγορία προϊόντων ΤΠΕ και ανεξαρτήτως της δήλωσης του προϊόντος ΤΠΕ από τον πωλητή του, η περίοδος ισχύος πιστοποιητικού EUCC για χαρακτηριστικό προστασίας θα πρέπει, καταρχήν, να είναι τουλάχιστον 5 έτη και μπορεί να εκτείνεται στη διάρκεια ζωής του χαρακτηριστικού προστασίας.

(17)

Ως οργανισμός αξιολόγησης της συμμόρφωσης νοείται οργανισμός ο οποίος πραγματοποιεί δραστηριότητες αξιολόγησης της συμμόρφωσης, συμπεριλαμβανομένων βαθμονομήσεων, δοκιμών, πιστοποίησης και επιθεώρησης. Με σκοπό την εξασφάλιση υπηρεσιών υψηλής ποιότητας, στον παρόντα κανονισμό διευκρινίζεται ότι οι δραστηριότητες δοκιμής, αφενός, και οι δραστηριότητες πιστοποίησης και επιθεώρησης, αφετέρου, θα πρέπει να εκτελούνται από οντότητες που λειτουργούν ανεξάρτητα οι μεν από τις δε, και συγκεκριμένα από εγκαταστάσεις αξιολόγησης της ασφάλειας της τεχνολογίας πληροφοριών (στο εξής: ΕΑΑΤΠ) και οργανισμούς πιστοποίησης, αντίστοιχα. Αμφότεροι οι ως άνω οργανισμοί αξιολόγησης της συμμόρφωσης θα πρέπει να είναι διαπιστευμένοι και, σε ορισμένες περιπτώσεις, εξουσιοδοτημένοι.

(18)

Ο οργανισμός πιστοποίησης θα πρέπει να λαμβάνει διαπίστευση από τον εθνικό οργανισμό πιστοποίησης σύμφωνα με το πρότυπο ISO/IEC 17065 για το «σημαντικό» και το «υψηλό» επίπεδο διασφάλισης. Επιπλέον της διαπίστευσης σύμφωνα με τον κανονισμό (ΕΕ) 2019/881 σε συνδυασμό με τον κανονισμό (ΕΚ) αριθ. 765/2008, οι οργανισμοί αξιολόγησης της συμμόρφωσης θα πρέπει να πληρούν ειδικές προϋποθέσεις προκειμένου να διασφαλίζεται η τεχνική ικανότητά τους για την αξιολόγηση απαιτήσεων κυβερνοασφάλειας στο πλαίσιο του «υψηλού» επιπέδου διασφάλισης του EUCC, ικανότητα η οποία επιβεβαιώνεται μέσω «εξουσιοδότησης». Για τη στήριξη της διαδικασίας εξουσιοδότησης, θα πρέπει να καταρτιστούν έγγραφα στάθμης της τεχνικής, τα οποία ο ENISA θα δημοσιεύει κατόπιν έγκρισης της ευρωπαϊκής ομάδας πιστοποίησης της κυβερνοασφάλειας.

(19)

Η τεχνική ικανότητα μιας ΕΑΑΤΠ θα πρέπει να αξιολογείται μέσω της διαπίστευσης του εργαστηρίου δοκιμών σύμφωνα με το πρότυπο ISO/IEC 17025 και να συμπληρώνεται με την εφαρμογή του προτύπου ISO/IEC 23532-1 για το πλήρες σύνολο των δραστηριοτήτων αξιολόγησης που είναι κρίσιμες για το επίπεδο διασφάλισης και προσδιορίζονται στο πρότυπο ISO/IEC 18045 σε συνδυασμό με το πρότυπο ISO/IEC 15408. Τόσο ο οργανισμός πιστοποίησης όσο και η ΕΑΑΤΠ θα πρέπει να θεσπίζουν και να διατηρούν κατάλληλο σύστημα διαχείρισης ικανοτήτων όσον αφορά το προσωπικό, το οποίο βασίζεται στο πρότυπο ISO/IEC 19896-1 για τα στοιχεία και τα επίπεδα ικανότητας και για την εκτίμηση της ικανότητας. Για το επίπεδο γνώσεων, δεξιοτήτων, πείρας και εκπαίδευσης, οι εφαρμοστέες απαιτήσεις για τους αξιολογητές θα πρέπει να αντλούνται από το πρότυπο ISO/IEC 19896-3. Ισοδύναμες διατάξεις και μέτρα που αφορούν αποκλίσεις από τα εν λόγω συστήματα διαχείρισης ικανοτήτων θα πρέπει να αποδεικνύονται, σύμφωνα με τους στόχους του συστήματος.

(20)

Προκειμένου να λάβει εξουσιοδότηση, η ΕΑΑΤΠ θα πρέπει να αποδεικνύει την ικανότητά της να εξακριβώνει την ανυπαρξία γνωστών τρωτών σημείων, την ορθή και συνεπή εφαρμογή λειτουργικοτήτων ασφάλειας προηγμένης τεχνολογίας για τη συγκεκριμένη τεχνολογία και την ανθεκτικότητα του στοχευμένου προϊόντος ΤΠΕ σε επιδέξιους επιτιθέμενους. Επιπλέον, για εξουσιοδοτήσεις στον τεχνικό τομέα «Έξυπνες κάρτες και παρεμφερείς διατάξεις», η ΕΑΑΤΠ θα πρέπει να αποδεικνύει ότι διαθέτει επίσης τις τεχνικές ικανότητες οι οποίες είναι αναγκαίες για τις δραστηριότητες αξιολόγησης και τα σχετικά καθήκοντα όπως ορίζονται στη συνοδευτική τεκμηρίωση «Ελάχιστες απαιτήσεις ΕΑΑΤΠ για αξιολογήσεις ασφάλειας έξυπνων καρτών και παρεμφερών διατάξεων» (3) στο πλαίσιο των κοινών κριτηρίων. Για εξουσιοδοτήσεις στον τεχνικό τομέα «Διατάξεις υλισμικού με θυρίδες ασφαλείας», η ΕΑΑΤΠ θα πρέπει να αποδεικνύει, επιπλέον, ότι πληροί τις ελάχιστες τεχνικές απαιτήσεις οι οποίες είναι αναγκαίες για την εκτέλεση δραστηριοτήτων αξιολόγησης και σχετικών καθηκόντων σε διατάξεις υλισμού με θυρίδες ασφαλείας, κατά τις συστάσεις της ΕΟΠΙΚ. Στο πλαίσιο των ελάχιστων απαιτήσεων, η ΕΑΑΤΠ θα πρέπει να μπορεί να εκτελεί τους διαφόρους τύπους επιθέσεων που περιγράφονται στη συνοδευτική τεκμηρίωση «Εφαρμογή κινδύνου επίθεσης σε διατάξεις υλισμικού με θυρίδες ασφαλείας» στο πλαίσιο των κοινών κριτηρίων. Οι ως άνω ικανότητες θα πρέπει να περιλαμβάνουν τις γνώσεις και τις δεξιότητες του αξιολογητή και τον εξοπλισμό και τις μεθόδους αξιολόγησης που απαιτούνται για τον καθορισμό και την αξιολόγηση των διαφόρων τύπων επιθέσεων.

(21)

Η εθνική αρχή πιστοποίησης της κυβερνοασφάλειας θα πρέπει να παρακολουθεί τη συμμόρφωση των οργανισμών πιστοποίησης, της ΕΑΤΤΠ και των κατόχων πιστοποιητικών με τις υποχρεώσεις που υπέχουν από τον παρόντα κανονισμό και τον κανονισμό (ΕΕ) 2019/881. Προς τούτο, η εθνική αρχή πιστοποίησης της κυβερνοασφάλειας θα πρέπει να χρησιμοποιεί κάθε κατάλληλη πηγή πληροφοριών, συμπεριλαμβανομένων πληροφοριών που αποκτά από συμμετέχοντες στη διαδικασία πιστοποίησης και από ίδιες έρευνες.

(22)

Οι οργανισμοί πιστοποίησης θα πρέπει να συνεργάζονται με τις αρμόδιες αρχές εποπτείας της αγοράς και να λαμβάνουν υπόψη κάθε πληροφορία σχετικά με τρωτά σημεία η οποία μπορεί να έχει σημασία για τα προϊόντα ΤΠΕ για τα οποία έχουν εκδώσει πιστοποιητικά. Οι οργανισμοί πιστοποίησης θα πρέπει να παρακολουθούν τα χαρακτηριστικά προστασίας που έχουν πιστοποιήσει ώστε να εξακριβώνουν κατά πόσον οι απαιτήσεις ασφάλειας που καθορίζονται για μια κατηγορία προϊόντων ΤΠΕ εξακολουθούν να αντικατοπτρίζουν τις πιο πρόσφατες εξελίξεις όσον αφορά τις κυβερνοαπειλές.

(23)

Με σκοπό τη στήριξη της παρακολούθησης της συμμόρφωσης, οι εθνικές αρχές πιστοποίησης της κυβερνοασφάλειας θα πρέπει να συνεργάζονται με τις αρμόδιες αρχές εποπτείας της αγοράς σύμφωνα με το άρθρο 58 του κανονισμού (ΕΕ) 2019/881 και με τον κανονισμό (ΕΕ) 2019/1020 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (4). Δυνάμει του άρθρου 4 παράγραφος 3 του κανονισμού 2019/1020, οι οικονομικοί φορείς της Ένωσης υποχρεούνται να ανταλλάσσουν πληροφορίες και να συνεργάζονται με τις αρχές εποπτείας της αγοράς.

(24)

Οι οργανισμοί πιστοποίησης θα πρέπει να παρακολουθούν τη συμμόρφωση των κατόχων πιστοποιητικών και τη συμμόρφωση όλων των πιστοποιητικών που εκδίδονται στο πλαίσιο του EUCC. Η παρακολούθηση θα πρέπει να διασφαλίζει ότι όλες οι εκθέσεις παρακολούθησης που υποβάλλει η ΕΑΑΤΠ, και τα συμπεράσματα που περιέχονται σε αυτές, καθώς και τα κριτήρια και οι μέθοδοι αξιολόγησης εφαρμόζονται με συνεπή και ορθό τρόπο σε όλες τις δραστηριότητες πιστοποίησης.

(25)

Όταν εντοπίζονται δυνητικά ζητήματα μη συμμόρφωσης τα οποία επηρεάζουν ένα πιστοποιημένο προϊόν ΤΠΕ, είναι σημαντικό να διασφαλίζεται απόκριση αναλογική προς τη δυνητική μη συμμόρφωση. Επομένως, τα πιστοποιητικά μπορεί να ανασταλούν. Η αναστολή θα πρέπει να συνεπάγεται ορισμένους περιορισμούς όσον αφορά την προώθηση και τη χρήση του οικείου προϊόντος ΤΠΕ, αλλά δεν θα πρέπει να θίγει το κύρος του πιστοποιητικού. Η αναστολή θα πρέπει να κοινοποιείται στους αγοραστές των επηρεαζόμενων προϊόντων ΤΠΕ από τον κάτοχο του πιστοποιητικού EUCC, οι δε αρμόδιες αρχές εποπτείας της αγοράς θα πρέπει να ενημερώνονται από την αρμόδια εθνική αρχή πιστοποίησης της κυβερνοασφάλειας. Για την ενημέρωση του κοινού, ο ENISA θα πρέπει να δημοσιεύει πληροφορίες σχετικά με τις αναστολές σε ειδικό ιστότοπο.

(26)

Ο κάτοχος πιστοποιητικού EUCC θα πρέπει να εφαρμόζει τις αναγκαίες διαδικασίες διαχείρισης τρωτών σημείων και να διασφαλίζει ότι οι εν λόγω διαδικασίες είναι ενσωματωμένες στην οργάνωσή του. Όταν περιέρχεται σε γνώση του δυνητικό τρωτό σημείο, ο κάτοχος του πιστοποιητικού EUCC θα πρέπει να διενεργεί ανάλυση επιπτώσεων τρωτότητας. Όταν η ανάλυση επιπτώσεων τρωτότητας επιβεβαιώνει ότι το τρωτό σημείο μπορεί να αποτελέσει αντικείμενο εκμετάλλευσης, ο κάτοχος του πιστοποιητικού θα πρέπει να διαβιβάζει έκθεση της αξιολόγησης στον οργανισμό πιστοποίησης ο οποίος θα πρέπει, με τη σειρά του, να ενημερώνει την εθνική αρχή πιστοποίησης της κυβερνοασφάλειας. Η έκθεση θα πρέπει να παρέχει ενημέρωση σχετικά με τις επιπτώσεις του τρωτού σημείου, τις αναγκαίες αλλαγές ή διορθωτικές λύσεις που απαιτούνται, συμπεριλαμβανομένων ενδεχόμενων ευρύτερων συνεπειών του τρωτού σημείου καθώς και διορθωτικών λύσεων για άλλα προϊόντα. Όταν απαιτείται, το πρότυπο EN ISO/IEC 29147 θα πρέπει να συμπληρώνει τη διαδικασία για τη δημοσιοποίηση του τρωτού σημείου.

(27)

Για τον σκοπό της πιστοποίησης, οι οργανισμοί αξιολόγησης της συμμόρφωσης και οι εθνικές αρχές πιστοποίησης της κυβερνοασφάλειας αποκτούν εμπιστευτικά και ευαίσθητα δεδομένα και πληροφορίες που συνιστούν επιχειρηματικό απόρρητο, σε σχέση επίσης με διανοητική ιδιοκτησία ή παρακολούθηση της συμμόρφωσης, οι οποίες απαιτούν κατάλληλη προστασία. Ως εκ τούτου, θα πρέπει να διαθέτουν τις αναγκαίες τεχνικές ικανότητες και γνώσεις και θα πρέπει να θεσπίζουν συστήματα για την προστασία των πληροφοριών. Οι απαιτήσεις και οι προϋποθέσεις για την προστασία των πληροφοριών θα πρέπει να πληρούνται τόσο για τη διαπίστευση όσο και για την εξουσιοδότηση.

(28)

Ο ENISA θα πρέπει να παρέχει τον κατάλογο των πιστοποιημένων χαρακτηριστικών προστασίας στον ιστότοπό του για την πιστοποίηση της κυβερνοασφάλειας και να αναφέρει το καθεστώς τους, σύμφωνα με τον κανονισμό (ΕΕ) 2019/881.

(29)

Ο παρών κανονισμός καθορίζει προϋποθέσεις για συμφωνίες αμοιβαίας αναγνώρισης με τρίτες χώρες. Τέτοιες συμφωνίες αμοιβαίας αναγνώρισης μπορεί να είναι διμερείς ή πολυμερείς και θα πρέπει να αντικαταστήσουν παρόμοιες υφιστάμενες συμφωνίες. Προκειμένου να διευκολύνουν την ομαλή μετάβαση σε τέτοιες συμφωνίες αμοιβαίας αναγνώρισης, τα κράτη μέλη μπορούν να συνεχίσουν τις υφιστάμενες ρυθμίσεις συνεργασίας με τρίτες χώρες για περιορισμένο χρονικό διάστημα.

(30)

Οι οργανισμοί πιστοποίησης που εκδίδουν πιστοποιητικά EUCC σε «υψηλό» επίπεδο διασφάλισης, καθώς και οι σχετικές συνδεδεμένες ΕΑΑΤΠ, θα πρέπει να υποβάλλονται σε αξιολογήσεις από ομοτίμους. Στόχος των αξιολογήσεων από ομοτίμους θα πρέπει να είναι η εξακρίβωση της διαρκούς συμμόρφωσης του καταστατικού και των διαδικασιών του υποβληθέντος σε αξιολόγηση από ομοτίμους οργανισμού πιστοποίησης με τις απαιτήσεις του σχήματος EUCC. Οι συγκεκριμένες αξιολογήσεις από ομοτίμους διαφέρουν από τις αξιολογήσεις από ομοτίμους μεταξύ εθνικών αρχών πιστοποίησης της κυβερνοασφάλειας, οι οποίες προβλέπονται στο άρθρο 59 του κανονισμού (ΕΕ) 2019/881. Οι αξιολογήσεις από ομοτίμους θα πρέπει να εξακριβώνουν ότι οι οργανισμοί πιστοποίησης λειτουργούν με εναρμονισμένο τρόπο και εκδίδουν πιστοποιητικά της ίδιας ποιότητας, θα πρέπει δε να εντοπίζουν κάθε δυνητικό ισχυρό σημείο και αδυναμία στη λειτουργία των οργανισμών πιστοποίησης, μεταξύ άλλων με σκοπό την ανταλλαγή βέλτιστων πρακτικών. Καθώς υπάρχουν διαφορετικά είδη οργανισμών πιστοποίησης, θα πρέπει να επιτρέπονται διαφορετικά είδη αξιολογήσεων από ομοτίμους. Σε πιο σύνθετες περιπτώσεις, όπως όταν οργανισμοί πιστοποίησης εκδίδουν πιστοποιητικά σε διαφορετικά επίπεδα AVA_VAN, μπορούν να χρησιμοποιούνται διαφορετικά είδη αξιολόγησης από ομοτίμους, υπό τον όρο ότι πληρούνται όλες οι προϋποθέσεις.

(31)

Η ευρωπαϊκή ομάδα πιστοποίησης της κυβερνοασφάλειας θα πρέπει να διαδραματίζει σημαντικό ρόλο στη διατήρηση του σχήματος. Τούτο θα πρέπει να πραγματοποιηθεί, μεταξύ άλλων, μέσω της συνεργασίας με τον ιδιωτικό τομέα, της δημιουργίας ειδικευμένων υποομάδων καθώς και των σχετικών προπαρασκευαστικών εργασιών και της παροχής της βοήθειας που ζητεί η Επιτροπή. Η ευρωπαϊκή ομάδα πιστοποίησης της κυβερνοασφάλειας διαδραματίζει σημαντικό ρόλο στην έγκριση εγγράφων στάθμης της τεχνικής. Κατά την έγκριση και την έκδοση εγγράφων στάθμης της τεχνικής, θα πρέπει να λαμβάνονται δεόντως υπόψη τα στοιχεία που αναφέρονται στο άρθρο 54 παράγραφος 1 στοιχείο γ) του κανονισμού (ΕΕ) 2019/881. Οι τεχνικοί τομείς και τα έγγραφα τεχνολογίας αιχμής θα πρέπει να δημοσιεύονται στο παράρτημα Ι του παρόντος κανονισμού. Τα χαρακτηριστικά προστασίας τα οποία θεσπίστηκαν ως έγγραφα στάθμης της τεχνικής θα πρέπει να δημοσιεύονται στο παράρτημα II. Προκειμένου να διασφαλίζεται ο επίκαιρος χαρακτήρας των εν λόγω παραρτημάτων, η Επιτροπή δύναται να τα τροποποιεί, σύμφωνα με τη διαδικασία που καθορίζεται στο άρθρο 66 παράγραφος 2 του κανονισμού (ΕΕ) 2019/881 και λαμβάνοντας υπόψη τη γνώμη της ευρωπαϊκής ομάδας πιστοποίησης της κυβερνοασφάλειας. Στο παράρτημα III παρατίθενται συνιστώμενα χαρακτηριστικά προστασίας, τα οποία κατά τον χρόνο έναρξης ισχύος του παρόντος κανονισμού δεν είναι έγγραφα στάθμης της τεχνικής. Θα πρέπει να δημοσιοποιηθούν στον ιστότοπο του ENISA που αναφέρεται στο άρθρο 50 παράγραφος 1 του κανονισμού (ΕΕ) 2019/881.

(32)

Ο παρών κανονισμός θα πρέπει να αρχίσει να εφαρμόζεται 12 μήνες μετά την έναρξη ισχύος του. Οι απαιτήσεις που προβλέπονται στο κεφάλαιο IV και στο παράρτημα V δεν χρήζουν μεταβατικής περιόδου και θα πρέπει, επομένως, να εφαρμόζονται από την έναρξη ισχύος του παρόντος κανονισμού.

(33)

Τα μέτρα που προβλέπονται στον παρόντα κανονισμό είναι συνεπή με τη γνώμη της ευρωπαϊκής επιτροπής πιστοποίηση της κυβερνοασφάλειας που συστάθηκε δυνάμει του άρθρου 66 του κανονισμού (ΕΕ) 2019/881,