KOMISJONI RAKENDUSMÄÄRUS (EL) 2024/482,

31. jaanuar 2024,

millega kehtestatakse Euroopa Parlamendi ja nõukogu määruse (EL) 2019/881 rakenduseeskirjad seoses Euroopa ühiskriteeriumidel põhineva küberturvalisuse sertifitseerimise kava (EUCC) vastuvõtmisega

(EMPs kohaldatav tekst)

EUROOPA KOMISJON,

võttes arvesse Euroopa Liidu toimimise lepingut,

võttes arvesse Euroopa Parlamendi ja nõukogu 17. aprilli 2019. aasta määrust (EL) 2019/881, mis käsitleb ENISAt (Euroopa Liidu Küberturvalisuse Amet) ning info- ja kommunikatsioonitehnoloogia küberturvalisuse sertifitseerimist ja millega tunnistatakse kehtetuks määrus (EL) nr 526/2013 (küberturvalisuse määrus), (1) eriti selle artikli 49 lõiget 7,

ning arvestades järgmist:

(1)

Käesoleva määrusega määratakse kindlaks Euroopa ühiskriteeriumidel põhineva küberturvalisuse sertifitseerimise kavaga (EUCC) ette nähtud rollid, eeskirjad ja kohustused ning kava struktuur vastavalt määruses (EL) 2019/881 kindlaks määratud küberturvalisuse sertifitseerimise raamistikule. EUCC tugineb kõrgemate ametnike infosüsteemide turvalisuse rühma (2) (edaspidi „SOG-IS“) vastastikuse tunnustamise lepingule infotehnoloogia turvasertifikaatide kohta, milles kasutatakse ühiskriteeriume, sealhulgas rühma menetlustele ja dokumentidele.

(2)

Kava peaks põhinema väljakujunenud rahvusvahelistel standarditel. Ühiskriteeriumid on infoturbe hindamise rahvusvaheline standard, mis on avaldatud näiteks standardis ISO/IEC 15408 „Information security, cybersecurity and privacy protection — Evaluation criteria for IT security“. See põhineb kolmanda isiku tehtaval hindamisel ja sellega nähakse ette seitse hindamise usaldusväärsuse taset. Ühiskriteeriumidega koos kasutatakse ühist hindamismetoodikat, mis on avaldatud näiteks standardis ISO/IEC 18045 „Information security, cybersecurity and privacy protection - Evaluation criteria for IT security - Methodology for IT security evaluation“. Spetsifikatsioonid ja dokumendid, millega kohaldatakse käesoleva määruse sätteid, võivad olla seotud avalikult kättesaadava standardiga, mis peegeldab käesoleva määruse kohase sertifitseerimise korral kasutatavat standardit, näiteks infotehnoloogia turvalisuse hindamise ühiskriteeriumid ja infotehnoloogia turvalisuse hindamise ühine metoodika.

(3)

EUCC kavas kasutatakse ühiskriteeriumides esitatud turvanõrkuste hindamise rühma (AVA_VAN) komponente 1–5. Need viis komponenti hõlmavad kõiki peamisi tegureid ja sõltuvusi info- ja kommunikatsioonitehnoloogiatoodete (edaspidi „IKT-toode“) turvanõrkuste analüüsimiseks. Komponendid vastavad käesolevas määruses kindlaks määratud usaldusväärsuse tasemetele ja seetõttu on võimalik teha nende usaldusväärsuse kohta teadlik valik, mis põhineb turvanõuete ja IKT-toote ettenähtud kasutamisega seotud riski hindamisel. EUCC sertifikaadi taotleja peaks esitama IKT-toote ettenähtud kasutamisega seotud dokumendid ja sellise kasutamisega seotud riskitasemete analüüsi, et vastavushindamisasutus saaks hinnata valitud usaldusväärsuse taseme sobivust. Kui hindamise ja sertifitseerimisega tegeleb sama vastavushindamisasutus, peaks taotleja esitama nõutud teabe ainult üks kord.

(4)

Üks tehniline valdkond moodustab tugiraamistiku, mis hõlmab IKT-toodete rühma, mille spetsiifilised ja sarnased turvafunktsioonid leevendavad ründeid ja mille omadused on iseloomulikud teatavale usaldusväärsuse tasemele. Tehnilise valdkonna tehnika taset käsitlevates dokumentides kirjeldatakse konkreetseid turvanõudeid ning täiendavaid hindamismeetodeid, -tehnikaid ja -vahendeid, mida rakendatakse sellesse tehnilisse valdkonda kuuluvate IKT-toodete sertifitseerimiseks. Tehniline valdkond soodustab seega ka sellesse kuuluvate IKT-toodete hindamise ühtlustamist. Sertifitseerimiseks tasemetel AVA_VAN.4 ja AVA_VAN.5 kasutatakse praegu laialdaselt kahte tehnilist valdkonda. Esimene tehniline valdkond on „Kiipkaardid ja samalaadsed seadmed“, kus oluline osa nõutavatest turvafunktsioonidest sõltub konkreetsetest, kohandatud ja sageli eraldatavatest riistvaraelementidest (nt kiipkaardi riistvara, kiibid, kiipkaartide liittooted, usaldatavas töötluses kasutatavad usaldatavad platvormimoodulid või digitaalsed sõidumeerikukaardid). Teine tehniline valdkond on „Turvaümbrisega riistvaraseadmed“, kus oluline osa nõutavatest turvafunktsioonidest sõltub riistvara füüsilisest ümbrisest (nn turvaümbrisest), mis on ette nähtud otseste rünnete vastu seismiseks, nt makseterminalid, sõidumeeriku sõidukiüksused, arukad arvestid, juurdepääsukontrolli terminalid ja füüsilised turvamoodulid.

(5)

Sertifikaati taotledes peaks taotleja usaldusväärsuse taseme valiku põhjenduse seostama määruse (EL) 2019/881 artiklis 51 kindlaks määratud eesmärkidega ning funktsionaalsete turvanõuete loendi põhjal tehtud komponentide valiku ja ühiskriteeriumides sisalduvate turvalisuse usaldusväärsuse nõuetega. Sertifitseerimisasutused peaksid hindama valitud usaldusväärsuse taseme asjakohasust ja tagama, et valitud tase vastab IKT-toote ettenähtud kasutamisega seotud riski tasemele.

(6)

Ühiskriteeriumide kohaselt toimub sertifitseerimine turvasihi alusel, mis hõlmab IKT-toote turvaprobleemi määratlust ja turvaeesmärke turvaprobleemi lahendamiseks. Turvaprobleem sisaldab üksikasju IKT-toote ettenähtud kasutamise ja sellise kasutamisega seotud riskide kohta. Valitud turvanõuete kogum vastab nii IKT-toote turvaprobleemile kui ka turvaeesmärkidele.

(7)

Kaitseprofiilid on toimiv vahend konkreetse IKT-tootekategooria suhtes kohaldatavate ühiskriteeriumide eelnevaks kindlaksmääramiseks ning seetõttu on need ka kaitseprofiiliga hõlmatud IKT-toodete sertifitseerimise protsessi oluline osa. Kaitseprofiili kasutatakse, et hinnata tulevasi turvasihte, mis kuuluvad selle kaitseprofiiliga hõlmatud konkreetsesse IKT-tootekategooriasse. Need ühtlustavad ja tõhustavad veelgi IKT-toote sertifitseerimise protsessi ning aitavad kasutajatel IKT-toote funktsioone õigesti ja mõjusalt täpsustada. Seega tuleks kaitseprofiile pidada selle IKT-protsessi lahutamatuks osaks, mille tulemusena IKT-toode sertifitseeritakse.

(8)

Selleks et kaitseprofiile oleks võimalik kasutada IKT-protsessis, mis toetab sertifitseeritud IKT-toote väljatöötamist ja tarnimist, peaks kaitseprofiile endid olema võimalik sertifitseerida sõltumatult vastava kaitseprofiili alla kuuluva konkreetse IKT-toote sertifitseerimisest. Seepärast on küberturvalisuse kõrge taseme tagamiseks oluline kohaldada kaitseprofiilide suhtes vähemalt samal tasemel kontrolli nagu turvasihtide suhtes. Kaitseprofiile tuleks hinnata ja sertifitseerida asjaomasest IKT-tootest eraldi, kohaldades üksnes ühiskriteeriumide ja ühise hindamismetoodika kohast kaitseprofiilide (APE) ja vajaduse korral kaitseprofiilide konfiguratsioonide (ACE) usaldusväärsuse klassi. Arvestades kaitseprofiilide olulist ja tundlikku rolli võrdlusalusena IKT-toodete sertifitseerimisel, peaksid neid sertifitseerima ainult avaliku sektori asutused või sertifitseerimisasutus, mis on saanud riikliku küberturvalisuse sertifitseerimise asutuselt konkreetse kaitseprofiili jaoks eelneva heakskiidu. Kaitseprofiilidel on keskne roll usaldusväärsuse kõrgel tasemel sertifitseerimises, eelkõige väljaspool tehnilisi valdkondi, ja seetõttu tuleks need välja töötada tehnika taset käsitlevate dokumentidena, mille Euroopa küberturvalisuse sertifitseerimise rühm peaks heaks kiitma.

(9)

Sertifitseeritud kaitseprofiilid peaksid kuuluma ka vastavuse ja nõuete täitmise järelevalve alla, mida riiklikud küberturvalisuse sertifitseerimise asutused teevad EUCC raames. Kui konkreetsete sertifitseeritud kaitseprofiilide puhul on olemas IKT-toodete hindamiseks kasutatava lähenemisviisi puhul kohaldatav metoodika, vahendid ja oskused, võivad tehnilised valdkonnad põhineda neil konkreetsetel kaitseprofiilidel.

(10)	Sertifitseeritud IKT-toodete usaldatavuse ja usaldusväärsuse kõrge taseme saavutamiseks ei tohiks käesoleva määruse alusel lubada enesehindamist. Lubatud peaks olema ainult kolmanda isiku vastavushindamine, mille teevad infotehnoloogia turvalisuse hindamise üksus ja sertifitseerimisasutused.

(11)

SOG-ISi kogukond pakkus välja ühised tõlgendused ja lähenemisviisid ühiskriteeriumide ja ühise hindamismetoodika rakendamiseks sertifitseerimisel, eelkõige tehnilistes valdkondades „Kiipkaardid ja samalaadsed seadmed“ ning „Turvaümbrisega riistvaraseadmed“ taotletava usaldusväärsuse kõrge taseme puhul. Selliste tõendavate dokumentide taaskasutamine EUCC kavas tagab sujuva ülemineku riiklikult rakendatud SOG-ISi kavadelt EUCC ühtlustatud kavale. Seepärast tuleks käesolevasse määrusesse lisada kõigi sertifitseerimistoimingute jaoks üldiselt olulised ühtlustatud hindamismeetodid. Peale selle peaks komisjonil olema võimalik taotleda, et Euroopa küberturvalisuse sertifitseerimise rühm võtaks vastu arvamuse, millega kiidetakse heaks tehnika taset käsitlevates dokumentides kirjeldatud hindamismeetodite rakendamine EUCC raames IKT-toote või kaitseprofiili sertifitseerimiseks ning soovitatakse seda. Seepärast on käesoleva määruse I lisas loetletud vastavushindamisasutuste tehtavate hindamistoimingute tehnika taset käsitlevad dokumendid. Euroopa küberturvalisuse sertifitseerimise rühm peaks tehnika taset käsitlevad dokumendid heaks kiitma ja neid haldama. Sertifitseerimisel tuleks kasutada tehnika taset käsitlevaid dokumente. Vastavushindamisasutus võib neid mitte kasutada ainult nõuetekohaselt põhjendatud erandjuhtudel, kui täidetud on teatavad tingimused, eeskätt riikliku küberturvalisuse sertifitseerimise asutuse heakskiit.

(12)

Tasemel AVA_VAN.4 või AVA_VAN.5 peaks IKT-tooteid saama sertifitseerida üksnes konkreetsetel tingimustel ja juhul, kui olemas on eraldi hindamismetoodika. Eraldi hindamismetoodika võib olla kirjas tehnika taset käsitlevates dokumentides, mis on tehnilise valdkonna seisukohast asjakohased, või tehnika taset käsitleva dokumendina vastu võetud konkreetsetes kaitseprofiilides, mis on kõnealuse tootekategooria puhul asjakohased. Sellise usaldusväärsuse tasemega sertifitseerimine peaks olema võimalik ainult nõuetekohaselt põhjendatud erandjuhtudel, kui täidetud on teatavad tingimused, eeskätt siis, kui on olemas riikliku küberturvalisuse sertifitseerimise asutuse heakskiit muu hulgas kohaldatavale hindamismetoodikale. Sellised nõuetekohaselt põhjendatud erandjuhud võivad esineda siis, kui liidu või siseriiklike õigusaktidega nõutakse IKT-toote sertifitseerimist tasemel AVA_VAN.4 või AVA_VAN.5. Samuti võib nõuetekohaselt põhjendatud erandjuhtudel sertifitseerida kaitseprofiile ilma, et kohaldataks asjaomaseid tehnika taset käsitlevaid dokumente, kui täidetud on teatavad tingimused, eeskätt siis, kui on olemas riikliku küberturvalisuse sertifitseerimise asutuse heakskiit muu hulgas kohaldatavale hindamismetoodikale.

(13)

EUCC raames kasutatavate märgiste ja siltide eesmärk on nähtavalt näidata kasutajatele sertifitseeritud IKT-toote usaldusväärsust ja võimaldada neil IKT-toote ostmisel teha teadlik valik. Märgiste ja siltide kasutamise suhtes tuleks kohaldada ka norme ja tingimusi, mis on esitatud standardis ISO/IEC 17065 ning asjakohasel juhul standardis ISO/IEC 17030 koos kohaldatavate suunistega.

(14)	Sertifitseerimisasutused peaksid otsustama sertifikaatide kehtivusaja üle, võttes arvesse asjaomase IKT-toote elutsüklit. Kehtivusaeg ei tohiks olla pikem kui viis aastat. Riiklikud küberturvalisuse sertifitseerimise asutused peaksid töötama selle nimel, et ühtlustada kehtivusaeg liidus.

(15)	Kui olemasoleva EUCC sertifikaadi kohaldamisala vähendatakse, tunnistatakse sertifikaat kehtetuks ja välja tuleks anda uue kohaldamisalaga sertifikaat, et tagada kasutajate selge teavitamine konkreetse IKT-toote sertifikaadi kehtivast kohaldamisalast ja usaldusväärsuse tasemest.

(16)

Kaitseprofiilide sertifitseerimine erineb IKT-toodete sertifitseerimisest, sest see puudutab IKT-protsessi. Kaitseprofiil hõlmab IKT-toodete kategooriat, seetõttu ei saa seda hinnata ega sertifitseerida ühe IKT-toote alusel. Kaitseprofiil ühendab IKT-tootekategooria üldisi turvanõudeid ega sõltu müüja poolt IKT-tootele antud vormist ja seetõttu peaks kaitseprofiili jaoks välja antava EUCC sertifikaadi kehtivusaeg põhimõtteliselt olema vähemalt viis aastat ja seda võib pikendada kaitseprofiili eluea lõpuni.

(17)

Vastavushindamisasutus on asutus, mis teeb vastavushindamist, sealhulgas kalibreerimist, katsetamist, sertifitseerimist ja kontrollimist. Teenuste kõrge kvaliteedi tagamiseks täpsustatakse käesolevas määruses, et nii katsetamist kui ka sertifitseerimist ja kontrollimist peaksid tegema üksteisest sõltumatult tegutsevad üksused, st infotehnoloogia turvalisuse hindamise üksused ning sertifitseerimisasutused. Mõlemat tüüpi vastavushindamisasutused peaksid olema akrediteeritud ja teatavatel juhtudel loa saanud.

(18)

Usaldusväärsuse märkimisväärse või kõrge taseme puhul peaks sertifitseerimisasutuse akrediteerima riiklik akrediteerimisasutus standardi ISO/IEC 17065 kohaselt. Lisaks akrediteerimise nõudele, mis tuleneb määrusest (EL) 2019/881 koostoimes määrusega (EÜ) nr 765/2008, peaksid vastavushindamisasutused vastama erinõuetele, et tagada nende tehniline pädevus küberturvalisuse nõuete hindamiseks EUCC kohase usaldusväärsuse kõrge taseme puhul, mida kinnitatakse loaga. Loa andmise protsessi toetamiseks tuleks välja töötada asjakohased tehnika taset käsitlevad dokumendid, mille ENISA peaks avaldama pärast seda, kui Euroopa küberturvalisuse sertifitseerimise rühm on need heaks kiitnud.

(19)

Infotehnoloogia turvalisuse hindamise üksuse tehnilist pädevust tuleks hinnata katselabori akrediteerimise kaudu standardi ISO/IEC 17025 kohaselt ja täiendavalt standardi ISO/IEC 23532-1 kohaselt kõigi selliste hindamistoimingute puhul, mis on usaldusväärsuse taseme jaoks asjakohased ja täpsustatud standardis ISO/IEC 18045 koostoimes standardiga ISO/IEC 15408. Nii sertifitseerimisasutus kui ka infotehnoloogia turvalisuse hindamise üksus peaksid looma personali pädevuse juhtimise asjakohase süsteemi, mis pädevuselementide ja -tasemete ning pädevuse hindamise puhul tugineb standardile ISO/IEC 19896-1, ning seda süsteemi haldama. Teadmiste, oskuste, kogemuste ja hariduse taseme kohta peaksid hindajate suhtes kohaldatavad nõuded tuginema standardile ISO/IEC 19896-3. Kooskõlas süsteemi eesmärkidega tuleks tõendada samaväärseid sätteid ja meetmeid, mis käsitlevad kõrvalekaldeid sellistest pädevusjuhtimise süsteemidest.

(20)

Infotehnoloogia turvalisuse hindamise üksus peaks loa saamiseks tõendama oma suutlikkust teha kindlaks teadaolevate turvanõrkuste puudumine, asjaomase konkreetse tehnoloogia tipptasemel turvafunktsioonide nõuetekohane ja järjepidev rakendamine ning IKT-sihttoote vastupanuvõime oskuslike ründajate suhtes. Peale selle peaks infotehnoloogia turvalisuse hindamise üksus tehnilise valdkonna „Kiipkaardid ja samalaadsed seadmed“ lubade puhul tõendama ka sellist tehnilist suutlikkust, mis on vajalik hindamistoiminguteks ja nendega seotud ülesannete täitmiseks, nagu on määratletud ühiskriteeriumide kohases lisadokumendis „Miinimumnõuded infotehnoloogia turvalisuse hindamise üksusele kiipkaartide ja samalaadsete seadmete turvalisuse hindamiseks“ (3). Tehnilise valdkonna „Turvaümbrisega riistvaraseadmed“ loa saamiseks peaks infotehnoloogia turvalisuse hindamise üksus peale selle tõendama tehnilisi miinimumnõudeid, mis on vajalikud turvaümbrisega riistvaraseadmete hindamiseks ning sellega seotud ülesannete täitmiseks, nagu on soovitanud Euroopa küberturvalisuse sertifitseerimise rühm. Miinimumnõuete kontekstis peaks infotehnoloogia turvalisuse hindamise üksus suutma korraldada eri tüüpi ründeid, mis on loetletud ühiskriteeriumide alusel esitatud lisadokumendis „Application of Attack Potential to Hardware Devices with Security Boxes“ (Ründepotentsiaali rakendamine turvaümbrisega riistvaraseadmete suhtes). See suutlikkus hõlmab hindaja teadmisi ja oskusi ning seadmeid ja hindamismeetodeid, mida on vaja eri tüüpi rünnakute kindlaksmääramiseks ja hindamiseks.

(21)

Riiklik küberturvalisuse sertifitseerimise asutus peaks jälgima, et sertifitseerimisasutused, infotehnoloogia turvalisuse hindamise üksus ja sertifikaatide omanikud täidavad käesolevast määrusest ning määrusest (EL) 2019/881 tulenevaid kohustusi. Riiklik küberturvalisuse sertifitseerimise asutus peaks selleks kasutama kõiki asjakohaseid teabeallikaid, sealhulgas teavet, mis on saadud sertifitseerimisprotsessis osalejatelt ja enda uurimiste käigus.

(22)

Sertifitseerimisasutused peaksid tegema koostööd asjaomaste turujärelevalveasutustega ja võtma arvesse mis tahes turvanõrkusi käsitlevat teavet, mis võib olla asjakohane IKT-toodete puhul, millele nad on sertifikaadid välja andnud. Sertifitseerimisasutused peaksid jälgima kaitseprofiile, mille nad on sertifitseerinud, et teha kindlaks, kas IKT-tootekategooriale kehtestatud turvanõuded kajastavad endiselt uusimaid arengusuundi ohumaastikul.

(23)

Nõuete täitmise järelevalve toetuseks peaksid riiklikud küberturvalisuse sertifitseerimise asutused tegema koostööd asjaomaste turujärelevalveasutustega vastavalt määruse (EL) 2019/881 artiklile 58 ja Euroopa Parlamendi ja nõukogu määrusele (EL) 2019/1020 (4). Liidu ettevõtjad on kohustatud jagama teavet ja tegema koostööd turujärelevalveasutustega vastavalt määruse (EL) 2019/1020 artikli 4 lõikele 3.

(24)

Sertifitseerimisasutused peaksid tegema järelevalvet sertifikaadi omanike nõuete täitmise üle ja kõigi EUCC raames välja antud sertifikaatide nõuetele vastavuse üle. Järelevalve peaks tagama, et kõiki infotehnoloogia turvalisuse hindamise üksuse esitatud hindamisaruandeid, nende järeldusi ning hindamiskriteeriume ja -meetodeid rakendatakse järjepidevalt ja õigesti kõigi sertifitseerimistoimingute puhul.

(25)

Kui tuvastatakse võimalik nõuete rikkumine, mis mõjutab sertifitseeritud IKT-toodet, on oluline tagada proportsionaalne reageerimine. Seetõttu võib sertifikaadid peatada. Peatamine peaks hõlmama teatavaid piiranguid, mis on seotud kõnealuse IKT-toote propageerimise ja kasutamisega, kuid see ei tohiks mõjutada sertifikaadi kehtivust. ELi sertifikaadi omanik peaks peatamisest teatama mõjutatud IKT-toodete ostjatele ning asjaomane riiklik küberturvalisuse sertifitseerimise asutus peaks teatama asjaomastele turujärelevalveasutustele. Üldsuse teavitamiseks peaks ENISA avaldama peatamise teabe spetsiaalsel veebisaidil.

(26)

EUCC sertifikaadi omanik peaks rakendama vajalikke turvanõrkuste haldamise menetlusi ja tagama, et need menetlused on integreeritud nende organisatsiooni. Võimalikust turvanõrkusest teada saades peaks EUCC sertifikaadi omanik tegema turvanõrkuse mõju analüüsi. Kui turvanõrkuse mõju analüüs kinnitab, et turvanõrkust on võimalik ära kasutada, peaks sertifikaadi omanik saatma hindamise aruande sertifitseerimisasutusele, kes peaks omakorda teatama riiklikule küberturvalisuse sertifitseerimise asutusele. Aruandes tuleks teatada turvanõrkuse mõjust, vajalikest muudatustest või parandusmeetmetest, sealhulgas nõrkuse võimalikust laiemast mõjust ja parandusmeetmetest muude toodete jaoks. Vajaduse korral tuleks turvanõrkuse avalikustamise menetlust täiendada standardi EN ISO/IEC 29147 kohaselt.

(27)

Sertifitseerimise eesmärgil koguvad vastavushindamisasutused ja riiklikud küberturvalisuse sertifitseerimise asutused konfidentsiaalseid ja tundlikke andmeid ning ärisaladusi, mis on seotud ka intellektuaalomandi või nõuete täitmise järelevalvega ning mis vajavad piisavat kaitset. Seepärast peaksid neil olema vajalikud tehnilised pädevused ja teadmised ning nad peaksid kehtestama süsteemid teabe kaitsmiseks. Teabekaitse nõuded ja tingimused peaksid olema täidetud nii akrediteerimise kui ka loa andmise korral.

(28)	ENISA peaks esitama oma küberturvalisuse sertifitseerimise veebisaidil sertifitseeritud kaitseprofiilide loetelu ja märkima nende seisundi kooskõlas määrusega (EL) 2019/881.

(29)

Käesolevas määruses sätestatakse tingimused vastastikuse tunnustamise lepingute sõlmimiseks kolmandate riikidega. Sellised vastastikuse tunnustamise lepingud võivad olla kahe- või mitmepoolsed ning need peaksid asendama praegu kehtivad sarnased lepingud. Et hõlbustada sujuvat üleminekut sellistele vastastikuse tunnustamise lepingutele, võivad liikmesriigid piiratud aja jooksul jätkata olemasolevaid koostöölepinguid kolmandate riikidega.

(30)

Sertifitseerimisasutused, kes annavad välja usaldusväärsuse kõrge tasemega EUCC sertifikaate, ja asjaomased infotehnoloogia turvalisuse hindamise üksused peaksid läbima vastastikuse hindamise. Vastastikuse hindamise eesmärk peaks olema teha kindlaks, kas vastastikuse hindamise läbinud sertifitseerimisasutuse struktuur ja menetlused vastavad endiselt EUCC nõuetele. Vastastikune hindamine erineb määruse (EL) 2019/881 artiklis 59 sätestatud vastastikustest eksperdihinnangutest riiklike küberturvalisuse sertifitseerimise asutuste vahel. Vastastikuste hindamiste käigus tuleks veenduda, et sertifitseerimisasutused töötavad ühtlustatud viisil ja annavad välja sama kvaliteediga sertifikaate, ning teha kindlaks sertifitseerimisasutuste tegevuse võimalikud tugevad ja nõrgad küljed, pidades silmas ka parima tava jagamist. Sertifitseerimisasutusi on mitut eri liiki ja seega peaks lubatud olema mitmesugust liiki vastastikused eksperdihinnangud. Keerukamatel juhtudel, näiteks siis, kui sertifitseerimisasutused annavad sertifikaate välja erinevatel AVA_VAN-tasemetel, võib kasutada eri liiki vastastikuseid eksperdihindamisi, eeldusel et kõik nõuded on täidetud.

(31)

Euroopa küberturvalisuse sertifitseerimise rühmal peaks olema kava haldamisel oluline roll. See peaks muu hulgas toimuma koostöös erasektoriga, spetsiaalsete allrühmade loomise ning asjakohase ettevalmistustöö ja komisjoni taotletud abi kaudu. Euroopa küberturvalisuse sertifitseerimise rühmal on oluline roll tehnika taset käsitlevate dokumentide heakskiitmisel. Tehnika taset käsitlevate dokumentide heakskiitmisel ja vastuvõtmisel tuleks nõuetekohaselt arvesse võtta määruse (EL) 2019/881 artikli 54 lõike 1 punktis c osutatud elemente. Tehnilised valdkonnad ja tehnika taset käsitlevad dokumendid tuleks avaldada käesoleva määruse I lisas. Tehnika taset käsitlevate dokumentidena vastu võetud kaitseprofiilid tuleks avaldada II lisas. Nende lisade dünaamilisuse tagamiseks võib komisjon neid muuta määruse (EL) 2019/881 artikli 66 lõikes 2 sätestatud korras ja võttes arvesse Euroopa küberturvalisuse sertifitseerimise rühma arvamust. III lisa sisaldab soovitatud kaitseprofiile, mis ei ole käesoleva määruse jõustumise ajal tehnika taset käsitlevad dokumendid. Need tuleks avaldada ENISA veebisaidil, millele on viidatud määruse (EL) 2019/881 artikli 50 lõikes 1.

(32)	Käesolevat määrust tuleks hakata kohaldama 12 kuud pärast selle jõustumist. IV peatüki ja V lisa nõuded ei näe ette üleminekuperioodi ja seepärast tuleks neid kohaldada alates käesoleva määruse jõustumisest.

(33)	Käesoleva määrusega ettenähtud meetmed on kooskõlas määruse (EL) 2019/881 artikli 66 kohaselt asutatud Euroopa küberturvalisuse sertifitseerimise komitee arvamusega,

ON VASTU VÕTNUD KÄESOLEVA MÄÄRUSE:

I PEATÜKK

ÜLDSÄTTED

Artikkel 1

Reguleerimisese ja kohaldamisala

Käesoleva määrusega kehtestatakse Euroopa ühiskriteeriumidel põhinev küberturvalisuse sertifitseerimise kava (EUCC).

Käesolevat määrust kohaldatakse kõigi info- ja kommunikatsioonitehnoloogiatoodete (edaspidi „IKT-toode“), sealhulgas nende toodete dokumentide suhtes, mis esitatakse sertifitseerimiseks EUCC alusel, ning kõigi kaitseprofiilide suhtes, mis esitatakse sertifitseerimiseks IKT-toodete sertifitseerimisega päädiva IKT-protsessi osana.

Artikkel 2

Mõisted

Käesolevas määruses kasutatakse järgmisi mõisteid:

1)	„ühiskriteeriumid“ – infotehnoloogia turvalisuse hindamise ühiskriteeriumid, nagu on esitatud standardis ISO/IEC 15408;

2)	„ühine hindamismetoodika“ – infotehnoloogia turvalisuse hindamise ühine metoodika, nagu on esitatud standardis ISO/IEC 18045;

3)	„hindamisobjekt“ – IKT-toode või selle osa või kaitseprofiil IKT-protsessi osana, mis EUCC sertifikaadi saamiseks läbib küberturvalisuse hindamise;

4)	„turvasiht“ – konkreetse IKT-toote puhul rakendamisest sõltuvate turvanõuete kirjeldus;

5)	„kaitseprofiil“ – IKT-protsess, millega nähakse ette konkreetse IKT-tootekategooria turvanõuded ja mis käsitleb rakendamisest sõltumatuid turvavajadusi ning mida võib kasutada sellesse konkreetsesse kategooriasse kuuluvate IKT-toodete hindamiseks nende sertifitseerimise eesmärgil;

6)	„hindamise tehniline aruanne“ – infotehnoloogia turvalisuse hindamise üksuse koostatud dokument, milles esitatakse IKT-toote või kaitseprofiili käesolevas määruses kindlaks määratud eeskirjade ja kohustuste kohase hindamise käigus tehtud tähelepanekud, otsused ja põhjendused;

7)	„infotehnoloogia turvalisuse hindamise üksus“ – määruse (EÜ) nr 765/2008 artikli 2 punktis 13 määratletud vastavushindamisasutus, mis täidab hindamisülesandeid;

„AVA_VAN-tase“ – usaldusväärsusega seotud turvanõrkuse analüüsi tase, mis näitab, millises ulatuses on tehtud küberturvalisuse hindamise toiminguid, et teha kindlaks, kui suur on vastupanuvõime hindamisobjekti puuduste või nõrkuste võimaliku ärakasutamise suhtes hindamisobjekti rakenduskeskkonnas, nagu on esitatud ühiskriteeriumides;

9)	„EUCC sertifikaat“ – EUCC kohane IKT-toodete või üksnes IKT-protsessis IKT-toodete sertifitseerimiseks kasutatavate kaitseprofiilide küberturvalisuse sertifikaat;

10)	„liittoode“ – IKT-toode, mida hinnatakse koos teise, aluseks oleva IKT-tootega, mis on juba saanud EUCC sertifikaadi ja mille turvafunktsioonidest IKT-liittoode sõltub;

11)	„riiklik küberturvalisuse sertifitseerimise asutus“ – asutus, mille liikmesriik on määranud vastavalt määruse (EL) 2019/881 artikli 58 lõikele 1;

12)	„sertifitseerimisasutus“ – määruse (EÜ) nr 765/2008 artikli 2 punktis 13 määratletud vastavushindamisasutus, mis teeb sertifitseerimistoiminguid;

13)	„tehniline valdkond“ – ühine tehniline raamistik, mis on seotud ühtlustatud sertifitseerimise konkreetse tehnoloogiaga, mis hõlmab iseloomulike turvanõuete kogumit;

14)

„tehnika taset käsitlev dokument“ – dokument, milles kirjeldatakse hindamismeetodeid, -tehnikaid ja -vahendeid, mida rakendatakse IKT-toodete sertifitseerimisel, või üldise IKT-tootekategooria turvanõudeid või muid sertifitseerimiseks vajalikke nõudeid, et ühtlustada eeskätt tehniliste valdkondade või kaitseprofiilide hindamist;

15)	„turujärelevalveasutus“ – määruse (EL) 2019/1020 artikli 3 punktis 4 määratletud asutus.

Artikkel 3

Hindamisstandardid

EUCC kohaselt tehtavate hindamiste suhtes kohaldatakse järgmisi standardeid:

a)	ühiskriteeriumid;

b)	ühine hindamismetoodika.

Artikkel 4

Usaldusväärsuse tasemed

1. Sertifitseerimisasutus annab välja usaldusväärsuse märkimisväärse või kõrge tasemega EUCC sertifikaate.

2. Usaldusväärsuse märkimisväärse tasemega EUCC sertifikaadid vastavad tasemega AVA_VAN.1 või AVA_VAN.2 sertifikaatidele.

3. Usaldusväärsuse kõrge tasemega EUCC sertifikaadid vastavad tasemega AVA_VAN.3, AVA_VAN.4 või AVA_VAN.5 sertifikaatidele.

4. EUCC sertifikaadis kinnitatud usaldusväärsuse taseme puhul eristatakse kooskõlas VIII lisaga ühiskriteeriumides kindlaks määratud usaldusväärsuse komponentide nõuetekohast ja laiendatud kasutust.

5. Vastavushindamisasutused rakendavad neid usaldusväärsuse komponente, millest sõltub valitud AVA_VAN-tase, kooskõlas artiklis 3 osutatud standarditega.

Artikkel 5

IKT-toodete sertifitseerimise meetodid

1. IKT-toote sertifitseerimine toimub selle turvasihi alusel,

a)	nagu taotleja on määratlenud või

b)	muutes sertifitseeritud kaitseprofiili IKT-protsessi osaks, kui IKT-toode kuulub selle kaitseprofiiliga hõlmatud IKT-tootekategooriasse.

2. Kaitseprofiilid sertifitseeritakse üksnes selleks, et sertifitseerida IKT-tooteid, mis kuuluvad konkreetsesse kaitseprofiiliga hõlmatud IKT-tootekategooriasse.

Artikkel 6

Vastavuse enesehindamine

Vastavuse enesehindamine määruse (EL) 2019/881 artikli 53 tähenduses ei ole lubatud.

II PEATÜKK

IKT-TOODETE SERTIFITSEERIMINE

I JAGU

Hindamise eristandardid ja -nõuded

Artikkel 7

IKT-toodete hindamise kriteeriumid ja meetodid

1. Sertifitseerimiseks esitatud IKT-toodet hinnatakse kooskõlas vähemalt järgmisega:

a)	artiklis 3 osutatud standardite kohaldatavad elemendid;

b)	turvalisuse usaldusväärsuse nõuete klassid turvanõrkuste hindamiseks ja sõltumatu funktsionaaltestimine, nagu on esitatud artiklis 3 osutatud hindamisstandardites;

c)	asjaomaste IKT-toodete ettenähtud kasutamisega seotud riski tase vastavalt määruse (EL) 2019/881 artiklile 52 ja nende toodete turvafunktsioonid, mis toetavad määruse (EL) 2019/881 artiklis 51 kindlaks määratud turvaeesmärke;

d)	I lisas loetletud tehnika taset käsitlevad dokumendid ja

e)	II lisas loetletud kohaldatavad sertifitseeritud kaitseprofiilid.

2. Nõuetekohaselt põhjendatud erandjuhtudel võib vastavushindamisasutus taotleda asjakohaste tehnika taset käsitlevate dokumentide kohaldamisest loobumist. Sellistel juhtudel teavitab vastavushindamisasutus riiklik küberturvalisuse sertifitseerimise asutust ja põhjendab oma taotlust nõuetekohaselt. Riiklik küberturvalisuse sertifitseerimise asutus hindab erandi põhjendatust ja kiidab taotluse heaks, kui see on põhjendatud. Vastavushindamisasutus ei anna välja ühtegi sertifikaati enne, kui riiklik küberturvalisuse sertifitseerimise asutus teeb oma otsuse. Riiklik küberturvalisuse sertifitseerimise asutus teatab heakskiidetud erandist põhjendamatu viivituseta Euroopa küberturvalisuse sertifitseerimise rühmale, kes võib esitada arvamuse. Riiklik küberturvalisuse sertifitseerimise asutus võtab Euroopa küberturvalisuse sertifitseerimise rühma arvamust igati arvesse.

3. IKT-toodete sertifitseerimine tasemel AVA_VAN.4 või AVA_VAN.5 on võimalik ainult järgmiste stsenaariumide korral:

a)	kui IKT-toode kuulub mõnda I lisas loetletud tehnilisse valdkonda, hinnatakse seda vastavalt nende tehniliste valdkondade kohaldatavatele tehnika taset käsitlevatele dokumentidele,

b)	kui IKT-toode kuulub sellise sertifitseeritud kaitseprofiiliga hõlmatud IKT-tootekategooriasse, mis hõlmab taset AVA_VAN.4 või AVA_VAN.5 ja mis on loetletud II lisas tehnika taset käsitleva dokumendina, hinnatakse seda selle kaitseprofiili jaoks ettenähtud hindamismetoodika kohaselt,

c)	kui käesoleva lõike punkte a ja b ei kohaldata ja kui lähitulevikus on tehnilise valdkonna lisamine I lisasse või sertifitseeritud kaitseprofiili lisamine II lisasse ebatõenäoline ning üksnes nõuetekohaselt põhjendatud erandjuhtudel, lõikes 4 sätestatud tingimustel.

4. Kui vastavushindamisasutus leiab, et tema puhul on tegemist lõike 3 punktis c osutatud nõuetekohaselt põhjendatud erandjuhuga, teatab ta kavandatud sertifitseerimisest riiklikule küberturvalisuse sertifitseerimise asutusele ning esitab põhjendused ja kavandatud hindamismetoodika. Riiklik küberturvalisuse sertifitseerimise asutus hindab erandi põhjendatust, ja kui see on põhjendatud, kiidab heaks vastavushindamisasutuse kohaldatava hindamismetoodika või muudab seda. Vastavushindamisasutus ei anna välja ühtegi sertifikaati enne, kui riiklik küberturvalisuse sertifitseerimise asutus teeb oma otsuse. Riiklik küberturvalisuse sertifitseerimise asutus teatab kavandatud sertifitseerimisest põhjendamatu viivituseta Euroopa küberturvalisuse sertifitseerimise rühmale, kes võib esitada arvamuse. Riiklik küberturvalisuse sertifitseerimise asutus võtab Euroopa küberturvalisuse sertifitseerimise rühma arvamust igati arvesse.

5. Kui IKT-toote puhul tehakse liittoote hindamine vastavalt asjakohastele tehnika taset käsitlevatele dokumentidele, jagab selle aluseks olevat IKT-toodet hinnanud infotehnoloogia turvalisuse hindamise üksus asjakohast teavet IKT-liittoodet hindava infotehnoloogia turvalisuse hindamise üksusega.

II JAGU

EUCC Sertifikaatide väljaandmine, uuendamine ja kehtetuks tunnistamine

Artikkel 8

Sertifitseerimiseks vajalik teave

1. EUCC kohase sertifitseerimise taotleja esitab sertifitseerimisasutusele ja infotehnoloogia turvalisuse hindamise üksusele kogu sertifitseerimistoiminguteks vajaliku teabe või teeb selle muul viisil kättesaadavaks.

2. Lõikes 1 osutatud teave peab sisaldama sobivas vormingus kõiki asjakohaseid tõendeid valitud usaldusväärsuse taseme ja sellega seotud turvalisuse usaldusväärsuse nõuete kohta vastavalt arendaja tegevuselemente käsitlevatele jaotistele, nagu on ette nähtud ühiskriteeriumide ja ühise hindamismetoodika jaotises tõendava elemendi sisu ja esitamise kohta. Tõendid sisaldavad vajaduse korral üksikasju IKT-toote ja selle lähtekoodi kohta kooskõlas käesoleva määrusega ning nende suhtes kohaldatakse loata avalikustamise vastaseid kaitsemeetmeid.

3. Sertifitseerimise taotlejad võivad esitada sertifitseerimisasutusele ja infotehnoloogia turvalisuse hindamise üksusele varasema sertifitseerimise hindamiste asjakohased tulemused vastavalt:

a)	käesolevale määrusele,

b)	muule määruse (EL) 2019/881 artikli 49 kohaselt vastu võetud Euroopa küberturvalisuse sertifitseerimise kavale,

c)	käesoleva määruse artiklis 49 osutatud riiklikule kavale.

4. Kui hindamistulemused on infotehnoloogia turvalisuse hindamise üksuse ülesannete seisukohast asjakohased, võib üksus hindamistulemusi taaskasutada, tingimusel et need tulemused vastavad kohaldatavatele nõuetele ja nende autentsus on kinnitatud.

5. Kui sertifitseerimisasutus lubab toote sertifitseerida liittootena, teeb sertifitseerimise taotleja sertifitseerimisasutusele ja infotehnoloogia turvalisuse hindamise üksusele vajaduse korral kättesaadavaks kõik vajalikud elemendid kooskõlas tehnika taset käsitleva dokumendiga.

6. Samuti esitavad sertifitseerimise taotlejad sertifitseerimisasutusele ja infotehnoloogia turvalisuse hindamise üksusele järgmise teabe:

a)	link oma veebisaidile, mis sisaldab määruse (EL) 2019/881 artiklis 55 osutatud täiendavat küberturvalisuse alast teavet;

b)	taotleja turvanõrkuste haldamise ja avalikustamise menetluste kirjeldus.

7. Sertifitseerimisasutus, infotehnoloogia turvalisuse hindamise üksus ja taotleja säilitavad kõiki käesolevas artiklis osutatud asjakohaseid dokumente viis aastat pärast sertifikaadi kehtivusaja lõppu.

Artikkel 9

EUCC sertifikaadi väljaandmise tingimused

1. Sertifitseerimisasutused annavad välja EUCC sertifikaadi, kui on täidetud kõik järgmised tingimused:

a)	IKT-tootekategooria kuulub sertifitseerimises osaleva sertifitseerimisasutuse ja infotehnoloogia turvalisuse hindamise üksuse akrediteerimisalasse ja asjakohasel juhul loa kohaldamisalasse;

b)	sertifitseerimise taotleja on allkirjastanud avalduse kõigi lõikes 2 loetletud kohustuste võtmise kohta;

c)	infotehnoloogia turvalisuse hindamise üksus on kooskõlas artiklites 3 ja 7 osutatud hindamisstandardite, -kriteeriumide ja -meetoditega lõpetanud hindamise vastuväiteid esitamata;

d)	sertifitseerimisasutus on lõpetanud hindamistulemuste läbivaatamise vastuväiteid esitamata;

e)	sertifitseerimisasutus on kontrollinud, et infotehnoloogia turvalisuse hindamise üksuse esitatud hindamise tehnilised aruanded vastavad esitatud tõenditele ning artiklites 3 ja 7 osutatud hindamisstandardeid, -kriteeriume ja -meetodeid on õigesti kohaldatud.

2. Sertifitseerimise taotleja võtab järgmised kohustused:

a)	anda sertifitseerimisasutusele ja infotehnoloogia turvalisuse hindamise üksusele kogu vajalik teave, mis on täielik ja õige, ning esitada taotluse korral vajalikku lisateavet;

b)	mitte propageerida IKT-toodet Euroopa ühiskriteeriumidel põhineva küberturvalisuse sertifitseerimise kava kohaselt sertifitseerituna, enne kui on välja antud EUCC sertifikaat;

c)	propageerida IKT-toodet sertifitseeritud tootena üksnes EUCC sertifikaadis kindlaksmääratud kohaldamisala ulatuses;

d)	lõpetada viivitamata IKT-toote propageerimine sertifitseeritud tootena, kui EUCC sertifikaat peatatakse, tunnistatakse kehtetuks või selle kehtivusaeg lõpeb;

e)	tagada, et need IKT-tooted, mida müüakse viitega EUCC sertifikaadile, on rangelt identsed sertifitseerimisele kuuluva IKT-tootega;

f)	järgida EUCC sertifikaadi jaoks kehtestatud märgise ja sildi kasutamise eeskirju kooskõlas artikliga 11.

3. Kui IKT-toote puhul tehakse liittoote sertifitseerimine vastavalt asjakohastele tehnika taset käsitlevatele dokumentidele, jagab selle aluseks olevat IKT-toodet sertifitseerinud sertifitseerimisasutus asjakohast teavet IKT-liittoodet sertifitseeriva sertifitseerimisasutusega.

Artikkel 10

EUCC sertifikaadi sisu ja vorming

1. EUCC sertifikaat peab sisaldama vähemalt teavet, mis on ette nähtud VII lisas.

2. Sertifitseeritud IKT-toote rakendusulatus ja piirid määratakse ühetähenduslikult kindlaks EUCC sertifikaadis või sertifitseerimisaruandes, märkides, kas sertifitseeritud on kogu IKT-toode või ainult selle osad.

3. Sertifitseerimisasutus esitab taotlejale EUCC sertifikaadi vähemalt elektroonilisel kujul.

4. Sertifitseerimisasutus koostab V lisa kohase sertifitseerimisaruande iga EUCC sertifikaadi kohta, mille ta välja annab. Sertifitseerimisaruanne põhineb hindamise tehnilisel aruandel, mille annab välja infotehnoloogia turvalisuse hindamise üksus. Hindamise tehnilises aruandes ja sertifitseerimisaruandes esitatakse artiklis 7 osutatud ning hindamiseks kasutatud konkreetsed hindamiskriteeriumid ja -meetodid.

5. Sertifitseerimisasutus esitab riiklikule küberturvalisuse sertifitseerimise asutusele ja ENISA-le kõik EUCC sertifikaadid ja kõik sertifitseerimisaruanded elektroonilisel kujul.

Artikkel 11

Märgis ja silt

1. Sertifikaadi omanik võib kinnitada sertifitseeritud IKT-tootele märgise ja sildi. Märgis ja silt näitavad, et IKT-toode on sertifitseeritud vastavalt käesolevale määrusele. Märgis ja silt kinnitatakse vastavalt käesolevale artiklile ja IX lisale.

2. Märgis ja silt kinnitatakse IKT-tootele või selle andmesildile nii, et need on nähtavad, loetavad ja kustumatud. Kui see ei ole toote laadist tingituna võimalik või otstarbekas, kinnitatakse märgis ja silt pakendile ning tootega kaasasolevatele dokumentidele. Kui sertifitseeritud IKT-toode tarnitakse tarkvara kujul, esitatakse märgis ja silt tootega kaasas olevates dokumentides nii, et need on nähtavad, loetavad ja kustumatud, või tehakse need dokumendid kasutajatele hõlpsalt ja otse kättesaadavaks veebisaidi kaudu.

3. IX lisas esitatud märgis ja silt sisaldavad järgmist teavet:

a)	sertifitseeritud IKT-toote usaldusväärsuse ja AVA_VAN tase;

sertifikaadi kordumatu tunnus, mis koosneb järgmisest:

1)	kava nimi;

2)	sertifikaadi välja andnud sertifitseerimisasutuse nimi ja akrediteeringu viitenumber;

3)	väljaandmise aasta ja kuu;

4)	sertifikaadi välja andnud sertifitseerimisasutuse määratud identifitseerimisnumber.

4. Märgisele ja sildile peab olema lisatud ruutkood lingiga veebisaidile, mis sisaldab vähemalt järgmist teavet:

a)	teave sertifikaadi kehtivuse kohta,

b)	V ja VII lisas ettenähtud vajalik sertifitseerimisteave,

c)	teave, mille sertifikaadi omanik peab tegema avalikkusele kättesaadavaks vastavalt määruse (EL) 2019/881 artiklile 55, ning

d)	jälgitavuse võimaldamiseks vajaduse korral varasem teave IKT-toote konkreetse(te) sertifitseerimis(t)e kohta.

Artikkel 12

EUCC sertifikaadi kehtivusaeg

1. Sertifitseerimisasutus määrab iga välja antud EUCC sertifikaadi kehtivusaja, võttes arvesse sertifitseeritud IKT-toote omadusi.

2. EUCC sertifikaadi kehtivusaeg ei ole pikem kui viis aastat.

3. Erandina lõikest 2 võib kehtivusaeg olla pikem kui viis aastat, kui riiklik küberturvalisuse sertifitseerimise asutus on selle eelnevalt heaks kiitnud. Riiklik küberturvalisuse sertifitseerimise asutus teatab Euroopa küberturvalisuse sertifitseerimise rühmale heakskiidu andmisest põhjendamatu viivituseta.

Artikkel 13

EUCC sertifikaadi läbivaatamine

1. Sertifikaadi omaniku taotlusel või muul õigustatud põhjusel võib sertifitseerimisasutus otsustada IKT-toote EUCC sertifikaadi läbi vaadata. Läbivaatamine toimub IV lisa kohaselt. Sertifitseerimisasutus määrab kindlaks läbivaatamise ulatuse. Kui see on läbivaatamiseks vajalik, taotleb sertifitseerimisasutus infotehnoloogia turvalisuse hindamise üksuselt sertifitseeritud IKT-toote ümberhindamist.

2. Pärast läbivaatamise ja vajaduse korral ümberhindamise tulemuste saamist teeb sertifitseerimisasutus järgmist:

a)	kinnitab EUCC sertifikaadi;

b)	tunnistab EUCC sertifikaadi kehtetuks vastavalt artiklile 14;

c)	tunnistab EUCC sertifikaadi kehtetuks vastavalt artiklile 14 ning annab välja uue, sama kohaldamisalaga ja pikendatud kehtivusajaga EUCC sertifikaadi või

d)	tunnistab EUCC sertifikaadi kehtetuks vastavalt artiklile 14 ja annab välja uue, teistsuguse kohaldamisalaga EUCC sertifikaadi.

3. Sertifitseerimisasutus võib otsustada EUCC sertifikaadi põhjendamatu viivituseta peatada vastavalt artiklile 30 kuni selle sertifikaadi omanik võtab parandusmeetmed.

Artikkel 14

EUCC sertifikaadi kehtetuks tunnistamine

1. Ilma et see piiraks määruse (EL) 2019/881 artikli 58 lõike 8 punkti e kohaldamist, tunnistab EUCC sertifikaadi kehtetuks sertifitseerimisasutus, kes selle sertifikaadi välja andis.

2. Lõikes 1 osutatud sertifitseerimisasutus teatab riiklikule küberturvalisuse sertifitseerimise asutusele sertifikaadi kehtetuks tunnistamisest. Samuti teatab ta sellisest kehtetuks tunnistamisest ENISA-le, et hõlbustada ENISA-l määruse (EL) 2019/881 artikli 50 kohase ülesande täitmist. Riiklik küberturvalisuse sertifitseerimise asutus teatab teistele asjaomastele turujärelevalveasutustele.

3. EUCC sertifikaadi kehtetuks tunnistamist võib taotleda sertifikaadi omanik.

III PEATÜKK

KAITSEPROFIILIDE SERTIFITSEERIMINE

I JAGU

Hindamise eristandardid ja -nõuded

Artikkel 15

Hindamiskriteeriumid ja -meetodid

1. Kaitseprofiili hinnatakse vähemalt järgmiste kriteeriumide alusel:

a)	artiklis 3 osutatud standardite kohaldatavad elemendid;

b)	asjaomaste IKT-toodete ettenähtud kasutamisega seotud riski tase vastavalt määruse (EL) 2019/881 artiklile 52 ja nende toodete turvafunktsioonid, mis toetavad selle artiklis 51 kindlaks määratud turvaeesmärke; ja

c)	I lisas loetletud tehnika taset käsitlevad dokumendid. Tehnilise valdkonnaga hõlmatud kaitseprofiil sertifitseeritakse vastavalt kõnealuses tehnilises valdkonnas kindlaks määratud nõuetele.

2. Nõuetekohaselt põhjendatud erandjuhtudel võib vastavushindamisasutus kaitseprofiili sertifitseerida ilma asjakohaseid tehnika taset käsitlevaid dokumente kohaldamata. Sellistel juhtudel teavitab ta pädevat riiklikku küberturvalisuse sertifitseerimise asutust ja põhjendab, miks on kavas sertifitseerida ilma asjakohaseid tehnika taset käsitlevaid dokumente kohaldamata, ning esitab kavandatud hindamismetoodika. Riiklik küberturvalisuse sertifitseerimise asutus hindab põhjendusi ja kui see on põhjendatud, kiidab asjaomaste tehnika taset käsitlevate dokumentide kohaldamata jätmise heaks ning, kui vajalik, siis kiidab heaks vastavushindamisasutuse kohaldatava hindamismetoodika või muudab seda. Vastavushindamisasutus ei anna kaitseprofiili kohta välja ühtegi sertifikaati enne, kui riiklik küberturvalisuse sertifitseerimise asutus teeb oma otsuse. Riiklik küberturvalisuse sertifitseerimise asutus teatab Euroopa küberturvalisuse sertifitseerimise rühmale põhjendamatu viivituseta, et on lubatud jätta asjaomased tehnika taset käsitlevad dokumendid kohaldamata, ning rühm võib esitada arvamuse. Riiklik küberturvalisuse sertifitseerimise asutus võtab Euroopa küberturvalisuse sertifitseerimise rühma arvamust igati arvesse.

II JAGU

EUCC Sertifikaadi väljaandmine kaitseprofiilile, selle sertifikaadi uuendamine ja kehtetuks tunnistamine

Artikkel 16

Kaitseprofiili sertifitseerimiseks vajalik teave

Kaitseprofiili sertifitseerimise taotleja esitab sertifitseerimisasutusele ja infotehnoloogia turvalisuse hindamise üksusele kogu sertifitseerimistoiminguteks vajaliku teabe või teeb selle muul viisil kättesaadavaks. Artikli 8 lõikeid 2, 3, 4 ja 7 kohaldatakse mutatis mutandis.

Artikkel 17

EUCC sertifikaadi väljaandmine kaitseprofiilile

1. Sertifitseerimise taotleja esitab sertifitseerimisasutusele ja infotehnoloogia turvalisuse hindamise üksusele kogu vajaliku teabe, mis peab olema täielik ja õige.

2. Artikleid 9 ja 10 kohaldatakse mutatis mutandis.

3. Infotehnoloogia turvalisuse hindamise üksus hindab, kas kaitseprofiil on täielik, järjepidev, tehniliselt usaldusväärne ja toimiv kõnealuse kaitseprofiiliga hõlmatud IKT-tootekategooria ettenähtud kasutamise ja turvaeesmärkide jaoks.

4. Kaitseprofiili võib sertifitseerida üksnes:

a)	riiklik küberturvalisuse sertifitseerimise asutus või muu avaliku sektori asutus, mis on sertifitseerimisasutusena akrediteeritud, või

b)	sertifitseerimisasutus, kui riiklik küberturvalisuse sertifitseerimise asutuse on selle iga üksiku kaitseprofiili jaoks eelnevalt heaks kiitnud.

Artikkel 18

Kaitseprofiilile välja antud EUCC sertifikaadi kehtivusaeg

1. Sertifitseerimisasutus määrab iga EUCC sertifikaadi kehtivusaja.

2. Kehtivusaeg võib kesta kuni asjaomase kaitseprofiili kasutusea lõpuni.

Artikkel 19

Kaitseprofiilile välja antud EUCC sertifikaadi läbivaatamine

1. Sertifikaadi omaniku taotlusel või muul õigustatud põhjusel võib sertifitseerimisasutus otsustada kaitseprofiilile välja antud EUCC sertifikaadi läbi vaadata. Läbivaatamise käigus kohaldatakse artiklis 15 kindlaks määratud tingimusi. Sertifitseerimisasutus määrab kindlaks läbivaatamise ulatuse. Kui see on läbivaatamise jaoks vajalik, taotleb sertifitseerimisasutus infotehnoloogia turvalisuse hindamise üksuselt sertifitseeritud kaitseprofiili ümberhindamist.

2. Pärast läbivaatamise ja vajaduse korral ümberhindamise tulemuste saamist toimib sertifitseerimisasutus ühel järgmisel viisil:

a)	kinnitab EUCC sertifikaadi;

b)	tunnistab EUCC sertifikaadi kehtetuks vastavalt artiklile 20;

c)	tunnistab EUCC sertifikaadi kehtetuks vastavalt artiklile 20 ning annab välja uue, sama kohaldamisalaga ja pikendatud kehtivusajaga EUCC sertifikaadi

d)	tunnistab EUCC sertifikaadi kehtetuks vastavalt artiklile 20 ja annab välja uue, teistsuguse kohaldamisalaga EUCC sertifikaadi.

Artikkel 20

Kaitseprofiilile välja antud EUCC sertifikaadi kehtetuks tunnistamine

1. Ilma et see piiraks määruse (EL) 2019/881 artikli 58 lõike 8 punkti e kohaldamist, tunnistab kaitseprofiilile välja antud EUCC sertifikaadi kehtetuks sertifitseerimisasutus, kes selle sertifikaadi välja andis. Artiklit 14 kohaldatakse mutatis mutandis.

2. Artikli 17 lõike 4 punkti b kohaselt kaitseprofiilile antud sertifikaadi tunnistab kehtetuks riiklik küberturvalisuse sertifitseerimise asutus, kes selle sertifikaadi heaks kiitis.

IV PEATÜKK

VASTAVUSHINDAMISASUTUSED

Artikkel 21

Täiendavad või erinõuded sertifitseerimisasutusele

1. Riiklik küberturvalisuse sertifitseerimise asutus annab sertifitseerimisasutusele loa anda välja usaldusväärsuse kõrge tasemega EUCC sertifikaate, kui sertifitseerimisasutus tõendab, et lisaks sellele, et ta vastab määruse (EL) 2019/881 artikli 60 lõikes 1 ja lisas kindlaks määratud nõuetele vastavushindamisasutuste akrediteerimise kohta, vastab ta ka järgmistele tingimustele:

a)	tal on usaldusväärsuse kõrgel tasemel sertifitseerimise otsuse tegemiseks vajalik oskusteave ja pädevus,

b)	ta teeb sertifitseerimistoiminguid koostöös artikli 22 kohaselt loa saanud infotehnoloogia turvalisuse hindamise üksusega ja

c)	lisaks artiklis 43 kindlaks määratud nõuetele on tal nõutav pädevus ja kehtestatud asjakohased tehnilised ja operatiivmeetmed, et usaldusväärsuse kõrgel tasemel tulemuslikult kaitsta konfidentsiaalset ja tundlikku teavet.

2. Riiklik küberturvalisuse sertifitseerimise asutus hindab, kas sertifitseerimisasutus vastab kõigile lõikes 1 kindlaks määratud nõuetele. See hindamine peab hõlmama vähemalt struktureeritud vestlusi ja vähemalt ühe katselise sertifitseerimise läbivaatamist, mille sertifitseerimisasutus teeb kooskõlas käesoleva määrusega.

Hindamist tehes võib riiklik küberturvalisuse sertifitseerimise asutus taaskasutada asjakohaseid tõendeid, mis on pärit varasema loa andmisest või muudest sarnastest toimingutest ja mis on antud vastavalt:

a)	käesolevale määrusele,

b)	muule määruse (EL) 2019/881 artikli 49 kohaselt vastu võetud Euroopa küberturvalisuse sertifitseerimise kavale,

c)	käesoleva määruse artiklis 49 osutatud riiklikule kavale.

3. Riiklik küberturvalisuse sertifitseerimise asutus koostab loa andmise aruande, mille kohta tuleb teha vastastikune hindamine vastavalt määruse (EL) 2019/881 artikli 59 lõike 3 punktile d.

4. Riiklik küberturvalisuse sertifitseerimise asutus määrab kindlaks IKT-tootekategooriad ja kaitseprofiilid, millele luba laieneb. Luba kehtib kuni akrediteeringu kehtivusaja lõpuni. Seda võib taotluse korral uuendada, tingimusel et sertifitseerimisasutus vastab endiselt käesolevas artiklis kindlaks määratud nõuetele. Loa kehtivuse pikendamiseks ei ole katselisi hindamisi vaja.

5. Riiklik küberturvalisuse sertifitseerimise asutus tunnistab sertifitseerimisasutuse loa kehtetuks, kui sertifitseerimisasutus ei vasta enam käesolevas artiklis kindlaks määratud tingimustele. Loa kehtetuks tunnistamise korral peab sertifitseerimisasutus kohe lõpetama enda propageerimise loa saanud sertifitseerimisasutusena.

Artikkel 22

Täiendavad või erinõuded infotehnoloogia turvalisuse hindamise üksusele

1. Riiklik küberturvalisuse sertifitseerimise asutus annab infotehnoloogia turvalisuse hindamise üksusele loa hinnata usaldusväärsuse kõrgel tasemel sertifitseeritavaid IKT-tooteid, kui see üksus tõendab, et lisaks sellele, et ta vastab määruse (EL) 2019/881 artikli 60 lõikes 1 ja lisas kindlaks määratud nõuetele vastavushindamisasutuste akrediteerimise kohta, vastab ta ka kõikidele järgmistele tingimustele:

a)	tal on hindamistoimingute tegemiseks vajalik oskusteave, et teha kindlaks vastupanuvõime tipptasemel küberrünnete suhtes, mida teevad märkimisväärsete oskuste ja ressurssidega osalejad;

tehniliste valdkondade ja kaitseprofiilide puhul, mis on osa nende IKT-toodete IKT-protsessist, on tal:

oskusteave nende konkreetsete hindamistoimingute tegemiseks, mida on vaja, et teha metoodiliselt kindlaks hindamisobjekti vastupanuvõime oskuslike ründajate suhtes hindamisobjekti rakenduskeskkonnas, eeldusel et ründepotentsiaal on mõõdukas või suur, nagu on kindlaks määratud artiklis 3 osutatud standardites;

2)	I lisas loetletud tehnika taset käsitlevates dokumentides täpsustatud tehniline pädevus;

c)	lisaks artiklis 43 kindlaks määratud nõuetele on tal nõutav pädevus ning ta on kehtestanud asjakohased tehnilised ja operatiivmeetmed, et usaldusväärsuse kõrgel tasemel tulemuslikult kaitsta konfidentsiaalset ja tundlikku teavet.

2. Riiklik küberturvalisuse sertifitseerimise asutus hindab, kas infotehnoloogia turvalisuse hindamise üksus vastab kõigile lõikes 1 kindlaks määratud nõuetele. See hindamine peab hõlmama vähemalt struktureeritud vestlusi ja vähemalt ühe sellise katselise hindamise läbivaatamist, mille infotehnoloogia turvalisuse hindamise üksus teeb kooskõlas käesoleva määrusega.

3. Hindamist tehes võib riiklik küberturvalisuse sertifitseerimise asutus taaskasutada asjakohaseid tõendeid, mis on pärit varasema loa andmisest või muudest sarnastest toimingutest ja mis on antud vastavalt:

a)	käesolevale määrusele,

b)	muule määruse (EL) 2019/881 artikli 49 kohaselt vastu võetud Euroopa küberturvalisuse sertifitseerimise kavale,

c)	käesoleva määruse artiklis 49 osutatud riiklikule kavale.

4. Riiklik küberturvalisuse sertifitseerimise asutus koostab loa andmise aruande, mille kohta tuleb teha vastastikune hindamine vastavalt määruse (EL) 2019/881 artikli 59 lõike 3 punktile d.

5. Riiklik küberturvalisuse sertifitseerimise asutus määrab kindlaks IKT-tootekategooriad ja kaitseprofiilid, millele luba laieneb. Luba kehtib kuni akrediteeringu kehtivusaja lõpuni. Seda võib taotluse korral uuendada, tingimusel et infotehnoloogia turvalisuse hindamise üksus vastab endiselt käesolevas artiklis kindlaks määratud nõuetele. Loa kehtivuse pikendamiseks ei peaks katselisi hindamisi vaja olema.

6. Riiklik küberturvalisuse sertifitseerimise asutus tunnistab infotehnoloogia turvalisuse hindamise üksuse loa kehtetuks, kui see üksus ei vasta enam käesolevas artiklis kindlaks määratud tingimustele. Loa kehtetuks tunnistamise korral peab infotehnoloogia turvalisuse hindamise üksus lõpetama enda propageerimise loa saanud infotehnoloogia turvalisuse hindamise üksusena.

Artikkel 23

Sertifitseerimisasutustest teatamine

1. Riiklik küberturvalisuse sertifitseerimise asutus teatab komisjonile oma territooriumil asuvatest sertifitseerimisasutustest, mis on akrediteeringu alusel pädevad tegema sertifitseerimist usaldusväärsuse märkimisväärsel tasemel.

2. Riiklik küberturvalisuse sertifitseerimise asutus teatab komisjonile oma territooriumil asuvatest sertifitseerimisasutustest, mis on akrediteeringu ja loa andmise otsuse alusel pädevad tegema sertifitseerimist usaldusväärsuse kõrgel tasemel.

3. Riiklik küberturvalisuse sertifitseerimise asutus esitab komisjonile sertifitseerimisasutustest teatamise korral vähemalt järgmise teabe:

a)	usaldusväärsuse tase või tasemed, mille kohta sertifitseerimisasutus on pädev välja andma EUCC sertifikaate;

järgmine teave akrediteerimise kohta:

1)	akrediteerimise kuupäev;

2)	sertifitseerimisasutuse nimi ja aadress;

3)	sertifitseerimisasutuse registreerimise riik;

4)	akrediteeringu viitenumber;

5)	akrediteeringu ulatus ja kehtivusaeg;

6)	riikliku akrediteerimisasutuse aadress, asukoht ja link asjaomasele veebisaidile ning

järgmine teave loa andmise kohta usaldusväärsuse kõrge taseme puhul:

1)	loa andmise kuupäev;

2)	loa viitenumber;

3)	loa kehtivusaeg;

4)	loa kohaldamisala, sealhulgas kõrgeim AVA_VAN-tase ja vajaduse korral hõlmatud tehniline valdkond.

4. Riiklik küberturvalisuse sertifitseerimise asutus saadab lõigetes 1 ja 2 osutatud teate koopia ENISA-le, et küberturvalisuse sertifitseerimise veebisaidil saaks avaldada täpse teabe sertifitseerimisasutuse nõuetele vastavuse kohta.

5. Riiklik küberturvalisuse sertifitseerimise asutus vaatab põhjendamatu viivituseta läbi kogu riikliku akrediteerimisasutuse esitatud teabe akrediteeringu seisundi muutumise kohta. Kui akrediteering on tühistatud või luba kehtetuks tunnistatud, teatab riiklik küberturvalisuse sertifitseerimise asutus sellest komisjonile ja võib esitada komisjonile taotluse vastavalt määruse (EL) 2019/881 artikli 61 lõikele 4.

Artikkel 24

Infotehnoloogia turvalisuse hindamise üksusest teatamine

Artiklis 23 sätestatud riikliku küberturvalisuse sertifitseerimise asutuse teatamiskohustust kohaldatakse ka infotehnoloogia turvalisuse hindamise üksuse suhtes. Teade peab sisaldama infotehnoloogia turvalisuse hindamise üksuse aadressi, kehtivat akrediteeringut ja vajaduse korral selle infotehnoloogia turvalisuse hindamise üksuse kehtivat luba.

V PEATÜKK

JÄRELEVALVE, MITTEVASTAVUS JA NÕUETE RIKKUMINE

I JAGU

Järelevalve nõuete täitmise üle

Artikkel 25

Riikliku küberturvalisuse sertifitseerimise asutuse järelevalvetegevus

1. Ilma et see piiraks määruse (EL) 2019/881 artikli 58 lõike 7 kohaldamist, teeb riiklik küberturvalisuse sertifitseerimise asutus järelevalvet selle üle, kas:

a)	sertifitseerimisasutus ja infotehnoloogia turvalisuse hindamise üksus täidavad käesoleva määruse ja määruse (EL) 2019/881 kohaseid kohustusi;

b)	EUCC sertifikaadi omanik täidab käesoleva määruse ja määruse (EL) 2019/881 kohaseid kohustusi;

c)	sertifitseeritud IKT-tooted vastavad EUCCs ettenähtud nõuetele;

d)	EUCC sertifikaadis esitatud usaldusväärsus vastab muutuvale ohumaastikule.

2. Riiklik küberturvalisuse sertifitseerimise asutus teeb järelevalvet eelkõige järgmise alusel:

a)	sertifitseerimisasutustelt, riiklikelt akrediteerimisasutustelt ja asjaomastelt turujärelevalveasutustelt saadav teave;

b)	asutuse enda või mõne muu asutuse auditite ja uurimiste tulemusel saadav teave;

c)	valimikontroll vastavalt lõikele 3;

d)	saadud kaebused.

3. Riiklik küberturvalisuse sertifitseerimise asutus võtab koostöös muude turujärelevalveasutustega igal aastal valimi vähemalt 4 % EUCC sertifikaatidest, nagu on kindlaks määratud riskihinnangus. Pädeva riikliku küberturvalisuse sertifitseerimise asutuse taotlusel ja selle asutuse nimel tegutsedes abistavad sertifitseerimisasutused ja vajaduse korral infotehnoloogia turvalisuse hindamise üksused seda asutust nõuete täitmise järelevalves.

4. Riiklik küberturvalisuse sertifitseerimise asutus moodustab sertifitseeritud IKT-toodete valimi, mida kontrollitakse objektiivsete kriteeriumide, sealhulgas järgmise teabe alusel:

a)	tootekategooria;

b)	toodete usaldusväärsuse tasemed;

c)	sertifikaadi omanik;

d)	sertifitseerimisasutus ja asjakohasel juhul alltöövõtjana tegutsev infotehnoloogia turvalisuse hindamise üksus;

e)	mis tahes muu asutusele teatavaks tehtud teave.

5. Riiklik küberturvalisuse sertifitseerimise asutus teatab EUCC sertifikaadi omanikele valitud IKT-toodetest ja valikukriteeriumidest.

6. Valimisse kuuluva IKT-toote sertifitseerinud sertifitseerimisasutus teeb riikliku küberturvalisuse sertifitseerimise asutuse taotlusel ja infotehnoloogia turvalisuse hindamise üksuse abiga täiendava läbivaatamise vastavalt IV lisa IV.2 jaos kindlaks määratud menetlusele ja teatab tulemustest riiklikule küberturvalisuse sertifitseerimise asutusele.

7. Kui riiklikul küberturvalisuse sertifitseerimise asutusel on piisavalt põhjust arvata, et sertifitseeritud IKT-toode ei vasta enam käesoleva määruse või määruse (EL) 2019/881 nõuetele, võib asutus teha uurimisi või kasutada muid määruse (EL) 2019/881 artikli 58 lõigus 8 kindlaks määratud volitusi järelevalve tegemiseks.

8. Riiklik küberturvalisuse sertifitseerimise asutus teatab sertifitseerimisasutusele ja asjaomasele infotehnoloogia turvalisuse hindamise üksusele valitud IKT-toodetega seotud käimasolevatest uurimistest.

9. Kui riiklik küberturvalisuse sertifitseerimise asutus teeb kindlaks, et käimasolev uurimine puudutab IKT-tooteid, mille on sertifitseerinud teise liikmesriigi sertifitseerimisasutus, teatab ta sellest asjaomase liikmesriigi riiklikule küberturvalisuse sertifitseerimise asutusele, et vajaduse korral teha uurimise käigus koostööd. Selline riiklik küberturvalisuse sertifitseerimise asutus teatab ühtlasi Euroopa küberturvalisuse sertifitseerimise rühmale piiriülestest uurimistest ja nende tulemustest.

Artikkel 26

Sertifitseerimisasutuse järelevalvetegevus

1. Sertifitseerimisasutus teeb järelevalvet selle üle:

a)	kas sertifikaadi omanikud täidavad käesoleva määruse ja määruse (EL) 2019/881 kohaseid kohustusi, mis on seotud sertifitseerimisasutuse välja antud EUCC sertifikaadiga;

b)	kas tema sertifitseeritud IKT-tooted vastavad nende konkreetsetele turvanõuetele;

c)	milline on sertifitseeritud kaitseprofiilides esitatud usaldusväärsus.

2. Sertifitseerimisasutus teeb järelevalvet järgmise alusel:

a)	teave, mille sertifitseerimise taotleja esitab kohustuste alusel, millele on osutatud artikli 9 lõikes 2;

b)	teiste asjaomaste turujärelevalveasutuste tegevusest tulenev teave;

c)	saadud kaebused;

d)	teave turvanõrkuste kohta, mis võivad mõjutada tema sertifitseeritud IKT-tooteid.

3. Riiklik küberturvalisuse sertifitseerimise asutus võib koostada eeskirjad, mis tagavad korrapärase dialoogi sertifitseerimisasutuste ja EUCC sertifikaadi omanike vahel, et kontrollida artikli 9 lõike 2 kohaselt võetud kohustuste täitmist ja selle kohta aru anda, ilma et see piiraks teiste turujärelevalveasutustega seotud tegevusi.

Artikkel 27

Sertifikaadi omaniku järelevalvetegevus

1. EUCC sertifikaadi omanik täidab järgmisi ülesandeid, et teha järelevalvet selle üle, kas sertifitseeritud IKT-toode vastab tema suhtes kehtivatele turvanõuetele:

jälgib sertifitseeritud IKT-toote turvanõrkusi käsitlevat teavet, sealhulgas teadaolevaid sõltuvusi, oma vahenditega, kuid võttes arvesse ka järgmist:

1)	teave turvanõrkuste kohta, mille on avaldanud või esitanud määruse (EL) 2019/881 artikli 55 lõike 1 punktis c osutatud kasutaja või küberturvalisusega tegelev teadlane;

2)	mis tahes muu allika esitatud teave;

b)	jälgib, milline on EUCC sertifikaadis esitatud usaldusväärsus.

2. EUCC sertifikaadi omanik teeb koostööd sertifitseerimisasutuse, infotehnoloogia turvalisuse hindamise üksuse ja asjakohasel juhul riikliku küberturvalisuse sertifitseerimise asutusega, et toetada nende järelevalvetegevust.

II JAGU

Vastavus ja nõuete täitmine

Artikkel 28

Sertifitseeritud IKT-toote või kaitseprofiili mittevastavuse tagajärjed

1. Kui sertifitseeritud IKT-toode või kaitseprofiil ei vasta käesolevas määruses ja määruses (EL) 2019/881 kindlaks määratud nõuetele, teatab sertifitseerimisasutus EUCC sertifikaadi omanikule kindlakstehtud mittevastavusest ja nõuab parandusmeetmete võtmist.

2. Kui käesoleva määruse sätetele mittevastavus võib mõjutada muude asjakohaste liidu õigusaktide nõuete täitmist, millega on ette nähtud võimalus EUCC sertifikaadi abil tõendada kõnealuse õigusakti nõuetele vastavuse eeldust, teatab sertifitseerimisasutus sellest viivitamata riiklikule küberturvalisuse sertifitseerimise asutusele. Riiklik küberturvalisuse sertifitseerimise asutus teatab väljaselgitatud mittevastavusest viivitamata turujärelevalveasutusele, kes vastutab selliste muude asjakohaste liidu õigusaktide eest.

3. Pärast lõikes 1 osutatud teabe saamist teeb EUCC sertifikaadi omanik sertifitseerimisasutuse määratud ajavahemiku jooksul, mis ei ületa 30 päeva, sertifitseerimisasutusele mittevastavuse kõrvaldamiseks vajalike parandusmeetmete ettepaneku.

4. Eriolukorras või juhul, kui EUCC sertifikaadi omanik ei tee sertifitseerimisasutusega nõuetekohaselt koostööd, võib sertifitseerimisasutus artikli 30 kohaselt põhjendamatu viivituseta EUCC sertifikaadi peatada.

5. Sertifitseerimisasutus teeb artiklite 13 ja 19 kohase läbivaatamise ja hindab, kas parandusmeetmed kõrvaldavad mittevastavuse.

6. Kui EUCC sertifikaadi omanik ei tee lõikes 3 osutatud ajavahemiku jooksul ettepanekut asjakohaste parandusmeetmete võtmiseks, siis sertifikaat peatatakse vastavalt artiklile 30 või tunnistatakse kehtetuks vastavalt artiklile 14 või 20.

7. Käesolevat artiklit ei kohaldata sertifitseeritud IKT-toodet mõjutavate turvanõrkuste korral, mida käsitletakse vastavalt VI peatükile.

Artikkel 29

Tagajärjed, kui nõudeid rikub sertifikaadi omanik

1. Kui sertifitseerimisasutus leiab, et:

a)	EUCC sertifikaadi omanik või sertifitseerimise taotleja ei täida artikli 9 lõikes 2, artikli 17 lõikes 2 ning artiklites 27 ja 41 sätestatud kohustusi või

b)	EUCC sertifikaadi omanik ei järgi määruse (EL) 2019/881 artikli 56 lõike 8 või käesoleva määruse VI peatüki nõudeid, määrab ta kindlaks ajavahemiku, mis ei ületa 30 päeva ning mille jooksul EUCC sertifikaadi omanik peab võtma parandusmeetmed.

2. Kui EUCC sertifikaadi omanik ei tee lõikes 1 osutatud ajavahemiku jooksul ettepanekut asjakohaste parandusmeetmete võtmiseks, siis sertifikaat peatatakse vastavalt artiklile 30 või tunnistatakse kehtetuks vastavalt artiklitele 14 ja 20.

3. Kui EUCC sertifikaadi omanik jätkab lõikes 1 osutatud kohustuste rikkumist või rikub neid korduvalt, tunnistatakse EUCC sertifikaat kehtetuks vastavalt artiklile 14 või 20.

4. Sertifitseerimisasutus teatab riiklikule küberturvalisuse sertifitseerimise asutusele lõikes 1 osutatud tähelepanekutest. Kui nõuete rikkumine mõjutab muude asjakohaste liidu õigusaktide nõuete täitmist, teatab riiklik küberturvalisuse sertifitseerimise asutus kindlakstehtud nõuete rikkumisest viivitamata turujärelevalveasutusele, kes vastutab selliste muude asjakohaste liidu õigusaktide eest.

Artikkel 30

EUCC sertifikaadi peatamine

1. Kui käesolevas määruses viidatakse EUCC sertifikaadi peatamisele, peatab sertifitseerimisasutus asjaomase sertifikaadi peatamise põhjustanud asjaoludele vastavaks ajavahemikuks, mis ei ületa 42 päeva. Peatamisperiood algab järgmisel päeval pärast sertifitseerimisasutuse otsuse tegemist. Peatamine ei mõjuta sertifikaadi kehtivust.

2. Sertifitseerimisasutus teatab peatamisest põhjendamatu viivituseta sertifikaadi omanikule ja riiklikule küberturvalisuse sertifitseerimise asutusele ning esitab peatamise põhjused, nõutavad meetmed ja peatamisperioodi.

3. Sertifikaadi omanik teavitab asjaomaste IKT-toodete ostjaid peatamisest ja selle põhjustest, mille sertifitseerimisasutus on esitanud, välja arvatud see osa põhjustest, mille jagamine kujutaks endast turvariski või mis sisaldab tundlikku teavet. Sertifikaadi omanik teeb selle teabe ka avalikult kättesaadavaks.

4. Kui muude asjakohaste liidu õigusaktidega on ette nähtud nõuetele vastavuse eeldus, mis põhineb käesoleva määruse sätete alusel välja antud sertifikaatidel, teatab riiklik küberturvalisuse sertifitseerimise asutus peatamisest turujärelevalveasutusele, kes vastutab selliste muude asjakohaste liidu õigusaktide eest.

5. Sertifikaadi peatamisest teatatakse ENISA-le vastavalt artikli 42 lõikele 3.

6. Nõuetekohaselt põhjendatud juhul võib riiklik küberturvalisuse sertifitseerimise asutus anda loa EUCC sertifikaadi peatamise perioodi pikendamiseks. Peatamisperiood ei tohi kokku olla pikem kui üks aasta.

Artikkel 31

Tagajärjed, kui nõudeid rikub vastavushindamisasutus

1. Kui sertifitseerimisasutus ei täida oma kohustusi või kui asjaomane sertifitseerimisasutus ei täida oma kohustusi juhul, kui on kindlaks tehtud, et infotehnoloogia turvalisuse hindamise üksus ei ole täitnud oma kohustusi, teeb riiklik küberturvalisuse sertifitseerimise asutus põhjendamatu viivituseta järgmist:

a)	selgitab asjaomase infotehnoloogia turvalisuse hindamise üksuse abiga välja võimalikud mõjutatud EUCC sertifikaadid;

vajaduse korral taotleb, et ühte või mitut IKT-toodet või kaitseprofiili hindaks hindamise teinud infotehnoloogia turvalisuse hindamise üksus või mis tahes muu akrediteeritud ja asjakohasel juhul loa saanud infotehnoloogia turvalisuse hindamise üksus, kellel võivad olla selliseks väljaselgitamiseks paremad tehnilised võimalused;

c)	analüüsib nõuete rikkumise mõju;

d)	teatab nõuete rikkumisest mõjutatud EUCC sertifikaadi omanikule.

2. Lõikes 1 osutatud meetmete alusel võtab sertifitseerimisasutus iga mõjutatud EUCC sertifikaadi kohta vastu ühe järgmistest otsustest:

a)	säilitada EUCC sertifikaat muutmata kujul;

b)	tunnistada EUCC sertifikaat kehtetuks vastavalt artiklile 14 või 20 ning vajaduse korral anda välja uus EUCC sertifikaat.

3. Lõikes 1 osutatud meetmete alusel teeb riiklik küberturvalisuse sertifitseerimise asutus järgmist:

a)	vajaduse korral teatab sertifitseerimisasutuse või asjakohase infotehnoloogia turvalisuse hindamise üksuse poolsest nõuete rikkumisest riiklikule akrediteerimisasutusele;

b)	asjakohasel juhul hindab võimalikku mõju loale.

VI PEATÜKK

TURVANÕRKUSTE HALDAMINE JA AVALIKUSTAMINE

Artikkel 32

Turvanõrkuste haldamise ulatus

Käesolevat peatükki kohaldatakse IKT-toodete suhtes, millele on välja antud EUCC sertifikaat.

I JAGU

Turvanõrkuste haldamine

Artikkel 33

Turvanõrkuste haldamise menetlused

1. EUCC sertifikaadi omanik kehtestab kõik vajalikud turvanõrkuste haldamise menetlused vastavalt käesolevas jaos sätestatud normidele, mida vajaduse korral täiendatakse standardis EN ISO/IEC 30111 kehtestatud menetlustega, ja haldab neid.

2. EUCC sertifikaadi omanik haldab asjakohaseid meetodeid oma toodetega seotud turvanõrkuste kohta teabe saamiseks välistest allikatest, sealhulgas kasutajatelt, sertifitseerimisasutustelt ja küberturvalisusega tegelevatelt teadlastelt, ning avaldab need.

3. Kui EUCC sertifikaadi omanik on tuvastanud sertifitseeritud IKT-toodet mõjutava võimaliku turvanõrkuse või sellisest turvanõrkusest teada saanud, registreerib ta selle ja teeb turvanõrkuse mõju analüüsi.

4. Kui võimalik turvanõrkus mõjutab liittoodet, teavitab EUCC sertifikaadi omanik võimalikust turvanõrkusest sõltuvate EUCC sertifikaatide omanikku.

5. Sertifikaadi välja andnud sertifitseerimisasutuse mõistliku taotluse peale edastab EUCC sertifikaadi omanik sellele sertifitseerimisasutusele kohta kogu asjakohase teabe võimalike turvanõrkuste.

Artikkel 34

Turvanõrkuse mõju analüüs

1. Turvanõrkuse mõju analüüsis viidatakse hindamisobjektile ja sertifikaadis sisalduvatele usaldusväärsuse kinnitustele. Turvanõrkuse mõju analüüs tehakse sertifitseeritud IKT-toote võimaliku turvanõrkuse ärakasutamise ja kriitilisuse seisukohast otstarbeka aja jooksul.

2. Asjakohasel juhul arvutatakse ründepotentsiaal vastavalt artiklis 3 osutatud standardites sisalduvale asjakohasele metoodikale ja I lisas loetletud asjakohastele tehnika taset käsitlevatele dokumentidele, et teha kindlaks turvanõrkuse ärakasutatavus. Arvesse võetakse EUCC sertifikaadi AVA_VAN-taset.

Artikkel 35

Turvanõrkuse mõju analüüsi aruanne

1. Omanik koostab turvanõrkuse mõju analüüsi aruande, kui mõju analüüs näitab, et turvanõrkus mõjutab tõenäoliselt IKT-toote vastavust sertifikaadile.

2. Turvanõrkuse mõju analüüsi aruanne sisaldab hinnangut järgmistele elementidele:

a)	turvanõrkuse mõju sertifitseeritud IKT-tootele;

b)	ründe läheduse või olemasoluga seotud võimalikud riskid;

c)	turvanõrkuse kõrvaldamise võimaluse olemasolu;

d)	kui turvanõrkust on võimalik kõrvaldada, siis turvanõrkuse võimalikud lahendused.

3. Turvanõrkuse mõju analüüsi aruanne sisaldab vajaduse korral üksikasju turvanõrkuse võimalike kasutamisviiside kohta. Turvanõrkuse võimalikke kasutamisviise käsitlevat teavet käideldakse kooskõlas asjakohaste turvameetmetega, et kaitsta selle konfidentsiaalsust ja tagada vajaduse korral selle piiratud levitamine.

4. EUCC sertifikaadi omanik edastab turvanõrkuse mõju analüüsi aruande põhjendamatu viivituseta sertifitseerimisasutusele või riiklikule küberturvalisuse sertifitseerimise asutusele vastavalt määruse (EL) 2019/881 artikli 56 lõikele 8.

5. Kui turvanõrkuse mõju analüüsi aruandes jõutakse järeldusele, et turvanõrkus ei ole artiklis 3 osutatud standardite tähenduses jääknõrkus ja selle saab kõrvaldada, kohaldatakse artiklit 36.

6. Kui turvanõrkuse mõju analüüsi aruandes jõutakse järeldusele, et turvanõrkus ei ole jääknõrkus ja seda ei ole võimalik kõrvaldada, tühistatakse EUCC sertifikaat vastavalt artiklile 14.

7. EUCC sertifikaadi omanik jälgib jääknõrkusi tagamaks, et neid ei saa rakenduskeskkonna muutumise korral ära kasutada.

Artikkel 36

Turvanõrkuse kõrvaldamine

EUCC sertifikaadi omanik esitab sertifitseerimisasutusele ettepaneku asjakohaste kõrvaldamismeetmete võtmiseks. Sertifitseerimisasutus vaatab sertifikaadi läbi vastavalt artiklile 13. Läbivaatamise ulatus määratakse kindlaks vastavalt turvanõrkuse kavandatud kõrvaldamisele.

II JAGU

TURVANÕRKUSTE AVALIKUSTAMINE

Artikkel 37

Riikliku küberturvalisuse sertifitseerimise asutusega jagatav teave

1. Teave, mille sertifitseerimisasutus esitab riiklikule küberturvalisuse sertifitseerimise asutusele, peab sisaldama kõiki elemente, mida riiklik küberturvalisuse sertifitseerimise asutus vajab, et mõista turvanõrkuse mõju, IKT-tootes tehtavaid muudatusi ja, kui see on olemas, siis sertifitseerimisasutuselt saadud mis tahes teavet turvanõrkuse laiema mõju kohta muudele sertifitseeritud IKT-toodetele.

2. Lõike 1 kohaselt esitatav teave ei sisalda üksikasju turvanõrkuse kasutamisviiside kohta. Käesolev säte ei piira riikliku küberturvalisuse sertifitseerimise asutuse uurimisvolitusi.

Artikkel 38

Koostöö teiste riiklike küberturvalisuse sertifitseerimise asutustega

1. Riiklik küberturvalisuse sertifitseerimise asutus jagab artikli 37 kohaselt saadud asjakohast teavet teiste riiklike küberturvalisuse sertifitseerimise asutuste ja ENISAga.

2. Muud riiklikud küberturvalisuse sertifitseerimise asutused võivad otsustada turvanõrkust täiendavalt analüüsida või pärast EUCC sertifikaadi omanikule teatamist taotleda, et asjaomased sertifitseerimisasutused hindaksid, kas turvanõrkus võib mõjutada muid sertifitseeritud IKT-tooteid.

Artikkel 39

Turvanõrkuse avaldamine

Pärast sertifikaadi kehtetuks tunnistamist avalikustab EUCC sertifikaadi omanik kõik avalikult teadaolevad ja kõrvaldatud IKT-toote turvanõrkused ja registreerib need Euroopa Parlamendi ja nõukogu direktiivi (EL) 2022/2555 (5) artikli 12 kohaselt loodud Euroopa nõrkuste andmebaasis või muudes internetis asuvates andmebaasides, millele on osutatud määruse (EL) 2019/881 artikli 55 lõike 1 punktis d.

VII PEATÜKK

TEABE SÄILITAMINE, AVALIKUSTAMINE JA KAITSE

Artikkel 40

Andmete säilitamine sertifitseerimisasutuste ja infotehnoloogia turvalisuse hindamise üksuse poolt

1. Infotehnoloogia turvalisuse hindamise üksus ja sertifitseerimisasutused on kohustatud pidama andmesüsteemi, milles sisalduvad kõik dokumendid, mis on koostatud seoses iga nende tehtud hindamise ja sertifitseerimisega.

2. Sertifitseerimisasutused ja infotehnoloogia turvalisuse hindamise üksus säilitavad andmeid turvaliselt ning käesoleva määruse kohaldamiseks vajaliku aja jooksul ja vähemalt viis aastat pärast asjaomase EUCC sertifikaadi kehtetuks tunnistamist. Kui sertifitseerimisasutus on andnud välja uue EUCC sertifikaadi vastavalt artikli 13 lõike 2 punktile c, säilitab ta kehtetuks tunnistatud EUCC sertifikaadi dokumente koos uue EUCC sertifikaadiga ja sama kaua, kui säilitatakse selle dokumente.

Artikkel 41

Sertifikaadi omaniku poolt kättesaadavaks tehtud teave

1. Määruse (EL) 2019/881 artiklis 55 osutatud teave tuleb esitada kasutajale lihtsasti arusaadavas keeles.

2. EUCC sertifikaadi omanik säilitab käesoleva määruse kohaldamiseks vajaliku aja jooksul ja vähemalt viis aastat pärast asjaomase EUCC sertifikaadi kehtetuks tunnistamist turvaliselt järgmisi andmeid:

a)	sertifitseerimisasutusele ja infotehnoloogia turvalisuse hindamise üksusele sertifitseerimisprotsessi käigus esitatud teave

b)	sertifitseeritud IKT-toote näidis.

3. Kui sertifitseerimisasutus on andnud välja uue EUCC sertifikaadi vastavalt artikli 13 lõike 2 punktile c, säilitab omanik kehtetuks tunnistatud EUCC sertifikaadi dokumente koos uue EUCC sertifikaadiga ja sama kaua, kui seda säilitatakse.

4. Sertifitseerimisasutuse või riikliku küberturvalisuse sertifitseerimise asutuse taotlusel teeb EUCC sertifikaadi omanik kättesaadavaks lõikes 2 osutatud andmed ja eksemplarid.

Artikkel 42

ENISA poolt kättesaadavaks tehtav teave

1. ENISA avaldab määruse (EL) 2019/881 artikli 50 lõikes 1 osutatud veebisaidil järgmise teabe:

a)	kõik EUCC sertifikaadid;

b)	teave EUCC sertifikaadi seisundi kohta, eelkõige selle kohta, kas see on kehtiv, peatatud, kehtetuks tunnistatud või aegunud;

c)	sertifitseerimisaruanded iga EUCC sertifikaadi kohta;

d)	akrediteeritud vastavushindamisasutuste loend;

e)	loa saanud vastavushindamisasutuste loend;

f)	I lisas loetletud tehnika taset käsitlevad dokumendid;

g)	Euroopa küberturvalisuse sertifitseerimise rühma arvamused, millele on osutatud määruse (EL) 2019/881 artikli 62 lõike 4 punktis c;

h)	artikli 47 kohaselt välja antud vastastikuse hindamise aruanded.

2. Lõikes 1 osutatud teave tehakse kättesaadavaks vähemalt inglise keeles.

3. Sertifitseerimisasutused ja asjakohasel juhul riiklikud küberturvalisuse sertifitseerimise asutused teatavad ENISA-le viivitamata oma otsused, mis mõjutavad lõike 1 punktis b osutatud EUCC sertifikaadi sisu või seisundit.

4. ENISA tagab, et lõike 1 punktide a, b ja c kohaselt avaldatavas teabes on selgelt kindlaks määratud sertifitseeritud IKT-toote versioonid, mida EUCC sertifikaat hõlmab.

Artikkel 43

Teabe kaitse

Vastavushindamisasutused, riiklikud küberturvalisuse sertifitseerimise asutused, Euroopa küberturvalisuse sertifitseerimise rühm, ENISA, komisjon ja kõik teised isikud tagavad ärisaladuste ning muu konfidentsiaalse teabe turvalisuse ja kaitse ning intellektuaalomandi õiguste kaitse ning võtavad vajalikke ja asjakohaseid tehnilisi ja korralduslikke meetmeid.

VIII PEATÜKK

VASTASTIKUSE TUNNUSTAMISE LEPINGUD KOLMANDATE RIIKIDEGA

Artikkel 44

Tingimused

1. Kolmandad riigid, kes soovivad oma tooteid käesoleva määruse kohaselt sertifitseerida ja soovivad sellise sertifikaadi tunnustamist liidus, sõlmivad liiduga vastastikuse tunnustamise lepingu.

2. Vastastikuse tunnustamise leping hõlmab sertifitseeritud IKT-toodete ja vajaduse korral kaitseprofiilide suhtes kohaldatavaid usaldusväärsuse tasemeid.

3. Lõikes 1 osutatud vastastikuse tunnustamise lepinguid võib sõlmida üksnes nende kolmandate riikidega, kes vastavad järgmistele tingimustele:

neil on asutus,

1)	kes on avalik-õiguslik asutus, kes on organisatsioonilise ja õigusliku struktuuri, rahastamise ja otsuste tegemise seisukohast sõltumatu üksustest, kelle üle ta teeb järelevalvet;

2)	kellel on asjakohased järelevalvevolitused uurimisteks ning kellel on õigus võtta nõuete täitmise tagamiseks asjakohaseid parandusmeetmeid;

3)	kellel on mõjus, proportsionaalne ja hoiatav karistussüsteem, et tagada nõuete täitmine;

kes nõustub tegema koostööd Euroopa küberturvalisuse sertifitseerimise rühma ja ENISAga, et vahetada teavet parima tava ja asjakohaste suundumuste kohta küberturvalisuse sertifitseerimise valdkonnas ning püüda saavutada praegu kohaldatavate hindamiskriteeriumide ja -meetodite ühetaoline tõlgendamine, muu hulgas kohaldades ühtlustatud dokumente, mis on samaväärsed I lisas loetletud tehnika taset käsitlevate dokumentidega;

b)	neil on sõltumatu akrediteerimisasutus, kes teeb akrediteerimisi, kasutades määruses (EÜ) nr 765/2008 osutatud standarditega samaväärseid standardeid;

c)	nad kohustuvad tagama, et hindamis- ja sertifitseerimisprotsessid ning -menetlused tehakse nõuetekohaselt professionaalsel viisil, võttes arvesse käesolevas määruses, eelkõige artiklis 3 osutatud rahvusvaheliste standardite järgimist;

d)	neil on suutlikkus teatada varem kindlakstegemata turvanõrkustest ning nad on kehtestanud väljakujunenud ja piisavad turvanõrkuste haldamise ning avalikustamise menetlused;

e)	nad on kehtestanud menetlused, mis võimaldavad tulemuslikult esitada ja menetleda kaebusi ning pakkuda kaebuse esitajale tõhusaid õiguskaitsevahendeid;

nad loovad mehhanismi koostööks teiste käesoleva määruse kohase küberturvalisuse sertifitseerimise seisukohast oluliste liidu ja liikmesriikide asutustega, sealhulgas sertifikaatide võimaliku mittevastavuse kohta teabe jagamiseks, sertifitseerimise valdkonnas asjakohaste arengusuundade jälgimiseks ning sertifitseerimise haldamisele ja läbivaatamisele ühise lähenemisviisi tagamiseks.

4. Lõikes 1 osutatud vastastikuse tunnustamise lepingu, mis hõlmab usaldusväärsuse kõrget taset, võib kolmanda riigiga sõlmida üksnes juhul, kui peale lõikes 3 kindlaks määratud tingimuste on täidetud ka järgmised tingimused:

kolmandas riigis on sõltumatu ja avalik küberturvalisuse sertifitseerimise asutus, kes teeb või delegeerib hindamistoiminguid, mis on vajalikud, et võimaldada usaldusväärsuse kõrge tasemega sertifitseerimist, mis on samaväärne käesolevas määruses ning määruses (EL) 2019/881 riiklike küberturvalisuse asutuste jaoks kindlaks määratud nõuete ja menetlustega;

b)	vastastikuse tunnustamise lepinguga luuakse ühine mehhanism, mis on samaväärne EUCC sertifitseerimise vastastikuse hindamisega, et tõhustada tavade vahetamist ning lahendada ühiselt probleeme hindamise ja sertifitseerimise valdkonnas.

IX PEATÜKK

SERTIFITSEERIMISASUTUSTE VASTASTIKUNE HINDAMINE

Artikkel 45

Vastastikuse hindamise menetlus

1. Sertifitseerimisasutus, kes annab välja usaldusväärsuse kõrge tasemega EUCC sertifikaate, läbib vastastikuse hindamise regulaarselt ja vähemalt iga viie aasta järel. Erinevat tüüpi vastastikused hindamised on loetletud VI lisas.

2. Euroopa küberturvalisuse sertifitseerimise rühm koostab vastastikuste hindamiste ajakava ja haldab seda, tagades vastastikuste hindamiste ettenähtud sageduse. Vastastikused hindamised tehakse kohapeal, välja arvatud nõuetekohaselt põhjendatud juhul.

3. Vastastikune hindamine võib tugineda tõenditele, mis on kogutud vastastikuse hindamise läbinud sertifitseerimisasutuse või riikliku küberturvalisuse sertifitseerimise asutuse varasemate vastastikuste hindamiste või samaväärsete menetluste käigus, tingimusel et:

a)	tulemused ei ole vanemad kui 5 aastat;

b)	tulemustele on lisatud kõnealuse kava jaoks kehtestatud vastastikuse hindamise menetluste kirjeldus, kui need on seotud mõne teise sertifitseerimissüsteemi alusel tehtud vastastikuse hindamisega;

c)	artiklis 47 osutatud vastastikuse hindamise aruandes täpsustatakse, milliseid tulemusi taaskasutati koos edasise hindamisega või ilma selleta.

4. Kui vastastikune hindamine hõlmab tehnilist valdkonda, hinnatakse ka asjaomast infotehnoloogia turvalisuse hindamise üksust.

5. Vastastikuse hindamise läbinud sertifitseerimisasutus ja vajaduse korral riiklik küberturvalisuse sertifitseerimise asutus tagavad, et kogu asjakohane teave tehakse vastastikuse hindamise rühmale kättesaadavaks.

6. Vastastikuse hindamise teeb VI lisa kohaselt moodustatud vastastikuse hindamise rühm.

Artikkel 46

Vastastikuse hindamise etapid

1. Ettevalmistusetapis vaatavad vastastikuse hindamise rühma liikmed läbi sertifitseerimisasutuse dokumendid, milles käsitletakse selle asutuse põhimõtteid ja menetlusi, sealhulgas tehnika taset käsitlevate dokumentide kasutamist.

2. Kohapealse külastuse etapis hindab vastastikuse hindamise rühm asutuse tehnilist pädevust ja vajaduse korral selle infotehnoloogia turvalisuse hindamise üksuse pädevust, kes on teinud vähemalt ühe IKT-toote hindamise, mille kohta on tehtud vastastikune hindamine.

3. Tegevuskoha külastuse etapi kestust võib pikendada või lühendada sõltuvalt sellistest teguritest nagu võimalus taaskasutada olemasolevaid vastastikuse hindamise tõendeid ja tulemusi või nende infotehnoloogia turvalisuse hindamise üksuste ja tehniliste valdkondade arv, mille jaoks sertifitseerimisasutus sertifikaate välja annab.

4. Kui see on asjakohane, määrab vastastikuse hindamise rühm kindlaks iga infotehnoloogia turvalisuse hindamise üksuse tehnilise pädevuse, külastades üksuse tehnilist laborit või laboreid ja küsitledes üksuse hindajaid tehnilise valdkonna ja sellega seotud konkreetsete ründemeetodite kohta.

5. Aruandeetapis dokumenteerib hindamisrühm oma tähelepanekud vastastikuse hindamise aruandes, mis sisaldab otsust ja vajaduse korral täheldatud mittevastavuste loetelu, kusjuures iga mittevastavuse puhul märgitakse kriitilisuse tase.

6. Vastastikuse hindamise aruannet tuleb kõigepealt arutada vastastikuse hindamise läbinud sertifitseerimisasutusega. Pärast neid arutelusid koostab vastastikuse hindamise läbinud sertifitseerimisasutus nende meetmete ajakava, mida tuleb võtta tähelepanekutega tegelemiseks.

Artikkel 47

Vastastikuse hindamise aruanne

1. Vastastikuse hindamise rühm esitab vastastikuse hindamise läbinud sertifitseerimisasutusele vastastikuse hindamise aruande kavandi.

2. Vastastikuse hindamise läbinud sertifitseerimisasutus esitab vastastikuse hindamise rühmale märkused tähelepanekute kohta ja kohustuste loetelu vastastikuse hindamise aruande kavandis kirjeldatud puuduste kõrvaldamiseks.

3. Vastastikuse hindamise rühm esitab Euroopa küberturvalisuse sertifitseerimise rühmale vastastikuse hindamise lõpparuande, mis sisaldab ka vastastikuse hindamise läbinud sertifitseerimisasutuse märkusi ja võetud kohustusi. Samuti esitab vastastikuse hindamise rühm oma seisukoha märkuste kohta ja selle kohta, kas kõnealused kohustused on väljaselgitatud puuduste kõrvaldamiseks piisavad.

4. Kui vastastikuse hindamise aruandes nimetatakse mittevastavusi, võib Euroopa küberturvalisuse sertifitseerimise rühm kehtestada vastastikuse hindamise läbinud sertifitseerimisasutusele mittevastavuste kõrvaldamiseks asjakohase tähtaja.

5. Euroopa küberturvalisuse sertifitseerimise rühm võtab vastu arvamuse vastastikuse hindamise aruande kohta järgmiselt:

kui vastastikuse hindamise aruandes ei ole nimetatud mittevastavusi või kui vastastikuse hindamise läbinud sertifitseerimisasutus on mittevastavused asjakohaselt kõrvaldanud, võib Euroopa küberturvalisuse sertifitseerimise rühm esitada positiivse arvamuse ja kõik asjakohased dokumendid avaldatakse ENISA sertifitseerimise veebisaidil;

kui vastastikuse hindamise läbinud sertifitseerimisasutus ei kõrvalda mittevastavusi ettenähtud tähtaja jooksul asjakohaselt, võib Euroopa küberturvalisuse sertifitseerimise rühm esitada negatiivse arvamuse, mis avaldatakse ENISA sertifitseerimise veebisaidil, sealhulgas koos vastastikuse hindamise aruande ja kõikide asjakohaste dokumentidega.

6. Enne arvamuse avaldamist eemaldatakse avaldatavatest dokumentidest kogu tundlik, isiklik või ärisaladusena käsitletav teave.

X PEATÜKK

KAVA HALDAMINE

Artikkel 48

EUCC haldamine

1. Komisjon võib taotleda, et Euroopa küberturvalisuse sertifitseerimise rühm võtab vastu arvamuse EUCC haldamise kohta ja teeb vajalikud ettevalmistustööd.

2. Euroopa küberturvalisuse sertifitseerimise rühm võib vastu võtta arvamuse tehnika taset käsitlevate dokumentide heakskiitmise kohta.

3. ENISA avaldab tehnika taset käsitlevad dokumendid, mille Euroopa küberturvalisuse sertifitseerimise rühm on heaks kiitnud.

XI PEATÜKK

LÕPPSÄTTED

Artikkel 49

EUCCga hõlmatud riiklikud kavad

1. Vastavalt määruse (EL) 2019/881 artikli 57 lõikele 1 ja ilma et see piiraks kõnealuse määruse artikli 57 lõike 3 kohaldamist, lõpeb riiklike küberturvalisuse sertifitseerimise kavade ning EUCCga hõlmatud IKT-toodete ja -protsessidega seotud menetluste õiguslik toime 12 kuud pärast käesoleva määruse jõustumist.

2. Erandina artiklist 50 võib 12 kuu jooksul alates käesoleva määruse jõustumisest algatada sertifitseerimise riikliku küberturvalisuse sertifitseerimise kava alusel, tingimusel et sertifitseerimine lõpetatakse hiljemalt 24 kuu jooksul pärast käesoleva määruse jõustumist.

3. Riiklike küberturvalisuse sertifitseerimise kavade alusel välja antud sertifikaadid võidakse läbi vaadata. Uued sertifikaadid, millega läbivaadatud sertifikaadid asendatakse, antakse välja vastavalt käesolevale määrusele.

Artikkel 50

Jõustumine

Käesolev määrus jõustub kahekümnendal päeval pärast selle avaldamist Euroopa Liidu Teatajas.

Seda kohaldatakse alates 27. veebruarist 2025.

IV peatükki ja V lisa kohaldatakse alates käesoleva määruse jõustumise kuupäevast.

Käesolev määrus on tervikuna siduv ja vahetult kohaldatav kõikides liikmesriikides.

Brüssel, 31. jaanuar 2024

Komisjoni nimel

president

Ursula VON DER LEYEN

(1) ELT L 151, 7.6.2019, lk 15.

(2) Infotehnoloogia turvalisuse hindamise sertifikaatide vastastikuse tunnustamise leping, versioon 3.0, jaanuar 2010, kättesaadav veebisaidil sogis.eu, heaks kiitnud Euroopa Komisjoni kõrgemate ametnike infosüsteemide turvalisuse rühm vastusena nõukogu 7. aprilli 1995. aasta soovituse 95/144/EÜ punktile 3 infotehnoloogia turvalisuse hindamise ühiskriteeriumide kohta (ELT L 93, 26.4.1995, lk 27).

(3) Tõlgendav ühisdokument: „Minimum ITSEF Requirements for Security Evaluations of Smart cards and similar devices“ (Miinimumnõuded infotehnoloogia turvalisuse hindamise üksusele kiipkaartide ja samalaadsete seadmete turvalisuse hindamiseks), versioon 2.1, veebruar 2020, kättesaadav veebisaidil sogis.eu.

(4) Euroopa Parlamendi ja nõukogu 20. juuni 2019. aasta määrus (EL) 2019/1020 turujärelevalve ja toodete vastavuse kohta ning millega muudetakse direktiivi 2004/42/EÜ ja määruseid (EÜ) nr 765/2008 ja (EL) nr 305/2011 (ELT L 169, 25.6.2019, lk 1).

(5) Euroopa Parlamendi ja nõukogu 14. detsembri 2022. aasta direktiiv (EL) 2022/2555, mis käsitleb meetmeid, millega tagada küberturvalisuse ühtlaselt kõrge tase kogu liidus, ja millega muudetakse määrust (EL) nr 910/2014 ja direktiivi (EL) 2018/1972 ning tunnistatakse kehtetuks direktiiv (EL) 2016/1148 (küberturvalisuse 2. direktiiv) (ELT L 333, 27.12.2022, lk 80).