|
Επίσημη Εφημερίδα |
EL Σειρά L |
|
2025/2462 |
9.12.2025 |
ΕΚΤΕΛΕΣΤΙΚΟΣ ΚΑΝΟΝΙΣΜΟΣ (ΕΕ) 2025/2462 ΤΗΣ ΕΠΙΤΡΟΠΗΣ
της 8ης Δεκεμβρίου 2025
για την τροποποίηση του εκτελεστικού κανονισμού (ΕΕ) 2024/482 όσον αφορά τους ορισμούς, την πιστοποίηση σειρών προϊόντων ΤΠΕ, τη συνέχεια διασφάλισης και τα έγγραφα στάθμης της τεχνικής
(Κείμενο που παρουσιάζει ενδιαφέρον για τον ΕΟΧ)
Η ΕΥΡΩΠΑΪΚΗ ΕΠΙΤΡΟΠΗ,
Έχοντας υπόψη τη Συνθήκη για τη λειτουργία της Ευρωπαϊκής Ένωσης,
Έχοντας υπόψη τον κανονισμό (ΕΕ) 2019/881 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 17ης Απριλίου 2019, σχετικά με τον ENISA («Οργανισμός της Ευρωπαϊκής Ένωσης για την Κυβερνοασφάλεια») και με την πιστοποίηση της κυβερνοασφάλειας στον τομέα της τεχνολογίας πληροφοριών και επικοινωνιών και για την κατάργηση του κανονισμού (ΕΕ) αριθ. 526/2013 (πράξη για την κυβερνοασφάλεια) (1), και ιδίως το άρθρο 49 παράγραφος 7,
Εκτιμώντας τα ακόλουθα:
|
(1) |
Με τον εκτελεστικό κανονισμό (ΕΕ) 2024/482 της Επιτροπής (2) προσδιορίζονται οι ρόλοι, οι κανόνες και οι υποχρεώσεις, καθώς και η δομή του βασισμένου σε κοινά κριτήρια ευρωπαϊκού σχήματος πιστοποίησης της κυβερνοασφάλειας (στο εξής: EUCC), σύμφωνα με το ευρωπαϊκό πλαίσιο πιστοποίησης της κυβερνοασφάλειας που καθορίζεται στον κανονισμό (ΕΕ) 2019/881. |
|
(2) |
Η κοινή μεθοδολογία αξιολόγησης που συνοδεύει τα κοινά κριτήρια αποτελεί ένα διεθνές πρότυπο αξιολόγησης της ασφάλειας των πληροφοριών, βάσει του οποίου καθίσταται δυνατή η αξιολόγηση της ασφάλειας των προϊόντων ΤΠΕ για σκοπούς πιστοποίησης. Στο πλαίσιο αυτό, ορισμένα προϊόντα ΤΠΕ, οι επονομαζόμενες σειρές προϊόντων, μπορεί να είναι δομημένα επί της ίδιας λειτουργικής βάσης προκειμένου να προσφέρουν παρεμφερείς λειτουργικότητες ασφάλειας για διαφορετικές πλατφόρμες ή συσκευές. Ωστόσο, ο σχεδιασμός, το υλισμικό, το υλικολογισμικό ή το λογισμικό μπορεί να διαφέρουν από το ένα προϊόν ΤΠΕ στο άλλο. Εναπόκειται στον οργανισμό πιστοποίησης να αποφασίζει, κατά περίπτωση, αν είναι δυνατή η πιστοποίηση μιας σειράς προϊόντων. Οι προϋποθέσεις για την πιστοποίηση σειρών προϊόντων θα μπορούσαν να επεξηγηθούν διεξοδικότερα στις υποστηρικτικές κατευθυντήριες γραμμές του EUCC. |
|
(3) |
Προκειμένου να διατηρηθεί η αξιοπιστία των πιστοποιημένων προϊόντων, είναι σημαντικό να οριστεί τι συνιστά μείζονος και τι ήσσονος σημασίας αλλαγή του στόχου αξιολόγησης ή του περιβάλλοντός του, συμπεριλαμβανομένου του λειτουργικού περιβάλλοντος ή του περιβάλλοντος ανάπτυξης. Κατά συνέπεια, είναι ανάγκη να προσδιοριστούν οι έννοιες αυτές αφού ληφθούν υπόψη οι υπάρχουσες, ευρέως χρησιμοποιούμενες τεχνικές προδιαγραφές της Ομάδας Ανώτερων Υπαλλήλων για την Ασφάλεια των Συστημάτων Πληροφοριών (SOG-IS) και των συμμετεχόντων στις ρυθμίσεις για την αναγνώριση πιστοποιητικών κοινών κριτηρίων στον τομέα της ασφάλειας της ΤΠ (CCRA). |
|
(4) |
Οι αλλαγές ήσσονος σημασίας συχνά χαρακτηρίζονται από την περιορισμένη επίδρασή τους στη δήλωση διασφάλισης προϊόντος, την οποία παρέχει το εκδοθέν πιστοποιητικό EUCC. Επομένως, η διαχείριση των αλλαγών ήσσονος σημασίας θα πρέπει να πραγματοποιείται στο πλαίσιο διαδικασιών διατήρησης και δεν απαιτεί εκ νέου αξιολόγηση των λειτουργικοτήτων ασφάλειας του προϊόντος. Στα παραδείγματα αλλαγών ήσσονος σημασίας που θα πρέπει να αντιμετωπίζονται μέσω της διατήρησης συγκαταλέγονται, μεταξύ άλλων, οι συντακτικές αλλαγές, οι αλλαγές στο περιβάλλον του στόχου αξιολόγησης οι οποίες δεν τροποποιούν τον πιστοποιημένο στόχο αξιολόγησης, καθώς και οι αλλαγές πιστοποιημένου στόχου αξιολόγησης οι οποίες δεν επηρεάζουν τα στοιχεία τεκμηρίωσης της διασφάλισης. Οι αλλαγές του περιβάλλοντος ανάπτυξης μπορούν επίσης να θεωρηθούν ήσσονος σημασίας, υπό τον όρο ότι δεν έχουν επακόλουθες επιπτώσεις σε υπάρχοντα μέτρα διασφάλισης. Ωστόσο, σε ορισμένες περιπτώσεις ενδέχεται να απαιτούν τη μερική αξιολόγηση των σχετικών μέτρων. |
|
(5) |
Μείζονος σημασίας είναι κάθε αλλαγή του πιστοποιημένου στόχου αξιολόγησης ή του περιβάλλοντός του, η οποία μπορεί να έχει αρνητικές επιπτώσεις στη δηλωθείσα στο πιστοποιητικό EUCC διασφάλιση και η οποία θα πρέπει, επομένως, να απαιτεί εκ νέου αξιολόγηση. Παραδείγματα αλλαγών μείζονος σημασίας είναι, μεταξύ άλλων, οι αλλαγές στο σύνολο των απαιτήσεων της αξιούμενης διασφάλισης, εξαιρουμένων των απαιτήσεων διασφάλισης της οικογένειας CC ALC_FLR (αποκατάσταση ελαττώματος)· αλλαγές στους ελέγχους εμπιστευτικότητας ή ακεραιότητας του περιβάλλοντος ανάπτυξης, όταν οι εν λόγω τροποποιήσεις ενδέχεται να επηρεάσουν την ασφαλή ανάπτυξη ή παραγωγή του στόχου αξιολόγησης, ή αλλαγές του στόχου αξιολόγησης με σκοπό την αντιμετώπιση εκμεταλλεύσιμων τρωτών σημείων. Επιπλέον, αλλαγή μείζονος σημασίας μπορεί επίσης να χαρακτηριστεί ένα σύνολο αλλαγών ήσσονος σημασίας που συλλογικά έχουν σημαντικές επιπτώσεις στην ασφάλεια. Είναι επίσης σημαντικό να αναγνωριστεί ότι, ενώ μια διόρθωση σφάλματος μπορεί να επηρεάζει μόνο μία συγκεκριμένη πτυχή του στόχου αξιολόγησης, λόγω του απρόβλεπτου χαρακτήρα και των δυνητικών επιπτώσεών της στη διασφάλιση, μπορεί να καταστεί αλλαγή μείζονος σημασίας εάν θέτει σε κίνδυνο τις παρεχόμενες από την πιστοποίηση κατοχυρώσεις της ασφάλειας. |
|
(6) |
Οι αλλαγές στο περιβάλλον απειλής ενός αμετάβλητου πιστοποιημένου προϊόντος ΤΠΕ ενδέχεται να απαιτούν επαναξιολόγηση. Θα πρέπει να καθοριστούν σαφώς τα πιθανά αποτελέσματα της εν λόγω διαδικασίας επαναξιολόγησης, και ιδίως οι επιπτώσεις της στο πιστοποιητικό EUCC. Εάν ολοκληρωθεί επιτυχώς η επαναξιολόγηση, ο οργανισμός πιστοποίησης θα πρέπει να επιβεβαιώσει το πιστοποιητικό ή να εκδώσει νέο πιστοποιητικό με παραταθείσα ημερομηνία λήξης. Εάν η διαδικασία επαναξιολόγησης δεν είναι επιτυχής, ο οργανισμός πιστοποίησης θα πρέπει να ανακαλέσει το πιστοποιητικό και ενδεχομένως να εκδώσει νέο πιστοποιητικό με διαφορετικό πεδίο. Οι διατάξεις αυτές θα πρέπει να εφαρμόζονται κατ’ αναλογία στην επαναξιολόγηση των χαρακτηριστικών προστασίας. |
|
(7) |
Στο παράρτημα I του εκτελεστικού κανονισμού (ΕΕ) 2024/482 παρατίθενται τα εφαρμοστέα έγγραφα στάθμης της τεχνικής για την αξιολόγηση προϊόντων ΤΠΕ και χαρακτηριστικών προστασίας. Τα εν λόγω έγγραφα στάθμης της τεχνικής θα πρέπει να επικαιροποιούνται ώστε να αποτυπώνουν τις τελευταίες εξελίξεις, όπως εκείνες που σχετίζονται με τις τεχνολογικές εξελίξεις, τα τοπία των κυβερνοαπειλών, τις πρακτικές του κλάδου ή τα διεθνή πρότυπα. Η επικαιροποίηση αυτή ενδείκνυται για τα έγγραφα στάθμης της τεχνικής που αφορούν τις ελάχιστες απαιτήσεις ασφάλειας χώρου, την αξιοποίηση δυνατοτήτων επίθεσης σε έξυπνες κάρτες, την αξιοποίηση δυνατοτήτων επίθεσης σε διατάξεις υλισμικού με θυρίδες ασφαλείας, την εφαρμογή κοινών κριτηρίων σε ολοκληρωμένα κυκλώματα και την αξιολόγηση σύνθετων προϊόντων για έξυπνες κάρτες και παρεμφερείς διατάξεις. Επιπλέον, δεν περιλαμβάνονται τα έγγραφα στάθμης της τεχνικής που αφορούν την αξιολόγηση και την πιστοποίηση σύνθετων προϊόντων με χρήση της τελευταίας έκδοσης των προτύπων κοινών κριτηρίων, την επανάχρηση των αποτελεσμάτων αξιολόγησης επιτόπιων ελέγχων και διευκρινίσεις επί της ερμηνείας χαρακτηριστικών προστασίας που αφορούν διατάξεις δημιουργίας εγκεκριμένης ηλεκτρονικής υπογραφής, ταχογράφους και δομοστοιχεία ασφάλειας υλισμικού. Για την ομοιόμορφη αξιολόγηση των προϊόντων ΤΠΕ στο πλαίσιο του EUCC, το παράρτημα I θα πρέπει να τροποποιηθεί ώστε να συμπεριλάβει τα εν λόγω επικαιροποιημένα και νέα έγγραφα στάθμης της τεχνικής, αφού εγκριθούν από την ευρωπαϊκή ομάδα πιστοποίησης της κυβερνοασφάλειας (ECCG). |
|
(8) |
Επιπλέον, στο σχήμα πιστοποίησης θα πρέπει να προστεθεί το έγγραφο στάθμης της τεχνικής «ADV_SPM.1 interpretation for CC:2022 transition», ώστε να καταστεί δυνατή η συνέχιση της χρήσης τυπικής μοντελοποίησης (ADV_SPM.1) στις διαδικασίες πιστοποίησης που βασίζονται σε συγκεκριμένα χαρακτηριστικά προστασίας μέχρι να επικαιροποιηθούν τα αντίστοιχα χαρακτηριστικά προστασίας, π.χ. με την προσθήκη συμμορφούμενης προς το πρότυπο CC:2022 διαμόρφωσης χαρακτηριστικού προστασίας πολλαπλών διασφαλίσεων, η οποία να υποστηρίζει το ADV_SPM.1. Προκειμένου να εξασφαλιστεί επαρκής χρόνος για τη μετάβαση της αγοράς στα επικαιροποιημένα πρότυπα κοινών κριτηρίων, είναι ανάγκη να προβλεφθούν ειδικοί μεταβατικοί κανόνες για τα χαρακτηριστικά προστασίας «Security IC Platform PP with Augmentation Packages BSI-CC-PP-0084-2014 (v1.0)», «Java Card System – Closed Configuration (v3.1), BSI-CC-PP-0101-V2-2020» ή «Java Card System – Open Configuration (v3.1), BSI-CC-PP-0099-V2-2020». Προς αποφυγή τυχόν διαταραχών της αγοράς, είναι σκόπιμο να οριστεί ότι το έγγραφο στάθμης της τεχνικής «ADV_SPM.1 interpretation for CC:2022 transition» εφαρμόζεται σε διαδικασίες πιστοποίησης που κινήθηκαν πριν από την έκδοση του παρόντος κανονισμού. Ωστόσο, η εφαρμογή του εν λόγω εγγράφου θα πρέπει να περιορίζεται αυστηρά στο αναγκαίο μέτρο, δεδομένου του χρόνου που απαιτείται για να ολοκληρωθεί η επικαιροποίηση των αντίστοιχων χαρακτηριστικών προστασίας. Πιο συγκεκριμένα, για τις διαδικασίες πιστοποίησης στις οποίες χρησιμοποιούνται τα χαρακτηριστικά «Security IC Platform PP with Augmentation Packages (v1.0), BSI-CC-PP-0084-2014» ή «Java Card System – Closed Configuration (v3.1), BSI-CC-PP-0101-V2-2020», το έγγραφο στάθμης της τεχνικής θα πρέπει να εφαρμόζεται στις διαδικασίες που κινήθηκαν πριν από την 1η Οκτωβρίου 2026. Για τις διαδικασίες πιστοποίησης στις οποίες χρησιμοποιείται το χαρακτηριστικό προστασίας «Java Card System – Open Configuration (v3.1), BSI-CC-PP-0099-V2-2020», το έγγραφο στάθμης της τεχνικής θα πρέπει να εφαρμόζεται μόνο στις διαδικασίες που κινήθηκαν πριν από την ημερομηνία έναρξης ισχύος του παρόντος κανονισμού, δεδομένου ότι είναι ήδη διαθέσιμη μια νέα έκδοση του χαρακτηριστικού προστασίας «Java Card System – Open Configuration». |
|
(9) |
Η όποια αλλαγή των εγγράφων στάθμης της τεχνικής κατά τη διαδικασία πιστοποίησης μπορεί να διαταράξει την αξιολόγηση του προϊόντος και να καθυστερήσει την έκδοση του πιστοποιητικού. Συνεπώς, απαιτούνται κατάλληλοι μεταβατικοί κανόνες για τα νέα ή τα επικαιροποιημένα έγγραφα στάθμης της τεχνικής, ώστε οι πωλητές, οι εγκαταστάσεις αξιολόγησης της ασφάλειας της τεχνολογίας πληροφοριών (στο εξής: ΕΑAΤΠ), οι οργανισμοί πιστοποίησης και τα άλλα ενδιαφερόμενα μέρη να μπορούν να προβούν στις αναγκαίες προσαρμογές. Τα εφαρμοστέα επικαιροποιημένα και νέα έγγραφα στάθμης της τεχνικής θα πρέπει να αφορούν αιτήσεις πιστοποίησης, συμπεριλαμβανομένων των αιτήσεων επαναξιολόγησης και εκ νέου αξιολόγησης, ενώ στις εν εξελίξει διαδικασίες πιστοποίησης θα πρέπει να υπάρχει η δυνατότητα να συνεχιστεί η χρήση προηγούμενων εκδόσεων των εγγράφων στάθμης της τεχνικής. |
|
(10) |
Στα παραρτήματα II και III του εκτελεστικού κανονισμού (ΕΕ) 2024/482 παρατίθενται, αντίστοιχα, τα πιστοποιημένα σε επίπεδο AVA_VAN 4 ή 5 χαρακτηριστικά προστασίας και τα συνιστώμενα χαρακτηριστικά προστασίας. Ορισμένες παραπομπές είναι ελλιπείς ή παρωχημένες λόγω της επικαιροποίησης των χαρακτηριστικών προστασίας. Οι εν λόγω παραπομπές θα πρέπει να συμπληρωθούν και, επιπλέον, θα πρέπει να προστεθούν νέες, ώστε να εξασφαλιστεί πληρέστερη κάλυψη των ασφαλών ολοκληρωμένων κυκλωμάτων, των έξυπνων καρτών και των συναφών διατάξεων, και της έμπιστης υπολογιστικής. |
|
(11) |
Είναι ανάγκη να τροποποιηθεί το άρθρο 19 του εκτελεστικού κανονισμού (ΕΕ) 2024/482, για να διευκρινιστεί ότι το παράρτημα IV εφαρμόζεται, με τις αναγκαίες αλλαγές, στην επανεξέταση των πιστοποιητικών EUCC για τα χαρακτηριστικά προστασίας. |
|
(12) |
Δεδομένου ότι ο στόχος ασφάλειας αποτελεί καίριο στοιχείο για την κατανόηση του πεδίου μιας διαδικασίας πιστοποίησης, είναι επίσης ανάγκη ο ENISA να δημοσιεύει στον ιστότοπό του τον στόχο ασφάλειας που αντιστοιχεί σε κάθε πιστοποιητικό EUCC. |
|
(13) |
Επιπλέον, οι οργανισμοί πιστοποίησης θα πρέπει να παρέχουν στον ENISA έκδοση στην αγγλική γλώσσα του στόχου ασφάλειας και της έκθεσης πιστοποίησης, ώστε ο Οργανισμός να μπορεί να καθιστά τις εν λόγω πληροφορίες διαθέσιμες στον αντίστοιχο ιστότοπο στην αγγλική γλώσσα, κατά τα οριζόμενα στο άρθρο 42 παράγραφος 2 του εκτελεστικού κανονισμού (ΕΕ) 2024/482. Για τον λόγο αυτόν, όποτε τους ζητείται, οι αιτούντες πιστοποίηση θα πρέπει να παρέχουν στους οργανισμούς πιστοποίησης έκδοση του στόχου ασφάλειας στην αγγλική γλώσσα. |
|
(14) |
Το μοναδικό αναγνωριστικό του πιστοποιητικού δεν είναι ανάγκη να περιλαμβάνει το όνομα του οργανισμού πιστοποίησης, καθώς ο αριθμός μητρώου του οργανισμού πιστοποίησης επαρκεί για την ταυτοποίησή του με μοναδικό τρόπο. Δεν είναι ανάγκη να περιλαμβάνει ούτε τον μήνα έκδοσης, καθώς η καταμέτρηση των πιστοποιητικών πραγματοποιείται σε ετήσια βάση. Συνεπώς, η απαίτηση αυτή θα πρέπει να διαγραφεί για λόγους απλούστευσης. Δεδομένου ότι το έτος έκδοσης του πιστοποιητικού αντιστοιχεί στην έκδοση του πρώτου πιστοποιητικού, για λόγους ιχνηλασιμότητας η ίδια χρονολογία θα πρέπει να περιλαμβάνεται στο μοναδικό αναγνωριστικό των πιστοποιητικών που εκδίδονται κατόπιν επανεξέτασης. |
|
(15) |
Κατά συνέπεια, ο εκτελεστικός κανονισμός (ΕΕ) 2024/482 θα πρέπει να τροποποιηθεί αναλόγως. |
|
(16) |
Τα μέτρα που προβλέπονται στον παρόντα κανονισμό είναι σύμφωνα με τη γνώμη της επιτροπής που έχει συσταθεί βάσει του άρθρου 66 του κανονισμού (ΕΕ) 2019/881, |
ΕΞΕΔΩΣΕ ΤΟΝ ΠΑΡΟΝΤΑ ΚΑΝΟΝΙΣΜΟ:
Άρθρο 1
Ο εκτελεστικός κανονισμός (ΕΕ) 2024/482 τροποποιείται ως εξής:
|
1) |
Στο άρθρο 2 προστίθενται τα ακόλουθα σημεία 16), 17) και 18):
|
|
2) |
Στο άρθρο 5 προστίθεται η ακόλουθη παράγραφος 3: «3. Ο οργανισμός πιστοποίησης δύναται να επιτρέπει την πιστοποίηση σειράς προϊόντων.» |
|
3) |
Στο άρθρο 9 παράγραφος 2, το στοιχείο α) αντικαθίσταται από το ακόλουθο κείμενο:
|
|
4) |
Στο άρθρο 11 παράγραφος 3, το στοιχείο β) αντικαθίσταται από το ακόλουθο κείμενο:
|
|
5) |
Στο άρθρο 19, η παράγραφος 1 αντικαθίσταται από το ακόλουθο κείμενο: «1. Κατόπιν αιτήματος του κατόχου του πιστοποιητικού ή για άλλους δεόντως αιτιολογημένους λόγους, ο οργανισμός πιστοποίησης δύναται να αποφασίσει την επανεξέταση πιστοποιητικού EUCC για χαρακτηριστικό προστασίας. Η επανεξέταση διενεργείται σύμφωνα με το παράρτημα IV. Ο οργανισμός πιστοποίησης καθορίζει την έκταση της επανεξέτασης. Οσάκις απαιτείται για την επανεξέταση, ο οργανισμός πιστοποίησης ζητεί από την ΕΑΑΤΠ να διενεργήσει εκ νέου αξιολόγηση του πιστοποιημένου χαρακτηριστικού προστασίας.» |
|
6) |
Το άρθρο 42 τροποποιείται ως εξής:
|
|
7) |
Στο άρθρο 48, η παράγραφος 4 αντικαθίσταται από το ακόλουθο κείμενο: «4. Εκτός εάν ορίζεται διαφορετικά στο παράρτημα I ή II, τα έγγραφα στάθμης της τεχνικής εφαρμόζονται στις διαδικασίες πιστοποίησης, συμπεριλαμβανομένης της επαναξιολόγησης και της εκ νέου αξιολόγησης, οι οποίες έχουν κινηθεί από την ημερομηνία εφαρμογής της τροποποιητικής πράξης με την οποία τα έγγραφα στάθμισης της τεχνικής ενσωματώθηκαν στο παράρτημα I ή II.» |
|
8) |
Το παράρτημα I αντικαθίσταται από το κείμενο του παραρτήματος I του παρόντος κανονισμού. |
|
9) |
Το παράρτημα II αντικαθίσταται από το κείμενο του παραρτήματος II του παρόντος κανονισμού. |
|
10) |
Το παράρτημα III αντικαθίσταται από το κείμενο του παραρτήματος III του παρόντος κανονισμού. |
|
11) |
Το παράρτημα IV τροποποιείται σύμφωνα με το παράρτημα IV του παρόντος κανονισμού. |
|
12) |
Το παράρτημα V τροποποιείται σύμφωνα με το παράρτημα V του παρόντος κανονισμού. |
|
13) |
Το παράρτημα IX αντικαθίσταται από το κείμενο του παραρτήματος VI του παρόντος κανονισμού. |
Άρθρο 2
Ο παρών κανονισμός αρχίζει να ισχύει την εικοστή ημέρα από τη δημοσίευσή του στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης.
Ο παρών κανονισμός είναι δεσμευτικός ως προς όλα τα μέρη του και ισχύει άμεσα σε κάθε κράτος μέλος.
Βρυξέλλες, 8 Δεκεμβρίου 2025.
Για την Επιτροπή
Η Πρόεδρος
Ursula VON DER LEYEN
(1) ΕΕ L 151 της 7.6.2019, σ. 15, ELI: http://data.europa.eu/eli/reg/2019/881/oj.
(2) Εκτελεστικός κανονισμός (ΕΕ) 2024/482 της Επιτροπής, της 31ης Ιανουαρίου 2024, για τη θέσπιση κανόνων εφαρμογής του κανονισμού (ΕΕ) 2019/881 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου όσον αφορά την έγκριση του ευρωπαϊκού σχήματος πιστοποίησης της κυβερνοασφάλειας βάσει κοινών κριτηρίων (EUCC) (ΕΕ L, 2024/482, 7.2.2024, ELI: http://data.europa.eu/eli/reg_impl/2024/482/oj).
ΠΑΡΑΡΤΗΜΑ I
«ΠΑΡΑΡΤΗΜΑ I
Έγγραφα στάθμης της τεχνικής που υποστηρίζουν τεχνικούς τομείς και άλλα έγγραφα στάθμης της τεχνικής
1.
Έγγραφα στάθμης της τεχνικής που υποστηρίζουν τεχνικούς τομείς σε επίπεδο AVA_VAN 4 ή 5:|
α) |
τα ακόλουθα έγγραφα σχετικά με την εναρμονισμένη αξιολόγηση του τεχνικού τομέα “έξυπνες κάρτες και παρεμφερείς διατάξεις”:
|
|
β) |
τα ακόλουθα έγγραφα σχετικά με την εναρμονισμένη αξιολόγηση του τεχνικού τομέα “διατάξεις υλισμικού με θυρίδες ασφαλείας”:
|
2.
Έγγραφα στάθμης της τεχνικής σχετικά με την εναρμονισμένη διαπίστευση των οργανισμών αξιολόγησης της συμμόρφωσης:|
α) |
“Accreditation of ITSEFs for the EUCC”, έκδοση 1.1 για διαπιστεύσεις που εκδόθηκαν πριν από τις 8 Ιουλίου 2025· |
|
β) |
“Accreditation of ITSEFs for the EUCC”, έκδοση 1.6c, για διαπιστεύσεις που εκδόθηκαν για πρώτη φορά ή που επανεξετάστηκαν μετά τις 8 Ιουλίου 2025· |
|
γ) |
“Accreditation of CBs for the EUCC”, έκδοση 1.6b. |
ΠΑΡΑΡΤΗΜΑ II
«ΠΑΡΑΡΤΗΜΑ II
Χαρακτηριστικά προστασίας πιστοποιημένα σε επίπεδο AVA_VAN 4 ή 5
1.
Για εγκεκριμένες διατάξεις εξ αποστάσεως δημιουργίας υπογραφών και σφραγίδων:|
α) |
EN 419241-2:2019 – Trustworthy Systems Supporting Server Signing – Part 2: Protection Profile for QSCD for Server Signing (v0.16), ANSSI-CC-PP-2018/02-M01· |
|
β) |
EN 419221-5:2018 – Protection profiles for Trust Service Provider Cryptographic modules – Part 5: Cryptographic Module for Trust Services (v0.15), ANSSI-CC-PP-2016/05-M01 |
2.
Χαρακτηριστικά προστασίας τα οποία θεσπίστηκαν ως έγγραφα στάθμης της τεχνικής:[ΚΕΝΟ].
ΠΑΡΑΡΤΗΜΑ III
«ΠΑΡΑΡΤΗΜΑ III
Συνιστώμενα χαρακτηριστικά προστασίας
Χαρακτηριστικά προστασίας που χρησιμοποιούνται στην πιστοποίηση προϊόντων ΤΠΕ, συμπεριλαμβανομένων προϊόντων στους εξής τεχνικούς τομείς:
|
1. |
έξυπνες κάρτες και παρεμφερείς διατάξεις
|
|
2. |
διατάξεις υλισμικού με θυρίδες ασφαλείας
|
|
3. |
άλλα: Trusted Execution Environment Protection Profile – GPD_SPE_021 (v1.3), ANSSI-CC-PP-2014/01-M02. |
ΠΑΡΑΡΤΗΜΑ IV
Το παράρτημα IV του εκτελεστικού κανονισμού (ΕΕ) 2024/482 τροποποιείται ως εξής:
|
1. |
Στο τμήμα IV.2, το σημείο 4 αντικαθίσταται από το ακόλουθο κείμενο:
|
|
2. |
Το τμήμα IV.3 τροποποιείται ως εξής:
|
ΠΑΡΑΡΤΗΜΑ V
Το τμήμα V.1 του παραρτήματος V του εκτελεστικού κανονισμού (ΕΕ) 2024/482 αντικαθίσταται από το ακόλουθο κείμενο:
«V.1 Έκθεση πιστοποίησης
|
1. |
Βάσει των τεχνικών εκθέσεων αξιολόγησης που παρέχει η ΕΑΑΤΠ, ο οργανισμός πιστοποίησης εκπονεί έκθεση πιστοποίησης η οποία δημοσιεύεται μαζί με το αντίστοιχο πιστοποιητικό EUCC και τον στόχο ασφάλειας. |
|
2. |
Η έκθεση πιστοποίησης αποτελεί πηγή λεπτομερών και πρακτικών πληροφοριών σχετικά με το προϊόν ΤΠΕ και την ασφαλή του ανάπτυξη. Επομένως, περιλαμβάνει κάθε δημόσια διαθέσιμη και γνωστοποιήσιμη πληροφορία η οποία έχει σημασία για τους χρήστες και τα ενδιαφερόμενα μέρη. Η έκθεση πιστοποίησης μπορεί να παραπέμπει σε δημόσια διαθέσιμες και γνωστοποιήσιμες πληροφορίες. |
|
3. |
Η έκθεση πιστοποίησης περιέχει τουλάχιστον τις ακόλουθες πληροφορίες:
|
|
4. |
Η συνοπτική παρουσίαση που αναφέρεται στο σημείο 3 στοιχείο α) είναι μια σύντομη σύνοψη της συνολικής έκθεσης πιστοποίησης. Παρέχει σαφή και συνοπτική επισκόπηση των αποτελεσμάτων της αξιολόγησης και περιλαμβάνει τις ακόλουθες πληροφορίες:
|
|
5. |
Τα στοιχεία προσδιορισμού που αναφέρονται στο σημείο 3 στοιχείο β) ταυτοποιούν σαφώς το αξιολογούμενο προϊόν ΤΠΕ και περιλαμβάνουν τις ακόλουθες πληροφορίες:
|
|
6. |
Τα στοιχεία επικοινωνίας που αναφέρονται στο σημείο 3 στοιχείο γ) περιλαμβάνουν τουλάχιστον τις ακόλουθες πληροφορίες:
|
|
7. |
Η πολιτική ασφάλειας που αναφέρεται στο σημείο 3 στοιχείο δ) περιλαμβάνει περιγραφή της πολιτικής ασφάλειας του προϊόντος ΤΠΕ ως ενός συνόλου υπηρεσιών ασφάλειας, καθώς και των πολιτικών ή των κανόνων που πρέπει να επιβάλλει ή προς τους οποίους πρέπει να συμμορφώνεται το αξιολογούμενο προϊόν ΤΠΕ. Επίσης περιλαμβάνει τα ακόλουθα στοιχεία:
|
|
8. |
Οι παραδοχές και η αποσαφήνιση πεδίου που αναφέρονται στο σημείο 3 στοιχείο ε) περιέχουν πληροφορίες σχετικά με τις περιστάσεις και τους στόχους που σχετίζονται με την προβλεπόμενη χρήση του προϊόντος, κατά τα οριζόμενα στο άρθρο 7 παράγραφος 1 στοιχείο γ), και περιλαμβάνουν τα εξής:
Οι πληροφορίες που αναφέρονται στο πρώτο εδάφιο είναι όσο το δυνατόν πιο σαφείς και κατανοητές, ώστε οι δυνητικοί χρήστες του πιστοποιημένου προϊόντος ΤΠΕ να μπορούν να λαμβάνουν τεκμηριωμένες αποφάσεις σχετικά με τους κινδύνους που συνδέονται με τη χρήση του. |
|
9. |
Οι πληροφορίες αρχιτεκτονικής που αναφέρονται στο σημείο 3 στοιχείο στ) περιλαμβάνουν υψηλού επιπέδου περιγραφή του προϊόντος ΤΠΕ και των κύριων συνιστωσών του βάσει των παραδοτέων που ορίζονται στην οικογένεια διασφάλισης κοινών κριτηρίων: Development - TOE Design (ADV_TDS). |
|
10. |
Οι συμπληρωματικές πληροφορίες για την κυβερνοασφάλεια που αναφέρονται στο σημείο 3 στοιχείο ζ) περιλαμβάνουν τον σύνδεσμο προς τον ιστότοπο του κατόχου του πιστοποιητικού EUCC που αναφέρεται στο άρθρο 55 του κανονισμού (ΕΕ) 2019/881. |
|
11. |
Η αξιολόγηση και η διαμόρφωση προϊόντος ΤΠΕ που αναφέρονται στο σημείο 3 στοιχείο η) περιγράφουν την προσπάθεια δοκιμών τόσο του φορέα ανάπτυξης όσο και του αξιολογητή, περιγράφοντας την προσέγγιση, τη διαμόρφωση και το βάθος των δοκιμών. Περιλαμβάνουν τουλάχιστον τα εξής στοιχεία:
|
|
12. |
Τα αποτελέσματα της αξιολόγησης και οι πληροφορίες σχετικά με το πιστοποιητικό που αναφέρονται στο σημείο 3 στοιχείο θ) περιλαμβάνουν πληροφορίες σχετικά με το επιτευχθέν επίπεδο διασφάλισης που αναφέρεται στο άρθρο 4 του παρόντος κανονισμού και στο άρθρο 52 του κανονισμού (ΕΕ) 2019/881. |
|
13. |
Οι παρατηρήσεις και οι συστάσεις που αναφέρονται στο σημείο 3 στοιχείο ι) χρησιμοποιούνται για την παροχή πρόσθετων πληροφοριών σχετικά με τα αποτελέσματα της αξιολόγησης. Οι εν λόγω παρατηρήσεις και συστάσεις μπορούν να αναφέρονται σε ελλείψεις του προϊόντος ΤΠΕ που ανακαλύφθηκαν κατά την αξιολόγηση ή σε ιδιαίτερα χρήσιμα χαρακτηριστικά. |
|
14. |
Τα παραρτήματα που αναφέρονται στο σημείο 3 στοιχείο ια) χρησιμοποιούνται για να περιγραφούν όποιες πρόσθετες πληροφορίες ενδέχεται να είναι χρήσιμες για το κοινό της έκθεσης, αλλά δεν εντάσσονται λογικά στα προβλεπόμενα τμήματα της έκθεσης, τούτο δε και σε περιπτώσεις πλήρους περιγραφής της πολιτικής ασφάλειας. |
|
15. |
Ο στόχος ασφάλειας που αναφέρεται στο σημείο 3 στοιχείο ιβ) αναφέρεται στον αξιολογούμενο στόχο ασφάλειας. Ο αξιολογούμενος στόχος ασφάλειας συνοδεύεται από την έκθεση πιστοποίησης για τους σκοπούς της δημοσίευσης στον ιστότοπο που αναφέρεται στο άρθρο 50 παράγραφος 1 του κανονισμού (ΕΕ) 2019/881. Όταν πριν από τη δημοσίευση είναι αναγκαία η απαλοιφή εμπιστευτικών στοιχείων από τον αξιολογούμενο στόχο ασφάλειας, αυτή πραγματοποιείται σύμφωνα με το τμήμα V.2 του παραρτήματος V του παρόντος κανονισμού. |
|
16. |
Σήματα ή επισημάνσεις που συνδέονται με το σχήμα EUCC που αναφέρεται στο σημείο 3 σημείο ιγ) περιλαμβάνονται στην έκθεση πιστοποίησης σύμφωνα με τους κανόνες και τις διαδικασίες που καθορίζονται στο άρθρο 11. |
|
17. |
Το γλωσσάριο που αναφέρεται στο σημείο 3 στοιχείο ιδ) χρησιμοποιείται για τη βελτίωση της αναγνωσιμότητας της έκθεσης μέσω της παροχής ορισμών των ακρωνυμίων ή των όρων, των οποίων οι έννοιες ενδέχεται να μην είναι προφανείς. |
|
18. |
Η βιβλιογραφία που αναφέρεται στο σημείο 3 στοιχείο ιε) περιλαμβάνει παραπομπές σε όλα τα έγγραφα που χρησιμοποιήθηκαν κατά τη σύνταξη της έκθεσης πιστοποίησης. Οι πληροφορίες αυτές περιλαμβάνουν τουλάχιστον τα ακόλουθα στοιχεία:
Προκειμένου να διασφαλίζεται η δυνατότητα αναπαραγωγής της αξιολόγησης, κάθε έγγραφο στο οποίο γίνεται παραπομπή πρέπει να προσδιορίζεται με μοναδικό τρόπο, με την ορθή ημερομηνία δημοσίευσης και τον ορθό αριθμό έκδοσης.». |
ΠΑΡΑΡΤΗΜΑ VI
«ΠΑΡΑΡΤΗΜΑ IX
Σήματα και επισημάνσεις
1.
Η μορφή του σήματος και της επισήμανσης:
2.
Σε περίπτωση σμίκρυνσης ή μεγέθυνσης του σήματος και της επισήμανσης τηρούνται οι αναλογίες που αναφέρονται στο σημείο 1.
3.
Όταν τοποθετούνται επί του προϊόντος ΤΠΕ, το σήμα και η επισήμανση έχουν ύψος τουλάχιστον 5 χιλιοστών.
ELI: http://data.europa.eu/eli/reg_impl/2025/2462/oj
ISSN 1977-0669 (electronic edition)