European flag

Επίσημη Εφημερίδα
της Ευρωπαϊκής Ένωσης

EL

Σειρά L


2025/2462

9.12.2025

ΕΚΤΕΛΕΣΤΙΚΟΣ ΚΑΝΟΝΙΣΜΟΣ (ΕΕ) 2025/2462 ΤΗΣ ΕΠΙΤΡΟΠΗΣ

της 8ης Δεκεμβρίου 2025

για την τροποποίηση του εκτελεστικού κανονισμού (ΕΕ) 2024/482 όσον αφορά τους ορισμούς, την πιστοποίηση σειρών προϊόντων ΤΠΕ, τη συνέχεια διασφάλισης και τα έγγραφα στάθμης της τεχνικής

(Κείμενο που παρουσιάζει ενδιαφέρον για τον ΕΟΧ)

Η ΕΥΡΩΠΑΪΚΗ ΕΠΙΤΡΟΠΗ,

Έχοντας υπόψη τη Συνθήκη για τη λειτουργία της Ευρωπαϊκής Ένωσης,

Έχοντας υπόψη τον κανονισμό (ΕΕ) 2019/881 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 17ης Απριλίου 2019, σχετικά με τον ENISA («Οργανισμός της Ευρωπαϊκής Ένωσης για την Κυβερνοασφάλεια») και με την πιστοποίηση της κυβερνοασφάλειας στον τομέα της τεχνολογίας πληροφοριών και επικοινωνιών και για την κατάργηση του κανονισμού (ΕΕ) αριθ. 526/2013 (πράξη για την κυβερνοασφάλεια) (1), και ιδίως το άρθρο 49 παράγραφος 7,

Εκτιμώντας τα ακόλουθα:

(1)

Με τον εκτελεστικό κανονισμό (ΕΕ) 2024/482 της Επιτροπής (2) προσδιορίζονται οι ρόλοι, οι κανόνες και οι υποχρεώσεις, καθώς και η δομή του βασισμένου σε κοινά κριτήρια ευρωπαϊκού σχήματος πιστοποίησης της κυβερνοασφάλειας (στο εξής: EUCC), σύμφωνα με το ευρωπαϊκό πλαίσιο πιστοποίησης της κυβερνοασφάλειας που καθορίζεται στον κανονισμό (ΕΕ) 2019/881.

(2)

Η κοινή μεθοδολογία αξιολόγησης που συνοδεύει τα κοινά κριτήρια αποτελεί ένα διεθνές πρότυπο αξιολόγησης της ασφάλειας των πληροφοριών, βάσει του οποίου καθίσταται δυνατή η αξιολόγηση της ασφάλειας των προϊόντων ΤΠΕ για σκοπούς πιστοποίησης. Στο πλαίσιο αυτό, ορισμένα προϊόντα ΤΠΕ, οι επονομαζόμενες σειρές προϊόντων, μπορεί να είναι δομημένα επί της ίδιας λειτουργικής βάσης προκειμένου να προσφέρουν παρεμφερείς λειτουργικότητες ασφάλειας για διαφορετικές πλατφόρμες ή συσκευές. Ωστόσο, ο σχεδιασμός, το υλισμικό, το υλικολογισμικό ή το λογισμικό μπορεί να διαφέρουν από το ένα προϊόν ΤΠΕ στο άλλο. Εναπόκειται στον οργανισμό πιστοποίησης να αποφασίζει, κατά περίπτωση, αν είναι δυνατή η πιστοποίηση μιας σειράς προϊόντων. Οι προϋποθέσεις για την πιστοποίηση σειρών προϊόντων θα μπορούσαν να επεξηγηθούν διεξοδικότερα στις υποστηρικτικές κατευθυντήριες γραμμές του EUCC.

(3)

Προκειμένου να διατηρηθεί η αξιοπιστία των πιστοποιημένων προϊόντων, είναι σημαντικό να οριστεί τι συνιστά μείζονος και τι ήσσονος σημασίας αλλαγή του στόχου αξιολόγησης ή του περιβάλλοντός του, συμπεριλαμβανομένου του λειτουργικού περιβάλλοντος ή του περιβάλλοντος ανάπτυξης. Κατά συνέπεια, είναι ανάγκη να προσδιοριστούν οι έννοιες αυτές αφού ληφθούν υπόψη οι υπάρχουσες, ευρέως χρησιμοποιούμενες τεχνικές προδιαγραφές της Ομάδας Ανώτερων Υπαλλήλων για την Ασφάλεια των Συστημάτων Πληροφοριών (SOG-IS) και των συμμετεχόντων στις ρυθμίσεις για την αναγνώριση πιστοποιητικών κοινών κριτηρίων στον τομέα της ασφάλειας της ΤΠ (CCRA).

(4)

Οι αλλαγές ήσσονος σημασίας συχνά χαρακτηρίζονται από την περιορισμένη επίδρασή τους στη δήλωση διασφάλισης προϊόντος, την οποία παρέχει το εκδοθέν πιστοποιητικό EUCC. Επομένως, η διαχείριση των αλλαγών ήσσονος σημασίας θα πρέπει να πραγματοποιείται στο πλαίσιο διαδικασιών διατήρησης και δεν απαιτεί εκ νέου αξιολόγηση των λειτουργικοτήτων ασφάλειας του προϊόντος. Στα παραδείγματα αλλαγών ήσσονος σημασίας που θα πρέπει να αντιμετωπίζονται μέσω της διατήρησης συγκαταλέγονται, μεταξύ άλλων, οι συντακτικές αλλαγές, οι αλλαγές στο περιβάλλον του στόχου αξιολόγησης οι οποίες δεν τροποποιούν τον πιστοποιημένο στόχο αξιολόγησης, καθώς και οι αλλαγές πιστοποιημένου στόχου αξιολόγησης οι οποίες δεν επηρεάζουν τα στοιχεία τεκμηρίωσης της διασφάλισης. Οι αλλαγές του περιβάλλοντος ανάπτυξης μπορούν επίσης να θεωρηθούν ήσσονος σημασίας, υπό τον όρο ότι δεν έχουν επακόλουθες επιπτώσεις σε υπάρχοντα μέτρα διασφάλισης. Ωστόσο, σε ορισμένες περιπτώσεις ενδέχεται να απαιτούν τη μερική αξιολόγηση των σχετικών μέτρων.

(5)

Μείζονος σημασίας είναι κάθε αλλαγή του πιστοποιημένου στόχου αξιολόγησης ή του περιβάλλοντός του, η οποία μπορεί να έχει αρνητικές επιπτώσεις στη δηλωθείσα στο πιστοποιητικό EUCC διασφάλιση και η οποία θα πρέπει, επομένως, να απαιτεί εκ νέου αξιολόγηση. Παραδείγματα αλλαγών μείζονος σημασίας είναι, μεταξύ άλλων, οι αλλαγές στο σύνολο των απαιτήσεων της αξιούμενης διασφάλισης, εξαιρουμένων των απαιτήσεων διασφάλισης της οικογένειας CC ALC_FLR (αποκατάσταση ελαττώματος)· αλλαγές στους ελέγχους εμπιστευτικότητας ή ακεραιότητας του περιβάλλοντος ανάπτυξης, όταν οι εν λόγω τροποποιήσεις ενδέχεται να επηρεάσουν την ασφαλή ανάπτυξη ή παραγωγή του στόχου αξιολόγησης, ή αλλαγές του στόχου αξιολόγησης με σκοπό την αντιμετώπιση εκμεταλλεύσιμων τρωτών σημείων. Επιπλέον, αλλαγή μείζονος σημασίας μπορεί επίσης να χαρακτηριστεί ένα σύνολο αλλαγών ήσσονος σημασίας που συλλογικά έχουν σημαντικές επιπτώσεις στην ασφάλεια. Είναι επίσης σημαντικό να αναγνωριστεί ότι, ενώ μια διόρθωση σφάλματος μπορεί να επηρεάζει μόνο μία συγκεκριμένη πτυχή του στόχου αξιολόγησης, λόγω του απρόβλεπτου χαρακτήρα και των δυνητικών επιπτώσεών της στη διασφάλιση, μπορεί να καταστεί αλλαγή μείζονος σημασίας εάν θέτει σε κίνδυνο τις παρεχόμενες από την πιστοποίηση κατοχυρώσεις της ασφάλειας.

(6)

Οι αλλαγές στο περιβάλλον απειλής ενός αμετάβλητου πιστοποιημένου προϊόντος ΤΠΕ ενδέχεται να απαιτούν επαναξιολόγηση. Θα πρέπει να καθοριστούν σαφώς τα πιθανά αποτελέσματα της εν λόγω διαδικασίας επαναξιολόγησης, και ιδίως οι επιπτώσεις της στο πιστοποιητικό EUCC. Εάν ολοκληρωθεί επιτυχώς η επαναξιολόγηση, ο οργανισμός πιστοποίησης θα πρέπει να επιβεβαιώσει το πιστοποιητικό ή να εκδώσει νέο πιστοποιητικό με παραταθείσα ημερομηνία λήξης. Εάν η διαδικασία επαναξιολόγησης δεν είναι επιτυχής, ο οργανισμός πιστοποίησης θα πρέπει να ανακαλέσει το πιστοποιητικό και ενδεχομένως να εκδώσει νέο πιστοποιητικό με διαφορετικό πεδίο. Οι διατάξεις αυτές θα πρέπει να εφαρμόζονται κατ’ αναλογία στην επαναξιολόγηση των χαρακτηριστικών προστασίας.

(7)

Στο παράρτημα I του εκτελεστικού κανονισμού (ΕΕ) 2024/482 παρατίθενται τα εφαρμοστέα έγγραφα στάθμης της τεχνικής για την αξιολόγηση προϊόντων ΤΠΕ και χαρακτηριστικών προστασίας. Τα εν λόγω έγγραφα στάθμης της τεχνικής θα πρέπει να επικαιροποιούνται ώστε να αποτυπώνουν τις τελευταίες εξελίξεις, όπως εκείνες που σχετίζονται με τις τεχνολογικές εξελίξεις, τα τοπία των κυβερνοαπειλών, τις πρακτικές του κλάδου ή τα διεθνή πρότυπα. Η επικαιροποίηση αυτή ενδείκνυται για τα έγγραφα στάθμης της τεχνικής που αφορούν τις ελάχιστες απαιτήσεις ασφάλειας χώρου, την αξιοποίηση δυνατοτήτων επίθεσης σε έξυπνες κάρτες, την αξιοποίηση δυνατοτήτων επίθεσης σε διατάξεις υλισμικού με θυρίδες ασφαλείας, την εφαρμογή κοινών κριτηρίων σε ολοκληρωμένα κυκλώματα και την αξιολόγηση σύνθετων προϊόντων για έξυπνες κάρτες και παρεμφερείς διατάξεις. Επιπλέον, δεν περιλαμβάνονται τα έγγραφα στάθμης της τεχνικής που αφορούν την αξιολόγηση και την πιστοποίηση σύνθετων προϊόντων με χρήση της τελευταίας έκδοσης των προτύπων κοινών κριτηρίων, την επανάχρηση των αποτελεσμάτων αξιολόγησης επιτόπιων ελέγχων και διευκρινίσεις επί της ερμηνείας χαρακτηριστικών προστασίας που αφορούν διατάξεις δημιουργίας εγκεκριμένης ηλεκτρονικής υπογραφής, ταχογράφους και δομοστοιχεία ασφάλειας υλισμικού. Για την ομοιόμορφη αξιολόγηση των προϊόντων ΤΠΕ στο πλαίσιο του EUCC, το παράρτημα I θα πρέπει να τροποποιηθεί ώστε να συμπεριλάβει τα εν λόγω επικαιροποιημένα και νέα έγγραφα στάθμης της τεχνικής, αφού εγκριθούν από την ευρωπαϊκή ομάδα πιστοποίησης της κυβερνοασφάλειας (ECCG).

(8)

Επιπλέον, στο σχήμα πιστοποίησης θα πρέπει να προστεθεί το έγγραφο στάθμης της τεχνικής «ADV_SPM.1 interpretation for CC:2022 transition», ώστε να καταστεί δυνατή η συνέχιση της χρήσης τυπικής μοντελοποίησης (ADV_SPM.1) στις διαδικασίες πιστοποίησης που βασίζονται σε συγκεκριμένα χαρακτηριστικά προστασίας μέχρι να επικαιροποιηθούν τα αντίστοιχα χαρακτηριστικά προστασίας, π.χ. με την προσθήκη συμμορφούμενης προς το πρότυπο CC:2022 διαμόρφωσης χαρακτηριστικού προστασίας πολλαπλών διασφαλίσεων, η οποία να υποστηρίζει το ADV_SPM.1. Προκειμένου να εξασφαλιστεί επαρκής χρόνος για τη μετάβαση της αγοράς στα επικαιροποιημένα πρότυπα κοινών κριτηρίων, είναι ανάγκη να προβλεφθούν ειδικοί μεταβατικοί κανόνες για τα χαρακτηριστικά προστασίας «Security IC Platform PP with Augmentation Packages BSI-CC-PP-0084-2014 (v1.0)», «Java Card System – Closed Configuration (v3.1), BSI-CC-PP-0101-V2-2020» ή «Java Card System – Open Configuration (v3.1), BSI-CC-PP-0099-V2-2020». Προς αποφυγή τυχόν διαταραχών της αγοράς, είναι σκόπιμο να οριστεί ότι το έγγραφο στάθμης της τεχνικής «ADV_SPM.1 interpretation for CC:2022 transition» εφαρμόζεται σε διαδικασίες πιστοποίησης που κινήθηκαν πριν από την έκδοση του παρόντος κανονισμού. Ωστόσο, η εφαρμογή του εν λόγω εγγράφου θα πρέπει να περιορίζεται αυστηρά στο αναγκαίο μέτρο, δεδομένου του χρόνου που απαιτείται για να ολοκληρωθεί η επικαιροποίηση των αντίστοιχων χαρακτηριστικών προστασίας. Πιο συγκεκριμένα, για τις διαδικασίες πιστοποίησης στις οποίες χρησιμοποιούνται τα χαρακτηριστικά «Security IC Platform PP with Augmentation Packages (v1.0), BSI-CC-PP-0084-2014» ή «Java Card System – Closed Configuration (v3.1), BSI-CC-PP-0101-V2-2020», το έγγραφο στάθμης της τεχνικής θα πρέπει να εφαρμόζεται στις διαδικασίες που κινήθηκαν πριν από την 1η Οκτωβρίου 2026. Για τις διαδικασίες πιστοποίησης στις οποίες χρησιμοποιείται το χαρακτηριστικό προστασίας «Java Card System – Open Configuration (v3.1), BSI-CC-PP-0099-V2-2020», το έγγραφο στάθμης της τεχνικής θα πρέπει να εφαρμόζεται μόνο στις διαδικασίες που κινήθηκαν πριν από την ημερομηνία έναρξης ισχύος του παρόντος κανονισμού, δεδομένου ότι είναι ήδη διαθέσιμη μια νέα έκδοση του χαρακτηριστικού προστασίας «Java Card System – Open Configuration».

(9)

Η όποια αλλαγή των εγγράφων στάθμης της τεχνικής κατά τη διαδικασία πιστοποίησης μπορεί να διαταράξει την αξιολόγηση του προϊόντος και να καθυστερήσει την έκδοση του πιστοποιητικού. Συνεπώς, απαιτούνται κατάλληλοι μεταβατικοί κανόνες για τα νέα ή τα επικαιροποιημένα έγγραφα στάθμης της τεχνικής, ώστε οι πωλητές, οι εγκαταστάσεις αξιολόγησης της ασφάλειας της τεχνολογίας πληροφοριών (στο εξής: ΕΑAΤΠ), οι οργανισμοί πιστοποίησης και τα άλλα ενδιαφερόμενα μέρη να μπορούν να προβούν στις αναγκαίες προσαρμογές. Τα εφαρμοστέα επικαιροποιημένα και νέα έγγραφα στάθμης της τεχνικής θα πρέπει να αφορούν αιτήσεις πιστοποίησης, συμπεριλαμβανομένων των αιτήσεων επαναξιολόγησης και εκ νέου αξιολόγησης, ενώ στις εν εξελίξει διαδικασίες πιστοποίησης θα πρέπει να υπάρχει η δυνατότητα να συνεχιστεί η χρήση προηγούμενων εκδόσεων των εγγράφων στάθμης της τεχνικής.

(10)

Στα παραρτήματα II και III του εκτελεστικού κανονισμού (ΕΕ) 2024/482 παρατίθενται, αντίστοιχα, τα πιστοποιημένα σε επίπεδο AVA_VAN 4 ή 5 χαρακτηριστικά προστασίας και τα συνιστώμενα χαρακτηριστικά προστασίας. Ορισμένες παραπομπές είναι ελλιπείς ή παρωχημένες λόγω της επικαιροποίησης των χαρακτηριστικών προστασίας. Οι εν λόγω παραπομπές θα πρέπει να συμπληρωθούν και, επιπλέον, θα πρέπει να προστεθούν νέες, ώστε να εξασφαλιστεί πληρέστερη κάλυψη των ασφαλών ολοκληρωμένων κυκλωμάτων, των έξυπνων καρτών και των συναφών διατάξεων, και της έμπιστης υπολογιστικής.

(11)

Είναι ανάγκη να τροποποιηθεί το άρθρο 19 του εκτελεστικού κανονισμού (ΕΕ) 2024/482, για να διευκρινιστεί ότι το παράρτημα IV εφαρμόζεται, με τις αναγκαίες αλλαγές, στην επανεξέταση των πιστοποιητικών EUCC για τα χαρακτηριστικά προστασίας.

(12)

Δεδομένου ότι ο στόχος ασφάλειας αποτελεί καίριο στοιχείο για την κατανόηση του πεδίου μιας διαδικασίας πιστοποίησης, είναι επίσης ανάγκη ο ENISA να δημοσιεύει στον ιστότοπό του τον στόχο ασφάλειας που αντιστοιχεί σε κάθε πιστοποιητικό EUCC.

(13)

Επιπλέον, οι οργανισμοί πιστοποίησης θα πρέπει να παρέχουν στον ENISA έκδοση στην αγγλική γλώσσα του στόχου ασφάλειας και της έκθεσης πιστοποίησης, ώστε ο Οργανισμός να μπορεί να καθιστά τις εν λόγω πληροφορίες διαθέσιμες στον αντίστοιχο ιστότοπο στην αγγλική γλώσσα, κατά τα οριζόμενα στο άρθρο 42 παράγραφος 2 του εκτελεστικού κανονισμού (ΕΕ) 2024/482. Για τον λόγο αυτόν, όποτε τους ζητείται, οι αιτούντες πιστοποίηση θα πρέπει να παρέχουν στους οργανισμούς πιστοποίησης έκδοση του στόχου ασφάλειας στην αγγλική γλώσσα.

(14)

Το μοναδικό αναγνωριστικό του πιστοποιητικού δεν είναι ανάγκη να περιλαμβάνει το όνομα του οργανισμού πιστοποίησης, καθώς ο αριθμός μητρώου του οργανισμού πιστοποίησης επαρκεί για την ταυτοποίησή του με μοναδικό τρόπο. Δεν είναι ανάγκη να περιλαμβάνει ούτε τον μήνα έκδοσης, καθώς η καταμέτρηση των πιστοποιητικών πραγματοποιείται σε ετήσια βάση. Συνεπώς, η απαίτηση αυτή θα πρέπει να διαγραφεί για λόγους απλούστευσης. Δεδομένου ότι το έτος έκδοσης του πιστοποιητικού αντιστοιχεί στην έκδοση του πρώτου πιστοποιητικού, για λόγους ιχνηλασιμότητας η ίδια χρονολογία θα πρέπει να περιλαμβάνεται στο μοναδικό αναγνωριστικό των πιστοποιητικών που εκδίδονται κατόπιν επανεξέτασης.

(15)

Κατά συνέπεια, ο εκτελεστικός κανονισμός (ΕΕ) 2024/482 θα πρέπει να τροποποιηθεί αναλόγως.

(16)

Τα μέτρα που προβλέπονται στον παρόντα κανονισμό είναι σύμφωνα με τη γνώμη της επιτροπής που έχει συσταθεί βάσει του άρθρου 66 του κανονισμού (ΕΕ) 2019/881,

ΕΞΕΔΩΣΕ ΤΟΝ ΠΑΡΟΝΤΑ ΚΑΝΟΝΙΣΜΟ:

Άρθρο 1

Ο εκτελεστικός κανονισμός (ΕΕ) 2024/482 τροποποιείται ως εξής:

1)

Στο άρθρο 2 προστίθενται τα ακόλουθα σημεία 16), 17) και 18):

«16)

“σειρά προϊόντων”: σύνολο προϊόντων ΤΠΕ αιτούντος, τα οποία είναι δομημένα επί της ίδιας λειτουργικής βάσης για την κάλυψη των ίδιων αναγκών ασφάλειας και των οποίων ο σχεδιασμός, το υλισμικό, το υλικολογισμικό ή το λογισμικό ενδέχεται να διαφέρει από ένα προϊόν ΤΠΕ σε άλλο·

17)

“αλλαγή ήσσονος σημασίας”: κάθε αλλαγή του πιστοποιημένου στόχου αξιολόγησης ή του περιβάλλοντός του, η οποία δεν έχει αρνητικές επιπτώσεις στη διασφάλιση που δηλώνεται στο πιστοποιητικό EUCC·

18)

“αλλαγή μείζονος σημασίας”: κάθε αλλαγή του πιστοποιημένου στόχου αξιολόγησης ή του περιβάλλοντός του, η οποία ενδέχεται να έχει αρνητικές επιπτώσεις στη διασφάλιση που δηλώνεται στο πιστοποιητικό EUCC.».

2)

Στο άρθρο 5 προστίθεται η ακόλουθη παράγραφος 3:

«3.   Ο οργανισμός πιστοποίησης δύναται να επιτρέπει την πιστοποίηση σειράς προϊόντων.»

.

3)

Στο άρθρο 9 παράγραφος 2, το στοιχείο α) αντικαθίσταται από το ακόλουθο κείμενο:

«α)

να παρέχει στον οργανισμό πιστοποίησης και στην ΕΑΑΤΠ κάθε αναγκαία πλήρη και ορθή πληροφορία, και να παρέχει συμπληρωματικές αναγκαίες πληροφορίες, εφόσον ζητηθούν, συμπεριλαμβανομένης έκδοσης του στόχου ασφάλειας στην αγγλική γλώσσα·».

4)

Στο άρθρο 11 παράγραφος 3, το στοιχείο β) αντικαθίσταται από το ακόλουθο κείμενο:

«β)

το μοναδικό αναγνωριστικό του πιστοποιητικού, το οποίο περιλαμβάνει τα εξής:

1)

την ονομασία του σχήματος·

2)

τον αριθμό μητρώου του οργανισμού πιστοποίησης που εξέδωσε το πιστοποιητικό, σύμφωνα με το άρθρο 3 του εκτελεστικού κανονισμού (ΕΕ) 2024/3143·

3)

το έτος έκδοσης του αρχικού πιστοποιητικού·

4)

τον αναγνωριστικό αριθμό που απέδωσε ο οργανισμός πιστοποίησης που εξέδωσε το πιστοποιητικό.».

5)

Στο άρθρο 19, η παράγραφος 1 αντικαθίσταται από το ακόλουθο κείμενο:

«1.   Κατόπιν αιτήματος του κατόχου του πιστοποιητικού ή για άλλους δεόντως αιτιολογημένους λόγους, ο οργανισμός πιστοποίησης δύναται να αποφασίσει την επανεξέταση πιστοποιητικού EUCC για χαρακτηριστικό προστασίας. Η επανεξέταση διενεργείται σύμφωνα με το παράρτημα IV. Ο οργανισμός πιστοποίησης καθορίζει την έκταση της επανεξέτασης. Οσάκις απαιτείται για την επανεξέταση, ο οργανισμός πιστοποίησης ζητεί από την ΕΑΑΤΠ να διενεργήσει εκ νέου αξιολόγηση του πιστοποιημένου χαρακτηριστικού προστασίας.»

.

6)

Το άρθρο 42 τροποποιείται ως εξής:

α)

στην παράγραφο 1 προστίθεται το ακόλουθο στοιχείο θ):

«θ)

τον στόχο ασφάλειας που αντιστοιχεί στο κάθε πιστοποιητικό EUCC.»·

β)

η παράγραφος 2 αντικαθίσταται από το ακόλουθο κείμενο:

«2.   Οι πληροφορίες που αναφέρονται στην παράγραφο 1 διατίθενται τουλάχιστον στην αγγλική γλώσσα. Για τον σκοπό αυτόν, οι οργανισμοί πιστοποίησης παρέχουν στον ENISA τις πρωτότυπες γλωσσικές εκδόσεις των εκθέσεων πιστοποίησης και των στόχων ασφάλειας, και επιπλέον παρέχουν αμελλητί και έκδοση των εν λόγω εγγράφων στην αγγλική γλώσσα.»

.

7)

Στο άρθρο 48, η παράγραφος 4 αντικαθίσταται από το ακόλουθο κείμενο:

«4.   Εκτός εάν ορίζεται διαφορετικά στο παράρτημα I ή II, τα έγγραφα στάθμης της τεχνικής εφαρμόζονται στις διαδικασίες πιστοποίησης, συμπεριλαμβανομένης της επαναξιολόγησης και της εκ νέου αξιολόγησης, οι οποίες έχουν κινηθεί από την ημερομηνία εφαρμογής της τροποποιητικής πράξης με την οποία τα έγγραφα στάθμισης της τεχνικής ενσωματώθηκαν στο παράρτημα I ή II.»

.

8)

Το παράρτημα I αντικαθίσταται από το κείμενο του παραρτήματος I του παρόντος κανονισμού.

9)

Το παράρτημα II αντικαθίσταται από το κείμενο του παραρτήματος II του παρόντος κανονισμού.

10)

Το παράρτημα III αντικαθίσταται από το κείμενο του παραρτήματος III του παρόντος κανονισμού.

11)

Το παράρτημα IV τροποποιείται σύμφωνα με το παράρτημα IV του παρόντος κανονισμού.

12)

Το παράρτημα V τροποποιείται σύμφωνα με το παράρτημα V του παρόντος κανονισμού.

13)

Το παράρτημα IX αντικαθίσταται από το κείμενο του παραρτήματος VI του παρόντος κανονισμού.

Άρθρο 2

Ο παρών κανονισμός αρχίζει να ισχύει την εικοστή ημέρα από τη δημοσίευσή του στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης.

Ο παρών κανονισμός είναι δεσμευτικός ως προς όλα τα μέρη του και ισχύει άμεσα σε κάθε κράτος μέλος.

Βρυξέλλες, 8 Δεκεμβρίου 2025.

Για την Επιτροπή

Η Πρόεδρος

Ursula VON DER LEYEN


(1)   ΕΕ L 151 της 7.6.2019, σ. 15, ELI: http://data.europa.eu/eli/reg/2019/881/oj.

(2)  Εκτελεστικός κανονισμός (ΕΕ) 2024/482 της Επιτροπής, της 31ης Ιανουαρίου 2024, για τη θέσπιση κανόνων εφαρμογής του κανονισμού (ΕΕ) 2019/881 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου όσον αφορά την έγκριση του ευρωπαϊκού σχήματος πιστοποίησης της κυβερνοασφάλειας βάσει κοινών κριτηρίων (EUCC) (ΕΕ L, 2024/482, 7.2.2024, ELI: http://data.europa.eu/eli/reg_impl/2024/482/oj).


ΠΑΡΑΡΤΗΜΑ I

«ΠΑΡΑΡΤΗΜΑ I

Έγγραφα στάθμης της τεχνικής που υποστηρίζουν τεχνικούς τομείς και άλλα έγγραφα στάθμης της τεχνικής

1.   

Έγγραφα στάθμης της τεχνικής που υποστηρίζουν τεχνικούς τομείς σε επίπεδο AVA_VAN 4 ή 5:

α)

τα ακόλουθα έγγραφα σχετικά με την εναρμονισμένη αξιολόγηση του τεχνικού τομέα “έξυπνες κάρτες και παρεμφερείς διατάξεις”:

1)

“Minimum ITSEF requirements for security evaluations of smart cards and similar devices”, έκδοση 1.1·

2)

“Minimum Site Security Requirements”, έκδοση 2·

3)

“Reusing evaluation results of site audits (STAR)”, έκδοση 1·

4)

“Application of Common Criteria to integrated circuits”, έκδοση 2·

5)

“Security Architecture requirements (ADV_ARC) for smart cards and similar devices”, έκδοση 1.1·

6)

“Certification of ‘open’ smart card products”, έκδοση 1.1·

7)

“Composite product evaluation for smart cards and similar devices for CC3.1”, έκδοση 2·

8)

“Composite product evaluation and certification for CC:2022”, έκδοση 1·

9)

“Application of Attack Potential to Smartcards and Similar Devices”, έκδοση 2·

10)

“Security Evaluation and Certification of Qualified Electronic Signature/Seal Creation Devices”, έκδοση 1·

11)

“ADV_SPM.1 interpretation for CC:2022 transition”, έκδοση 1.1, που εφαρμόζεται στις διαδικασίες πιστοποίησης στις οποίες χρησιμοποιούνται χαρακτηριστικά προστασίας ως εξής:

α)

χαρακτηριστικά προστασίας “Security IC Platform PP with Augmentation Packages (v1.0), BSI-CC-PP-0084-2014” ή “Java Card System – Closed Configuration (v3.1), BSI-CC-PP-0101-V2-2020”, που κινήθηκαν πριν από την 1η Οκτωβρίου 2026·

β)

χαρακτηριστικό προστασίας “Java Card System – Open Configuration (v3.1), BSI-CC-PP-0099-V2-2020” που κινήθηκε πριν από την 29η Δεκεμβρίου 2025·

β)

τα ακόλουθα έγγραφα σχετικά με την εναρμονισμένη αξιολόγηση του τεχνικού τομέα “διατάξεις υλισμικού με θυρίδες ασφαλείας”:

1)

“Minimum ITSEF requirements for security evaluations of hardware devices with security boxes”, έκδοση 1.1·

2)

“Minimum Site Security Requirements”, έκδοση 2·

3)

“Reusing evaluation results of site audits (STAR)”, έκδοση 1·

4)

“Application of Attack Potential to hardware devices with security boxes”, έκδοση 2·

5)

“Hardware assessment in EN 419221-5 (HSM PP)”, έκδοση 1·

6)

“JIL Tachograph MS PP Clarification”, έκδοση 1.

2.   

Έγγραφα στάθμης της τεχνικής σχετικά με την εναρμονισμένη διαπίστευση των οργανισμών αξιολόγησης της συμμόρφωσης:

α)

“Accreditation of ITSEFs for the EUCC”, έκδοση 1.1 για διαπιστεύσεις που εκδόθηκαν πριν από τις 8 Ιουλίου 2025·

β)

“Accreditation of ITSEFs for the EUCC”, έκδοση 1.6c, για διαπιστεύσεις που εκδόθηκαν για πρώτη φορά ή που επανεξετάστηκαν μετά τις 8 Ιουλίου 2025·

γ)

“Accreditation of CBs for the EUCC”, έκδοση 1.6b.

»

ΠΑΡΑΡΤΗΜΑ II

«ΠΑΡΑΡΤΗΜΑ II

Χαρακτηριστικά προστασίας πιστοποιημένα σε επίπεδο AVA_VAN 4 ή 5

1.   

Για εγκεκριμένες διατάξεις εξ αποστάσεως δημιουργίας υπογραφών και σφραγίδων:

α)

EN 419241-2:2019 – Trustworthy Systems Supporting Server Signing – Part 2: Protection Profile for QSCD for Server Signing (v0.16), ANSSI-CC-PP-2018/02-M01·

β)

EN 419221-5:2018 – Protection profiles for Trust Service Provider Cryptographic modules – Part 5: Cryptographic Module for Trust Services (v0.15), ANSSI-CC-PP-2016/05-M01

2.   

Χαρακτηριστικά προστασίας τα οποία θεσπίστηκαν ως έγγραφα στάθμης της τεχνικής:

[ΚΕΝΟ].

»

ΠΑΡΑΡΤΗΜΑ III

«ΠΑΡΑΡΤΗΜΑ III

Συνιστώμενα χαρακτηριστικά προστασίας

Χαρακτηριστικά προστασίας που χρησιμοποιούνται στην πιστοποίηση προϊόντων ΤΠΕ, συμπεριλαμβανομένων προϊόντων στους εξής τεχνικούς τομείς:

1.

έξυπνες κάρτες και παρεμφερείς διατάξεις

α)

διαβατήριο:

1)

PP Machine Readable Travel Document with “ICAO Application” Basic Access Control (v1.10), BSI-CC-PP-0055-2009·

2)

PP Machine Readable Travel Document using Standard Inspection Procedure with PACE (PACE_PP) (v1), BSI-CC-PP-0068-V2-2011-MA-01·

3)

PP Machine Readable Travel Document with “ICAO Application” Extended Access Control with PACE (v1.3), BSI-CC-PP-0056-V2-2012-MA-02·

β)

ασφαλείς διατάξεις δημιουργίας υπογραφών (SSCD):

1)

EN 419211-2:2013 – Protection profiles for secure signature creation device – Part 2: Device with key generation (v1.03), BSI-CC-PP-0059-2009-MA-02·

2)

EN 419211-3:2013 – Protection profiles for secure signature creation device – Part 3: Device with key import (v1.0.2), BSI-CC-PP-0075-2012-MA-01·

3)

EN 419211-4:2013 – Protection profiles for secure signature creation device – Part 4: Extension for device with key generation and trusted channel to certificate generation application (v1.0.1), BSI-CC-PP-0071-2012-MA-01·

4)

EN 419211-5:2013 – Protection profiles for secure signature creation device – Part 5: Extension for device with key generation and trusted channel to signature creation application (v1.0.1), BSI-CC-PP-0072-2012-MA-01·

5)

EN 419211-6:2014 – Protection profiles for secure signature creation device – Part 6: Extension for device with key import and trusted channel to signature creation application (v1.0.4), BSI-CC-PP-0076-2013-MA-01·

γ)

ταχογράφος: Digital Tachograph – Tachograph Card (TC PP) (v1.0), BSI-CC-PP-0091-2017·

δ)

ασφαλές ολοκληρωμένο κύκλωμα, πλατφόρμα Java Card και eUICC:

1)

Universal SIM Java Card Protection Platform Protection Profile Basic and SCWS Configurations (v2.0.2), ANSSI-CC-PP-2010/04 (Basic), ANSSI-CC-PP-2010/05 (Basic και SCWS)·

2)

Security IC Platform PP with Augmentation Packages (v1.0), BSI-CC-PP-0084-2014·

3)

Embedded UICC (eUICC) for Machine-to-Machine Devices (v1.1), BSI-CC-PP-0089-2015·

4)

Cryptographic Service Provider – CSP (v0.9.8), BSI-CC-PP-0104-2019·

5)

Cryptographic Service Provider – Time Stamp Service and Audit (PPC-CSP-TS-Au) Version 0.9.5, BSI-CC-PP-0107-2019·

6)

Configuration Cryptographic Service Provider – Time Stamp Service, Audit and Clustering (PPC-CSP-TS-Au-Cl) Version 0.9.4, BSI-CC-PP-0108-2019·

7)

Java Card System – Closed Configuration (v3.1), BSI-CC-PP-0101-V2-2020·

8)

Secure Element Protection Profile – GPC_SPE_174 (v1.0), CCN-CC-PP-5-2021·

9)

Secure Sub-System in System-on-Chip (3S in SoC) Protection Profile (v1.8), BSI-CC-PP-0117-V2-2023·

10)

Java Card System – Open Configuration (v3.2), BSI-CC-PP-0099-V3-2024·

11)

Embedded UICC for Consumer Devices Protection Profile (v2.1), BSI-CC-PP-0100-V2-2025·

ε)

δομοστοιχείο αξιόπιστης πλατφόρμας: Protection Profile PC Client Specific Trusted Platform Module Specification Family 2.0· Level 0; Revision 1.59 (v1.3), ANSSI-CC-PP-2021/02·

2.

διατάξεις υλισμικού με θυρίδες ασφαλείας

α)

σημεία αλληλεπίδρασης (πληρωμών) και τερματικά σημεία πώλησης:

1)

σημείο αλληλεπίδρασης “POI-CHIP-ONLY” (v4.0), ANSSI-CC-PP-2015/01·

2)

σημείο αλληλεπίδρασης “POI-CHIP-ONLY and Open Protocol Package” (v4.0), ANSSI-CC-PP-2015/02·

3)

σημείο αλληλεπίδρασης “POI-COMPREHENSIVE” (v4.0), ANSSI-CC-PP-2015/03·

4)

σημείο αλληλεπίδρασης “POI-COMPREHENSIVE and Open Protocol Package” (v4.0), ANSSI-CC-PP-2015/04·

5)

σημείο αλληλεπίδρασης “POI-PED-ONLY” (v4.0), ANSSI-CC-PP-2015/05·

6)

σημείο αλληλεπίδρασης “POI-PED-ONLY and Open Protocol Package” (v4.0), ANSSI-CC-PP-2015/06·

β)

δομοστοιχείο ασφαλείας υλισμικού:

1)

Cryptographic Module for CSP Signing Operations with Backup – PP CMCSOB 14167-2 (v0.35), ANSSI-CC-PP-2015/08·

2)

Cryptographic Module for CSP Key Generation Services – PP CMCKG 14167-3 (v0.20), ANSSI-CC-PP-2015/09·

3)

Cryptographic Module for CSP Signing Operations without Backup – PP CMCSO 14167-4 (v0.32), ANSSI-CC-PP-2015/10·

γ)

ταχογράφος:

1)

Digital Tachograph – Motion Sensor (MS PP) (v1.0), BSI-CC-PP-0093-2017·

2)

Digital Tachograph – Vehicle Unit (VU PP) (v1.15), BSI-CC-PP-0094-V2-2021·

3)

Digital Tachograph – External GNSS Facility (EGF PP) (v1.10), BSI-CC-PP-0092-V2-2021·

3.

άλλα: Trusted Execution Environment Protection Profile – GPD_SPE_021 (v1.3), ANSSI-CC-PP-2014/01-M02.

»

ΠΑΡΑΡΤΗΜΑ IV

Το παράρτημα IV του εκτελεστικού κανονισμού (ΕΕ) 2024/482 τροποποιείται ως εξής:

1.

Στο τμήμα IV.2, το σημείο 4 αντικαθίσταται από το ακόλουθο κείμενο:

«4.

Ο οργανισμός πιστοποίησης επανεξετάζει την επικαιροποιημένη τεχνική έκθεση αξιολόγησης και εκπονεί έκθεση επαναξιολόγησης. Στη συνέχεια, το καθεστώς του αρχικού πιστοποιητικού τροποποιείται σύμφωνα με το άρθρο 13 ή το άρθρο 19. Εάν η διαδικασία επαναξιολόγησης είναι επιτυχής, εφαρμόζεται το άρθρο 13 παράγραφος 2 στοιχείo α) ή γ) στην περίπτωση της πιστοποίησης προϊόντος, και το άρθρο 19 παράγραφος 2 στοιχείο α) ή γ) στην περίπτωση της πιστοποίησης χαρακτηριστικού προστασίας. Εάν η διαδικασία επαναξιολόγησης δεν είναι επιτυχής, εφαρμόζεται το άρθρο 13 παράγραφος 2 στοιχείo β) ή δ) στην περίπτωση της πιστοποίησης προϊόντος, και το άρθρο 19 παράγραφος 2 στοιχείο β) ή δ) στην περίπτωση της πιστοποίησης χαρακτηριστικού προστασίας.».

2.

Το τμήμα IV.3 τροποποιείται ως εξής:

α)

Ο τίτλος του τμήματος IV.3 αντικαθίσταται από το ακόλουθο κείμενο:

«IV.3   Αλλαγές σε πιστοποιημένο προϊόν ΤΠΕ — Διατήρηση και επαναξιολόγηση».

β)

Τα σημεία 4) και 5) αντικαθίστανται από το ακόλουθο κείμενο:

«4.

Μετά την εξέταση, ο οργανισμός πιστοποίησης καθορίζει την κλίμακα της αλλαγής ως ήσσονος σημασίας ή μείζονος σημασίας ανάλογα με τις επιπτώσεις της στη διασφάλιση που δηλώνεται στο πιστοποιητικό EUCC.

5.

Σε περίπτωση που οι αλλαγές έχουν επιβεβαιωθεί από τον οργανισμό πιστοποίησης ως ήσσονος σημασίας, δεν εκδίδεται νέο πιστοποιητικό για το τροποποιημένο προϊόν ΤΠΕ σύμφωνα με το άρθρο 13 παράγραφος 2 στοιχείο α) ή το άρθρο 19 παράγραφος 2 στοιχείο α) και εκπονείται έκθεση διατήρησης για την αρχική έκθεση πιστοποίησης.».

γ)

Προστίθεται το ακόλουθο σημείο 5α:

«5α.

Σε περίπτωση αλλαγών των μέτρων διασφάλισης στο περιβάλλον ανάπτυξης, συμπεριλαμβανομένης της προσθήκης απαιτήσεων διασφάλισης από την οικογένεια CC ALC_FLR (αποκατάσταση ελαττώματος), ο οργανισμός πιστοποίησης μπορεί να ζητήσει από την ΕΑΑΤΠ να διενεργήσει αξιολόγηση υποσυνόλου των επηρεαζόμενων μέτρων διασφάλισης. Η ΕΑΑΤΠ εκδίδει τεχνική έκθεση μερικής αξιολόγησης, βάσει της οποίας ο οργανισμός πιστοποίησης επιβεβαιώνει ότι οι αλλαγές είναι ήσσονος ή μείζονος σημασίας. Όταν ο οργανισμός πιστοποίησης έχει επιβεβαιώσει ότι οι αλλαγές είναι ήσσονος σημασίας, εφαρμόζεται το παράρτημα IV τμήμα IV.3 σημείο 5. Όταν ο οργανισμός πιστοποίησης έχει επιβεβαιώσει ότι οι αλλαγές είναι μείζονος σημασίας, εφαρμόζεται το παράρτημα IV τμήμα IV.3 σημείο 7.».


ΠΑΡΑΡΤΗΜΑ V

Το τμήμα V.1 του παραρτήματος V του εκτελεστικού κανονισμού (ΕΕ) 2024/482 αντικαθίσταται από το ακόλουθο κείμενο:

«V.1   Έκθεση πιστοποίησης

1.

Βάσει των τεχνικών εκθέσεων αξιολόγησης που παρέχει η ΕΑΑΤΠ, ο οργανισμός πιστοποίησης εκπονεί έκθεση πιστοποίησης η οποία δημοσιεύεται μαζί με το αντίστοιχο πιστοποιητικό EUCC και τον στόχο ασφάλειας.

2.

Η έκθεση πιστοποίησης αποτελεί πηγή λεπτομερών και πρακτικών πληροφοριών σχετικά με το προϊόν ΤΠΕ και την ασφαλή του ανάπτυξη. Επομένως, περιλαμβάνει κάθε δημόσια διαθέσιμη και γνωστοποιήσιμη πληροφορία η οποία έχει σημασία για τους χρήστες και τα ενδιαφερόμενα μέρη. Η έκθεση πιστοποίησης μπορεί να παραπέμπει σε δημόσια διαθέσιμες και γνωστοποιήσιμες πληροφορίες.

3.

Η έκθεση πιστοποίησης περιέχει τουλάχιστον τις ακόλουθες πληροφορίες:

α)

συνοπτική παρουσίαση·

β)

στοιχεία προσδιορισμού του προϊόντος ΤΠΕ·

γ)

στοιχεία επικοινωνίας σχετικά με την αξιολόγηση του προϊόντος ΤΠΕ·

δ)

πολιτικές ασφάλειας·

ε)

παραδοχές και αποσαφήνιση πεδίου·

στ)

πληροφορίες αρχιτεκτονικής·

ζ)

συμπληρωματικές πληροφορίες για την κυβερνοασφάλεια, κατά περίπτωση·

η)

σύνοψη της αξιολόγησης προϊόντος ΤΠΕ και αξιολογημένη διαμόρφωση·

θ)

αποτελέσματα της αξιολόγησης και πληροφορίες σχετικά με το πιστοποιητικό·

ι)

παρατηρήσεις και συστάσεις, κατά περίπτωση·

ια)

παραρτήματα, κατά περίπτωση·

ιβ)

προσδιορισμό του στόχου ασφάλειας του προϊόντος ΤΠΕ που υποβάλλεται για πιστοποίηση·

ιγ)

όταν υπάρχει, το σήμα ή την επισήμανση που σχετίζεται με το σχήμα·

ιδ)

γλωσσάριο, κατά περίπτωση·

ιε)

βιβλιογραφία.

4.

Η συνοπτική παρουσίαση που αναφέρεται στο σημείο 3 στοιχείο α) είναι μια σύντομη σύνοψη της συνολικής έκθεσης πιστοποίησης. Παρέχει σαφή και συνοπτική επισκόπηση των αποτελεσμάτων της αξιολόγησης και περιλαμβάνει τις ακόλουθες πληροφορίες:

α)

το όνομα του αξιολογούμενου προϊόντος ΤΠΕ·

β)

το όνομα της ΕΑΑΤΠ που διενήργησε την αξιολόγηση·

γ)

την ημερομηνία ολοκλήρωσης της αξιολόγησης·

δ)

την ημερομηνία έκδοσης του πιστοποιητικού·

ε)

κατά περίπτωση, την ημερομηνία έκδοσης του αρχικού πιστοποιητικού·

στ)

την περίοδο ισχύος·

ζ)

το μοναδικό αναγνωριστικό του πιστοποιητικού, σύμφωνα με το άρθρο 11·

η)

συνοπτική περιγραφή των αποτελεσμάτων της έκθεσης πιστοποίησης, και ειδικότερα:

i)

την έκδοση και, κατά περίπτωση, τη δημοσίευση των κοινών κριτηρίων που εφαρμόστηκαν στην αξιολόγηση·

ii)

τη δέσμη απαιτήσεων διασφάλισης ή κατάλογο των συνιστωσών κατοχύρωσης της ασφάλειας των κοινών κριτηρίων, το επίπεδο AVA_VAN που εφαρμόστηκε κατά την αξιολόγηση και το αντίστοιχο επίπεδο διασφάλισης που καθορίζεται στο άρθρο 52 του κανονισμού (ΕΕ) 2019/881 στο οποίο παραπέμπει το πιστοποιητικό EUCC·

iii)

κατά περίπτωση, το ή τα χαρακτηριστικά προστασίας προς τα οποία αξιώνει συμμόρφωση το προϊόν ΤΠΕ·

iv)

προσδιορισμό της πολιτικής ασφάλειας του αξιολογούμενου προϊόντος ΤΠΕ·

v)

δήλωση/δηλώσεις αποποίησης ευθύνης, κατά περίπτωση.

5.

Τα στοιχεία προσδιορισμού που αναφέρονται στο σημείο 3 στοιχείο β) ταυτοποιούν σαφώς το αξιολογούμενο προϊόν ΤΠΕ και περιλαμβάνουν τις ακόλουθες πληροφορίες:

α)

το μοναδικό αναγνωριστικό του αξιολογούμενου προϊόντος ΤΠΕ·

β)

απαρίθμηση των συνιστωσών του προϊόντος ΤΠΕ που περιλαμβάνονται στην αξιολόγηση και τον αριθμό έκδοσης της κάθε συνιστώσας·

γ)

προσδιορισμό των πρόσθετων απαιτήσεων του λειτουργικού περιβάλλοντος του πιστοποιημένου προϊόντος ΤΠΕ.

6.

Τα στοιχεία επικοινωνίας που αναφέρονται στο σημείο 3 στοιχείο γ) περιλαμβάνουν τουλάχιστον τις ακόλουθες πληροφορίες:

α)

το όνομα του φορέα ανάπτυξης·

β)

το όνομα και τα στοιχεία επικοινωνίας του κατόχου του πιστοποιητικού EUCC·

γ)

το όνομα του οργανισμού πιστοποίησης που εξέδωσε το πιστοποιητικό·

δ)

την αρμόδια εθνική αρχή πιστοποίησης της κυβερνοασφάλειας·

ε)

το όνομα της ΕΑΑΤΠ που διενήργησε την αξιολόγηση και, κατά περίπτωση, κατάλογο των υπεργολάβων.

7.

Η πολιτική ασφάλειας που αναφέρεται στο σημείο 3 στοιχείο δ) περιλαμβάνει περιγραφή της πολιτικής ασφάλειας του προϊόντος ΤΠΕ ως ενός συνόλου υπηρεσιών ασφάλειας, καθώς και των πολιτικών ή των κανόνων που πρέπει να επιβάλλει ή προς τους οποίους πρέπει να συμμορφώνεται το αξιολογούμενο προϊόν ΤΠΕ. Επίσης περιλαμβάνει τα ακόλουθα στοιχεία:

α)

περιγραφή των διαδικασιών του κατόχου του πιστοποιητικού για τη διαχείριση και τη γνωστοποίηση τρωτών σημείων, συμπληρούμενη αποκλειστικά με δημοσιοποιήσιμες πληροφορίες·

β)

την πολιτική του κατόχου του πιστοποιητικού για τη συνέχεια διασφάλισης, συμπεριλαμβανομένης, κατά περίπτωση, της περιγραφής των διαδικασιών του κατόχου του πιστοποιητικού για τη διαχείριση του κύκλου ζωής ή την παραγωγή σύμφωνα με το παράρτημα IV τμήμα IV.1·

γ)

κατά περίπτωση, την ύπαρξη διαδικασίας διαχείρισης διορθώσεων και το αποτέλεσμα της αξιολόγησής της σύμφωνα με το τμήμα IV.4 του παραρτήματος IV.

8.

Οι παραδοχές και η αποσαφήνιση πεδίου που αναφέρονται στο σημείο 3 στοιχείο ε) περιέχουν πληροφορίες σχετικά με τις περιστάσεις και τους στόχους που σχετίζονται με την προβλεπόμενη χρήση του προϊόντος, κατά τα οριζόμενα στο άρθρο 7 παράγραφος 1 στοιχείο γ), και περιλαμβάνουν τα εξής:

α)

παραδοχές σχετικά με τη χρήση και την ανάπτυξη του προϊόντος ΤΠΕ με τη μορφή ελάχιστων απαιτήσεων, όπως πλήρωση απαιτήσεων σχετικά με κατάλληλη εγκατάσταση και διαμόρφωση καθώς και υλισμικό·

β)

παραδοχές σχετικά με το περιβάλλον για τη συμμορφούμενη λειτουργία του προϊόντος ΤΠΕ·

γ)

περιγραφή τυχόν απειλών για το προϊόν ΤΠΕ οι οποίες δεν αντιμετωπίζονται από τις αξιολογημένες λειτουργίες ασφάλειας του προϊόντος σύμφωνα με την προβλεπόμενη χρήση, εφόσον η περιγραφή αυτή κρίνεται σημαντική για τους δυνητικούς χρήστες του προϊόντος ΤΠΕ.

Οι πληροφορίες που αναφέρονται στο πρώτο εδάφιο είναι όσο το δυνατόν πιο σαφείς και κατανοητές, ώστε οι δυνητικοί χρήστες του πιστοποιημένου προϊόντος ΤΠΕ να μπορούν να λαμβάνουν τεκμηριωμένες αποφάσεις σχετικά με τους κινδύνους που συνδέονται με τη χρήση του.

9.

Οι πληροφορίες αρχιτεκτονικής που αναφέρονται στο σημείο 3 στοιχείο στ) περιλαμβάνουν υψηλού επιπέδου περιγραφή του προϊόντος ΤΠΕ και των κύριων συνιστωσών του βάσει των παραδοτέων που ορίζονται στην οικογένεια διασφάλισης κοινών κριτηρίων: Development - TOE Design (ADV_TDS).

10.

Οι συμπληρωματικές πληροφορίες για την κυβερνοασφάλεια που αναφέρονται στο σημείο 3 στοιχείο ζ) περιλαμβάνουν τον σύνδεσμο προς τον ιστότοπο του κατόχου του πιστοποιητικού EUCC που αναφέρεται στο άρθρο 55 του κανονισμού (ΕΕ) 2019/881.

11.

Η αξιολόγηση και η διαμόρφωση προϊόντος ΤΠΕ που αναφέρονται στο σημείο 3 στοιχείο η) περιγράφουν την προσπάθεια δοκιμών τόσο του φορέα ανάπτυξης όσο και του αξιολογητή, περιγράφοντας την προσέγγιση, τη διαμόρφωση και το βάθος των δοκιμών. Περιλαμβάνουν τουλάχιστον τα εξής στοιχεία:

α)

προσδιορισμό των συνιστωσών διασφάλισης που χρησιμοποιήθηκαν από τα πρότυπα που αναφέρονται στο άρθρο 3·

β)

έκδοση των εγγράφων στάθμης της τεχνικής και περαιτέρω κριτήρια αξιολόγησης της ασφάλειας που χρησιμοποιήθηκαν στην αξιολόγηση·

γ)

τις ρυθμίσεις και τη διαμόρφωση του στόχου αξιολόγησης που χρησιμοποιείται για τη δοκιμή και την ανάλυση τρωτών σημείων·

δ)

κάθε χαρακτηριστικό προστασίας το οποίο έχει χρησιμοποιηθεί, συμπεριλαμβανομένων των ακόλουθων πληροφοριών: της ονομασίας, της έκδοσης, της ημερομηνίας και του πιστοποιητικού του χαρακτηριστικού προστασίας·

12.

Τα αποτελέσματα της αξιολόγησης και οι πληροφορίες σχετικά με το πιστοποιητικό που αναφέρονται στο σημείο 3 στοιχείο θ) περιλαμβάνουν πληροφορίες σχετικά με το επιτευχθέν επίπεδο διασφάλισης που αναφέρεται στο άρθρο 4 του παρόντος κανονισμού και στο άρθρο 52 του κανονισμού (ΕΕ) 2019/881.

13.

Οι παρατηρήσεις και οι συστάσεις που αναφέρονται στο σημείο 3 στοιχείο ι) χρησιμοποιούνται για την παροχή πρόσθετων πληροφοριών σχετικά με τα αποτελέσματα της αξιολόγησης. Οι εν λόγω παρατηρήσεις και συστάσεις μπορούν να αναφέρονται σε ελλείψεις του προϊόντος ΤΠΕ που ανακαλύφθηκαν κατά την αξιολόγηση ή σε ιδιαίτερα χρήσιμα χαρακτηριστικά.

14.

Τα παραρτήματα που αναφέρονται στο σημείο 3 στοιχείο ια) χρησιμοποιούνται για να περιγραφούν όποιες πρόσθετες πληροφορίες ενδέχεται να είναι χρήσιμες για το κοινό της έκθεσης, αλλά δεν εντάσσονται λογικά στα προβλεπόμενα τμήματα της έκθεσης, τούτο δε και σε περιπτώσεις πλήρους περιγραφής της πολιτικής ασφάλειας.

15.

Ο στόχος ασφάλειας που αναφέρεται στο σημείο 3 στοιχείο ιβ) αναφέρεται στον αξιολογούμενο στόχο ασφάλειας. Ο αξιολογούμενος στόχος ασφάλειας συνοδεύεται από την έκθεση πιστοποίησης για τους σκοπούς της δημοσίευσης στον ιστότοπο που αναφέρεται στο άρθρο 50 παράγραφος 1 του κανονισμού (ΕΕ) 2019/881. Όταν πριν από τη δημοσίευση είναι αναγκαία η απαλοιφή εμπιστευτικών στοιχείων από τον αξιολογούμενο στόχο ασφάλειας, αυτή πραγματοποιείται σύμφωνα με το τμήμα V.2 του παραρτήματος V του παρόντος κανονισμού.

16.

Σήματα ή επισημάνσεις που συνδέονται με το σχήμα EUCC που αναφέρεται στο σημείο 3 σημείο ιγ) περιλαμβάνονται στην έκθεση πιστοποίησης σύμφωνα με τους κανόνες και τις διαδικασίες που καθορίζονται στο άρθρο 11.

17.

Το γλωσσάριο που αναφέρεται στο σημείο 3 στοιχείο ιδ) χρησιμοποιείται για τη βελτίωση της αναγνωσιμότητας της έκθεσης μέσω της παροχής ορισμών των ακρωνυμίων ή των όρων, των οποίων οι έννοιες ενδέχεται να μην είναι προφανείς.

18.

Η βιβλιογραφία που αναφέρεται στο σημείο 3 στοιχείο ιε) περιλαμβάνει παραπομπές σε όλα τα έγγραφα που χρησιμοποιήθηκαν κατά τη σύνταξη της έκθεσης πιστοποίησης. Οι πληροφορίες αυτές περιλαμβάνουν τουλάχιστον τα ακόλουθα στοιχεία:

α)

τα κριτήρια αξιολόγησης της ασφάλειας, τα έγγραφα στάθμης της τεχνικής και άλλες σχετικές προδιαγραφές οι οποίες χρησιμοποιήθηκαν·

β)

την τεχνική έκθεση αξιολόγησης·

γ)

την τεχνική έκθεση αξιολόγησης για τη σύνθετη αξιολόγηση, εφόσον συντρέχει περίπτωση·

δ)

τεκμηρίωση για το τεχνικό πλαίσιο αναφοράς·

ε)

καθοδήγηση ασφάλειας για τους φορείς ανάπτυξης·

στ)

κατάλογο διαμόρφωσης για τους φορείς ανάπτυξης.

Προκειμένου να διασφαλίζεται η δυνατότητα αναπαραγωγής της αξιολόγησης, κάθε έγγραφο στο οποίο γίνεται παραπομπή πρέπει να προσδιορίζεται με μοναδικό τρόπο, με την ορθή ημερομηνία δημοσίευσης και τον ορθό αριθμό έκδοσης.».


ΠΑΡΑΡΤΗΜΑ VI

«ΠΑΡΑΡΤΗΜΑ IX

Σήματα και επισημάνσεις

1.   

Η μορφή του σήματος και της επισήμανσης:

Image 1

2.   

Σε περίπτωση σμίκρυνσης ή μεγέθυνσης του σήματος και της επισήμανσης τηρούνται οι αναλογίες που αναφέρονται στο σημείο 1.

3.   

Όταν τοποθετούνται επί του προϊόντος ΤΠΕ, το σήμα και η επισήμανση έχουν ύψος τουλάχιστον 5 χιλιοστών.

».

ELI: http://data.europa.eu/eli/reg_impl/2025/2462/oj

ISSN 1977-0669 (electronic edition)