KOMISJONI RAKENDUSMÄÄRUS (EL) 2024/482,
31. jaanuar 2024,
millega kehtestatakse Euroopa Parlamendi ja nõukogu määruse (EL) 2019/881 rakenduseeskirjad seoses Euroopa ühiskriteeriumidel põhineva küberturvalisuse sertifitseerimise kava (EUCC) vastuvõtmisega
(EMPs kohaldatav tekst)
I PEATÜKK
ÜLDSÄTTED
Artikkel 1
Reguleerimisese ja kohaldamisala
Käesoleva määrusega kehtestatakse Euroopa ühiskriteeriumidel põhinev küberturvalisuse sertifitseerimise kava (EUCC).
Käesolevat määrust kohaldatakse kõigi info- ja kommunikatsioonitehnoloogiatoodete (edaspidi „IKT-toode“), sealhulgas nende toodete dokumentide suhtes, mis esitatakse sertifitseerimiseks EUCC alusel, ning kõigi kaitseprofiilide suhtes, mis esitatakse sertifitseerimiseks IKT-toodete sertifitseerimisega päädiva IKT-protsessi osana.
Artikkel 2
Mõisted
Käesolevas määruses kasutatakse järgmisi mõisteid:
„Ühiskriteeriumid“ – infotehnoloogia turvalisuse hindamise ühiskriteeriumid, nagu on esitatud standardites ISO/IEC 15408–1:2022, ISO/IEC 15408–2:2022, ISO/IEC 15408–3:2022, ISO/IEC 15408–4:2022 või ISO/IEC 15408–5:2022 või infotehnoloogia turvalisuse hindamise ühiskriteeriumide versiooni CC:2022 1.–5. osas, mille on avaldanud IT-turbe valdkonna ühiskriteeriumide sertifikaatide tunnustamise kokkuleppe osalised;
„ühine hindamismetoodika“ – infotehnoloogia turvalisuse hindamise ühine metoodika, nagu on esitatud standardis ISO/IEC 18045:2022, või infotehnoloogia turvalisuse hindamise ühise metoodika versioon CEM:2022, mille on avaldanud IT-turbe valdkonna ühiskriteeriumide sertifikaatide tunnustamise kokkuleppe osalised;
„hindamisobjekt“ – IKT-toode või selle osa või kaitseprofiil IKT-protsessi osana, mis EUCC sertifikaadi saamiseks läbib küberturvalisuse hindamise;
„turvasiht“ – konkreetse IKT-toote puhul rakendamisest sõltuvate turvanõuete kirjeldus;
„kaitseprofiil“ – IKT-protsess, millega nähakse ette konkreetse IKT-tootekategooria turvanõuded ja mis käsitleb rakendamisest sõltumatuid turvavajadusi ning mida võib kasutada sellesse konkreetsesse kategooriasse kuuluvate IKT-toodete hindamiseks nende sertifitseerimise eesmärgil;
„hindamise tehniline aruanne“ – infotehnoloogia turvalisuse hindamise üksuse koostatud dokument, milles esitatakse IKT-toote või kaitseprofiili käesolevas määruses kindlaks määratud eeskirjade ja kohustuste kohase hindamise käigus tehtud tähelepanekud, otsused ja põhjendused;
„infotehnoloogia turvalisuse hindamise üksus“ – määruse (EÜ) nr 765/2008 artikli 2 punktis 13 määratletud vastavushindamisasutus, mis täidab hindamisülesandeid;
„AVA_VAN-tase“ – usaldusväärsusega seotud turvanõrkuse analüüsi tase, mis näitab, millises ulatuses on tehtud küberturvalisuse hindamise toiminguid, et teha kindlaks, kui suur on vastupanuvõime hindamisobjekti puuduste või nõrkuste võimaliku ärakasutamise suhtes hindamisobjekti rakenduskeskkonnas, nagu on esitatud ühiskriteeriumides;
„EUCC sertifikaat“ – EUCC kohane IKT-toodete või üksnes IKT-protsessis IKT-toodete sertifitseerimiseks kasutatavate kaitseprofiilide küberturvalisuse sertifikaat;
„liittoode“ – IKT-toode, mida hinnatakse koos teise, aluseks oleva IKT-tootega, mis on juba saanud EUCC sertifikaadi ja mille turvafunktsioonidest IKT-liittoode sõltub;
„riiklik küberturvalisuse sertifitseerimise asutus“ – asutus, mille liikmesriik on määranud vastavalt määruse (EL) 2019/881 artikli 58 lõikele 1;
„sertifitseerimisasutus“ – määruse (EÜ) nr 765/2008 artikli 2 punktis 13 määratletud vastavushindamisasutus, mis teeb sertifitseerimistoiminguid;
„tehniline valdkond“ – ühine tehniline raamistik, mis on seotud ühtlustatud sertifitseerimise konkreetse tehnoloogiaga, mis hõlmab iseloomulike turvanõuete kogumit;
„tehnika taset käsitlev dokument“ – dokument, milles kirjeldatakse hindamismeetodeid, -tehnikaid ja -vahendeid, mida rakendatakse IKT-toodete sertifitseerimisel, või üldise IKT-tootekategooria turvanõudeid või muid sertifitseerimiseks vajalikke nõudeid, et ühtlustada eeskätt tehniliste valdkondade või kaitseprofiilide hindamist;
„turujärelevalveasutus“ – määruse (EL) 2019/1020 artikli 3 punktis 4 määratletud asutus.
Artikkel 3
Hindamisstandardid
EUCC kohaselt tehtavate hindamiste suhtes kohaldatakse järgmisi standardeid:
ühiskriteeriumid;
ühine hindamismetoodika.
Kuni 31. detsembrini 2027 võib sertifikaadi välja anda EUCC alusel, kohaldades üht kahest järgmisest standardist:
ISO/IEC 15408–1:2009, ISO/IEC 15408–2:2008 või ISO/IEC 15408–3:2008;
infotehnoloogia turvalisuse hindamise ühiskriteeriumid, versioon 3.1, 5. läbivaatamine, mille on avaldanud IT-turbe valdkonna ühiskriteeriumide sertifikaatide tunnustamise kokkuleppe osalised;
ISO/IEC 18045:2008;
infotehnoloogia turvalisuse hindamise ühine metoodika, 5. läbivaatamine, versioon 3.1, mille on avaldanud IT-turbe valdkonna ühiskriteeriumide sertifikaatide tunnustamise kokkuleppe osalised.
EUCC alusel võib lõikes 1 osutatud standardeid kohaldades välja anda ka sertifikaadi, milles väidetakse vastavust kaitseprofiilile, mille puhul on kohaldatud üht kahest järgmisest standardist, tingimusel et sellise kaitseprofiili kasutamine on nõutav vastavalt komisjoni rakendusmäärusele (EL) 2016/799, ( 1 ) Euroopa Parlamendi ja nõukogu määrusele (EL) nr 910/2014 ( 2 ) või komisjoni rakendusotsusele (EL) 2016/650 ( 3 ):
infotehnoloogia turvalisuse hindamise ühiskriteeriumid, versioon 3.1, 1.–4. läbivaatamine, mille on avaldanud IT-turbe valdkonna ühiskriteeriumide sertifikaatide tunnustamise kokkuleppe osalised;
infotehnoloogia turvalisuse hindamise ühine metoodika, versioon 3.1, 1.–4. läbivaatamine, mille on avaldanud IT-turbe valdkonna ühiskriteeriumide sertifikaatide tunnustamise kokkuleppe osalised.
Artikkel 4
Usaldusväärsuse tasemed
Artikkel 5
IKT-toodete sertifitseerimise meetodid
Artikkel 6
Vastavuse enesehindamine
Vastavuse enesehindamine määruse (EL) 2019/881 artikli 53 tähenduses ei ole lubatud.
II PEATÜKK
IKT-TOODETE SERTIFITSEERIMINE
I JAGU
Hindamise eristandardid ja -nõuded
Artikkel 7
IKT-toodete hindamise kriteeriumid ja meetodid
Sertifitseerimiseks esitatud IKT-toodet hinnatakse kooskõlas vähemalt järgmisega:
artiklis 3 osutatud standardite kohaldatavad elemendid;
turvalisuse usaldusväärsuse nõuete klassid turvanõrkuste hindamiseks ja sõltumatu funktsionaaltestimine, nagu on esitatud artiklis 3 osutatud hindamisstandardites;
asjaomaste IKT-toodete ettenähtud kasutamisega seotud riski tase vastavalt määruse (EL) 2019/881 artiklile 52 ja nende toodete turvafunktsioonid, mis toetavad määruse (EL) 2019/881 artiklis 51 kindlaks määratud turvaeesmärke;
I lisas loetletud tehnika taset käsitlevad dokumendid ja
II lisas loetletud kohaldatavad sertifitseeritud kaitseprofiilid.
IKT-toodete sertifitseerimine tasemel AVA_VAN.4 või AVA_VAN.5 on võimalik ainult järgmiste stsenaariumide korral:
kui IKT-toode kuulub mõnda I lisas loetletud tehnilisse valdkonda, hinnatakse seda vastavalt nende tehniliste valdkondade kohaldatavatele tehnika taset käsitlevatele dokumentidele,
kui IKT-toode kuulub sellise sertifitseeritud kaitseprofiiliga hõlmatud IKT-tootekategooriasse, mis hõlmab taset AVA_VAN.4 või AVA_VAN.5 ja mis on loetletud II lisas tehnika taset käsitleva dokumendina, hinnatakse seda selle kaitseprofiili jaoks ettenähtud hindamismetoodika kohaselt,
kui käesoleva lõike punkte a ja b ei kohaldata ja kui lähitulevikus on tehnilise valdkonna lisamine I lisasse või sertifitseeritud kaitseprofiili lisamine II lisasse ebatõenäoline ning üksnes nõuetekohaselt põhjendatud erandjuhtudel, lõikes 4 sätestatud tingimustel.
II JAGU
EUCC Sertifikaatide väljaandmine, uuendamine ja kehtetuks tunnistamine
Artikkel 8
Sertifitseerimiseks ja hindamiseks vajalik teave
Sertifitseerimise taotlejad võivad esitada sertifitseerimisasutusele ja infotehnoloogia turvalisuse hindamise üksusele varasema sertifitseerimise hindamiste asjakohased tulemused vastavalt:
käesolevale määrusele,
muule määruse (EL) 2019/881 artikli 49 kohaselt vastu võetud Euroopa küberturvalisuse sertifitseerimise kavale,
käesoleva määruse artiklis 49 osutatud riiklikule kavale.
Samuti esitavad sertifitseerimise taotlejad sertifitseerimisasutusele ja infotehnoloogia turvalisuse hindamise üksusele järgmise teabe:
link oma veebisaidile, mis sisaldab määruse (EL) 2019/881 artiklis 55 osutatud täiendavat küberturvalisuse alast teavet;
taotleja turvanõrkuste haldamise ja avalikustamise menetluste kirjeldus.
Artikkel 9
EUCC sertifikaadi väljaandmise tingimused
Sertifitseerimisasutused annavad välja EUCC sertifikaadi, kui on täidetud kõik järgmised tingimused:
IKT-tootekategooria kuulub sertifitseerimises osaleva sertifitseerimisasutuse ja infotehnoloogia turvalisuse hindamise üksuse akrediteerimisalasse ja asjakohasel juhul loa kohaldamisalasse;
sertifitseerimise taotleja on allkirjastanud avalduse kõigi lõikes 2 loetletud kohustuste võtmise kohta;
infotehnoloogia turvalisuse hindamise üksus on kooskõlas artiklites 3 ja 7 osutatud hindamisstandardite, -kriteeriumide ja -meetoditega lõpetanud hindamise vastuväiteid esitamata;
sertifitseerimisasutus on lõpetanud hindamistulemuste läbivaatamise vastuväiteid esitamata;
sertifitseerimisasutus on kontrollinud, et infotehnoloogia turvalisuse hindamise üksuse esitatud hindamise tehnilised aruanded vastavad esitatud tõenditele ning artiklites 3 ja 7 osutatud hindamisstandardeid, -kriteeriume ja -meetodeid on õigesti kohaldatud.
Sertifitseerimise taotleja võtab järgmised kohustused:
anda sertifitseerimisasutusele ja infotehnoloogia turvalisuse hindamise üksusele kogu vajalik teave, mis on täielik ja õige, ning esitada taotluse korral vajalikku lisateavet;
mitte propageerida IKT-toodet Euroopa ühiskriteeriumidel põhineva küberturvalisuse sertifitseerimise kava kohaselt sertifitseerituna, enne kui on välja antud EUCC sertifikaat;
propageerida IKT-toodet sertifitseeritud tootena üksnes EUCC sertifikaadis kindlaksmääratud kohaldamisala ulatuses;
lõpetada viivitamata IKT-toote propageerimine sertifitseeritud tootena, kui EUCC sertifikaat peatatakse, tunnistatakse kehtetuks või selle kehtivusaeg lõpeb;
tagada, et need IKT-tooted, mida müüakse viitega EUCC sertifikaadile, on rangelt identsed sertifitseerimisele kuuluva IKT-tootega;
järgida EUCC sertifikaadi jaoks kehtestatud märgise ja sildi kasutamise eeskirju kooskõlas artikliga 11.
Artikkel 10
EUCC sertifikaadi sisu ja vorming
Artikkel 11
Märgis ja silt
IX lisas esitatud märgis ja silt sisaldavad järgmist teavet:
sertifitseeritud IKT-toote usaldusväärsuse ja AVA_VAN tase;
sertifikaadi kordumatu tunnus, mis koosneb järgmisest:
kava nimi;
sertifikaadi välja andnud sertifitseerimisasutuse nimi ja akrediteeringu viitenumber;
väljaandmise aasta ja kuu;
sertifikaadi välja andnud sertifitseerimisasutuse määratud identifitseerimisnumber.
Märgisele ja sildile peab olema lisatud ruutkood lingiga veebisaidile, mis sisaldab vähemalt järgmist teavet:
teave sertifikaadi kehtivuse kohta,
V ja VII lisas ettenähtud vajalik sertifitseerimisteave,
teave, mille sertifikaadi omanik peab tegema avalikkusele kättesaadavaks vastavalt määruse (EL) 2019/881 artiklile 55, ning
jälgitavuse võimaldamiseks vajaduse korral varasem teave IKT-toote konkreetse(te) sertifitseerimis(t)e kohta.
Artikkel 12
EUCC sertifikaadi kehtivusaeg
Artikkel 13
EUCC sertifikaadi läbivaatamine
Pärast läbivaatamise ja vajaduse korral ümberhindamise tulemuste saamist teeb sertifitseerimisasutus järgmist:
kinnitab EUCC sertifikaadi;
tunnistab EUCC sertifikaadi kehtetuks vastavalt artiklile 14;
tunnistab EUCC sertifikaadi kehtetuks vastavalt artiklile 14 ning annab välja uue, sama kohaldamisalaga ja pikendatud kehtivusajaga EUCC sertifikaadi või
tunnistab EUCC sertifikaadi kehtetuks vastavalt artiklile 14 ja annab välja uue, teistsuguse kohaldamisalaga EUCC sertifikaadi.
Artikkel 14
EUCC sertifikaadi kehtetuks tunnistamine
III PEATÜKK
KAITSEPROFIILIDE SERTIFITSEERIMINE
I JAGU
Hindamise eristandardid ja -nõuded
Artikkel 15
Hindamiskriteeriumid ja -meetodid
Kaitseprofiili hinnatakse vähemalt järgmiste kriteeriumide alusel:
artiklis 3 osutatud standardite kohaldatavad elemendid;
asjaomaste IKT-toodete ettenähtud kasutamisega seotud riski tase vastavalt määruse (EL) 2019/881 artiklile 52 ja nende toodete turvafunktsioonid, mis toetavad selle artiklis 51 kindlaks määratud turvaeesmärke; ja
I lisas loetletud tehnika taset käsitlevad dokumendid. Tehnilise valdkonnaga hõlmatud kaitseprofiil sertifitseeritakse vastavalt kõnealuses tehnilises valdkonnas kindlaks määratud nõuetele.
II JAGU
EUCC Sertifikaadi väljaandmine kaitseprofiilile, selle sertifikaadi uuendamine ja kehtetuks tunnistamine
Artikkel 16
Kaitseprofiili sertifitseerimiseks ja hindamiseks vajalik teave
Kaitseprofiili sertifitseerimise taotleja esitab sertifitseerimisasutusele ja infotehnoloogia turvalisuse hindamise üksusele kogu sertifitseerimis- ja hindamistoiminguteks vajaliku teabe täielikul ja õigel kujul või teeb selle muul viisil kättesaadavaks. Artikli 8 lõikeid 2, 3, 4 ja 7 kohaldatakse mutatis mutandis.
Artikkel 17
EUCC sertifikaadi väljaandmine kaitseprofiilile
▼M1 —————
Kaitseprofiili võib sertifitseerida üksnes:
riiklik küberturvalisuse sertifitseerimise asutus või muu avaliku sektori asutus, mis on sertifitseerimisasutusena akrediteeritud, või
sertifitseerimisasutus, kui riiklik küberturvalisuse sertifitseerimise asutuse on selle iga üksiku kaitseprofiili jaoks eelnevalt heaks kiitnud.
Artikkel 18
Kaitseprofiilile välja antud EUCC sertifikaadi kehtivusaeg
Artikkel 19
Kaitseprofiilile välja antud EUCC sertifikaadi läbivaatamine
Pärast läbivaatamise ja vajaduse korral ümberhindamise tulemuste saamist toimib sertifitseerimisasutus ühel järgmisel viisil:
kinnitab EUCC sertifikaadi;
tunnistab EUCC sertifikaadi kehtetuks vastavalt artiklile 20;
tunnistab EUCC sertifikaadi kehtetuks vastavalt artiklile 20 ning annab välja uue, sama kohaldamisalaga ja pikendatud kehtivusajaga EUCC sertifikaadi
tunnistab EUCC sertifikaadi kehtetuks vastavalt artiklile 20 ja annab välja uue, teistsuguse kohaldamisalaga EUCC sertifikaadi.
Artikkel 20
Kaitseprofiilile välja antud EUCC sertifikaadi kehtetuks tunnistamine
IV PEATÜKK
VASTAVUSHINDAMISASUTUSED
Artikkel 20a
Vastavushindamisasutuste akrediteerimise nõuete täpsustamine
Vastavushindamisasutuste akrediteerimisel võetakse arvesse sertifitseerimisasutuste ja infotehnoloogia turvalisuse hindamise üksuste akrediteerimise erinõudeid, mis on kehtestatud I lisa punktis 2 loetletud kohaldatavates tehnika taset käsitlevates dokumentides.
Artikkel 21
Täiendavad või erinõuded sertifitseerimisasutusele
Riiklik küberturvalisuse sertifitseerimise asutus annab sertifitseerimisasutusele loa anda välja usaldusväärsuse kõrge tasemega EUCC sertifikaate, kui sertifitseerimisasutus tõendab, et lisaks sellele, et ta vastab määruse (EL) 2019/881 artikli 60 lõikes 1 ja lisas kindlaks määratud nõuetele vastavushindamisasutuste akrediteerimise kohta, vastab ta ka järgmistele tingimustele:
tal on usaldusväärsuse kõrgel tasemel sertifitseerimise otsuse tegemiseks vajalik oskusteave ja pädevus,
ta teeb sertifitseerimistoiminguid koostöös artikli 22 kohaselt loa saanud infotehnoloogia turvalisuse hindamise üksusega ja
lisaks artiklis 43 kindlaks määratud nõuetele on tal nõutav pädevus ja kehtestatud asjakohased tehnilised ja operatiivmeetmed, et usaldusväärsuse kõrgel tasemel tulemuslikult kaitsta konfidentsiaalset ja tundlikku teavet.
Hindamist tehes võib riiklik küberturvalisuse sertifitseerimise asutus taaskasutada asjakohaseid tõendeid, mis on pärit varasema loa andmisest või muudest sarnastest toimingutest ja mis on antud vastavalt:
käesolevale määrusele,
muule määruse (EL) 2019/881 artikli 49 kohaselt vastu võetud Euroopa küberturvalisuse sertifitseerimise kavale,
käesoleva määruse artiklis 49 osutatud riiklikule kavale.
Artikkel 22
Täiendavad või erinõuded infotehnoloogia turvalisuse hindamise üksusele
Riiklik küberturvalisuse sertifitseerimise asutus annab infotehnoloogia turvalisuse hindamise üksusele loa hinnata usaldusväärsuse kõrgel tasemel sertifitseeritavaid IKT-tooteid, kui see üksus tõendab, et lisaks sellele, et ta vastab määruse (EL) 2019/881 artikli 60 lõikes 1 ja lisas kindlaks määratud nõuetele vastavushindamisasutuste akrediteerimise kohta, vastab ta ka kõikidele järgmistele tingimustele:
tal on hindamistoimingute tegemiseks vajalik oskusteave, et teha kindlaks vastupanuvõime tipptasemel küberrünnete suhtes, mida teevad märkimisväärsete oskuste ja ressurssidega osalejad;
tehniliste valdkondade ja kaitseprofiilide puhul, mis on osa nende IKT-toodete IKT-protsessist, on tal:
oskusteave nende konkreetsete hindamistoimingute tegemiseks, mida on vaja, et teha metoodiliselt kindlaks hindamisobjekti vastupanuvõime oskuslike ründajate suhtes hindamisobjekti rakenduskeskkonnas, eeldusel et ründepotentsiaal on mõõdukas või suur, nagu on kindlaks määratud artiklis 3 osutatud standardites;
I lisas loetletud tehnika taset käsitlevates dokumentides täpsustatud tehniline pädevus;
lisaks artiklis 43 kindlaks määratud nõuetele on tal nõutav pädevus ning ta on kehtestanud asjakohased tehnilised ja operatiivmeetmed, et usaldusväärsuse kõrgel tasemel tulemuslikult kaitsta konfidentsiaalset ja tundlikku teavet.
Hindamist tehes võib riiklik küberturvalisuse sertifitseerimise asutus taaskasutada asjakohaseid tõendeid, mis on pärit varasema loa andmisest või muudest sarnastest toimingutest ja mis on antud vastavalt:
käesolevale määrusele,
muule määruse (EL) 2019/881 artikli 49 kohaselt vastu võetud Euroopa küberturvalisuse sertifitseerimise kavale,
käesoleva määruse artiklis 49 osutatud riiklikule kavale.
▼M1 —————
V PEATÜKK
JÄRELEVALVE, MITTEVASTAVUS JA NÕUETE RIKKUMINE
I JAGU
Järelevalve nõuete täitmise üle
Artikkel 25
Riikliku küberturvalisuse sertifitseerimise asutuse järelevalvetegevus
Ilma et see piiraks määruse (EL) 2019/881 artikli 58 lõike 7 kohaldamist, teeb riiklik küberturvalisuse sertifitseerimise asutus järelevalvet selle üle, kas:
sertifitseerimisasutus ja infotehnoloogia turvalisuse hindamise üksus täidavad käesoleva määruse ja määruse (EL) 2019/881 kohaseid kohustusi;
EUCC sertifikaadi omanik täidab käesoleva määruse ja määruse (EL) 2019/881 kohaseid kohustusi;
sertifitseeritud IKT-tooted vastavad EUCCs ettenähtud nõuetele;
EUCC sertifikaadis esitatud usaldusväärsus vastab muutuvale ohumaastikule.
Riiklik küberturvalisuse sertifitseerimise asutus teeb järelevalvet eelkõige järgmise alusel:
sertifitseerimisasutustelt, riiklikelt akrediteerimisasutustelt ja asjaomastelt turujärelevalveasutustelt saadav teave;
asutuse enda või mõne muu asutuse auditite ja uurimiste tulemusel saadav teave;
valimikontroll vastavalt lõikele 3;
saadud kaebused.
Riiklik küberturvalisuse sertifitseerimise asutus moodustab sertifitseeritud IKT-toodete valimi, mida kontrollitakse objektiivsete kriteeriumide, sealhulgas järgmise teabe alusel:
tootekategooria;
toodete usaldusväärsuse tasemed;
sertifikaadi omanik;
sertifitseerimisasutus ja asjakohasel juhul alltöövõtjana tegutsev infotehnoloogia turvalisuse hindamise üksus;
mis tahes muu asutusele teatavaks tehtud teave.
Artikkel 26
Sertifitseerimisasutuse järelevalvetegevus
Sertifitseerimisasutus teeb järelevalvet selle üle:
kas sertifikaadi omanikud täidavad käesoleva määruse ja määruse (EL) 2019/881 kohaseid kohustusi, mis on seotud sertifitseerimisasutuse välja antud EUCC sertifikaadiga;
kas tema sertifitseeritud IKT-tooted vastavad nende konkreetsetele turvanõuetele;
milline on sertifitseeritud kaitseprofiilides esitatud usaldusväärsus.
Sertifitseerimisasutus teeb järelevalvet järgmise alusel:
teave, mille sertifitseerimise taotleja esitab kohustuste alusel, millele on osutatud artikli 9 lõikes 2;
teiste asjaomaste turujärelevalveasutuste tegevusest tulenev teave;
saadud kaebused;
teave turvanõrkuste kohta, mis võivad mõjutada tema sertifitseeritud IKT-tooteid.
Artikkel 27
Sertifikaadi omaniku järelevalvetegevus
EUCC sertifikaadi omanik täidab järgmisi ülesandeid, et teha järelevalvet selle üle, kas sertifitseeritud IKT-toode vastab tema suhtes kehtivatele turvanõuetele:
jälgib sertifitseeritud IKT-toote turvanõrkusi käsitlevat teavet, sealhulgas teadaolevaid sõltuvusi, oma vahenditega, kuid võttes arvesse ka järgmist:
teave turvanõrkuste kohta, mille on avaldanud või esitanud määruse (EL) 2019/881 artikli 55 lõike 1 punktis c osutatud kasutaja või küberturvalisusega tegelev teadlane;
mis tahes muu allika esitatud teave;
jälgib, milline on EUCC sertifikaadis esitatud usaldusväärsus.
II JAGU
Vastavus ja nõuete täitmine
Artikkel 28
Sertifitseeritud IKT-toote või kaitseprofiili mittevastavuse tagajärjed
Artikkel 29
Tagajärjed, kui nõudeid rikub sertifikaadi omanik
Kui sertifitseerimisasutus leiab, et:
EUCC sertifikaadi omanik või sertifitseerimise taotleja ei täida artikli 9 lõikes 2, artikli 17 lõikes 2 ning artiklites 27 ja 41 sätestatud kohustusi või
EUCC sertifikaadi omanik ei järgi määruse (EL) 2019/881 artikli 56 lõike 8 või käesoleva määruse VI peatüki nõudeid,
määrab ta kindlaks ajavahemiku, mis ei ületa 30 päeva ning mille jooksul EUCC sertifikaadi omanik peab võtma parandusmeetmed.
Artikkel 30
EUCC sertifikaadi peatamine
Artikkel 31
Tagajärjed, kui nõudeid rikub vastavushindamisasutus
Kui sertifitseerimisasutus ei täida oma kohustusi või kui asjaomane sertifitseerimisasutus ei täida oma kohustusi juhul, kui on kindlaks tehtud, et infotehnoloogia turvalisuse hindamise üksus ei ole täitnud oma kohustusi, teeb riiklik küberturvalisuse sertifitseerimise asutus põhjendamatu viivituseta järgmist:
selgitab asjaomase infotehnoloogia turvalisuse hindamise üksuse abiga välja võimalikud mõjutatud EUCC sertifikaadid;
vajaduse korral taotleb, et ühte või mitut IKT-toodet või kaitseprofiili hindaks hindamise teinud infotehnoloogia turvalisuse hindamise üksus või mis tahes muu akrediteeritud ja asjakohasel juhul loa saanud infotehnoloogia turvalisuse hindamise üksus, kellel võivad olla selliseks väljaselgitamiseks paremad tehnilised võimalused;
analüüsib nõuete rikkumise mõju;
teatab nõuete rikkumisest mõjutatud EUCC sertifikaadi omanikule.
Lõikes 1 osutatud meetmete alusel võtab sertifitseerimisasutus iga mõjutatud EUCC sertifikaadi kohta vastu ühe järgmistest otsustest:
säilitada EUCC sertifikaat muutmata kujul;
tunnistada EUCC sertifikaat kehtetuks vastavalt artiklile 14 või 20 ning vajaduse korral anda välja uus EUCC sertifikaat.
Lõikes 1 osutatud meetmete alusel teeb riiklik küberturvalisuse sertifitseerimise asutus järgmist:
vajaduse korral teatab sertifitseerimisasutuse või asjakohase infotehnoloogia turvalisuse hindamise üksuse poolsest nõuete rikkumisest riiklikule akrediteerimisasutusele;
asjakohasel juhul hindab võimalikku mõju loale.
VI PEATÜKK
TURVANÕRKUSTE HALDAMINE JA AVALIKUSTAMINE
Artikkel 32
Turvanõrkuste haldamise ulatus
Käesolevat peatükki kohaldatakse IKT-toodete suhtes, millele on välja antud EUCC sertifikaat.
I JAGU
Turvanõrkuste haldamine
Artikkel 33
Turvanõrkuste haldamise menetlused
Artikkel 34
Turvanõrkuse mõju analüüs
Artikkel 35
Turvanõrkuse mõju analüüsi aruanne
Turvanõrkuse mõju analüüsi aruanne sisaldab hinnangut järgmistele elementidele:
turvanõrkuse mõju sertifitseeritud IKT-tootele;
ründe läheduse või olemasoluga seotud võimalikud riskid;
turvanõrkuse kõrvaldamise võimaluse olemasolu;
kui turvanõrkust on võimalik kõrvaldada, siis turvanõrkuse võimalikud lahendused.
Artikkel 36
Turvanõrkuse kõrvaldamine
EUCC sertifikaadi omanik esitab sertifitseerimisasutusele ettepaneku asjakohaste kõrvaldamismeetmete võtmiseks. Sertifitseerimisasutus vaatab sertifikaadi läbi vastavalt artiklile 13. Läbivaatamise ulatus määratakse kindlaks vastavalt turvanõrkuse kavandatud kõrvaldamisele.
II JAGU
TURVANÕRKUSTE AVALIKUSTAMINE
Artikkel 37
Riikliku küberturvalisuse sertifitseerimise asutusega jagatav teave
Artikkel 38
Koostöö teiste riiklike küberturvalisuse sertifitseerimise asutustega
Artikkel 39
Turvanõrkuse avaldamine
Pärast sertifikaadi kehtetuks tunnistamist avalikustab EUCC sertifikaadi omanik kõik avalikult teadaolevad ja kõrvaldatud IKT-toote turvanõrkused ja registreerib need Euroopa Parlamendi ja nõukogu direktiivi (EL) 2022/2555 ( 4 ) artikli 12 kohaselt loodud Euroopa nõrkuste andmebaasis või muudes internetis asuvates andmebaasides, millele on osutatud määruse (EL) 2019/881 artikli 55 lõike 1 punktis d.
VII PEATÜKK
TEABE SÄILITAMINE, AVALIKUSTAMINE JA KAITSE
Artikkel 40
Andmete säilitamine sertifitseerimisasutuste ja infotehnoloogia turvalisuse hindamise üksuse poolt
Artikkel 41
Sertifikaadi omaniku poolt kättesaadavaks tehtud teave
EUCC sertifikaadi omanik säilitab käesoleva määruse kohaldamiseks vajaliku aja jooksul ja vähemalt viis aastat pärast asjaomase EUCC sertifikaadi kehtetuks tunnistamist turvaliselt järgmisi andmeid:
sertifitseerimisasutusele ja infotehnoloogia turvalisuse hindamise üksusele sertifitseerimisprotsessi käigus esitatud teave
sertifitseeritud IKT-toote näidis.
Artikkel 42
ENISA poolt kättesaadavaks tehtav teave
ENISA avaldab määruse (EL) 2019/881 artikli 50 lõikes 1 osutatud veebisaidil järgmise teabe:
kõik EUCC sertifikaadid;
teave EUCC sertifikaadi seisundi kohta, eelkõige selle kohta, kas see on kehtiv, peatatud, kehtetuks tunnistatud või aegunud;
sertifitseerimisaruanded iga EUCC sertifikaadi kohta;
akrediteeritud vastavushindamisasutuste loend;
loa saanud vastavushindamisasutuste loend;
I lisas loetletud tehnika taset käsitlevad dokumendid;
Euroopa küberturvalisuse sertifitseerimise rühma arvamused, millele on osutatud määruse (EL) 2019/881 artikli 62 lõike 4 punktis c;
artikli 47 kohaselt välja antud vastastikuse hindamise aruanded.
Artikkel 43
Teabe kaitse
Vastavushindamisasutused, riiklikud küberturvalisuse sertifitseerimise asutused, Euroopa küberturvalisuse sertifitseerimise rühm, ENISA, komisjon ja kõik teised isikud tagavad ärisaladuste ning muu konfidentsiaalse teabe turvalisuse ja kaitse ning intellektuaalomandi õiguste kaitse ning võtavad vajalikke ja asjakohaseid tehnilisi ja korralduslikke meetmeid.
VIII PEATÜKK
VASTASTIKUSE TUNNUSTAMISE LEPINGUD KOLMANDATE RIIKIDEGA
Artikkel 44
Tingimused
Lõikes 1 osutatud vastastikuse tunnustamise lepinguid võib sõlmida üksnes nende kolmandate riikidega, kes vastavad järgmistele tingimustele:
neil on asutus,
kes on avalik-õiguslik asutus, kes on organisatsioonilise ja õigusliku struktuuri, rahastamise ja otsuste tegemise seisukohast sõltumatu üksustest, kelle üle ta teeb järelevalvet;
kellel on asjakohased järelevalvevolitused uurimisteks ning kellel on õigus võtta nõuete täitmise tagamiseks asjakohaseid parandusmeetmeid;
kellel on mõjus, proportsionaalne ja hoiatav karistussüsteem, et tagada nõuete täitmine;
kes nõustub tegema koostööd Euroopa küberturvalisuse sertifitseerimise rühma ja ENISAga, et vahetada teavet parima tava ja asjakohaste suundumuste kohta küberturvalisuse sertifitseerimise valdkonnas ning püüda saavutada praegu kohaldatavate hindamiskriteeriumide ja -meetodite ühetaoline tõlgendamine, muu hulgas kohaldades ühtlustatud dokumente, mis on samaväärsed I lisas loetletud tehnika taset käsitlevate dokumentidega;
neil on sõltumatu akrediteerimisasutus, kes teeb akrediteerimisi, kasutades määruses (EÜ) nr 765/2008 osutatud standarditega samaväärseid standardeid;
nad kohustuvad tagama, et hindamis- ja sertifitseerimisprotsessid ning -menetlused tehakse nõuetekohaselt professionaalsel viisil, võttes arvesse käesolevas määruses, eelkõige artiklis 3 osutatud rahvusvaheliste standardite järgimist;
neil on suutlikkus teatada varem kindlakstegemata turvanõrkustest ning nad on kehtestanud väljakujunenud ja piisavad turvanõrkuste haldamise ning avalikustamise menetlused;
nad on kehtestanud menetlused, mis võimaldavad tulemuslikult esitada ja menetleda kaebusi ning pakkuda kaebuse esitajale tõhusaid õiguskaitsevahendeid;
nad loovad mehhanismi koostööks teiste käesoleva määruse kohase küberturvalisuse sertifitseerimise seisukohast oluliste liidu ja liikmesriikide asutustega, sealhulgas sertifikaatide võimaliku mittevastavuse kohta teabe jagamiseks, sertifitseerimise valdkonnas asjakohaste arengusuundade jälgimiseks ning sertifitseerimise haldamisele ja läbivaatamisele ühise lähenemisviisi tagamiseks.
Lõikes 1 osutatud vastastikuse tunnustamise lepingu, mis hõlmab usaldusväärsuse kõrget taset, võib kolmanda riigiga sõlmida üksnes juhul, kui peale lõikes 3 kindlaks määratud tingimuste on täidetud ka järgmised tingimused:
kolmandas riigis on sõltumatu ja avalik küberturvalisuse sertifitseerimise asutus, kes teeb või delegeerib hindamistoiminguid, mis on vajalikud, et võimaldada usaldusväärsuse kõrge tasemega sertifitseerimist, mis on samaväärne käesolevas määruses ning määruses (EL) 2019/881 riiklike küberturvalisuse asutuste jaoks kindlaks määratud nõuete ja menetlustega;
vastastikuse tunnustamise lepinguga luuakse ühine mehhanism, mis on samaväärne EUCC sertifitseerimise vastastikuse hindamisega, et tõhustada tavade vahetamist ning lahendada ühiselt probleeme hindamise ja sertifitseerimise valdkonnas.
IX PEATÜKK
SERTIFITSEERIMISASUTUSTE VASTASTIKUNE HINDAMINE
Artikkel 45
Vastastikuse hindamise menetlus
Vastastikune hindamine võib tugineda tõenditele, mis on kogutud vastastikuse hindamise läbinud sertifitseerimisasutuse või riikliku küberturvalisuse sertifitseerimise asutuse varasemate vastastikuste hindamiste või samaväärsete menetluste käigus, tingimusel et:
tulemused ei ole vanemad kui 5 aastat;
tulemustele on lisatud kõnealuse kava jaoks kehtestatud vastastikuse hindamise menetluste kirjeldus, kui need on seotud mõne teise sertifitseerimissüsteemi alusel tehtud vastastikuse hindamisega;
artiklis 47 osutatud vastastikuse hindamise aruandes täpsustatakse, milliseid tulemusi taaskasutati koos edasise hindamisega või ilma selleta.
Artikkel 46
Vastastikuse hindamise etapid
Artikkel 47
Vastastikuse hindamise aruanne
Euroopa küberturvalisuse sertifitseerimise rühm võtab vastu arvamuse vastastikuse hindamise aruande kohta järgmiselt:
kui vastastikuse hindamise aruandes ei ole nimetatud mittevastavusi või kui vastastikuse hindamise läbinud sertifitseerimisasutus on mittevastavused asjakohaselt kõrvaldanud, võib Euroopa küberturvalisuse sertifitseerimise rühm esitada positiivse arvamuse ja kõik asjakohased dokumendid avaldatakse ENISA sertifitseerimise veebisaidil;
kui vastastikuse hindamise läbinud sertifitseerimisasutus ei kõrvalda mittevastavusi ettenähtud tähtaja jooksul asjakohaselt, võib Euroopa küberturvalisuse sertifitseerimise rühm esitada negatiivse arvamuse, mis avaldatakse ENISA sertifitseerimise veebisaidil, sealhulgas koos vastastikuse hindamise aruande ja kõikide asjakohaste dokumentidega.
X PEATÜKK
KAVA HALDAMINE
Artikkel 48
EUCC haldamine
XI PEATÜKK
LÕPPSÄTTED
Artikkel 49
EUCCga hõlmatud riiklikud kavad
Artikkel 50
Jõustumine
Käesolev määrus jõustub kahekümnendal päeval pärast selle avaldamist Euroopa Liidu Teatajas.
Seda kohaldatakse alates 27. veebruarist 2025.
IV peatükki ja V lisa kohaldatakse alates käesoleva määruse jõustumise kuupäevast.
Käesolev määrus on tervikuna siduv ja vahetult kohaldatav kõikides liikmesriikides.
I LISA
Tehnilisi valdkondi toetavad tehnika taset käsitlevad dokumendid ja muud tehnika taset käsitlevad dokumendid
1. Tehnika taset käsitlevad dokumendid, mis toetavad tehnilisi valdkondi tasemetel AVA_VAN.4 ja AVA_VAN.5:
järgmised tehnilise valdkonna „Kiipkaardid ja samalaadsed seadmed“ ühtlustatud hindamisega seotud dokumendid:
„Infotehnoloogia turvalisuse hindamise üksuse miinimumnõuded kiipkaartide ja samalaadsete seadmete turvalisuse hindamiseks“, versioon 1.1;
„Minimaalsed kohapealsed turvanõuded“, versioon 1.1;
„Ühiskriteeriumide kohaldamine kiipide suhtes“, versioon 1.1;
„Turvaarhitektuuri nõuded (ADV_ARC) kiipkaartidele ja samalaadsetele seadmetele“, versioon 1.1;
„Avatud kiipkaarditoodete sertifitseerimine“, versioon 1.1;
„Liittoodete hindamine kiipkaartide ja samalaadsete seadmete puhul“, versioon 1.1;
„Ründepotentsiaali rakendamine kiipkaartide ja samalaadsete seadmete suhtes“, versioon 1.2.
järgmised tehnilise valdkonna „Turvaümbrisega riistvaraseadmed“ ühtlustatud hindamisega seotud dokumendid:
„Infotehnoloogia turvalisuse hindamise üksuse miinimumnõuded turvaümbrisega riistvaraseadmete turvalisuse hindamiseks“, versioon 1.1;
„Minimaalsed kohapealsed turvanõuded“, versioon 1.1;
„Ründepotentsiaali rakendamine turvaümbrisega riistvaraseadmete suhtes“, versioon 1.2.
2. Vastavushindamisasutuste ühtlustatud akrediteerimisega seotud tehnika taset käsitlevad dokumendid:
„Infotehnoloogia turvalisuse hindamise üksuse akrediteerimine EUCC jaoks“, versioon 1.1, akrediteeringute puhul, mis on välja antud enne 8. juulit 2025.
„Infotehnoloogia turvalisuse hindamise üksuse akrediteerimine EUCC jaoks“, versioon 1.6c, akrediteeringute puhul, mis on uued või läbi vaadatud pärast 8. juulit 2025.
„Sertifitseerimisasutuste akrediteerimine EUCC jaoks“, versioon 1.6b.
II LISA
Kaitseprofiilid, mis on sertifitseeritud tasemel AVA_VAN.4 või AVA_VAN.5
1. Vahemaa tagant kvalifitseeritud e-allkirja andmise või e-templi loomise vahendite kategooria puhul:
EN 419241-2:2019 – Trustworthy Systems Supporting Server Signing - Part 2: Protection Profile for QSCD for Server Signing („Serverallkirjastamist toetavad usaldusväärsed süsteemid. Osa 2: Kvalifitseeritud allkirja andmise vahendi kaitseprofiil serverallkirjastamise jaoks“);
EN 419221-5:2018 - Protection profiles for Trust Service Provider Cryptographic modules - Part 5: Cryptographic Module for Trust Services („Kaitseprofiilid usaldusteenuse tarnija krüptomoodulitele. Osa 5: Krüptomoodul usaldusteenuste jaoks“)
2. Tehnika taset käsitlevate dokumentidena vastu võetud kaitseprofiilid:
[TÄITMATA]
III LISA
Soovitatud kaitseprofiilid (illustreerivad I lisas loetletud tehnilisi valdkondi)
Allpool nimetatud IKT-tootekategooriatesse kuuluvate IKT-toodete sertifitseerimisel kasutatavad kaitseprofiilid:
masinloetavate reisidokumentide kategooria puhul:
kaitseprofiil masinloetavate reisidokumentide jaoks standardse kontrollimenetluse puhul protokolliga PACE, BSI-CC-PP-0068-V2-2011-MA-01;
kaitseprofiil masinloetavate reisidokumentide jaoks Rahvusvahelise Tsiviillennunduse Organisatsiooni rakenduse eripääsumehhanismi puhul, BSI-CC-PP-0056-2009;
kaitseprofiil masinloetavate reisidokumentide jaoks Rahvusvahelise Tsiviillennunduse Organisatsiooni rakenduse eripääsumehhanismi puhul protokolliga PACE, BSI-CC-PP-0056-V2-2012-MA-02;
kaitseprofiil masinloetavate reisidokumentide jaoks Rahvusvahelise Tsiviillennunduse Organisatsiooni rakenduse lihtpääsumehhanismi puhul, BSI-CC-PP-0055-2009;
turvaliste allkirja andmise vahendite kategooria puhul:
EN 419211-1:2014 – Protection profiles for secure signature creation device - Part 1: Overview (Turvalise allkirja andmise vahendi kaitseprofiil. Osa 1: Ülevaade)
EN 419211-2:2013 – Protection profiles for secure signature creation device - Part 2: Device with key generation (Turvalise allkirja andmise vahendi kaitseprofiil. Osa 2: Võtme genereerimisega vahend);
EN 419211-3:2013 – Protection profiles for secure signature creation device - Part 3: Device with key import (Turvalise allkirja andmise vahendi kaitseprofiil. Osa 3: Võtme importimisega vahend);
EN 419211-4:2013 – Protection profiles for secure signature creation device - Part 4: Extension for device with key generation and trusted channel to certificate generation application (Turvalise allkirja andmise vahendi kaitseprofiil. Osa 4: Võtme genereerimisega vahendi ja usaldatava kanali laiendus sertifikaadi genereerimise rakendusele);
EN 419211-5:2013 – Protection profiles for secure signature creation device - Part 5: Extension for device with key generation and trusted channel to signature creation application (Turvalise allkirja andmise vahendi kaitseprofiil. Osa 5: Võtme genereerimisega vahendi ja usaldatava kanali laiendus allkirja andmise rakendusele);
EN 419211-6:2014 – Protection profiles for secure signature creation device - Part 6: Extension for device with key import and trusted channel to signature creation application (Turvalise allkirja andmise vahendi kaitseprofiil. Osa 6: Võtme impordiga vahendi ja usaldatava kanali laiendus allkirja andmise rakendusele);
digitaalsete sõidumeerikute kategooria puhul:
„Digitaalne sõidumeerik. Sõidumeerikukaart“, nagu on osutatud komisjoni 18. märtsi 2016. aasta rakendusmääruses (EL) 2016/799, millega rakendatakse määrust (EL) nr 165/2014 (IC lisa);
„Digitaalne sõidumeerik. Sõidukiüksus“, mis on ette nähtud paigaldamiseks maanteesõidukitesse, nagu on osutatud komisjoni määruse (EÜ) nr 1360/2002 IB lisas;
„Digitaalne sõidumeerik. GNSSi välisseade“ (EGF PP), nagu on osutatud komisjoni 18. märtsi 2016. aasta rakendusmääruse (EL) 2016/799 (millega rakendatakse Euroopa Parlamendi ja nõukogu määrust (EL) nr 165/2014) IC lisas;
„Digitaalne sõidumeerik. Liikumisandur“ (MS PP), nagu on osutatud komisjoni 18. märtsi 2016. aasta rakendusmääruse (EL) 2016/799 (millega rakendatakse Euroopa Parlamendi ja nõukogu määrust (EL) nr 165/2014) IC lisas;
turvaliste kiipide, kiipkaartide ja nendega seotud seadmete kategooria puhul:
turvaliste kiipide platvormi kaitseprofiil, BSI-CC-PP-0084-2014;
Java kaardisüsteem – avatud konfiguratsioon, V3.0.5 BSI-CC-PP-0099-2017;
Java kaardisüsteem – suletud konfiguratsioon, BSI-CC-PP-0101-2017;
personaalarvuti kliendipõhise usaldatava platvormimooduli 2.0 taseme 0 versiooni 1.16 kaitseprofiil, ANSSI-CC-PP-2015/07;
universaalne SIM-kaart, PU-2009-RT-79, ANSSI-CC-PP-2010/04;
sisseehitatud universaalne kiipkaart (eUICC) masinasideseadmete jaoks, BSI-CC-PP-0089-2015;
suhtluspunktide (maksmiseks) ja makseterminalide kategooria puhul:
suhtluspunkt „POI-CHIP-ONLY“, ANSSI-CC-PP-2015/01;
suhtluspunkt „POI-CHIP-ONLY ja avatud protokolli pakett“, ANSSI-CC-PP-2015/02;
suhtluspunkt „POI-COMPREHENSIVE“, ANSSI-CC-PP-2015/03;
suhtluspunkt „POI-COMPREHENSIVE ja avatud protokolli pakett“, ANSSI-CC-PP-2015/04;
suhtluspunkt „POI-PED-ONLY“, ANSSI-CC-PP-2015/05;
suhtluspunkt „POI-PED-ONLY ja avatud protokolli pakett“, ANSSI-CC-PP-2015/06;
turvaümbrisega riistvaraseadmete kategooria puhul:
sertifitseerimisteenuse tarnija allkirjatoimingute krüptomoodul varundamisega, PP CMCSOB, PP HSM CMCSOB 14167-2, ANSSI-CC-PP-2015/08;
sertifitseerimisteenuse tarnija võtme genereerimise teenuste krüptomoodul, PP CMCKG, PP HSM CMCKG 14167-3, ANSSI-CC-PP-2015/09;
sertifitseerimisteenuse tarnija allkirjatoimingute krüptomoodul varundamiseta, PP CMCSO, PP HSM CMCKG 14167-4, ANSSI-CC-PP-2015/10.
IV LISA
Usaldusväärsuse järjepidevus ja sertifikaatide läbivaatamine
IV.1. Usaldusväärsuse järjepidevuse kohaldamisala
1. Järgmised usaldusväärsuse järjepidevuse nõuded kehtivad järgmiste haldamisega seotud tegevuste suhtes:
ümberhindamine, kui muutmata sertifitseeritud IKT-toode vastab endiselt selle turvanõuetele;
hinnang selle kohta, kuidas mõjutavad sertifitseeritud IKT-toote muudatused selle sertifitseerimist;
tarkvarapaikade rakendamine, kui sertifitseerimine seda hõlmab, vastavalt paikade haldamise hinnatud korrale;
kui sertifitseerimine seda hõlmab, siis sertifikaadi omaniku elutsükli juhtimise või tootmisprotsesside läbivaatamine.
2. EUCC sertifikaadi omanik võib taotleda sertifikaadi uuesti läbivaatamist järgmistel juhtudel:
EUCC sertifikaadi kehtivusaeg lõpeb üheksa kuu jooksul;
muutunud on sertifitseeritud IKT-toode või mõni muu tegur, mis võib mõjutada selle turvafunktsioone;
sertifikaadi omanik nõuab turvanõrkuste uuesti hindamist, et kinnitada EUCC sertifikaadi usaldusväärsust, mis on seotud IKT-toote vastupanuvõimega praeguste küberrünnete suhtes.
IV.2. Ümberhindamine
1. Kui on vaja hinnata muutmata sertifitseeritud IKT-toote ohukeskkonnas toimunud muutuste mõju, esitatakse sertifitseerimisasutusele ümberhindamise taotlus.
2. Ümberhindamise teeb sama infotehnoloogia turvalisuse hindamise üksus, kes osales eelmises hindamises, taaskasutades kõiki selle endiselt kehtivaid tulemusi. Hindamisel keskendutakse usaldusväärsusega seotud tegevustele, mida sertifitseeritud IKT-toote muutunud ohukeskkond võib mõjutada, eelkõige asjakohasele AVA_VAN-rühmale ja peale selle elutsükli usaldusväärsuse (ALC) rühmale, mille puhul kogutakse uuesti piisavalt tõendeid arenduskeskkonna haldamise kohta.
3. Infotehnoloogia turvalisuse hindamise üksus kirjeldab muudatusi ja täpsustab ümberhindamise tulemusi, ajakohastades varasema hindamise tehnilist aruannet.
4. Sertifitseerimisasutus vaatab hindamise ajakohastatud tehnilise aruande läbi ja koostab ümberhindamise aruande. Seejärel muudetakse algse sertifikaadi seisundit vastavalt artiklile 13.
5. Ümberhindamisaruanne ja ajakohastatud sertifikaat esitatakse riiklikule küberturvalisuse sertifitseerimise asutusele ja ENISA-le küberturvalisuse sertifitseerimise veebisaidil avaldamiseks.
IV.3. Sertifitseeritud IKT-toote muudatused
1. Kui sertifitseeritud IKT-toodet on muudetud, esitab sertifikaadi omanik, kes soovib sertifikaati säilitada, sertifitseerimisasutusele mõjuanalüüsi aruande.
2. Mõjuanalüüsi aruandes esitatakse järgmised elemendid:
sissejuhatus, mis sisaldab vajalikku teavet mõjuanalüüsi aruande ja muudetava hindamisobjekti kindlakstegemiseks;
toote muudatuste kirjeldus;
mõjutatud arendaja tõendite kindlakstegemine;
arendaja tõendite muudatuste kirjeldus;
tähelepanekud ja järeldused iga muudatuse mõju kohta usaldusväärsusele.
3. Sertifitseerimisasutus uurib mõjuanalüüsi aruandes kirjeldatud muudatusi, et kinnitada nende mõju sertifitseeritud hindamisobjekti usaldusväärsusele, nagu on esitatud mõjuanalüüsi aruande järeldustes.
4. Pärast kontrollimist määrab sertifitseerimisasutus kindlaks, kas muudatus on väike või oluline vastavalt selle mõjule.
5. Kui sertifitseerimisasutus on kinnitanud, et muudatus on väike, ei anta muudetud IKT-tootele välja uut sertifikaati ja koostatakse algse sertifitseerimisaruande haldusaruanne.
Haldusaruanne lisatakse mõjuanalüüsi aruande alajaotisena, mis sisaldab järgmisi jaotisi:
sissejuhatus,
muudatuste kirjeldus,
mõjutatud arendaja tõendid.
6. Punktis 5 osutatud haldusaruanne esitatakse ENISA-le avaldamiseks küberturvalisuse sertifitseerimise veebisaidil.
7. Kui muudatused on tunnistatud oluliseks, tehakse varasema hindamise kontekstis ümberhindamine, taaskasutades varasema hindamise endiselt kehtivaid tulemusi.
8. Pärast muudetud hindamisobjekti hindamise lõpuleviimist koostab infotehnoloogia turvalisuse hindamise üksus uue hindamise tehnilise aruande. Sertifitseerimisasutus vaatab hindamise ajakohastatud tehnilise aruande läbi ja koostab asjakohasel juhul uue sertifikaadi koos uue sertifitseerimisaruandega.
9. Uus sertifikaat ja sertifitseerimisaruanne esitatakse ENISA-le avaldamiseks.
IV.4. Paikade haldamine
1. Paikade haldamise korraga nähakse ette sertifitseeritud IKT-toote ajakohastamise struktureeritud protsess. Paikade haldamise korda, sealhulgas mehhanismi, mida sertifitseerimise taotleja rakendab IKT-tootes, võib kasutada vastavushindamisasutuse vastutusel pärast IKT-toote sertifitseerimist.
2. Sertifitseerimise taotleja võib IKT-toote sertifitseerimise sisse arvata paikamismehhanismi, mis on IKT-tootes rakendatud sertifitseeritud haldamiskorra osa, ühel järgmistest tingimustest:
sertifitseeritud IKT-toote hindamisobjekt ei hõlma funktsioone, mida paik mõjutab;
paik on seotud sertifitseeritud IKT-toote eelnevalt kindlaks määratud väikese muudatusega;
paik on seotud kinnitatud turvanõrkusega, millel on kriitiline mõju sertifitseeritud IKT-toote turvalisusele.
3. Kui paik on seotud sertifitseeritud IKT-toote hindamisobjekti olulise muudatusega, mis puudutab eelnevalt tuvastamata turvanõrkust, millel ei ole olulist mõju IKT-toote turvalisusele, kohaldatakse artikli 13 sätteid.
4. IKT-toote paikade haldamise kord koosneb järgmistest elementidest:
IKT-toote paiga väljatöötamise ja väljalaskmise protsess;
IKT-tootes paiga kasutusele võtmise tehniline mehhanism ja funktsioonid;
tehnilise mehhanismi toimivuse ja tulemuslikkusega seotud hindamistoimingute kogum.
5. IKT-toote sertifitseerimise ajal
IKT-toote sertifitseerimise taotleja esitab paikade haldamise korra kirjelduse;
infotehnoloogia turvalisuse hindamise üksus kontrollib järgmisi elemente:
arendaja on IKT-tootes rakendanud paikamismehhanisme sertifitseerimiseks esitatud paikade haldamise korra kohaselt;
hindamisobjekti piirid on eraldatud nii, et eraldatud protsessides tehtud muudatused ei mõjuta hindamisobjekti turvalisust;
tehniline parandusmehhanism toimib vastavalt käesoleva jao sätetele ja taotleja väidetele;
sertifitseerimisasutus lisab sertifitseerimisaruandesse paikade haldamise korra hindamise tulemuse.
6. Sertifikaadi omanik võib jätkata paikade haldamise sertifitseeritud korra kohaselt välja töötatud paiga rakendamist asjaomases sertifitseeritud IKT-tootes ning astub viie tööpäeva jooksul järgmised sammud järgmistel juhtudel:
teatab punkti 2 alapunktis a osutatud juhul asjaomasest paigast sertifitseerimisasutusele, kes ei muuda vastavat EUCC sertifikaati;
esitab punkti 2 alapunktis b osutatud juhul asjaomase paiga läbivaatamiseks infotehnoloogia turvalisuse hindamise üksusele. Infotehnoloogia turvalisuse hindamise üksus teavitab sertifitseerimisasutust pärast paiga kättesaamist, misjärel sertifitseerimisasutus võtab asjakohased meetmed vastava EUCC sertifikaadi uue versiooni väljaandmiseks ja sertifitseerimisaruande ajakohastamiseks;
esitab punkti 2 alapunktis c osutatud juhul asjaomase paiga ümberhindamiseks infotehnoloogia turvalisuse hindamise üksusele, kuid võib paiga samal ajal kasutusele võtta. Infotehnoloogia turvalisuse hindamise üksus teavitab sertifitseerimisasutust, misjärel sertifitseerimisasutus alustab asjaomaseid sertifitseerimistoiminguid.
V LISA
SERTIFITSEERIMISARUANDE SISU
V.1. Sertifitseerimisaruanne
1. Sertifitseerimisasutus koostab infotehnoloogia turvalisuse hindamise üksuse esitatud hindamise tehniliste aruannete alusel sertifitseerimisaruande, mis avaldatakse koos vastava EUCC sertifikaadiga.
2. Sertifitseerimisaruanne on üksikasjaliku ja praktilise teabe allikas IKT-toote või IKT-tootekategooria ja IKT-toote turvalise kasutuselevõtu kohta ning sisaldab seetõttu kogu avalikult kättesaadavat ja jagatavat teavet, mis on kasutajate ja huvitatud isikute jaoks oluline. Sertifitseerimisaruandes võib viidata avalikult kättesaadavale ja jagatavale teabele.
3. Sertifitseerimisaruanne sisaldab vähemalt järgmisi jaotisi:
kokkuvõte;
IKT-toote või IKT-tootekategooria kindlaksmääramine kaitseprofiili jaoks;
turvateenused;
eeldused ja kohaldamisala selgitused;
arhitektuuriline teave;
asjakohasel juhul täiendav küberturvalisuse alane teave;
IKT-toodete katsetamine, kui seda tehti;
asjakohasel juhul sertifikaadi omaniku elutsükli juhtimise protsesside ja tootmisrajatiste kindlakstegemine;
hindamise tulemused ja teave sertifikaadi kohta;
kokkuvõte sertifitseerimiseks esitatud IKT-toote turvasihist;
kavaga seotud märgis või silt, kui see on olemas;
kasutatud kirjandus.
4. Kokkuvõttes võetakse lühidalt kokku kogu sertifitseerimisaruanne. Kokkuvõte annab selge ja kokkuvõtliku ülevaate hindamistulemustest ning sisaldab järgmist teavet:
hinnatud IKT-toote nimetus, hindamise osaks olevate tootekomponentide loetelu ja IKT-toote versioon;
hindamise teinud infotehnoloogia turvalisuse hindamise üksuse nimi ja asjakohasel juhul alltöövõtjate nimekiri;
hindamise lõpetamise kuupäev;
viide infotehnoloogia turvalisuse hindamise üksuse koostatud hindamise tehnilisele aruandele;
sertifitseerimisaruande tulemuste lühikirjeldus, sealhulgas:
hindamise suhtes kohaldatud ühiskriteeriumide versioon ja vajaduse korral väljalase;
ühiskriteeriumide usaldusväärsuse pakett ja turvalisuse usaldusväärsuse komponendid, sealhulgas hindamise käigus rakendatud AVA_VAN-tase ja sellele vastav usaldusväärsuse tase, nagu on kindlaks määratud määruse (EL) 2019/881 artiklis 52, millele EUCC sertifikaat viitab;
hinnatud IKT-toote turvafunktsioon;
kokkuvõte ohtudest ja organisatsiooni turbepoliitikast, mida hinnatud IKT-tootega käsitletakse;
konfiguratsiooni erinõuded;
eeldused töökeskkonna kohta;
vajaduse korral IV lisa IV.4 jao kohase paikade haldamise heakskiidetud korra olemasolu;
lahtiütlus(ed).
5. Hinnatud IKT-toode tuleb selgelt kindlaks määrata, sealhulgas järgmise teabe kaudu:
hinnatud IKT-toote nimetus;
hindamise osaks olevate IKT-toote komponentide loend;
IKT-toote komponentide versiooni number;
sertifitseeritud IKT-toote töökeskkonnale esitatavate lisanõuete kindlaksmääramine;
EUCC sertifikaadi omaniku nimi ja kontaktandmed;
asjakohasel juhul sertifikaadis sisalduv paikade haldamise kord;
link EUCC sertifikaadi omaniku veebisaidile, kus on esitatud sertifitseeritud IKT-toote kohta täiendavat küberturvalisuse alast teavet vastavalt määruse (EL) 2019/881 artiklile 55.
6. Käesolevas jaos sisalduv teave peab olema võimalikult täpne, et tagada IKT-toote täielik ja täpne esitus, mida saab tulevastes hindamistes uuesti kasutada.
7. Turbepoliitika jaotis sisaldab IKT-toote turbepoliitika kirjeldust ja põhimõtteid või norme, mille täitmise hinnatud IKT-toode peab tagama või millele see peab vastama. See jaotis sisaldab viidet järgmistele põhimõtetele ja nende kirjeldust:
sertifikaadi omaniku turvanõrkuste käsitlemise põhimõtted;
sertifikaadi omaniku usaldusväärsuse järjepidevuse põhimõtted.
8. Asjakohasel juhul võib poliitika hõlmata tingimusi, mis on seotud paikade haldamise korra kasutamisega sertifikaadi kehtivuse ajal.
9. Eeldusi ja kohaldamisala selgitusi käsitlev jaotis sisaldab ammendavat teavet artikli 7 lõike 1 punktis c osutatud toote ettenähtud kasutamisega seotud asjaolude ja eesmärkide kohta. Teave peab sisaldama järgmist:
eeldused IKT-toote kasutamise ja kasutuselevõtu kohta miinimumnõuete kujul, näiteks nõuetekohase paigaldamise ja konfigureerimise ning riistvara nõuete täitmine;
eeldused IKT-toote nõuetekohase toimimise keskkonna kohta.
10. Punktis 9 loetletud teave peab olema võimalikult arusaadav, et võimaldada sertifitseeritud IKT-toote kasutajatel teha teadlikke otsuseid toote kasutamisega seotud riskide kohta.
11. Arhitektuuriteabe jaotis sisaldab IKT-toote ja selle põhikomponentide kõrgetasemelist kirjeldust vastavalt ühiskriteeriumide ADV_TDS-allsüsteemide lahendusele.
12. Vastavalt määruse (EL) 2019/881 artiklile 55 esitatakse IKT-toote täiendava küberturvalisuse alase teabe täielik loend. Kõik asjakohased dokumendid tähistatakse versiooni numbriga.
13. IKT-toodete katsetamise jaotis sisaldab järgmist teavet:
sertifikaadi välja andnud asutuse või organi, sealhulgas vastutava riikliku küberturvalisuse sertifitseerimise asutuse nimi ja ühtne kontaktpunkt;
hindamise teinud infotehnoloogia turvalisuse hindamise üksuse nimi, kui see üksus ei ole sertifitseerimisasutus;
artiklis 3 osutatud standardite alusel kasutatud usaldusväärsuse komponentide kindlaksmääramine;
tehnika taset käsitleva dokumendi versioon ja hindamisel kasutatud täiendavad turvalisuse hindamise kriteeriumid;
IKT-toote täielikud ja täpsed seaded ja konfiguratsioon hindamise ajal, sealhulgas märkused ja tähelepanekud töö kohta, kui neid on;
kõik kasutatud kaitseprofiilid, sealhulgas järgmine teave:
kaitseprofiili autor;
kaitseprofiili nimetus ja identifikaator;
kaitseprofiili sertifikaadi identifikaator;
kaitseprofiili hindamisse kaasatud sertifitseerimisasutuse ja infotehnoloogia turvalisuse hindamise üksuse nimi ja kontaktandmed;
kaitseprofiilile vastava toote puhul nõutav usaldusväärsuse pakett (paketid).
14. Sertifikaati käsitlevas jaotises esitatavad hindamise tulemused ja teave sisaldavad järgmist teavet:
kinnitus käesoleva määruse artiklis 4 ja määruse (EL) 2019/881 artiklis 52 osutatud saavutatud usaldusväärsuse taseme kohta;
artiklis 3 osutatud standarditest tulenevad usaldusväärsuse nõuded, millele IKT-toode või kaitseprofiil tegelikult vastab, sealhulgas AVA_VAN-tase;
usaldusväärsuse nõuete üksikasjalik kirjeldus ja üksikasjad selle kohta, kuidas toode vastab igaühele neist;
sertifikaadi väljaandmise kuupäev ja kehtivusaeg;
sertifikaadi kordumatu identifikaator.
15. Sertifitseerimisaruandesse lisatakse turvasiht või selle kokkuvõte ja viide ning see esitatakse koos sertifitseerimisaruandega avaldamise eesmärgil.
16. Turvasihi võib puhastada vastavalt VI.2 jaole.
17. Sertifitseerimisaruandesse võib lisada EUCCga seotud märgise või sildi vastavalt artiklis 11 sätestatud normidele ja menetlustele.
18. Kasutatud kirjanduse jaotis sisaldab viiteid kõikidele sertifitseerimisaruande koostamisel kasutatud dokumentidele. See teave peab sisaldama vähemalt järgmist:
turvalisuse hindamise kriteeriumid, tehnika taset käsitlevad dokumendid ning kasutatud täiendavad asjakohased spetsifikatsioonid ja nende versioon;
hindamise tehniline aruanne;
asjakohasel juhul liittoote hindamise tehniline aruanne;
tehnilised viitedokumendid;
arendaja dokumentatsioon, mida kasutati hindamisel.
19. Hindamise korratavuse tagamiseks tuleb kõik osutatud dokumendid kordumatult identifitseerida avaldamise õige kuupäeva ja õige versiooni numbriga.
V.2. Turvasihi puhastamine avaldamiseks
1. VI.1 jao punkti 1 kohasesse sertifitseerimisaruandesse lisatava või selles osutatava turvasihi võib puhastada ärisaladusena käsitletava tehnilise teabe eemaldamise või ümbersõnastamise teel.
2. Selle tulemusena saadud puhastatud turvasiht on selle täieliku algversiooni tegelik esitus. See tähendab, et puhastatud turvasihist ei tohi jätta välja teavet, mis on vajalik, et mõista hindamisobjekti turvaomadusi ja hindamise ulatust.
3. Puhastatud turvasihi sisu vastab järgmistele miinimumnõuetele:
selle sissejuhatust ei puhastata, sest see ei sisalda üldiselt ärisaladusena käsitletavat teavet;
puhastatud turvasihil peab olema kordumatu identifikaator, mis erineb selle täieliku algversiooni identifikaatorist;
hindamisobjekti kirjeldust on lubatud vähendada, sest see võib sisaldada ärisaladusena käsitletavat ja üksikasjalikku teavet hindamisobjekti lahenduse kohta, mida ei tohiks avaldada;
hindamisobjekti turvakeskkonna kirjeldust (eeldused, ohud, organisatsiooni turbepoliitika) ei tohi vähendata, kuivõrd see teave on vajalik hindamise ulatuse mõistmiseks;
turvaeesmärke ei tohi vähendata, sest kogu teave tuleb avalikustada, et mõista turvasihi ja hindamisobjekti eesmärke;
kõik turvanõuded avalikustatakse. Rakendamist käsitlevates märkustes võib esitada teavet selle kohta, kuidas kasutati artiklis 3 osutatud ühiskriteeriumide toimivusnõudeid turvasihi mõistmiseks;
hindamisobjekti kokkuvõtlik spetsifikatsioon sisaldab kõiki hindamisobjekti turvafunktsioone, kuid ärisaladusena käsitletavat täiendavat teavet võib puhastada;
lisatakse viited hindamisobjekti suhtes rakendatud kaitseprofiilidele;
põhjendusi võib ärisaladusena käsitletava teabe eemaldamiseks puhastada.
4. Isegi kui puhastatud turvasihti ei hinnata ametlikult vastavalt artiklis 3 osutatud hindamisstandarditele, tagab sertifitseerimisasutus, et see vastab täielikule ja hinnatud turvasihile, ning viitab sertifitseerimisaruandes nii täielikule kui ka puhastatud turvasihile.
VI LISA
VASTASTIKUSTE HINDAMISTE ULATUS JA RÜHMA KOOSSEIS
VI.1. Vastastikuse hindamise ulatus
1. Vastastikune hindamine hõlmab järgmist tüüpi hindamisi:
1. tüüp: kui sertifitseerimisasutus teeb sertifitseerimistoiminguid tasemel AVA_VAN.3;
2. tüüp: kui sertifitseerimisasutus teeb sertifitseerimistoiminguid, mis on seotud I lisas tehnika taset käsitlevate dokumentidena loetletud tehnilise valdkonnaga;
3. tüüp: kui sertifitseerimisasutus teeb sertifitseerimistoiminguid kõrgemal tasemel kui AVA_VAN.3, kasutades II või III lisas tehnika taset käsitlevate dokumentidena loetletud kaitseprofiili.
2. Vastastikuse hindamise läbinud sertifitseerimisasutus esitab loendi sertifitseeritud IKT-toodetest, mille vastastikuse hindamise rühm võib järgmiste reeglite kohaselt läbi vaadata:
väljapakutud tooted katavad sertifitseerimisasutusele antud loa tehnilise kohaldamisala, vastastikuse hindamise käigus analüüsitakse usaldusväärsuse kõrgel tasemel neist vähemalt kahte eri toodet ning ühte kaitseprofiili, kui sertifitseerimisasutus on välja andnud usaldusväärsuse kõrge tasemega sertifikaadi;
2. tüüpi vastastikuseks hindamiseks esitab sertifitseerimisasutus vähemalt ühe toote iga tehnilise valdkonna ja asjaomase infotehnoloogia turvalisuse hindamise üksuse kohta;
3. tüüpi vastastikuse hindamise korral hinnatakse vähemalt ühte väljapakutud toodet vastavalt kohaldatavatele ja asjakohastele kaitseprofiilidele.
VI.2. Vastastikuse hindamise rühm
1. Hindamisrühm koosneb vähemalt kahest eksperdist, kes on valitud eri liikmesriikide eri sertifitseerimisasutustest, mis annavad välja usaldusväärsuse kõrge tasemega sertifikaate. Eksperdid peaksid tõendama asjakohaseid teadmisi artiklis 3 osutatud standardite ja vastastikuse hindamisega hõlmatud tehnika taset käsitlevate dokumentide kohta.
2. Määruse (EL) 2019/881 artikli 56 lõikes 6 osutatud sertifikaatide väljaandmise delegeerimise või eelneva heakskiitmise korral osaleb käesoleva jao lõike 1 kohaselt valitud ekspertide rühmas ka asjaomase sertifitseerimisasutusega seotud riikliku küberturvalisuse sertifitseerimise asutuse ekspert.
3. 2. tüüpi vastastikuseks hindamiseks valitakse hindamisrühma liikmed asjaomase tehnilise valdkonna jaoks loa saanud sertifitseerimisasutustest.
4. Igal hindamisrühma liikmel peab olema vähemalt kaheaastane sertifitseerimisasutuses omandatud sertifitseerimiskogemus.
5. 2. või 3. tüüpi vastastikuse hindamise korral peab igal hindamisrühma liikmel olema vähemalt kaheaastane kogemus asjaomase tehnilise valdkonna või kaitseprofiiliga seotud sertifitseerimistoimingute tegemises ning tõendatud eksperditeadmised ja osalemine infotehnoloogia turvalisuse hindamise üksusele loa andmises.
6. Vastastikuse hindamise läbinud sertifitseerimisasutuse tegevust jälgiv ja selle üle järelevalvet tegev riiklik küberturvalisuse sertifitseerimise asutus ning vähemalt üks riiklik küberturvalisuse sertifitseerimise asutus, kelle sertifitseerimisasutus ei kuulu vastastikusele hindamisele, osalevad vastastikuses hindamises vaatlejana. Vastastikuses hindamises võib vaatlejana osaleda ka ENISA.
7. Vastastikuse hindamise läbinud sertifitseerimisasutusele esitatakse vastastikuse hindamise rühma koosseis. Põhjendatud juhul võib ta vastastikuse hindamise rühma koosseisu vaidlustada ja paluda selle läbivaatamist.
VII LISA
EUCC sertifikaadi sisu
EUCC sertifikaat sisaldab vähemalt järgmist:
sertifikaadi välja andnud sertifitseerimisasutuse määratud kordumatu identifikaator;
teave sertifitseeritud IKT-toote või kaitseprofiili ja sertifikaadi omanikukohta, sealhulgas:
IKT-toote või kaitseprofiili nimetus ja asjakohasel juhul hindamisobjekti nimi;
IKT-toote või kaitseprofiili ja asjakohasel juhul hindamisobjekti tüüp;
IKT-toote või kaitseprofiili versioon;
sertifikaadi omaniku nimi, aadress ja kontaktandmed;
link sertifikaadi omaniku veebisaidile, mis sisaldab määruse (EL) 2019/881 artiklis 55 osutatud täiendavat küberturvalisuse alast teavet;
teave IKT-toote või kaitseprofiili hindamise ja sertifitseerimisekohta, sealhulgas:
sertifikaadi välja andnud sertifitseerimisasutuse nimi, aadress ja kontaktandmed;
kui hindamist ei teinud sertifitseerimisasutus, siis hindamise teinud infotehnoloogia turvalisuse hindamise üksuse nimi;
vastutava riikliku küberturvalisuse sertifitseerimise asutuse nimi;
viide käesolevale määrusele;
viide V lisas osutatud sertifikaadiga seotud sertifitseerimisaruandele;
kohaldatav usaldusväärsuse tase vastavalt artiklile 4;
viide artiklis 3 osutatud standardi versioonile, mida kasutati hindamiseks;
artiklis 3 osutatud standardites täpsustatud ja VIII lisa kohase usaldusväärsuse taseme või paketi identifitseerimisandmed, sealhulgas kasutatud usaldusväärsuse komponendid ja hõlmatud AVA_VAN-tase;
asjakohasel juhul viide ühele või mitmele kaitseprofiilile, millele IKT-toode või kaitseprofiil vastab;
väljaandmise kuupäev;
sertifikaadi kehtivusaeg;
sertifikaadiga seotud märgis ja silt vastavalt artiklile 11.
VIII LISA
Usaldusväärsuse paketi deklaratsioon
1. Vastupidiselt ühiskriteeriumides esitatud määratlustele kehtib paketi täiendamise kohta järgmine:
seda ei tohi tähistada lühendatult märgi „+“ abil;
see peab sisaldama üksikasjalikku loendit kõigist asjaomastest komponentidest;
seda tuleb sertifitseerimisaruandes üksikasjalikult kirjeldada.
2. EUCC sertifikaadis kinnitatud usaldusväärsuse taset võib täiendada käesoleva määruse artiklis 3 kindlaks määratud hindamise usaldusväärsuse tasemega.
3. Kui EUCC sertifikaadis kinnitatud usaldusväärsuse tase ei viita paketi täiendamisele, märgitakse EUCC sertifikaadile üks järgmistest pakettidest:
„usaldusväärsuse eripakett“;
„kaitseprofiilile vastav usaldusväärsuse pakett“, kui viidatakse hindamise usaldusväärsuse tasemeta kaitseprofiilile.
IX LISA
Märgis ja silt
1. Märgise ja sildi vorm:
2. Märgise ja sildi vähendamise või suurendamise korral tuleb kinni pidada eespool esitatud joonise proportsioonidest.
3. Kui märgis ja silt on füüsiliselt olemas, peab see olema vähemalt 5 mm kõrgune.