ΕΚΤΕΛΕΣΤΙΚΟΣ ΚΑΝΟΝΙΣΜΟΣ (ΕΕ) 2024/482 ΤΗΣ ΕΠΙΤΡΟΠΗΣ
της 31ης Ιανουαρίου 2024
για τη θέσπιση κανόνων εφαρμογής του κανονισμού (ΕΕ) 2019/881 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου όσον αφορά την έγκριση του ευρωπαϊκού σχήματος πιστοποίησης της κυβερνοασφάλειας βάσει κοινών κριτηρίων (EUCC)
(Κείμενο που παρουσιάζει ενδιαφέρον για τον ΕΟΧ)
ΚΕΦΑΛΑΙΟ Ι
ΓΕΝΙΚΕΣ ΔΙΑΤΑΞΕΙΣ
Άρθρο 1
Αντικείμενο και πεδίο εφαρμογής
Ο παρών κανονισμός καθορίζει το βασισμένο σε κοινά κριτήρια ευρωπαϊκό σχήμα πιστοποίησης της κυβερνοασφάλειας (EUCC).
Ο παρών κανονισμός εφαρμόζεται σε όλα τα προϊόντα τεχνολογιών των πληροφοριών και των επικοινωνιών (στο εξής: ΤΠΕ), συμπεριλαμβανομένης της τεκμηρίωσής τους, τα οποία υποβάλλονται για πιστοποίηση στο πλαίσιο του EUCC, και σε όλα τα χαρακτηριστικά προστασίας τα οποία υποβάλλονται για πιστοποίηση στο πλαίσιο της διαδικασίας ΤΠΕ που οδηγεί στην πιστοποίηση προϊόντων ΤΠΕ.
Άρθρο 2
Ορισμοί
Για τους σκοπούς του παρόντος κανονισμού, ισχύουν οι ακόλουθοι ορισμοί:
«κοινά κριτήρια»: τα κοινά κριτήρια για την αξιολόγηση της ασφάλειας της τεχνολογίας πληροφοριών, τα οποία καθορίζονται στα πρότυπα ISO/IEC 15408-1:2022, ISO/IEC 15408-2:2022, ISO/IEC 15408-3:2022, ISO/IEC 15408-4:2022 ή ISO/IEC 15408-5:2022, ή καθορίζονται στα κοινά κριτήρια για την αξιολόγηση της ασφάλειας της τεχνολογίας πληροφοριών, έκδοση CC:2022, μέρη 1 έως 5, που δημοσιεύθηκαν από τους συμμετέχοντες στη ρύθμιση για την αναγνώριση των πιστοποιητικών κοινών κριτηρίων στον τομέα της ασφάλειας ΤΠ·
«κοινή μεθοδολογία αξιολόγησης»: η κοινή μεθοδολογία για την αξιολόγηση της ασφάλειας της τεχνολογίας πληροφοριών, η οποία καθορίζεται στο πρότυπο ISO/IEC 18045:2022, ή η κοινή μεθοδολογία για την αξιολόγηση της ασφάλειας της τεχνολογίας πληροφοριών, έκδοση CEM:2022, που δημοσιεύθηκε από τους συμμετέχοντες στη ρύθμιση για την αναγνώριση των πιστοποιητικών κοινών κριτηρίων στον τομέα της ασφάλειας ΤΠ·
«στόχος αξιολόγησης»: προϊόν ή τμήμα προϊόντος ΤΠΕ, ή χαρακτηριστικό προστασίας στο πλαίσιο διαδικασίας ΤΠΕ, που υποβάλλονται σε αξιολόγηση κυβερνοασφάλειας προκειμένου να λάβουν πιστοποίηση EUCC·
«στόχος ασφάλειας»: ισχυρισμός απαιτήσεων ασφάλειας εξαρτώμενων από την υλοποίηση για συγκεκριμένο προϊόν ΤΠΕ·
«χαρακτηριστικό προστασίας»: διαδικασία ΤΠΕ η οποία καθορίζει τις απαιτήσεις ασφάλειας για συγκεκριμένη κατηγορία προϊόντων ΤΠΕ που αντιμετωπίζουν ανάγκες ασφάλειας μη εξαρτώμενες από την υλοποίηση, και η οποία μπορεί να χρησιμοποιηθεί για την αξιολόγηση προϊόντων ΤΠΕ που εμπίπτουν στη συγκεκριμένη κατηγορία για τον σκοπό της πιστοποίησής τους·
«τεχνική έκθεση αξιολόγησης»: έγγραφο το οποίο εκπονεί ΕΑΑΤΠ, στο οποίο παρουσιάζει τα ευρήματα, τα πορίσματα και τις αιτιολογήσεις που προέκυψαν από την αξιολόγηση προϊόντος ΤΠΕ ή χαρακτηριστικού προστασίας σύμφωνα με τους κανόνες και τις υποχρεώσεις που καθορίζονται στον παρόντα κανονισμό·
«ΕΑΑΤΠ»: εγκατάσταση αξιολόγησης της ασφάλειας της τεχνολογίας πληροφοριών, η οποία είναι οργανισμός αξιολόγησης της συμμόρφωσης, όπως ορίζεται στο άρθρο 2 σημείο 13 του κανονισμού (ΕΚ) αριθ. 765/2008, που εκτελεί καθήκοντα αξιολόγησης·
«επίπεδο AVA_VAN»: επίπεδο διασφάλισης ανάλυσης τρωτότητας το οποίο καταδεικνύει το επίπεδο των δραστηριοτήτων αξιολόγησης της κυβερνοασφάλειας που εκτελούνται προκειμένου να καθοριστεί το επίπεδο ανθεκτικότητας κατά δυνητικής εκμετάλλευσης ελαττωμάτων ή αδυναμιών του στόχου αξιολόγησης στο λειτουργικό περιβάλλον του όπως καθορίζεται στα κοινά κριτήρια·
«πιστοποιητικό EUCC»: πιστοποιητικό κυβερνοασφάλειας το οποίο εκδίδεται στο πλαίσιο του EUCC για προϊόντα ΤΠΕ ή για χαρακτηριστικά προστασίας τα οποία μπορούν να χρησιμοποιηθούν αποκλειστικά και μόνον στη διαδικασία ΤΠΕ της πιστοποίησης προϊόντων ΤΠΕ·
«σύνθετο προϊόν»: προϊόν ΤΠΕ το οποίο αξιολογείται μαζί με άλλο υποκείμενο προϊόν ΤΠΕ που έχει ήδη λάβει πιστοποιητικό EUCC και από τη λειτουργικότητα ασφάλειας του οποίου εξαρτάται το σύνθετο προϊόν ΤΠΕ·
«εθνική αρχή πιστοποίησης της κυβερνοασφάλειας»: αρχή την οποία ορίζει κράτος μέλος δυνάμει του άρθρου 58 παράγραφος 1 του κανονισμού (ΕΕ) 2019/881·
«οργανισμός πιστοποίησης»: οργανισμός αξιολόγησης της συμμόρφωσης όπως ορίζεται στο άρθρο 2 σημείο 13 του κανονισμού (ΕΚ) αριθ. 765/2008, ο οποίος πραγματοποιεί δραστηριότητες πιστοποίησης·
«τεχνικός τομέας»: κοινό τεχνικό πλαίσιο που σχετίζεται με συγκεκριμένη τεχνολογία για την εναρμονισμένη πιστοποίηση με ένα σύνολο χαρακτηριστικών απαιτήσεων ασφάλειας·
«έγγραφο στάθμης της τεχνικής»: έγγραφο το οποίο προσδιορίζει μεθόδους, τεχνικές και εργαλεία αξιολόγησης που εφαρμόζονται στην πιστοποίηση προϊόντων ΤΠΕ ή στις απαιτήσεις ασφάλειας γενικής κατηγορίας προϊόντων ΤΠΕ ή οποιεσδήποτε άλλες απαιτήσεις αναγκαίες για την πιστοποίηση, με σκοπό την εναρμόνιση της αξιολόγησης, ειδικότερα τεχνικών τομέων ή χαρακτηριστικών προστασίας·
«αρχή εποπτείας της αγοράς»: αρχή όπως ορίζεται στο άρθρο 3 σημείο 4 του κανονισμού (ΕΕ) 2019/1020.
Άρθρο 3
Πρότυπα αξιολόγησης
Στις αξιολογήσεις που διενεργούνται στο πλαίσιο του σχήματος EUCC εφαρμόζονται τα ακόλουθα πρότυπα:
τα κοινά κριτήρια·
η κοινή μεθοδολογία αξιολόγησης.
Έως την 31η Δεκεμβρίου 2027, μπορούν να εκδίδονται πιστοποιητικά στο πλαίσιο του σχήματος EUCC με εφαρμογή ενός εκ των ακολούθων προτύπων:
ISO/IEC 15408-1:2009, ISO/IEC 15408-2:2008 ή ISO/IEC 15408-3:2008·
Κοινά κριτήρια για την αξιολόγηση της ασφάλειας της τεχνολογίας πληροφοριών, έκδοση 3.1, αναθεώρηση 5, που δημοσιεύθηκαν από τους συμμετέχοντες στη ρύθμιση για την αναγνώριση των πιστοποιητικών κοινών κριτηρίων στον τομέα της ασφάλειας ΤΠ·
ISO/IEC 18045:2008·
Κοινή μεθοδολογία για την αξιολόγηση της ασφάλειας της τεχνολογίας πληροφοριών, αναθεώρηση 5, έκδοση 3.1, που δημοσιεύθηκε από τους συμμετέχοντες στη ρύθμιση για την αναγνώριση των πιστοποιητικών κοινών κριτηρίων στον τομέα της ασφάλειας ΤΠ.
Πιστοποιητικό το οποίο εφαρμόζει τα πρότυπα που αναφέρονται στην παράγραφο 1 μπορεί επίσης να εκδίδεται στο πλαίσιο του σχήματος EUCC με δήλωση συμμόρφωσης προς χαρακτηριστικό προστασίας στο οποίο έχει εφαρμοστεί οποιοδήποτε από τα ακόλουθα πρότυπα, υπό την προϋπόθεση ότι η χρήση του εν λόγω χαρακτηριστικού προστασίας απαιτείται βάσει του εκτελεστικού κανονισμού (ΕΕ) 2016/799 της Επιτροπής ( 1 ), του κανονισμού (ΕΕ) αριθ. 910/2014 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου ( 2 ) ή της εκτελεστικής απόφασης (ΕΕ) 2016/650 της Επιτροπής ( 3 ):
Κοινά κριτήρια για την αξιολόγηση της ασφάλειας της τεχνολογίας πληροφοριών, έκδοση 3.1, αναθεώρηση 1 έως 4, που δημοσιεύθηκαν από τους συμμετέχοντες στη ρύθμιση για την αναγνώριση των πιστοποιητικών κοινών κριτηρίων στον τομέα της ασφάλειας ΤΠ·
Κοινή μεθοδολογία για την αξιολόγηση της ασφάλειας της τεχνολογίας πληροφοριών, έκδοση 3.1, αναθεώρηση 1 έως 4, που δημοσιεύθηκε από τους συμμετέχοντες στη ρύθμιση για την αναγνώριση των πιστοποιητικών κοινών κριτηρίων στον τομέα της ασφάλειας ΤΠ.
Άρθρο 4
Επίπεδα διασφάλισης
Άρθρο 5
Μέθοδοι πιστοποίησης προϊόντων ΤΠΕ
Η πιστοποίηση προϊόντος ΤΠΕ διενεργείται ως προς τον στόχο ασφάλειάς του:
όπως ορίζεται από τον αιτούντα· ή
με δήλωση συμμόρφωσης προς πιστοποιημένο χαρακτηριστικό προστασίας στο πλαίσιο διαδικασίας ΤΠΕ, όταν το προϊόν ΤΠΕ εμπίπτει στην κατηγορία προϊόντων ΤΠΕ που καλύπτεται από το συγκεκριμένο χαρακτηριστικό προστασίας.
Άρθρο 6
Αυτοαξιολόγηση της συμμόρφωσης
Αυτοαξιολόγηση της συμμόρφωσης κατά την έννοια του άρθρου 53 του κανονισμού (ΕΕ) 2019/881 δεν επιτρέπεται.
ΚΕΦΑΛΑΙΟ II
ΠΙΣΤΟΠΟΙΗΣΗ ΠΡΟΪΟΝΤΩΝ ΤΠΕ
ΤΜΗΜΑ I
ΕΙΔΙΚΆ ΠΡΌΤΥΠΑ ΚΑΙ ΑΠΑΙΤΉΣΕΙΣ ΓΙΑ ΤΗΝ ΑΞΙΟΛΌΓΗΣΗ
Άρθρο 7
Κριτήρια και μέθοδοι αξιολόγησης για προϊόντα ΤΠΕ
Προϊόν ΤΠΕ το οποίο υποβάλλεται για πιστοποίηση αξιολογείται, τουλάχιστον, σύμφωνα με:
τα εφαρμοστέα στοιχεία των προτύπων που αναφέρονται στο άρθρο 3·
τις κλάσεις απαιτήσεων κατοχύρωσης της ασφάλειας για αξιολόγηση της τρωτότητας και ανεξάρτητες λειτουργικές δοκιμές, όπως προβλέπεται στα πρότυπα αξιολόγησης που αναφέρονται στο άρθρο 3·
το επίπεδο κινδύνου που σχετίζεται με την προβλεπόμενη χρήση των οικείων προϊόντων ΤΠΕ δυνάμει του άρθρου 52 του κανονισμού (ΕΕ) 2019/881 και τις λειτουργίες ασφάλειας των εν λόγω προϊόντων οι οποίες στηρίζουν τους στόχους ασφάλειας που καθορίζονται στο άρθρο 51 του κανονισμού (ΕΕ) 2019/881·
τα εφαρμοστέα έγγραφα στάθμης της τεχνικής που παρατίθενται στο παράρτημα I· και
τα εφαρμοστέα πιστοποιημένα χαρακτηριστικά προστασίας που παρατίθενται στο παράρτημα II.
Η πιστοποίηση προϊόντων ΤΠΕ σε επίπεδο AVA_VAN 4 ή 5 είναι δυνατή μόνον στις ακόλουθες περιπτώσεις:
όταν το προϊόν ΤΠΕ καλύπτεται από οποιονδήποτε τεχνικό τομέα που παρατίθεται στο παράρτημα I, το προϊόν ΤΠΑ αξιολογείται σύμφωνα με τα εφαρμοστέα έγγραφα στάθμης της τεχνικής των εν λόγω τεχνικών τομέων,
όταν το προϊόν ΤΠΕ εμπίπτει σε κατηγορία προϊόντων ΤΠΕ που καλύπτεται από πιστοποιημένο χαρακτηριστικό προστασίας το οποίο περιλαμβάνει επίπεδο AVA_VAN 4 ή 5 και το οποίο παρατίθεται ως χαρακτηριστικό προστασίας τεχνολογίας αιχμής στο παράρτημα IΙ, το προϊόν ΤΠΕ αξιολογείται σύμφωνα με τη μεθοδολογία αξιολόγησης που προσδιορίζεται για το συγκεκριμένο χαρακτηριστικό προστασίας,
σε περίπτωση που τα στοιχεία α) και β) της παρούσας παραγράφου δεν έχουν εφαρμογή και σε περίπτωση που η συμπερίληψη τεχνικού τομέα στο παράρτημα I ή πιστοποιημένου χαρακτηριστικού προστασίας στο παράρτημα II δεν είναι πιθανή στο εγγύς μέλλον, και μόνον σε εξαιρετικές και δεόντως αιτιολογημένες περιπτώσεις, υπό τους όρους που καθορίζονται στην παράγραφο 4.
ΤΜΗΜΑ ΙΙ
ΈΚΔΟΣΗ, ΑΝΑΝΈΩΣΗ ΚΑΙ ΑΝΆΚΛΗΣΗ ΠΙΣΤΟΠΟΙΗΤΙΚΏΝ EUCC
Άρθρο 8
Απαραίτητες πληροφορίες για την πιστοποίηση και την αξιολόγηση
Οι αιτούντες πιστοποίηση δύνανται να παρέχουν στον οργανισμό πιστοποίησης και στην ΕΑΤΤΠ κατάλληλα αποτελέσματα αξιολόγησης από προγενέστερη πιστοποίηση δυνάμει:
του παρόντος κανονισμού·
άλλου ευρωπαϊκού σχήματος πιστοποίησης της κυβερνοασφάλειας θεσπισθέντος δυνάμει του άρθρου 49 του κανονισμού (ΕΕ) 2019/881·
εθνικού σχήματος που αναφέρεται στο άρθρο 49 του παρόντος κανονισμού.
Οι αιτούντες πιστοποίηση παρέχουν επίσης στον οργανισμό πιστοποίησης και στην ΕΑΑΤΠ τις ακόλουθες πληροφορίες:
τον σύνδεσμο προς τον ιστότοπό τους που περιέχει τις συμπληρωματικές πληροφορίες σχετικά με την κυβερνοασφάλεια που αναφέρονται στο άρθρο 55 του κανονισμού (ΕΕ) 2019/881·
περιγραφή των διαδικασιών τους για τη διαχείριση τρωτών σημείων και τη δημοσιοποίηση τρωτών σημείων.
Άρθρο 9
Προϋποθέσεις έκδοσης πιστοποιητικού EUCC
Οι οργανισμοί πιστοποίησης εκδίδουν πιστοποιητικό EUCC, εφόσον πληρούνται όλες οι ακόλουθες προϋποθέσεις:
η κατηγορία προϊόντος ΤΠΕ εμπίπτει στο πεδίο της διαπίστευσης, και όπου συντρέχει περίπτωση της εξουσιοδότησης, του οργανισμού πιστοποίησης και της ΕΑΑΤΠ που συμμετέχει στην πιστοποίηση·
ο αιτών πιστοποίηση υπέγραψε δήλωση με την οποία αναλαμβάνει όλες τις δεσμεύσεις που απαριθμούνται στην παράγραφο 2·
η ΕΑΑΤΠ ολοκλήρωσε την αξιολόγηση χωρίς ένσταση σύμφωνα με τα πρότυπα, τα κριτήρια και τις μεθόδους αξιολόγησης που αναφέρονται στα άρθρα 3 και 7·
ο οργανισμός πιστοποίησης ολοκλήρωσε την επανεξέταση των αποτελεσμάτων της αξιολόγησης χωρίς ένσταση·
ο οργανισμός πιστοποίησης έλεγξε ότι οι τεχνικές εκθέσεις αξιολόγησης της ΕΑΑΤΠ είναι συνεπείς με την παρασχεθείσα τεκμηρίωση και ότι τα πρότυπα, τα κριτήρια και οι μέθοδοι αξιολόγησης που αναφέρονται στα άρθρα 3 και 7 εφαρμόστηκαν ορθά.
Ο αιτών πιστοποίηση αναλαμβάνει τις ακόλουθες δεσμεύσεις:
να παρέχει στον οργανισμό πιστοποίησης και στην ΕΑΑΤΠ κάθε αναγκαία πλήρη και ορθή πληροφορία και να παρέχει συμπληρωματικές αναγκαίες πληροφορίες, εφόσον ζητηθούν·
να μην προωθεί το προϊόν ΤΠΕ ως πιστοποιημένο βάσει του EUCC πριν από την έκδοση του πιστοποιητικού EUCC·
να προωθεί το προϊόν ΤΠΕ ως πιστοποιημένο σε σχέση μόνον με το πεδίο που καθορίζεται στο πιστοποιητικό EUCC·
να παύσει πάραυτα την προώθηση του προϊόντος ΤΠΕ ως πιστοποιημένου σε περίπτωση αναστολής, ανάκλησης ή λήξης της ισχύος του πιστοποιητικού EUCC·
να διασφαλίζει ότι τα προϊόντα ΤΠΕ που πωλούνται με παραπομπή στο πιστοποιητικό EUCC είναι απολύτως πανομοιότυπα με το προϊόν ΤΠΕ που υποβλήθηκε σε πιστοποίηση·
να τηρεί τους κανόνες χρήσης του σήματος και της επισήμανσης που θεσπίζονται για το πιστοποιητικό EUCC σύμφωνα με το άρθρο 11.
Άρθρο 10
Περιεχόμενο και μορφή πιστοποιητικού EUCC
Άρθρο 11
Σήματα και επισημάνσεις
Το σήμα και η επισήμανση έχουν τη μορφή που παρατίθεται στο παράρτημα ΙΧ και περιέχουν τα εξής στοιχεία:
το επίπεδο διασφάλισης και το επίπεδο AVA_VAN του πιστοποιημένου προϊόντος ΤΠΕ·
τον μοναδικό αναγνωριστικό αριθμό του πιστοποιητικού, ο οποίος περιλαμβάνει τα εξής:
την ονομασία του σχήματος·
το όνομα και τον αριθμό αναφοράς της διαπίστευσης του οργανισμού πιστοποίησης που εξέδωσε το πιστοποιητικό·
το έτος και τον μήνα έκδοσης·
τον αναγνωριστικό αριθμό που απέδωσε ο οργανισμός πιστοποίησης που εξέδωσε το πιστοποιητικό.
Το σήμα και η επισήμανση συνοδεύονται από κωδικό QR με σύνδεσμο προς ιστότοπο που περιέχει τουλάχιστον τα εξής:
τις πληροφορίες σχετικά με την περίοδο ισχύος του πιστοποιητικού·
τις απαραίτητες πληροφορίες για την πιστοποίηση οι οποίες καθορίζονται στα παραρτήματα V και VII·
τις πληροφορίες που ο κάτοχος του πιστοποιητικού πρέπει να δημοσιοποιεί σύμφωνα με το άρθρο 55 του κανονισμού (ΕΕ) 2019/881· και
όπου συντρέχει περίπτωση, τις ιστορικές πληροφορίες που σχετίζονται με τη/τις συγκεκριμένη/-ες πιστοποίηση/-εις του προϊόντος ΤΠΕ ώστε να καθίσταται δυνατή η ιχνηλασιμότητα.
Άρθρο 12
Περίοδος ισχύος πιστοποιητικού EUCC
Άρθρο 13
Επανεξέταση πιστοποιητικού EUCC
Μετά τα αποτελέσματα της επανεξέτασης, και κατά περίπτωση της εκ νέου αξιολόγησης, ο οργανισμός πιστοποίησης:
επιβεβαιώνει το πιστοποιητικό EUCC·
ανακαλεί το πιστοποιητικό EUCC σύμφωνα με το άρθρο 14·
ανακαλεί το πιστοποιητικό EUCC σύμφωνα με το άρθρο 14 και εκδίδει νέο πιστοποιητικό EUCC με πανομοιότυπο πεδίο και μεγαλύτερη περίοδο ισχύος· ή
ανακαλεί το πιστοποιητικό EUCC σύμφωνα με το άρθρο 14 και εκδίδει νέο πιστοποιητικό EUCC με διαφορετικό πεδίο.
Άρθρο 14
Ανάκληση πιστοποιητικού EUCC
ΚΕΦΑΛΑΙΟ III
ΠΙΣΤΟΠΟΙΗΣΗ ΧΑΡΑΚΤΗΡΙΣΤΙΚΩΝ ΠΡΟΣΤΑΣΙΑΣ
ΤΜΗΜΑ I
ΕΙΔΙΚΆ ΠΡΌΤΥΠΑ ΚΑΙ ΑΠΑΙΤΉΣΕΙΣ ΓΙΑ ΤΗΝ ΑΞΙΟΛΌΓΗΣΗ
Άρθρο 15
Κριτήρια και μέθοδοι αξιολόγησης
Τα χαρακτηριστικά προστασίας αξιολογούνται, τουλάχιστον, σύμφωνα με τα ακόλουθα στοιχεία:
τα εφαρμοστέα στοιχεία των προτύπων που αναφέρονται στο άρθρο 3·
το επίπεδο κινδύνου που σχετίζεται με την προβλεπόμενη χρήση των οικείων προϊόντων ΤΠΕ δυνάμει του άρθρου 52 του κανονισμού (ΕΕ) 2019/881 και τις λειτουργίες ασφάλειας των εν λόγω προϊόντων οι οποίες στηρίζουν τους στόχους ασφάλειας που καθορίζονται στο άρθρο 51 του ίδιου κανονισμού· και
τα εφαρμοστέα έγγραφα στάθμης της τεχνικής που παρατίθενται στο παράρτημα I. Χαρακτηριστικό προστασίας που καλύπτεται από τεχνικό τομέα πιστοποιείται ως προς τις απαιτήσεις που καθορίζονται στον συγκεκριμένο τεχνικό τομέα.
ΤΜΗΜΑ ΙΙ
ΈΚΔΟΣΗ, ΑΝΑΝΈΩΣΗ ΚΑΙ ΑΝΆΚΛΗΣΗ ΠΙΣΤΟΠΟΙΗΤΙΚΏΝ EUCC ΓΙΑ ΧΑΡΑΚΤΗΡΙΣΤΙΚΆ ΠΡΟΣΤΑΣΊΑΣ
Άρθρο 16
Απαραίτητες πληροφορίες για την πιστοποίηση και την αξιολόγηση χαρακτηριστικών προστασίας
Οι αιτούντες πιστοποίηση χαρακτηριστικού προστασίας στο πλαίσιο του EUCC παρέχουν ή διαθέτουν με άλλον τρόπο στον οργανισμό πιστοποίησης και στην ΕΑΤΤΠ κάθε πληροφορία αναγκαία για τις δραστηριότητες πιστοποίησης και αξιολόγησης σε πλήρη και ορθή μορφή. Το άρθρο 8 παράγραφοι 2, 3, 4 και 7 εφαρμόζεται τηρουμένων των αναλογιών.
Άρθρο 17
Έκδοση πιστοποιητικών EUCC για χαρακτηριστικά προστασίας
▼M1 —————
Τα χαρακτηριστικά προστασίας πιστοποιούνται αποκλειστικά και μόνο από:
εθνική αρχή πιστοποίησης της κυβερνοασφάλειας ή άλλο δημόσιο οργανισμό διαπιστευμένο ως οργανισμό πιστοποίησης· ή
οργανισμό πιστοποίησης, με την προηγούμενη έγκριση της εθνικής αρχής πιστοποίηση της κυβερνοασφάλειας για κάθε επιμέρους χαρακτηριστικό προστασίας.
Άρθρο 18
Περίοδος ισχύος πιστοποιητικού EUCC για χαρακτηριστικά προστασίας
Άρθρο 19
Επανεξέταση πιστοποιητικού EUCC για χαρακτηριστικά προστασίας
Μετά τα αποτελέσματα της επανεξέτασης, και κατά περίπτωση της εκ νέου αξιολόγησης, ο οργανισμός πιστοποίησης προβαίνει σε μια από τις ακόλουθες ενέργειες:
επιβεβαιώνει το πιστοποιητικό EUCC·
ανακαλεί το πιστοποιητικό EUCC σύμφωνα με το άρθρο 20·
ανακαλεί το πιστοποιητικό EUCC σύμφωνα με το άρθρο 20 και εκδίδει νέο πιστοποιητικό EUCC με πανομοιότυπο πεδίο και μεγαλύτερη περίοδο ισχύος·
ανακαλεί το πιστοποιητικό EUCC σύμφωνα με το άρθρο 20 και εκδίδει νέο πιστοποιητικό EUCC με διαφορετικό πεδίο.
Άρθρο 20
Ανάκληση πιστοποιητικού EUCC για χαρακτηριστικό προστασίας
ΚΕΦΑΛΑΙΟ IV
ΟΡΓΑΝΙΣΜΟΙ ΑΞΙΟΛΟΓΗΣΗΣ ΤΗΣ ΣΥΜΜΟΡΦΩΣΗΣ
Άρθρο 20α
Προσδιορισμός των απαιτήσεων για τη διαπίστευση οργανισμών αξιολόγησης της συμμόρφωσης
Για τη διαπίστευση των οργανισμών αξιολόγησης της συμμόρφωσης λαμβάνεται υπόψη ο προσδιορισμός των απαιτήσεων για τη διαπίστευση των οργανισμών πιστοποίησης και των ΕΑΑΤΠ, όπως προβλέπεται στα εφαρμοστέα έγγραφα στάθμης της τεχνικής που παρατίθενται στο σημείο 2 του παραρτήματος I.
Άρθρο 21
Πρόσθετες ή ειδικές απαιτήσεις για οργανισμό πιστοποίησης
Οι οργανισμοί πιστοποίησης εξουσιοδοτούνται από την εθνική αρχή πιστοποίησης της κυβερνοασφάλειας να εκδίδουν πιστοποιητικά EUCC σε «υψηλό» επίπεδο διασφάλισης στην περίπτωση που, επιπλέον της πλήρωσης των απαιτήσεων που καθορίζονται στο άρθρο 60 παράγραφος 1 και στο παράρτημα του κανονισμού (ΕΕ) 2019/881 σχετικά με τη διαπίστευση οργανισμών αξιολόγησης της συμμόρφωσης, οι εν λόγω οργανισμοί καταδεικνύουν ότι:
διαθέτουν την εμπειρογνωσία και τις ικανότητες που απαιτούνται για τη λήψη απόφασης πιστοποίησης σε «υψηλό» επίπεδο διασφάλισης·
διενεργούν τις δραστηριότητες πιστοποίησης σε συνεργασία με ΕΑΑΤΠ εξουσιοδοτημένη σύμφωνα με το άρθρο 22· και
διαθέτουν τις απαιτούμενες ικανότητες και λαμβάνουν κατάλληλα τεχνικά και λειτουργικά μέτρα για την αποτελεσματική προστασία εμπιστευτικών και ευαίσθητων πληροφοριών για «υψηλό» επίπεδο διασφάλισης, επιπλέον των απαιτήσεων που καθορίζονται στο άρθρο 43.
Στην αξιολόγησή της, η εθνική αρχή πιστοποίησης της κυβερνοασφάλειας μπορεί να χρησιμοποιήσει εκ νέου κάθε κατάλληλο αποδεικτικό στοιχείο από προγενέστερη εξουσιοδότηση ή παρόμοιες δραστηριότητες το οποίο χορηγήθηκε δυνάμει:
του παρόντος κανονισμού·
άλλου ευρωπαϊκού σχήματος πιστοποίησης της κυβερνοασφάλειας θεσπισθέντος δυνάμει του άρθρου 49 του κανονισμού (ΕΕ) 2019/881·
εθνικού σχήματος που αναφέρεται στο άρθρο 49 του παρόντος κανονισμού.
Άρθρο 22
Πρόσθετες ή ειδικές απαιτήσεις για ΕΑΑΤΠ
Μια ΕΑΑΤΠ εξουσιοδοτείται από την εθνική αρχή πιστοποίησης της κυβερνοασφάλειας να διενεργεί την αξιολόγηση προϊόντων ΤΠΕ τα οποία υπόκεινται σε πιστοποίηση βάσει του «υψηλού» επίπεδου διασφάλισης, όταν, επιπλέον της πλήρωσης των απαιτήσεων που καθορίζονται στο άρθρο 60 παράγραφος 1 και στο παράρτημα του κανονισμού (ΕΕ) 2019/881 σχετικά με τη διαπίστευση οργανισμών αξιολόγησης της συμμόρφωσης, η ΕΑΑΤΠ καταδεικνύει ότι πληροί όλες τις ακόλουθες προϋποθέσεις:
διαθέτει την αναγκαία εμπειρογνωσία για την εκτέλεση των δραστηριοτήτων αξιολόγησης με σκοπό τον καθορισμό της ανθεκτικότητας σε κυβερνοεπιθέσεις προηγμένης τεχνολογίας που πραγματοποιούνται από παράγοντες με σημαντικές δεξιότητες και σημαντικούς πόρους·
για τους τεχνικούς τομείς και τα χαρακτηριστικά προστασίας, τα οποία περιλαμβάνονται στη διαδικασία ΤΠΕ για τα συγκεκριμένα προϊόντα ΤΠΕ, διαθέτει:
την εμπειρογνωσία για την εκτέλεση των συγκεκριμένων δραστηριοτήτων αξιολόγησης που είναι αναγκαίες για τον μεθοδικό καθορισμό της ανθεκτικότητας στόχου αξιολόγησης σε επιδέξιους επιτιθέμενους στο λειτουργικό περιβάλλον του υποθέτοντας «μέτριο» ή «υψηλό» κίνδυνο επίθεσης όπως καθορίζεται στα πρότυπα που αναφέρονται στο άρθρο 3·
τις τεχνικές ικανότητες οι οποίες προσδιορίζονται στα έγγραφα στάθμης της τεχνικής που παρατίθενται στο παράρτημα I·
διαθέτει τις απαιτούμενες ικανότητες και λαμβάνει κατάλληλα τεχνικά και λειτουργικά μέτρα για την αποτελεσματική προστασία εμπιστευτικών και ευαίσθητων πληροφοριών για «υψηλό» επίπεδο διασφάλισης, επιπλέον των απαιτήσεων που καθορίζονται στο άρθρο 43.
Στην αξιολόγησή της, η εθνική αρχή πιστοποίησης της κυβερνοασφάλειας μπορεί να χρησιμοποιήσει εκ νέου κάθε κατάλληλο αποδεικτικό στοιχείο από προγενέστερη εξουσιοδότηση ή παρόμοιες δραστηριότητες το οποίο χορηγήθηκε δυνάμει:
του παρόντος κανονισμού·
άλλου ευρωπαϊκού σχήματος πιστοποίησης της κυβερνοασφάλειας θεσπισθέντος δυνάμει του άρθρου 49 του κανονισμού (ΕΕ) 2019/881·
εθνικού σχήματος που αναφέρεται στο άρθρο 49 του παρόντος κανονισμού.
▼M1 —————
ΚΕΦΑΛΑΙΟ V
ΠΑΡΑΚΟΛΟΥΘΗΣΗ ΚΑΙ ΜΗ ΣΥΜΜΟΡΦΩΣΗ
ΤΜΗΜΑ I
ΠΑρακολούθηση τησ συμμόρφωσησ
Άρθρο 25
Δραστηριότητες παρακολούθησης της εθνικής αρχής πιστοποίησης της κυβερνοασφάλειας
Με την επιφύλαξη του άρθρου 58 παράγραφος 7 του κανονισμού (ΕΕ) 2019/881, η εθνική αρχή πιστοποίησης της κυβερνοασφάλειας παρακολουθεί τη συμμόρφωση:
του οργανισμού πιστοποίησης και της ΕΑΑΤΠ με τις υποχρεώσεις που υπέχουν από τον παρόντα κανονισμό και τον κανονισμό (ΕΕ) 2019/881·
των κατόχων πιστοποιητικού EUCC με τις υποχρεώσεις που υπέχουν από τον παρόντα κανονισμό και τον κανονισμό (ΕΕ) 2019/881·
των πιστοποιημένων προϊόντων ΤΠΕ με τις απαιτήσεις που καθορίζονται στο EUCC·
της διασφάλισης που δηλώνεται στο πιστοποιητικό EUCC για την αντιμετώπιση των εξελισσόμενων κυβερνοαπειλών.
Η εθνική αρχή πιστοποίησης της κυβερνοασφάλειας ασκεί τις δραστηριότητες παρακολούθησης ειδικότερα βάσει:
των πληροφοριών που προέρχονται από οργανισμούς πιστοποίησης, εθνικούς οργανισμούς διαπίστευσης και αρμόδιες αρχές εποπτείας της αγοράς·
των πληροφοριών που προκύπτουν από τους ελέγχους και τις έρευνες που διεξάγει η ίδια ή άλλη αρχή·
της δειγματοληψίας που διενεργείται σύμφωνα με την παράγραφο 3·
των καταγγελιών που λαμβάνει.
Η εθνική αρχή πιστοποίησης της κυβερνοασφάλειας επιλέγει το δείγμα πιστοποιημένων προϊόντων ΤΠΕ προς έλεγχο εφαρμόζοντας αντικειμενικά κριτήρια, όπως τα ακόλουθα:
κατηγορία προϊόντος·
επίπεδα διασφάλισης των προϊόντων·
κάτοχος πιστοποιητικού·
οργανισμός πιστοποίησης και, κατά περίπτωση, υπεργολάβος ΕΑΑΤΠ·
κάθε άλλη πληροφορία που περιέρχεται σε γνώση της αρχής.
Άρθρο 26
Δραστηριότητες παρακολούθησης του οργανισμού πιστοποίησης
Ο οργανισμός πιστοποίησης παρακολουθεί:
τη συμμόρφωση των κατόχων πιστοποιητικού με τις υποχρεώσεις που υπέχουν από τον παρόντα κανονισμό και τον κανονισμό (ΕΕ) 2019/881 σε σχέση με το πιστοποιητικό EUCC που εξέδωσε ο οργανισμός πιστοποίησης·
τη συμμόρφωση των προϊόντων ΤΠΕ που πιστοποίησε με τις αντίστοιχες απαιτήσεις ασφάλειας·
τη διασφάλιση που δηλώνεται στα πιστοποιημένα χαρακτηριστικά προστασίας.
Ο οργανισμός πιστοποίησης ασκεί τις δραστηριότητες παρακολούθησης βάσει:
των πληροφοριών που παρέχονται βάσει των δεσμεύσεων του αιτούντος πιστοποίηση που αναφέρονται στο άρθρο 9 παράγραφος 2·
των πληροφοριών που προκύπτουν από δραστηριότητες άλλων αρμόδιων αρχών εποπτείας της αγοράς·
των καταγγελιών που λαμβάνει·
πληροφοριών σχετικά με τρωτά σημεία που μπορεί να επηρεάσουν τα προϊόντα ΤΠΕ που έχει πιστοποιήσει.
Άρθρο 27
Δραστηριότητες παρακολούθησης του κατόχου του πιστοποιητικού
Για την παρακολούθηση της συμμόρφωσης του πιστοποιημένου προϊόντος ΤΠΕ με τις απαιτήσεις ασφάλειας που το αφορούν, ο κάτοχος πιστοποιητικού EUCC εκτελεί τα ακόλουθα καθήκοντα:
παρακολουθεί τις πληροφορίες σχετικά με τρωτά σημεία οι οποίες αφορούν το πιστοποιημένο προϊόν ΤΠΕ, συμπεριλαμβανομένων γνωστών εξαρτήσεων, με δικά του μέσα, αλλά επίσης λαμβάνοντας υπόψη:
δημοσίευση ή υπόμνημα που αφορά πληροφορίες σχετικά με τρωτά σημασία από χρήστη ή ερευνητή ασφάλειας που αναφέρεται στο άρθρο 55 παράγραφος 1 στοιχείο γ) του κανονισμού (ΕΕ) 2019/881·
υπόμνημα από οποιαδήποτε άλλη πηγή·
παρακολουθεί τη διασφάλιση που δηλώνεται στο πιστοποιητικό EUCC.
ΤΜΗΜΑ II
Συμμόρφωση
Άρθρο 28
Συνέπειες μη συμμόρφωσης πιστοποιημένου προϊόντος ΤΠΕ ή χαρακτηριστικού προστασίας
Άρθρο 29
Συνέπειες μη συμμόρφωσης του κατόχου του πιστοποιητικού
Όταν ο οργανισμός πιστοποίησης διαπιστώνει ότι:
ο κάτοχος του πιστοποιητικού EUCC ή ο αιτών πιστοποίηση δεν συμμορφώνεται με τις δεσμεύσεις και τις υποχρεώσεις του οι οποίες καθορίζονται στο άρθρο 9 παράγραφος 2, το άρθρο 17 παράγραφος 2) και τα άρθρα 27 και 41· ή
ο κάτοχος του πιστοποιητικού EUCC δεν συμμορφώνεται με το άρθρο 56 παράγραφος 8 του κανονισμού (ΕΕ) 2019/881 ή το κεφάλαιο VI του παρόντος κανονισμού·
τάσσει προθεσμία, η οποία δεν υπερβαίνει τις 30 ημέρες, εντός της οποίας ο κάτοχος του πιστοποιητικού EUCC λαμβάνει διορθωτικά μέτρα.
Άρθρο 30
Αναστολή του πιστοποιητικού EUCC
Άρθρο 31
Συνέπειες μη συμμόρφωσης του οργανισμού αξιολόγησης της συμμόρφωσης
Σε περίπτωση μη συμμόρφωσης οργανισμού πιστοποίησης με τις υποχρεώσεις που υπέχει, ή του οικείου οργανισμού πιστοποίησης σε περίπτωση εντοπισμού μη συμμόρφωσης της ΕΑΑΤΠ, η εθνική αρχή πιστοποίησης της κυβερνοασφάλειας προβαίνει αμελλητί στις εξής ενέργειες:
προσδιορίζει, με τη βοήθεια της οικείας ΕΑΑΤΠ, τα δυνητικώς επηρεαζόμενα πιστοποιητικά EUCC·
κατά περίπτωση, ζητεί την πραγματοποίηση δραστηριοτήτων αξιολόγησης σε ένα ή περισσότερα προϊόντα ΤΠΕ ή χαρακτηριστικά προστασίας, είτε από την ΕΑΑΤΠ που διενήργησε την αξιολόγηση είτε από οποιαδήποτε άλλη διαπιστευμένη και, κατά περίπτωση, εξουσιοδοτημένη ΕΑΑΤΠ που μπορεί να είναι σε καλύτερη θέση, από τεχνική άποψη, να συμβάλει στον ως άνω προσδιορισμό·
αναλύει τις επιπτώσεις της έλλειψης συμμόρφωσης·
ενημερώνει τον κάτοχο του πιστοποιητικού EUCC ο οποίος θίγεται από τη μη συμμόρφωσης.
Βάσει των μέτρων που αναφέρονται στην παράγραφο 1, ο οργανισμός πιστοποίησης λαμβάνει οποιαδήποτε από τις ακόλουθες αποφάσεις σε σχέση με κάθε επηρεαζόμενο πιστοποιητικό EUCC:
διατηρεί το πιστοποιητικό EUCC αμετάβλητο·
ανακαλεί το πιστοποιητικό EUCC σύμφωνα με το άρθρο 14 ή το άρθρο 20 και, κατά περίπτωση, εκδίδει νέο πιστοποιητικό EUCC.
Βάσει των μέτρων που αναφέρονται στην παράγραφο 1, η εθνική αρχή πιστοποίησης της κυβερνοασφάλειας:
εάν συντρέχει περίπτωση, αναφέρει τη μη συμμόρφωση του οργανισμού πιστοποίησης ή της σχετικής ΕΑΑΤΠ στον εθνικό οργανισμό διαπίστευσης·
κατά περίπτωση, αξιολογεί τις δυνητικές επιπτώσεις στην εξουσιοδότηση.
ΚΕΦΑΛΑΙΟ VI
ΔΙΑΧΕΙΡΙΣΗ ΚΑΙ ΔΗΜΟΣΙΟΠΟΙΗΣΗ ΤΡΩΤΩΝ ΣΗΜΕΙΩΝ
Άρθρο 32
Πεδίο της διαχείρισης τρωτών σημείων
Το παρόν κεφάλαιο εφαρμόζεται σε προϊόντα ΤΠΕ για τα οποία εκδόθηκε πιστοποιητικό EUCC.
ΤΜΗΜΑ I
Διαχείριση τρωτών σημείων
Άρθρο 33
Διαδικασίες διαχείρισης τρωτών σημείων
Άρθρο 34
Ανάλυση επιπτώσεων τρωτότητας
Άρθρο 35
Έκθεση ανάλυσης επιπτώσεων τρωτότητας
Η έκθεση ανάλυσης επιπτώσεων τρωτότητας περιέχει αξιολόγηση των ακόλουθων στοιχείων:
των επιπτώσεων των τρωτών σημείων στο πιστοποιημένο προϊόν ΤΠΕ·
ενδεχόμενων κινδύνων που συνδέονται με την εγγύτητα ή το ενδεχόμενο κυβερνοεπίθεσης·
της δυνατότητας διόρθωσης του τρωτού σημείου·
εάν το τρωτό σημείο μπορεί να διορθωθεί, ενδεχόμενων τρόπων αντιμετώπισης του τρωτού σημείου.
Άρθρο 36
Διόρθωση τρωτών σημείων
Ο κάτοχος πιστοποιητικού EUCC υποβάλλει στον οργανισμό πιστοποίησης πρόταση για κατάλληλα διορθωτικά μέτρα. Ο οργανισμός πιστοποίησης επανεξετάζει το πιστοποιητικό σύμφωνα με το άρθρο 13. Το αντικείμενο της επανεξέτασης καθορίζεται με την προτεινόμενη διόρθωση του τρωτού σημείου.
ΤΜΗΜΑ II
Δημοσιοποίηση τρωτών σημείων
Άρθρο 37
Ανταλλαγή πληροφοριών με την εθνική αρχή πιστοποίησης της κυβερνοασφάλειας
Άρθρο 38
Συνεργασία με άλλες εθνικές αρχές πιστοποίησης της κυβερνοασφάλειας
Άρθρο 39
Δημοσίευση του τρωτού σημείου
Με την ανάκληση ενός πιστοποιητικού, ο κάτοχος του πιστοποιητικού EUCC γνωστοποιεί και καταχωρίζει κάθε δημόσια γνωστό και διορθωμένο τρωτό σημείο του προϊόντος ΤΠΕ στην ευρωπαϊκή βάση δεδομένων τρωτών σημείων, η οποία δημιουργήθηκε σύμφωνα με το άρθρο 12 της οδηγίας (ΕΕ) 2022/2555 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου ( 4 ), ή σε άλλα επιγραμμικά αποθετήρια, τα οποία αναφέρονται στο άρθρο 55 παράγραφος 1 στοιχείο δ) του κανονισμού (ΕΕ) 2019/881.
ΚΕΦΑΛΑΙΟ VII
ΤΗΡΗΣΗ, ΓΝΩΣΤΟΠΟΙΗΣΗ ΚΑΙ ΠΡΟΣΤΑΣΙΑ ΠΛΗΡΟΦΟΡΙΩΝ
Άρθρο 40
Τήρηση αρχείων από οργανισμούς πιστοποίησης και ΕΑΑΤΠ
Άρθρο 41
Πληροφορίες που διατίθενται από τον κάτοχο πιστοποιητικού
Ο κάτοχος πιστοποιητικού EUCC αποθηκεύει με ασφάλεια, για το διάστημα που είναι αναγκαίο για τους σκοπούς του παρόντος κανονισμού και για τουλάχιστον 5 έτη μετά την ανάκληση του σχετικού πιστοποιητικού EUCC, τις ακόλουθες πληροφορίες:
αρχεία των πληροφοριών που παρασχέθηκαν στον οργανισμό πιστοποίησης και στην ΕΑΑΤΠ κατά τη διάρκεια της διαδικασίας πιστοποίησης·
δείγμα του πιστοποιημένου προϊόντος ΤΠΕ.
Άρθρο 42
Πληροφορίες οι οποίες πρέπει να διατίθενται από τον ENISA
Ο ENISA δημοσιεύει στον ιστότοπο που αναφέρεται στο άρθρο 50 παράγραφος 1 του κανονισμού (ΕΕ) 2019/881 τις ακόλουθες πληροφορίες:
όλα τα πιστοποιητικά EUCC·
τις πληροφορίες σχετικά με το καθεστώς πιστοποιητικού EUCC, και ειδικότερα αν είναι σε ισχύ, αν έχει ανασταλεί, αν έχει ανακληθεί ή αν έχει λήξει·
εκθέσεις πιστοποίησης οι οποίες αντιστοιχούν σε κάθε πιστοποιητικό EUCC·
κατάλογο διαπιστευμένων οργανισμών αξιολόγησης της συμμόρφωσης·
κατάλογο εξουσιοδοτημένων οργανισμών αξιολόγησης της συμμόρφωσης·
τα έγγραφα στάθμης της τεχνικής που παρατίθενται στο παράρτημα I·
τις γνώμες της ευρωπαϊκής ομάδας πιστοποίησης της κυβερνοασφάλειας που αναφέρονται στο άρθρο 62 παράγραφος 4 στοιχείο γ) του κανονισμού (ΕΕ) 2019/881·
εκθέσεις αξιολόγησης από ομοτίμους οι οποίες εκδίδονται σύμφωνα με το άρθρο 47.
Άρθρο 43
Προστασία πληροφοριών
Οι οργανισμοί αξιολόγησης της συμμόρφωσης, οι εθνικές αρχές πιστοποίησης της κυβερνοασφάλειας, η ΕΟΠΙΚ, ο ENISA, η Επιτροπή και κάθε άλλο μέρος μεριμνούν για την ασφάλεια και την προστασία των επιχειρηματικών απορρήτων και άλλων εμπιστευτικών πληροφοριών, συμπεριλαμβανομένου του εμπορικού απορρήτου, καθώς και για την προστασία δικαιωμάτων διανοητικής ιδιοκτησίας, λαμβάνουν δε τα αναγκαία και κατάλληλα τεχνικά και οργανωτικά μέτρα.
ΚΕΦΑΛΑΙΟ VIII
ΣΥΜΦΩΝΙΕΣ ΑΜΟΙΒΑΙΑΣ ΑΝΑΓΝΩΡΙΣΗΣ ΜΕ ΤΡΙΤΕΣ ΧΩΡΕΣ
Άρθρο 44
Προϋποθέσεις
Οι συμφωνίες αμοιβαίας αναγνώρισης που αναφέρονται στην παράγραφο 1 μπορούν να συνάπτονται μόνον με τρίτες χώρες που πληρούν τις ακόλουθες προϋποθέσεις:
διαθέτουν μια αρχή η οποία:
είναι δημόσιος οργανισμός, ανεξάρτητος από τις οντότητες τις οποίες εποπτεύει και παρακολουθεί όσον αφορά την οργανωτική και νομική δομή, την οικονομική χρηματοδότηση και τη λήψη αποφάσεων·
διαθέτει κατάλληλες εξουσίες παρακολούθησης και εποπτείας για τη διενέργεια ερευνών και είναι εξουσιοδοτημένη να λαμβάνει κατάλληλα διορθωτικά μέτρα για τη διασφάλιση συμμόρφωσης·
διαθέτει αποτελεσματικό, αναλογικό και αποτρεπτικό σύστημα επιβολής κυρώσεων για τη διασφάλιση συμμόρφωσης·
συμφωνεί να συνεργάζεται με την ευρωπαϊκή ομάδα πιστοποίησης της κυβερνοασφάλειας και τον ENISA για την ανταλλαγή βέλτιστων πρακτικών και σχετικών εξελίξεων στον τομέα της πιστοποίησης της κυβερνοασφάλειας και να καταβάλλει προσπάθειες για την ομοιόμορφη ερμηνεία των επί του παρόντος εφαρμοστέων κριτηρίων και μεθόδων αξιολόγησης, μεταξύ άλλων, μέσω της εφαρμογής εναρμονισμένης τεκμηρίωσης η οποία είναι ισοδύναμη με τα έγγραφα στάθμης της τεχνικής που παρατίθενται στο παράρτημα I·
διαθέτουν ανεξάρτητο οργανισμό διαπίστευσης ο οποίος πραγματοποιεί διαπιστεύσεις κάνοντας χρήση προτύπων ισοδύναμων με εκείνα που αναφέρονται στον κανονισμό (ΕΚ) αριθ. 765/2008·
δεσμεύονται ότι οι διεργασίες και διαδικασίες αξιολόγησης και πιστοποίησης θα εκτελούνται με τον δέοντα επαγγελματισμό, λαμβάνοντας υπόψη τη συμμόρφωση με τα διεθνή πρότυπα που αναφέρονται στον παρόντα κανονισμό, και ειδικότερα στο άρθρο 3·
έχουν την ικανότητα να αναφέρουν τρωτά σημεία που δεν έχουν εντοπισθεί προηγουμένως και διαθέτουν παγιωμένη και κατάλληλη διαδικασία διαχείρισης και γνωστοποίησης τρωτών σημείων·
διαθέτουν παγιωμένες διαδικασίες για την αποτελεσματική υποβολή και τον χειρισμό καταγγελιών και την παροχή αποτελεσματικών μέσων έννομης προστασίας στους καταγγέλλοντες·
θεσπίζουν μηχανισμό συνεργασίας με άλλους οργανισμούς της Ένωσης και των κρατών μελών στον τομέα της πιστοποίησης της κυβερνοασφάλειας στο πλαίσιο του παρόντος κανονισμού, ο οποίος περιλαμβάνει ανταλλαγή πληροφοριών σχετικά με ενδεχόμενη μη συμμόρφωση πιστοποιητικών, παρακολούθηση των σχετικών εξελίξεων στον τομέα της πιστοποίησης και διασφάλιση κοινής προσέγγισης για τη διατήρηση και την επανεξέταση της πιστοποίησης.
Επιπλέον των προϋποθέσεων που καθορίζονται στην παράγραφο 3, συμφωνία αμοιβαίας αναγνώρισης που αναφέρεται στην παράγραφο 1 η οποία καλύπτει «υψηλό» επίπεδο διασφάλισης μπορεί να συναφθεί με τρίτες χώρες μόνον εάν πληρούνται επίσης οι ακόλουθες προϋποθέσεις:
η τρίτη χώρα διαθέτει ανεξάρτητη και δημόσια αρχή πιστοποίησης της κυβερνοασφάλειας η οποία εκτελεί ή αναθέτει δραστηριότητες αξιολόγησης αναγκαίες για την πιστοποίηση σε «υψηλό» επίπεδο διασφάλισης οι οποίες είναι ισοδύναμες με τις απαιτήσεις και τις διαδικασίες που καθορίζονται για τις εθνικές αρχές πιστοποίησης της κυβερνοασφάλειας στον παρόντα κανονισμό και στον κανονισμό (ΕΕ) 2019/881·
η συμφωνία αμοιβαίας αναγνώρισης θεσπίζει κοινό μηχανισμό ισοδύναμο με την αξιολόγηση από ομοτίμους για την πιστοποίηση EUCC με σκοπό τη βελτίωση της ανταλλαγής πρακτικών και την από κοινού επίλυση ζητημάτων στον τομέα της αξιολόγησης και της πιστοποίησης.
ΚΕΦΑΛΑΙΟ IX
ΑΞΙΟΛΟΓΗΣΗ ΟΡΓΑΝΙΣΜΩΝ ΠΙΣΤΟΠΟΙΗΣΗΣ ΑΠΟ ΟΜΟΤΙΜΟΥΣ
Άρθρο 45
Διαδικασία αξιολόγησης από ομοτίμους
Η αξιολόγηση από ομοτίμους μπορεί να βασίζεται σε τεκμηρίωση που συλλέχθηκε στο πλαίσιο προγενέστερων αξιολογήσεων από ομοτίμους ή παρόμοιων διαδικασιών του οργανισμού πιστοποίησης που αξιολογείται από ομοτίμους ή της εθνικής αρχής πιστοποίησης της κυβερνοασφάλειας, εφόσον:
τα αποτελέσματα δεν είναι παλαιότερα των 5 ετών·
τα αποτελέσματα συνοδεύονται από περιγραφή των διαδικασιών αξιολόγησης που ομοτίμους που θεσπίστηκαν για το συγκεκριμένο σχήμα όταν αφορούν αξιολόγηση από ομοτίμους η οποία διενεργήθηκε υπό διαφορετικό σχήμα πιστοποίησης·
στην έκθεση αξιολόγησης από ομοτίμους που αναφέρεται στο άρθρο 47 προσδιορίζονται τα αποτελέσματα τα οποία χρησιμοποιούνται εκ νέου με ή χωρίς περαιτέρω αξιολόγηση.
Άρθρο 46
Στάδια της αξιολόγησης από ομοτίμους
Άρθρο 47
Έκθεση αξιολόγησης από ομοτίμους
Η ευρωπαϊκή ομάδα πιστοποίησης της κυβερνοασφάλειας εκδίδει γνώμη σχετικά με την έκθεση αξιολόγησης από ομοτίμους:
εάν στην έκθεση αξιολόγησης από ομοτίμους δεν προσδιορίζονται περιπτώσεις μη συμμόρφωσης ή εάν ο οργανισμός πιστοποίησης που υποβάλλεται σε αξιολόγηση από ομοτίμους αντιμετώπισε κατάλληλα τις περιπτώσεις μη συμμόρφωσης, η ευρωπαϊκή ομάδα πιστοποίησης της κυβερνοασφάλειας δύναται να εκδώσει θετική γνώμη και όλα τα σχετικά έγγραφα δημοσιεύονται στον ιστότοπο του ENISA για την πιστοποίηση·
σε περίπτωση που ο οργανισμός πιστοποίησης που υποβάλλεται σε αξιολόγηση από ομοτίμους δεν αντιμετώπισε κατάλληλα τις περιπτώσεις μη συμμόρφωσης εντός της ταχθείσας προθεσμίας, η ευρωπαϊκή ομάδα πιστοποίησης της κυβερνοασφάλειας δύναται να εκδώσει αρνητική γνώμη η οποία δημοσιεύεται στον ιστότοπο του ENISA για την πιστοποίηση, συμπεριλαμβανομένων της έκθεσης αξιολόγησης από ομοτίμους και όλων των σχετικών εγγράφων.
ΚΕΦΑΛΑΙΟ X
ΔΙΑΤΗΡΗΣΗ ΤΟΥ ΣΧΗΜΑΤΟΣ
Άρθρο 48
Διατήρηση του EUCC
ΚΕΦΑΛΑΙΟ XI
ΤΕΛΙΚΕΣ ΔΙΑΤΑΞΕΙΣ
Άρθρο 49
Εθνικά σχήματα τα οποία καλύπτονται από το EUCC
Άρθρο 50
Έναρξη ισχύος
Ο παρών κανονισμός αρχίζει να ισχύει την εικοστή ημέρα από τη δημοσίευσή του στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης.
Εφαρμόζεται από τις 27 Φεβρουαρίου 2025.
Το κεφάλαιο IV και το παράρτημα V εφαρμόζονται από την ημερομηνία έναρξης ισχύος του παρόντος κανονισμού.
Ο παρών κανονισμός είναι δεσμευτικός ως προς όλα τα μέρη του και ισχύει άμεσα σε κάθε κράτος μέλος.
ΠΑΡΑΡΤΗΜΑ I
Έγγραφα στάθμης της τεχνικής που υποστηρίζουν τεχνικούς τομείς και άλλα έγγραφα στάθμης της τεχνικής
1. Έγγραφα στάθμης της τεχνικής που υποστηρίζουν τεχνικούς τομείς σε επίπεδο AVA_VAN 4 ή 5:
τα ακόλουθα έγγραφα σχετικά με την εναρμονισμένη αξιολόγηση του τεχνικού τομέα «έξυπνες κάρτες και παρεμφερείς διατάξεις»:
«Minimum ITSEF requirements for security evaluations of smart cards and similar devices» (Ελάχιστες απαιτήσεις ΕΑΑΤΠ για αξιολογήσεις ασφάλειας έξυπνων καρτών και παρεμφερών διατάξεων), έκδοση 1.1·
«Minimum Site Security Requirements» (Ελάχιστες απαιτήσεις ασφάλειας χώρου), έκδοση 1.1·
«Application of Common Criteria to integrated circuits» (Εφαρμογή κοινών κριτηρίων σε ολοκληρωμένα κυκλώματα), έκδοση 1.1·
«Security Architecture requirements (ADV_ARC) for smart cards and similar devices» [Απαιτήσεις αρχιτεκτονικής ασφάλειας (ADV_ARC) για έξυπνες κάρτες και παρεμφερείς διατάξεις], έκδοση 1.1·
«Certification of “open” smart card products» (Πιστοποίηση «ανοικτών» προϊόντων έξυπνων καρτών), έκδοση 1.1·
«Composite product evaluation for smart cards and similar devices» (Αξιολόγηση σύνθετων προϊόντων για έξυπνες κάρτες και παρεμφερείς διατάξεις), έκδοση 1.1·
«Application of Attack Potential to Smartcards and Similar Devices» (Εφαρμογή κινδύνου επίθεσης σε έξυπνες κάρτες και παρεμφερείς διατάξεις), έκδοση 1.2·
τα ακόλουθα έγγραφα σχετικά με την εναρμονισμένη αξιολόγηση του τεχνικού τομέα «διατάξεις υλισμικού με θυρίδες ασφαλείας»:
«Minimum ITSEF requirements for security evaluations of hardware devices with security boxes» (Ελάχιστες απαιτήσεις ΕΑΑΤΠ για αξιολογήσεις ασφάλειας διατάξεων υλισμικού με θυρίδες ασφαλείας), έκδοση 1.1·
«Minimum Site Security Requirements» (Ελάχιστες απαιτήσεις ασφάλειας χώρου), έκδοση 1.1·
«Application of Attack Potential to hardware devices with security boxes» (Εφαρμογή κινδύνου επίθεσης σε διατάξεις υλισμικού με θυρίδες ασφαλείας), έκδοση 1.2.
2. Έγγραφα στάθμης της τεχνικής σχετικά με την εναρμονισμένη διαπίστευση των οργανισμών αξιολόγησης της συμμόρφωσης:
«Accreditation of ITSEFs for the EUCC» (Διαπίστευση ΕΑΑΤΠ για το EUCC), έκδοση 1.1 για διαπιστεύσεις που έχουν εκδοθεί πριν από τις 8 Ιουλίου 2025.
«Accreditation of ITSEFs for the EUCC» (Διαπίστευση ΕΑΑΤΠ για το EUCC), έκδοση 1.6c, για διαπιστεύσεις που έχουν εκδοθεί για πρώτη φορά ή επανεξετάζονται μετά τις 8 Ιουλίου 2025.
«Accreditation of CBs for the EUCC» (Διαπίστευση οργανισμών πιστοποίησης για το EUCC), έκδοση 1.6b.
ΠΑΡΑΡΤΗΜΑ II
Χαρακτηριστικά προστασίας πιστοποιημένα σε επίπεδο AVA_VAN 4 ή 5
1. Για την κατηγορία εγκεκριμένων διατάξεων εξ αποστάσεως δημιουργίας υπογραφών και σφραγίδων:
EN 419241-2:2019 — Αξιόπιστα συστήματα υποστήριξης της υπογραφής εξυπηρετητή — Μέρος 2: Χαρακτηριστικό προστασίας για QSCD για την υπογραφή εξυπηρετητή·
EN 419221-5:2018 — Κρυπτογραφικά δομοστοιχεία για παρόχους υπηρεσιών εμπιστοσύνης — μέρος 5: Κρυπτογραφικό δομοστοιχείο για υπηρεσίες εμπιστοσύνης
2. Χαρακτηριστικά προστασίας τα οποία θεσπίστηκαν ως έγγραφα στάθμης της τεχνικής:
[ΚΕΝΟ]
ΠΑΡΑΡΤΗΜΑ III
Συνιστώμενα χαρακτηριστικά προστασίας (που απεικονίζουν τους τεχνικούς τομείς από το παράρτημα Ι)
Χαρακτηριστικά προστασίας που χρησιμοποιούνται για την πιστοποίηση προϊόντων ΤΠΕ που εμπίπτουν στην κατωτέρω αναφερόμενη κατηγορία προϊόντων ΤΠΕ:
για την κατηγορία των μηχαναγνώσιμων ταξιδιωτικών εγγράφων:
PP Machine Readable Travel Document using Standard Inspection Procedure with PACE, BSI-CC-PP-0068-V2-2011-MA-01·
PP for a Machine Readable Travel Document with "ICAO Application" Extended Access Control, BSI-CC-PP-0056-2009·
PP for a Machine Readable Travel Document with "ICAO Application" Extended Access Control with PACE, BSI-CC-PP-0056-V2-2012-MA-02·
PP for a Machine Readable Travel Document with "ICAO Application" Basic Access Control, BSI-CC-PP-0055-2009·
για την κατηγορία των ασφαλών διατάξεων δημιουργίας υπογραφής:
EN 419211-1:2014 — Χαρακτηριστικά προστασίας για ασφαλή διάταξη δημιουργίας υπογραφής — μέρος 1: Συνοπτική παρουσίαση
EN 419211-2:2013 — Χαρακτηριστικά προστασίας για ασφαλή διάταξη δημιουργίας υπογραφής — μέρος 2: Διάταξη με δημιουργία κλειδιού·
EN 419211-3:2013 — Χαρακτηριστικά προστασίας για ασφαλή διάταξη δημιουργίας υπογραφής — μέρος 3: Διάταξη με εισαγωγή κλειδιού·
EN 419211-4:2013 — Χαρακτηριστικά προστασίας για ασφαλή διάταξη δημιουργίας υπογραφής — μέρος 4: Επέκταση για διάταξη με δημιουργία κλειδιού και αξιόπιστο δίαυλο για την εφαρμογή δημιουργίας πιστοποιητικού
EN 419211-5:2013 — Χαρακτηριστικά προστασίας για ασφαλή διάταξη δημιουργίας υπογραφής — μέρος 5: Επέκταση για διάταξη με δημιουργία κλειδιού και αξιόπιστο δίαυλο για την εφαρμογή δημιουργίας υπογραφής·
EN 419211-6:2014 — Χαρακτηριστικά προστασίας για ασφαλή διάταξη δημιουργίας υπογραφής — μέρος 6: Επέκταση για διάταξη με εισαγωγή κλειδιού και αξιόπιστο δίαυλο για την εφαρμογή δημιουργίας υπογραφής·
για την κατηγορία των ψηφιακών ταχογράφων:
Ψηφιακός ταχογράφος — Κάρτα ταχογράφου, όπως αναφέρεται στον εκτελεστικό κανονισμό (ΕΕ) 2016/799 της Επιτροπής, της 18ης Μαρτίου 2016, σχετικά με την εφαρμογή του κανονισμού (ΕΕ) αριθ. 165/2014 (παράρτημα 1Γ)·
Ψηφιακός ταχογράφος — Μονάδα επί οχήματος, όπως αναφέρεται στο παράρτημα Ι Β του κανονισμού (ΕΚ) αριθ. 1360/2002 της Επιτροπής, η οποία προορίζεται για εγκατάσταση σε οχήματα οδικών μεταφορών·
Ψηφιακός ταχογράφος — Εξωτερικός μηχανισμός GNSS (EGF PP), όπως αναφέρεται στο παράρτημα 1Γ του εκτελεστικού κανονισμού (ΕΕ) 2016/799 της Επιτροπής, της 18ης Μαρτίου 2016, σχετικά με την εφαρμογή του κανονισμού (ΕΕ) αριθ. 165/2014 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου·
Ψηφιακός ταχογράφος — Αισθητήρας κίνησης (MS PP), όπως αναφέρεται στο παράρτημα 1Γ του εκτελεστικού κανονισμού (ΕΕ) 2016/799 της Επιτροπής, της 18ης Μαρτίου 2016, σχετικά με την εφαρμογή του κανονισμού (ΕΕ) αριθ. 165/2014 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου·
για την κατηγορία ασφαλών ολοκληρωμένων κυκλωμάτων, έξυπνων καρτών και συναφών διατάξεων:
Security IC Platform ΡΡ, BSI-CC-PP-0084-2014·
Java Card System - Open Configuration, V3.0.5 BSI-CC-PP-0099-2017·
Java Card System - Closed Configuration, BSI-CC-PP-0101-2017·
PP for a PC Client Specific Trusted Platform Module Family 2.0 Level 0 Revision 1.16, ANSSI-CC-PP-2015/07·
Universal SIM card, PU-2009-RT-79, ANSSI-CC-PP-2010/04·
Embedded UICC (eUICC) for Machine-to-Machine Devices, BSI-CC-PP-0089-2015·
για την κατηγορία των σημείων αλληλεπίδρασης (με σκοπό τις πληρωμές) και των τερματικών σημείου πώλησης:
Σημείο αλληλεπίδρασης «POI-CHIP-ONLY», ANSSI-CC-PP-2015/01·
Σημείο αλληλεπίδρασης «POI-CHIP-ONLY and Open Protocol Package», ANSSI-CC-PP-2015/02·
Σημείο αλληλεπίδρασης «POI-COMPREHENSIVE», ANSSI-CC-PP-2015/03·
Σημείο αλληλεπίδρασης «POI-COMPREHENSIVE and Open Protocol Package», ANSSI-CC-PP-2015/04·
Σημείο αλληλεπίδρασης «POI-PED-ONLY», ANSSI-CC-PP-2015/05·
Σημείο αλληλεπίδρασης «POI-PED-ONLY and Open Protocol Package», ANSSI-CC-PP-2015/06·
για την κατηγορία διατάξεων υλισμικού με θυρίδες ασφαλείας:
Cryptographic Module for CSP Signing Operations with Backup - PP CMCSOB, PP HSM CMCSOB 14167-2, ANSSI-CC-PP-2015/08·
Cryptographic Module for CSP key generation services - PP CMCKG, PP HSM CMCKG 14167-3, ANSSI-CC-PP-2015/09·
Cryptographic Module for CSP Signing Operations without Backup - PP CMCSO, PP HSM CMCKG 14167-4, ANSSI-CC-PP-2015/10.
ΠΑΡΑΡΤΗΜΑ IV
Συνεχεια διασφαλισησ και επανεξεταση Πιστοποιητικων
IV.1 Συνέχεια διασφάλισης: πεδίο
1. Οι ακόλουθες απαιτήσεις για τη συνέχεια της διασφάλισης εφαρμόζονται στις δραστηριότητες διατήρησης που αφορούν τα ακόλουθα:
επαναξιολόγηση του κατά πόσον ένα αμετάβλητο πιστοποιημένο προϊόν ΤΠΕ εξακολουθεί να πληροί τις απαιτήσεις ασφάλειας που το αφορούν·
αξιολόγηση των συνεπειών των αλλαγών πιστοποιημένου προϊόντος ΤΠΕ στην πιστοποίησή του·
εάν περιλαμβάνεται στην πιστοποίηση, εφαρμογή διορθώσεων σύμφωνα με αξιολογημένη διαδικασία διαχείρισης διορθώσεων·
εάν περιλαμβάνεται, επανεξέταση της διαχείρισης του κύκλου ζωής ή των διαδικασιών παραγωγής του κατόχου του πιστοποιητικού.
2. Ο κάτοχος πιστοποιητικού EUCC μπορεί να ζητήσει την επανεξέταση του πιστοποιητικού στις ακόλουθες περιπτώσεις:
το πιστοποιητικό EUCC λήγει εντός εννέα μηνών·
υπήρξε αλλαγή είτε στο πιστοποιημένο προϊόν ΤΠΕ είτε σε άλλον παράγοντα, η οποία θα μπορούσε να έχει επιπτώσεις στη λειτουργικότητα ασφαλείας του·
ο κάτοχος του πιστοποιητικού ζητεί να διενεργηθεί εκ νέου η αξιολόγηση τρωτότητας προκειμένου να επαναβεβαιωθεί η διασφάλιση του πιστοποιητικού EUCC η οποία σχετίζεται με την ανθεκτικότητα του προϊόντος ΤΠΕ σε σύγχρονες κυβερνοεπιθέσεις.
IV.2 Επαναξιολόγηση
1. Σε περίπτωση που υπάρχει ανάγκη εκτίμησης των επιπτώσεων των αλλαγών στο περιβάλλον απειλής ενός αμετάβλητου πιστοποιημένου προϊόντος ΤΠΕ, υποβάλλεται στον οργανισμό πιστοποίησης αίτημα επαναξιολόγησης.
2. Η επαναξιολόγηση διενεργείται από την ίδια ΕΑΑΤΠ που συμμετείχε στην προηγούμενη αξιολόγηση κάνοντας εκ νέου χρήση όλων των αποτελεσμάτων της που εξακολουθούν να ισχύουν. Η αξιολόγηση επικεντρώνεται στις δραστηριότητες διασφάλισης οι οποίες επηρεάζονται δυνητικώς από τις μεταβολές στις κυβερνοαπειλές που αφορούν πιστοποιημένο προϊόν ΤΠΕ, ειδικότερα τη σχετική οικογένεια AVA_VAN και, επιπλέον, την οικογένεια κύκλου ζωής διασφάλισης (ALC), οπότε συλλέγεται εκ νέου επαρκής τεκμηρίωση σχετικά με τη διατήρηση του περιβάλλοντος ανάπτυξης.
3. Η ΕΑΑΤΠ περιγράφει τις αλλαγές και αναφέρει λεπτομερώς τα αποτελέσματα της επαναξιολόγησης με επικαιροποίηση της προηγούμενης τεχνικής έκθεσης αξιολόγησης.
4. Ο οργανισμός πιστοποίησης επανεξετάζει την επικαιροποιημένη τεχνική έκθεση αξιολόγησης και εκπονεί έκθεση επαναξιολόγησης. Στη συνέχεια το καθεστώς του αρχικού πιστοποιητικού τροποποιείται σύμφωνα με το άρθρο 13.
5. Η έκθεση επαναξιολόγησης και το επικαιροποιημένο πιστοποιητικό υποβάλλονται στην εθνική αρχή πιστοποίησης της κυβερνοασφάλειας και στον ENISA για δημοσίευση στον οικείο ιστότοπο πιστοποίησης της κυβερνοασφάλειας.
IV.3 Αλλαγές σε πιστοποιημένο προϊόν ΤΠΕ
1. Σε περίπτωση που ένα πιστοποιημένο προϊόν ΤΠΕ έχει υποστεί αλλαγές, ο κάτοχος του πιστοποιητικού που επιθυμεί να διατηρήσει το πιστοποιητικό υποβάλλει στον οργανισμό πιστοποίησης έκθεση ανάλυσης επιπτώσεων.
2. Η έκθεση ανάλυσης επιπτώσεων περιέχει τα ακόλουθα στοιχεία:
εισαγωγή, στην οποία παρατίθενται οι απαραίτητες πληροφορίες για τον προσδιορισμό της έκθεσης ανάλυσης επιπτώσεων και του στόχου αξιολόγησης που μεταβάλλονται·
περιγραφή των αλλαγών του προϊόντος·
προσδιορισμό της επηρεαζόμενης τεκμηρίωσης του φορέα ανάπτυξης·
περιγραφή των τροποποιήσεων της τεκμηρίωσης του φορέα ανάπτυξης·
τα ευρήματα και τα συμπεράσματα σχετικά με τις επιπτώσεις κάθε αλλαγής στη διασφάλιση.
3. Ο οργανισμός πιστοποίησης εξετάζει τις αλλαγές που περιγράφονται στην έκθεση ανάλυσης επιπτώσεων προκειμένου να επικυρώσει τις επιπτώσεις τους στη διασφάλιση του πιστοποιημένου στόχου αξιολόγησης, όπως προτείνεται στα συμπεράσματα της έκθεσης ανάλυσης επιπτώσεων.
4. Μετά την εξέταση, ο οργανισμός πιστοποίησης προσδιορίζει την κλίμακα της αλλαγής ως ήσσονος σημασίας ή μείζονος σημασίας ανάλογα με τις επιπτώσεις της.
5. Σε περίπτωση που οι αλλαγές έχουν επιβεβαιωθεί από τον οργανισμό πιστοποίησης ως ήσσονος σημασίας, δεν εκδίδεται νέο πιστοποιητικό για το τροποποιημένο προϊόν ΤΠΕ και εκπονείται έκθεση διατήρησης για την αρχική έκθεση πιστοποίησης.
Η έκθεση διατήρησης αποτελεί υποσύνολο της έκθεσης ανάλυσης επιπτώσεων και περιέχει τις ακόλουθες ενότητες:
εισαγωγή·
περιγραφή αλλαγών·
επηρεαζόμενη τεκμηρίωση φορέα ανάπτυξης.
6. Η έκθεση διατήρησης που αναφέρεται στο σημείο 5 υποβάλλεται στον ENISA για δημοσίευση στον οικείο ιστότοπο πιστοποίησης της κυβερνοασφάλειας.
7. Σε περίπτωση που ο οργανισμός πιστοποίησης επιβεβαίωσε ότι οι αλλαγές είναι μείζονος σημασίας, διενεργείται εκ νέου αξιολόγηση στο πλαίσιο της προηγούμενης αξιολόγησης και με την εκ νέου χρήση τυχόν αποτελεσμάτων της προηγούμενης αξιολόγησης που εξακολουθούν να ισχύουν.
8. Μετά την ολοκλήρωση της αξιολόγησης του μεταβληθέντος στόχου αξιολόγησης, η ΕΑΑΤΠ εκπονεί νέα τεχνική έκθεση αξιολόγησης. Ο οργανισμός πιστοποίησης επανεξετάζει την επικαιροποιημένη τεχνική έκθεση αξιολόγησης και, κατά περίπτωση, καταρτίζει νέο πιστοποιητικό με νέα έκθεση πιστοποίησης.
9. Το νέο πιστοποιητικό και η νέα έκθεση πιστοποίησης υποβάλλονται στον ENISA για δημοσίευση.
IV.4 Διαχείριση διορθώσεων
1. Η διαδικασία διαχείρισης διορθώσεων παρέχει μια δομημένη διαδικασία για την επικαιροποίηση πιστοποιημένου προϊόντος ΤΠΕ. Η διαδικασία διαχείρισης διορθώσεων, συμπεριλαμβανομένου του μηχανισμού ο οποίος εφαρμόζεται στο προϊόν ΤΠΕ από τον αιτούντα πιστοποίηση, μπορεί να χρησιμοποιηθεί μετά την πιστοποίηση του προϊόντος ΤΠΕ υπό την ευθύνη του οργανισμού αξιολόγησης της συμμόρφωσης.
2. Ο αιτών πιστοποίηση μπορεί να συμπεριλάβει στην πιστοποίηση του προϊόντος ΤΠΕ μηχανισμό διορθώσεων, στο πλαίσιο πιστοποιημένης διαδικασίας διαχείρισης που εφαρμόζεται στο προϊόν ΤΠΕ, εφόσον πληρούται μία από τις ακόλουθες προϋποθέσεις:
οι λειτουργικότητες που επηρεάζονται από τη διόρθωση βρίσκονται εκτός του στόχου αξιολόγησης του πιστοποιημένου προϊόντος ΤΠΕ·
η διόρθωση αφορά προκαθορισμένη ήσσονος σημασίας αλλαγή στο πιστοποιημένο προϊόν ΤΠΕ·
η διόρθωση αφορά επιβεβαιωμένο τρωτό σημείο με κρίσιμες συνέπειες στην ασφάλεια του πιστοποιημένου προϊόντος ΤΠΕ.
3. Εάν η διόρθωση αφορά μείζονος σημασίας αλλαγή στον στόχο αξιολόγησης του πιστοποιημένου προϊόντος ΤΠΕ σε σχέση με τρωτό σημείο που δεν είχε εντοπιστεί παλαιότερα, το οποίο δεν έχει κρίσιμες συνέπειες στην ασφάλεια του προϊόντος ΤΠΕ, εφαρμόζονται οι διατάξεις του άρθρου 13.
4. Η διαδικασία διαχείρισης διορθώσεων προϊόντος ΤΠΕ θα περιλαμβάνει τα ακόλουθα στοιχεία:
τη διαδικασία ανάπτυξης και θέσης σε κυκλοφορία της διόρθωσης για το προϊόν ΤΠΕ·
τον τεχνικό μηχανισμό και τις λειτουργίες για την εφαρμογή της διόρθωσης στο προϊόν ΤΠΕ·
ένα σύνολο δραστηριοτήτων αξιολόγησης όσον αφορά την αποτελεσματικότητα και την αποδοτικότητα του τεχνικού μηχανισμού.
5. Κατά την πιστοποίηση του προϊόντος ΤΠΕ:
ο αιτών πιστοποίηση του προϊόντος ΤΠΕ παρέχει περιγραφή της διαδικασίας διαχείρισης διορθώσεων·
η ΕΑΑΤΠ εξακριβώνει τα ακόλουθα στοιχεία:
ο φορέας ανάπτυξης εφάρμοσε τους μηχανισμούς διορθώσεων στο προϊόν ΤΠΕ σύμφωνα με τη διαδικασία διαχείρισης διορθώσεων που υποβλήθηκε σε πιστοποίηση·
τα όρια του στόχου αξιολόγησης διαχωρίζονται κατά τρόπο ώστε οι αλλαγές που πραγματοποιούνται στις χωριστές διαδικασίες να μην επηρεάζουν την ασφάλεια του στόχου αξιολόγησης·
ο τεχνικός μηχανισμός διορθώσεων λειτουργεί σύμφωνα με τις διατάξεις του παρόντος τμήματος και τους ισχυρισμούς του αιτούντος·
ο οργανισμός πιστοποίησης περιλαμβάνει στην έκθεση πιστοποίησης το αποτέλεσμα της διαδικασίας διαχείρισης διορθώσεων που υποβλήθηκε σε αξιολόγηση.
6. Ο κάτοχος του πιστοποιητικού δύναται να εφαρμόσει στο οικείο πιστοποιημένο προϊόν ΤΠΕ τη διόρθωση που κατασκευάστηκε σύμφωνα με την πιστοποιημένη διαδικασία διαχείρισης διορθώσεων και προβαίνει στις ακόλουθες ενέργειες εντός 5 εργάσιμων ημερών στις ακόλουθες περιπτώσεις:
στην περίπτωση που αναφέρεται στο σημείο 2 στοιχείο α), αναφέρει την οικεία διόρθωση στον οργανισμό πιστοποίησης ο οποίος δεν αλλάζει το αντίστοιχο πιστοποιητικό EUCC·
στην περίπτωση που αναφέρεται στο σημείο 2 στοιχείο β), υποβάλλει την οικεία διόρθωση στην ΕΑΑΤΠ για επανεξέταση. Η ΕΑΑΤΠ ενημερώνει τον οργανισμό πιστοποίησης μετά την παραλαβή της διόρθωσης, οπότε ο οργανισμός πιστοποίησης προβαίνει στην κατάλληλη ενέργεια σχετικά με την έκδοση νέας έκδοσης του αντίστοιχου πιστοποιητικού EUCC και την επικαιροποίηση της έκθεσης πιστοποίησης·
στην περίπτωση που αναφέρεται στο σημείο 2 στοιχείο γ), υποβάλλει την οικεία διόρθωση στην ΕΑΑΤΠ για την αναγκαία επαναξιολόγηση, αλλά μπορεί να εφαρμόσει συγχρόνως τη διόρθωση. Η ΕΑΑΤΠ ενημερώνει τον οργανισμό πιστοποίησης, ο οποίος ξεκινά τις σχετικές δραστηριότητες πιστοποίησης.
ΠΑΡΑΡΤΗΜΑ V
ΠΕΡΙΕΧΟΜΕΝΟ ΕΚΘΕΣΗΣ ΠΙΣΤΟΠΟΙΗΣΗΣ
V.1 Έκθεση πιστοποίησης
1. Βάσει των τεχνικών εκθέσεων αξιολόγησης που παρέχει η ΕΑΑΤΠ, ο οργανισμός πιστοποίησης εκπονεί έκθεση πιστοποίησης η οποία δημοσιεύεται με το αντίστοιχο πιστοποιητικό EUCC.
2. Η έκθεση πιστοποίησης αποτελεί πηγή λεπτομερών και πρακτικών πληροφοριών σχετικά με το προϊόν ΤΠΕ, ή την κατηγορία προϊόντων ΤΠΕ, και σχετικά με την ασφαλή ανάπτυξη του προϊόντος ΤΠΕ και, επομένως, περιλαμβάνει κάθε δημόσια διαθέσιμη και γνωστοποιήσιμη πληροφορία η οποία έχει σημασία για τους χρήστες και τα ενδιαφερόμενα μέρη. Η έκθεση πιστοποίησης μπορεί να παραπέμπει σε δημόσια διαθέσιμες και γνωστοποιήσιμες πληροφορίες.
3. Η έκθεση πιστοποίησης περιέχει τουλάχιστον τις ακόλουθες ενότητες:
συνοπτική παρουσίαση·
προσδιορισμό του προϊόντος ΤΠΕ ή της κατηγορίας προϊόντων ΤΠΕ για χαρακτηριστικά προστασίας·
υπηρεσίες ασφάλειας·
παραδοχές και αποσαφήνιση πεδίου·
πληροφορίες αρχιτεκτονικής·
συμπληρωματικές πληροφορίες για την κυβερνοασφάλεια, κατά περίπτωση·
δοκιμή του προϊόντος ΤΠΕ, εφόσον διενεργήθηκε·
κατά περίπτωση, προσδιορισμό των διαδικασιών διαχείρισης του κύκλου ζωής και των εγκαταστάσεων παραγωγής του κατόχου του πιστοποιητικού·
αποτελέσματα της αξιολόγησης και πληροφορίες σχετικά με το πιστοποιητικό·
συνοπτική περιγραφή του στόχου ασφάλειας του προϊόντος ΤΠΕ που υποβάλλεται για πιστοποίηση·
όταν υπάρχει, το σήμα ή την επισήμανση που σχετίζεται με το σχήμα·
βιβλιογραφία.
4. Η συνοπτική παρουσίαση είναι η σύνοψη της συνολικής έκθεσης πιστοποίησης. Παρέχει σαφή και συνοπτική επισκόπηση των αποτελεσμάτων της αξιολόγησης και περιλαμβάνει τις ακόλουθες πληροφορίες:
όνομα του αξιολογούμενου προϊόντος ΤΠΕ, απαρίθμηση των συνιστωσών του προϊόντος που περιλαμβάνονται στην αξιολόγηση και έκδοση του προϊόντος ΤΠΕ·
όνομα της ΕΑΑΤΠ που διενήργησε την αξιολόγηση και, εφόσον συντρέχει περίπτωση, τον κατάλογο των υπεργολάβων·
ημερομηνία ολοκλήρωσης της αξιολόγησης·
παραπομπή στην τεχνική έκθεση αξιολόγησης που εκπόνησε η ΕΑΑΤΠ·
συνοπτική περιγραφή των αποτελεσμάτων της έκθεσης πιστοποίησης, και ειδικότερα:
την έκδοση και, κατά περίπτωση, τη δημοσίευση των κοινών κριτηρίων που εφαρμόστηκαν στην αξιολόγηση·
τη δέσμη απαιτήσεων κατοχύρωσης της ασφάλειας και τις συνιστώσες κατοχύρωσης της ασφάλειας των κοινών κριτηρίων, συμπεριλαμβανομένου του επιπέδου AVA_VAN που εφαρμόστηκε κατά την αξιολόγηση και του αντίστοιχου επιπέδου διασφάλισης που καθορίζεται στο άρθρο 52 του κανονισμού (ΕΕ) 2019/881 στο οποίο παραπέμπει το πιστοποιητικό EUCC·
τη λειτουργικότητα ασφάλειας του αξιολογούμενου προϊόντος ΤΠΕ·
σύνοψη των απειλών που αντιμετωπίζονται και των πολιτικών οργανωτικής ασφάλειας που λαμβάνονται υπόψη με το αξιολογούμενο προϊόν ΤΠΕ·
ειδικές απαιτήσεις διαμόρφωσης·
παραδοχές σχετικά με το λειτουργικό περιβάλλον·
όπου συντρέχει περίπτωση, ύπαρξη εγκεκριμένης διαδικασίας διαχείρισης διορθώσεων σύμφωνα με το τμήμα IV.4 του παραρτήματος II·
δήλωση/-εις αποποίησης ευθύνης.
5. Το αξιολογούμενο προϊόν ΤΠΕ προσδιορίζεται σαφώς, μεταξύ άλλων, με τις ακόλουθες πληροφορίες:
όνομα του αξιολογούμενου προϊόντος ΤΠΕ·
απαρίθμηση των συνιστωσών του προϊόντος που περιλαμβάνονται στην αξιολόγηση·
τον αριθμό έκδοσης των συνιστωσών του προϊόντος ΤΠΕ·
προσδιορισμό πρόσθετων απαιτήσεων του λειτουργικού περιβάλλοντος του πιστοποιημένου προϊόντος ΤΠΕ·
όνομα και στοιχεία επικοινωνίας του κατόχου του πιστοποιητικού EUCC·
όπου συντρέχει περίπτωση, διαδικασία διαχείρισης διορθώσεων η οποία περιλαμβάνεται στο πιστοποιητικό·
σύνδεσμο προς τον ιστότοπο του κατόχου του πιστοποιητικού EUCC, όπου παρέχονται συμπληρωματικές πληροφορίες σχετικά με την κυβερνοασφάλεια για το πιστοποιημένο προϊόν ΤΠΕ σύμφωνα με το άρθρο 55 του κανονισμού (ΕΕ) 2019/881.
6. Οι πληροφορίες που περιλαμβάνονται στο παρόν τμήμα είναι όσο το δυνατόν πιο ακριβείς ώστε να διασφαλίζεται πλήρης και ακριβής αναπαράσταση του προϊόντος ΤΠΕ η οποία μπορεί να χρησιμοποιηθεί εκ νέου σε μελλοντικές αξιολογήσεις.
7. Το τμήμα για την πολιτική ασφάλειας περιλαμβάνει περιγραφή της πολιτικής ασφάλειας του προϊόντος ΤΠΕ και των πολιτικών ή των κανόνων που πρέπει να επιβάλλει ή με τους οποίους πρέπει να συμμορφώνεται το αξιολογούμενο προϊόν ΤΠΕ. Περιλαμβάνει παραπομπή στις ακόλουθες πολιτικές, τις οποίες και περιγράφει:
την πολιτική του κατόχου του πιστοποιητικού για τον χειρισμό τρωτών σημείων·
την πολιτική του κατόχου του πιστοποιητικού για τη συνέχεια της διασφάλισης.
8. Κατά περίπτωση, η πολιτική μπορεί να περιλαμβάνει τις προϋποθέσεις που αφορούν τη χρήση διαδικασίας διαχείρισης διορθώσεων κατά την περίοδο ισχύος του πιστοποιητικού.
9. Το τμήμα για τις παραδοχές και την αποσαφήνιση του πεδίου περιέχει εξαντλητικές πληροφορίες σχετικά με τις περιστάσεις και τους στόχους που σχετίζονται με την προβλεπόμενη χρήση του προϊόντος όπως αναφέρεται στο άρθρο 7 παράγραφος 1 στοιχείο γ). Οι πληροφορίες περιλαμβάνουν τα εξής στοιχεία:
παραδοχές σχετικά με τη χρήση και την ανάπτυξη του προϊόντος ΤΠΕ με τη μορφή ελάχιστων απαιτήσεων, όπως πλήρωση απαιτήσεων σχετικά με κατάλληλη εγκατάσταση και διαμόρφωση καθώς και υλισμικό·
παραδοχές σχετικά με το περιβάλλον για τη σύμφωνη προς τις απαιτήσεις λειτουργία του προϊόντος ΤΠΕ.
10. Οι πληροφορίες που απαριθμούνται στο σημείο 9 είναι όσο το δυνατόν πιο κατανοητές για τους χρήστες του πιστοποιημένου προϊόντος ΤΠΕ ώστε να μπορούν να λαμβάνουν τεκμηριωμένες αποφάσεις σχετικά με τους κινδύνους που συνδέονται με τη χρήση του.
11. Το τμήμα για τις πληροφορίες αρχιτεκτονικής περιλαμβάνει υψηλού επιπέδου περιγραφή του προϊόντος ΤΠΕ και των κύριων συνιστωσών του σύμφωνα με τον σχεδιασμό υποσυστημάτων ADV_TDS των κοινών κριτηρίων.
12. Παρέχεται πλήρης κατάλογος των συμπληρωματικών πληροφοριών σχετικά με την κυβερνοασφάλεια για το προϊόν ΤΠΕ σύμφωνα με το άρθρο 55 του κανονισμού (ΕΕ) 2019/881. Κάθε σχετικό έγγραφο επισημαίνεται με τον αριθμό της έκδοσής του.
13. Το τμήμα για τη δοκιμή του προϊόντος ΤΠΕ περιλαμβάνει τις ακόλουθες πληροφορίες:
επωνυμία και πρόσωπο επικοινωνίας της αρχής ή του οργανισμού που εξέδωσε το πιστοποιητικό, συμπεριλαμβανομένης της αρμόδιας εθνικής αρχής πιστοποίησης της κυβερνοασφάλειας·
επωνυμία της ΕΑΑΤΠ που διενήργησε την αξιολόγηση, εάν η αξιολόγηση δεν διενεργήθηκε από τον οργανισμό πιστοποίησης·
προσδιορισμό των συνιστωσών διασφάλισης που χρησιμοποιήθηκαν από τα πρότυπα που αναφέρονται στο άρθρο 3·
έκδοση του εγγράφου στάθμης της τεχνικής και περαιτέρω κριτήρια αξιολόγησης της ασφάλειας που χρησιμοποιήθηκαν στην αξιολόγηση·
πλήρεις και ακριβείς ρυθμίσεις και διαμόρφωση του προϊόντος ΤΠΕ κατά την αξιολόγηση, συμπεριλαμβανομένων λειτουργικών σημειώσεων και παρατηρήσεων, εφόσον υπάρχουν·
κάθε χαρακτηριστικό προστασίας το οποίο έχει χρησιμοποιηθεί, συμπεριλαμβανομένων των ακόλουθων πληροφοριών:
δημιουργός του χαρακτηριστικού προστασίας·
όνομα και αναγνωριστικό του χαρακτηριστικού προστασίας·
αναγνωριστικό του πιστοποιητικού του χαρακτηριστικού προστασίας·
επωνυμία και στοιχεία επικοινωνίας του οργανισμού πιστοποίησης και της ΕΑΑΤΠ που συμμετείχαν στην αξιολόγηση του χαρακτηριστικού προστασίας·
δέσμη/-ες απαιτήσεων κατοχύρωσης της ασφάλειας που απαιτούνται για προϊόν που συμμορφώνεται με το χαρακτηριστικό προστασίας.
14. Το τμήμα των αποτελεσμάτων της αξιολόγησης και των πληροφοριών σχετικά με το πιστοποιητικό περιλαμβάνει τα ακόλουθα στοιχεία:
επιβεβαίωση του επιτευχθέντος επιπέδου διασφάλισης όπως αναφέρεται στο άρθρο 4 του παρόντος κανονισμού και στο άρθρο 52 του κανονισμού (ΕΕ) 2019/881·
απαιτήσεις διασφάλισης, από τα πρότυπα που αναφέρονται στο άρθρο 3, τις οποίες το προϊόν ΤΠΕ ή το χαρακτηριστικό προστασίας πληροί πραγματικά, συμπεριλαμβανομένου του επιπέδου AVA_VAN·
λεπτομερή περιγραφή των απαιτήσεων διασφάλισης καθώς και στοιχεία σχετικά με την πλήρωση κάθε απαίτησης από το προϊόν·
ημερομηνία έκδοσης και περίοδο ισχύος του πιστοποιητικού·
μοναδικό αναγνωριστικό του πιστοποιητικού.
15. Ο στόχος ασφάλειας περιλαμβάνεται στην έκθεση πιστοποίησης ή αναφέρεται και συνοψίζεται στην έκθεση πιστοποίησης και περιέχεται στην έκθεση πιστοποίησης που τον αφορά για σκοπούς δημοσίευσης.
16. Εμπιστευτικά στοιχεία μπορεί να απαλείφονται από τον στόχο ασφάλειας σύμφωνα με το τμήμα VI.2.
17. Το σήμα ή η επισήμανση που συνδέεται με το EUCC μπορεί να περιλαμβάνεται στην έκθεση πιστοποίησης σύμφωνα με τους κανόνες και τις διαδικασίες που καθορίζονται στο άρθρο 11.
18. Το τμήμα της βιβλιογραφίας περιλαμβάνει παραπομπές σε όλα τα έγγραφα που χρησιμοποιήθηκαν για τη σύνταξη της έκθεσης πιστοποίησης. Οι πληροφορίες αυτές περιλαμβάνουν τουλάχιστον τα ακόλουθα στοιχεία:
τα κριτήρια αξιολόγησης της ασφάλειας, τα έγγραφα στάθμης της τεχνικής και άλλες σχετικές προδιαγραφές οι οποίες χρησιμοποιήθηκαν με μνεία της έκδοσής τους·
την τεχνική έκθεση αξιολόγησης·
την τεχνική έκθεση αξιολόγησης για τη σύνθετη αξιολόγηση, εφόσον συντρέχει περίπτωση·
τεκμηρίωση για το τεχνικό πλαίσιο αναφοράς·
τεκμηρίωση του φορέα ανάπτυξης η οποία χρησιμοποιήθηκε κατά την αξιολόγηση.
19. Προκειμένου να διασφαλίζεται η δυνατότητα αναπαραγωγής της αξιολόγησης, κάθε έγγραφο στο οποίο γίνεται παραπομπή πρέπει να προσδιορίζεται με μοναδικό τρόπο, με την ορθή ημερομηνία δημοσίευσης και τον ορθό αριθμό έκδοσης.
V.2 Απαλοιφή εμπιστευτικών στοιχείων από στόχο ασφάλειας για σκοπούς δημοσίευσης
1. Από τον στόχο ασφάλειας που περιλαμβάνεται, ή στον οποίο γίνεται παραπομπή, στην έκθεση πιστοποίησης δυνάμει του σημείου 1 του τμήματος VI.1 μπορούν να απαλειφθούν οι ιδιοταγείς τεχνικές πληροφορίες, οι οποίες μπορεί επίσης να διατυπωθούν με άλλον τρόπο.
2. Ο στόχος ασφάλειας που προκύπτει μετά την απαλοιφή εμπιστευτικών στοιχείων είναι η πραγματική αναπαράσταση της πλήρους αρχικής έκδοσής του. Τούτο σημαίνει ότι, μετά την απαλοιφή εμπιστευτικών στοιχείων, δεν είναι δυνατόν να παραλείπονται από τον στόχο ασφάλειας πληροφορίες οι οποίες είναι αναγκαίες για να γίνουν κατανοητές οι ιδιότητες ασφάλειας του στόχου αξιολόγησης και το πεδίο της αξιολόγησης.
3. Το περιεχόμενο του στόχου ασφάλειας μετά την απαλοιφή εμπιστευτικών στοιχείων συμμορφώνεται προς τις ακόλουθες ελάχιστες απαιτήσεις:
από την εισαγωγή δεν απαλείφονται εμπιστευτικά στοιχεία, καθώς η εισαγωγή δεν περιλαμβάνει γενικά ιδιοταγείς πληροφορίες·
ο στόχος ασφάλειας μετά την απαλοιφή εμπιστευτικών στοιχείων πρέπει να διαθέτει μοναδικό αναγνωριστικό διαφορετικό από εκείνο της πλήρους αρχικής έκδοσής του·
η περιγραφή του στόχου αξιολόγησης μπορεί να μειωθεί, καθώς μπορεί να περιλαμβάνει ιδιοταγείς και αναλυτικές πληροφορίες σχετικά με τον σχεδιασμό του στόχου αξιολόγησης οι οποίες δεν θα πρέπει να δημοσιευθούν·
η περιγραφή του περιβάλλοντος ασφάλειας του στόχου αξιολόγησης (παραδοχές, απειλές, πολιτικές οργανωτικής ασφάλειας) δεν μειώνονται, στο μέτρο που οι πληροφορίες αυτές είναι αναγκαίες για να γίνει κατανοητό το πεδίο της αξιολόγησης·
οι στόχοι ασφάλειας δεν μειώνονται καθώς κάθε πληροφορία πρέπει να δημοσιοποιείται προκειμένου να γίνει κατανοητή η πρόθεση του στόχου ασφάλειας και του στόχου αξιολόγησης·
όλες οι απαιτήσεις ασφάλειας δημοσιοποιούνται. Σημειώσεις εφαρμογής μπορεί να παρέχουν πληροφορίες σχετικά με τον τρόπο χρησιμοποίησης των λειτουργικών απαιτήσεων των κοινών κριτηρίων που αναφέρονται στο άρθρο 3 για την κατανόηση του στόχου ασφάλειας·
ο συνοπτικός προσδιορισμός του στόχου αξιολόγησης περιλαμβάνει κάθε λειτουργία ασφάλειας του στόχου αξιολόγησης, αλλά πρόσθετες ιδιοταγείς πληροφορίες μπορούν να απαλειφθούν·
περιλαμβάνονται παραπομπές σε χαρακτηριστικά προστασίας που εφαρμόζονται στον στόχο αξιολόγησης·
από τη συλλογιστική μπορούν να απαλειφθούν ιδιοταγείς πληροφορίες.
4. Ακόμη και αν ο στόχος ασφάλειας μετά την απαλοιφή εμπιστευτικών στοιχείων δεν αξιολογηθεί τυπικά σύμφωνα με τα πρότυπα αξιολόγησης που αναφέρονται στο άρθρο 3, ο οργανισμός πιστοποίησης διασφαλίζει ότι συμμορφώνεται με τον πλήρη και αξιολογημένο στόχο ασφάλειας, στη δε έκθεση πιστοποίησης γίνεται παραπομπή τόσο στον πλήρη στόχο ασφάλειας όσο και στον στόχο ασφάλειας μετά την απαλοιφή εμπιστευτικών στοιχείων.
ΠΑΡΑΡΤΗΜΑ VI
ΠΕΔΙΟ ΚΑΙ ΣΥΝΘΕΣΗ ΤΗΣ ΟΜΑΔΑΣ ΑΞΙΟΛΟΓΗΣΕΩΝ ΑΠΟ ΟΜΟΤΙΜΟΥΣ
VI.1 Πεδίο της αξιολόγησης από ομοτίμους
1. Καλύπτονται οι ακόλουθοι τύποι αξιολογήσεων από ομοτίμους:
τύπος 1: ο οργανισμός πιστοποίησης εκτελεί δραστηριότητες πιστοποίησης σε επίπεδο AVA_VAN.3·
τύπος 2: ο οργανισμός πιστοποίησης εκτελεί δραστηριότητες πιστοποίησης οι οποίες σχετίζονται με τεχνικό τομέα που παρατίθεται στα έγγραφα στάθμης της τεχνικής του παραρτήματος I·
τύπος 3: ο οργανισμός πιστοποίησης εκτελεί δραστηριότητες πιστοποίησης άνω του επιπέδου AVA_VAN.3 κάνοντας χρήση χαρακτηριστικού προστασίας που παρατίθεται στα έγγραφα στάθμης της τεχνικής του παραρτήματος I.
2. Ο οργανισμός πιστοποίησης που υποβάλλεται σε αξιολόγηση από ομοτίμους υποβάλλει τον κατάλογο πιστοποιημένων προϊόντων ΤΠΕ που μπορεί να είναι υποψήφια για επανεξέταση από την ομάδα αξιολογήσεων από ομοτίμους, σύμφωνα με τους ακόλουθους κανόνες:
τα υποψήφια προϊόντα καλύπτουν το τεχνικό πεδίο της εξουσιοδότησης του οργανισμού πιστοποίησης, από το οποίο θα αναλυθούν τουλάχιστον δύο διαφορετικές αξιολογήσεις προϊόντων σε «υψηλό» επίπεδο διασφάλισης μέσω της αξιολόγησης από ομοτίμους καθώς και ένα χαρακτηριστικό προστασίας, εάν ο οργανισμός πιστοποίησης εξέδωσε πιστοποιητικό «υψηλού» επιπέδου διασφάλισης·
για αξιολόγηση από ομοτίμους τύπου 2, ο οργανισμός πιστοποίησης υποβάλλει τουλάχιστον ένα προϊόν ανά τεχνικό τομέα και ανά ενδιαφερόμενη ΕΑΑΤΠ·
για αξιολόγηση από ομοτίμους τύπου 3, τουλάχιστον ένα υποψήφιο προϊόν αξιολογείται σύμφωνα με εφαρμοστέα και σχετικά χαρακτηριστικά προστασίας.
VI.2 Ομάδα αξιολόγησης από ομοτίμους
1. Η ομάδα αξιολόγησης απαρτίζεται από τουλάχιστον δύο εμπειρογνώμονες οι οποίοι επιλέγονται καθένας από διαφορετικό οργανισμό πιστοποίησης, από διαφορετικά κράτη μέλη, ο οποίος εκδίδει πιστοποιητικά «υψηλού» επιπέδου διασφάλισης. Οι εμπειρογνώμονες θα πρέπει να καταδεικνύουν τη σχετική εμπειρογνωσία στα πρότυπα που αναφέρονται στο άρθρο 3 και στα έγγραφα στάθμης της τεχνικής που εμπίπτουν στο πεδίο της αξιολόγησης από ομοτίμους.
2. Σε περίπτωση ανάθεσης της έκδοσης πιστοποιητικού ή προηγούμενης έγκρισης πιστοποιητικών όπως αναφέρεται στο άρθρο 56 παράγραφος 6 του κανονισμού (ΕΕ) 2019/881, εμπειρογνώμονας της εθνικής αρχής πιστοποίησης της κυβερνοασφάλειας που σχετίζεται με τον οικείο οργανισμό πιστοποίησης μπορεί να συμμετέχει επιπλέον στην ομάδα εμπειρογνωμόνων που επιλέγεται σύμφωνα με το σημείο 1 του παρόντος τμήματος.
3. Για αξιολόγηση από ομοτίμους τύπου 2, τα μέλη της ομάδας επιλέγονται από οργανισμούς πιστοποίησης εξουσιοδοτημένους για τον οικείο τεχνικό τομέα.
4. Κάθε μέλος της ομάδας αξιολόγησης έχει πείρα τουλάχιστον δύο ετών στην εκτέλεση δραστηριοτήτων πιστοποίησης σε οργανισμό πιστοποίησης.
5. Για αξιολόγηση από ομοτίμους τύπου 2 ή 3, κάθε μέλος της ομάδας αξιολόγησης έχει πείρα τουλάχιστον δύο ετών στην εκτέλεση δραστηριοτήτων πιστοποίησης στον σχετικό τεχνικό τομέα ή χαρακτηριστικό προστασίας και αποδεδειγμένη εμπειρογνωσία και συμμετοχή στην εξουσιοδότηση ΕΑΑΤΠ.
6. Η εθνική αρχή πιστοποίησης της κυβερνοασφάλειας η οποία παρακολουθεί και εποπτεύει τον αξιολογούμενο από ομοτίμους οργανισμό πιστοποίησης, καθώς και τουλάχιστον μία εθνική αρχή πιστοποίησης της κυβερνοασφάλειας, ο οργανισμός πιστοποίησης της οποίας δεν υπόκειται στην αξιολόγηση από ομοτίμους, συμμετέχουν στην αξιολόγηση από ομοτίμους ως παρατηρητές. Ο ENISA δύναται επίσης να συμμετέχει στην αξιολόγηση από ομοτίμους ως παρατηρητής.
7. Ο αξιολογούμενος από ομοτίμους οργανισμός πιστοποίησης ενημερώνεται για τη σύνθεση της ομάδας ομοτίμων. Σε αιτιολογημένες περιπτώσεις, μπορεί να αμφισβητήσει τη σύνθεση της ομάδας αξιολόγησης και να ζητήσει την επανεξέτασή της.
ΠΑΡΑΡΤΗΜΑ VII
Περιεχόμενο πιστοποιητικού EUCC
Το πιστοποιητικό EUCC περιέχει τουλάχιστον:
μοναδικό αναγνωριστικό το οποίο θεσπίζεται από τον οργανισμό πιστοποίησης που εκδίδει το πιστοποιητικό·
πληροφορίες σχετικά με το πιστοποιημένο προϊόν ΤΠΕ ή το χαρακτηριστικό προστασίας και τον κάτοχο του πιστοποιητικού, συμπεριλαμβανομένων των εξής:
επωνυμία του προϊόντος ΤΠΕ ή του χαρακτηριστικού προστασίας και, κατά περίπτωση, του στόχου αξιολόγησης·
τύπος προϊόντος ΤΠΕ ή του χαρακτηριστικού προστασίας και, κατά περίπτωση, του στόχου αξιολόγησης·
έκδοση του προϊόντος ΤΠΕ ή του χαρακτηριστικού προστασίας·
όνομα, διεύθυνση και στοιχεία επικοινωνίας του κατόχου του πιστοποιητικού·
σύνδεσμος προς τον ιστότοπο του κατόχου του πιστοποιητικού ο οποίος περιέχει τις συμπληρωματικές πληροφορίες σχετικά με την κυβερνοασφάλεια που αναφέρονται στο άρθρο 55 του κανονισμού (ΕΕ) 2019/881·
πληροφορίες σχετικά με την αξιολόγηση και την πιστοποίηση του προϊόντος ΤΠΕ ή του χαρακτηριστικού προστασίας, συμπεριλαμβανομένων των εξής:
όνομα, διεύθυνση και στοιχεία επικοινωνίας του οργανισμού πιστοποίησης που εξέδωσε το πιστοποιητικό·
σε περίπτωση που η αξιολόγηση δεν διενεργήθηκε από τον οργανισμό πιστοποίησης, επωνυμία της ΕΑΑΤΠ που διενήργησε την αξιολόγηση·
επωνυμία της αρμόδιας εθνικής αρχής πιστοποίησης της κυβερνοασφάλειας·
παραπομπή στον παρόντα κανονισμό·
παραπομπή στην έκθεση πιστοποίησης που σχετίζεται με το πιστοποιητικό που αναφέρεται στο παράρτημα III·
το εφαρμοστέο επίπεδο διασφάλισης σύμφωνα με το άρθρο 4·
παραπομπή στην έκδοση των προτύπων που χρησιμοποιήθηκαν για την αξιολόγηση, τα οποία αναφέρονται στο άρθρο 3·
προσδιορισμός του επιπέδου διασφάλισης ή της δέσμης απαιτήσεων κατοχύρωσης της ασφάλειας που προσδιορίζονται στα πρότυπα που αναφέρονται στο άρθρο 3 και σύμφωνα με το παράρτημα VI, συμπεριλαμβανομένων των συνιστωσών διασφάλισης που χρησιμοποιήθηκαν και του καλυπτόμενου επιπέδου AVA_VAN·
όπου συντρέχει περίπτωση, παραπομπή σε ένα ή περισσότερα χαρακτηριστικά προστασίας με τα οποία συμμορφώνεται το προϊόν ΤΠΕ ή το χαρακτηριστικό προστασίας·
ημερομηνία έκδοσης·
περίοδος ισχύος του πιστοποιητικού·
το σήμα και η επισήμανση που σχετίζονται με το πιστοποιητικό σύμφωνα με το άρθρο 11.
ΠΑΡΑΡΤΗΜΑ VIII
Δήλωση δέσμης απαιτήσεων κατοχύρωσης της ασφάλειας
1. Αντίθετα προς τους ορισμούς που περιέχονται στα κοινά κριτήρια, η επαύξηση:
δεν υποδηλώνεται με το σύμβολο «+»·
περιγράφεται αναλυτικά με κατάλογο όλων των σχετικών συνιστωσών·
περιγράφεται λεπτομερώς στην έκθεση πιστοποίησης.
2. Το επίπεδο διασφάλισης που επιβεβαιώνεται σε πιστοποιητικό EUCC μπορεί να συμπληρώνεται με το επίπεδο διασφάλισης της αξιολόγησης όπως προσδιορίζεται στο άρθρο 3 του παρόντος κανονισμού.
3. Εάν το επίπεδο διασφάλισης που επιβεβαιώνεται σε πιστοποιητικό EUCC δεν παραπέμπει σε επαύξηση, το πιστοποιητικό EUCC αναφέρει μια από τις ακόλουθες δέσμες απαιτήσεων κατοχύρωσης της ασφάλειας:
«τη συγκεκριμένη δέσμη απαιτήσεων κατοχύρωσης της ασφάλειας»·
«τη δέσμη απαιτήσεων κατοχύρωσης της ασφάλειας που είναι σύμφωνη με χαρακτηριστικό προστασίας» σε περίπτωση παραπομπής σε χαρακτηριστικό προστασίας χωρίς επίπεδο διασφάλισης της αξιολόγησης.
ΠΑΡΑΡΤΗΜΑ IX
Σήματα και επισημάνσεις
1. Η μορφή του σήματος και της επισήμανσης:
2. Εάν το σήμα και η επισήμανση σμικρυνθούν ή μεγεθυνθούν, πρέπει να τηρούνται οι αναλογίες του σχεδίου ανωτέρω.
3. Όταν τοποθετούνται επί του προϊόντος ΤΠΕ, το σήμα και η επισήμανση έχουν ύψος τουλάχιστον 5 χιλιοστών.