Euroopan unionin
virallinen lehti
FI
L-sarja
|
|
Euroopan unionin |
FI L-sarja |
|
2024/3143 |
19.12.2024 |
KOMISSION TÄYTÄNTÖÖNPANOASETUS (EU) 2024/3143,
annettu 18 päivänä joulukuuta 2024,
Euroopan unionin kyberturvallisuusvirasto ENISAsta ja tieto- ja viestintätekniikan kyberturvallisuussertifioinnista annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2019/881 61 artiklan 5 kohdan mukaisiin ilmoituksiin liittyvien olosuhteiden, muotoseikkojen ja menettelyjen vahvistamisesta
(ETA:n kannalta merkityksellinen teksti)
EUROOPAN KOMISSIO, joka
ottaa huomioon Euroopan unionin toiminnasta tehdyn sopimuksen,
ottaa huomioon Euroopan unionin kyberturvallisuusvirasto ENISAsta ja tieto- ja viestintätekniikan kyberturvallisuussertifioinnista sekä asetuksen (EU) N:o 526/2013 kumoamisesta 17 päivänä huhtikuuta 2019 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2019/881 (1) (kyberturvallisuusasetus) ja erityisesti sen 61 artiklan 5 kohdan,
sekä katsoo seuraavaa:
|
(1) |
Asetuksen (EU) 2019/881 (kyberturvallisuusasetus) 61 artiklan 1 kohdan mukaan kansallisten kyberturvallisuussertifioinnin myöntävien viranomaisten on ilmoitettava komissiolle vaatimustenmukaisuuden arviointilaitoksista, jotka on akkreditoitu ja soveltuvin osin valtuutettu myöntämään eurooppalaisia kyberturvallisuussertifikaatteja määritellyillä varmuustasoilla, ja pidettävä nämä ilmoitukset ajan tasalla. Lisäksi asetuksen (EU) 2019/881 61 artiklan 2 kohdan mukaan komission on julkaistava Euroopan unionin virallisessa lehdessä luettelo eurooppalaisen kyberturvallisuuden sertifiointijärjestelmän mukaisesti ilmoitetuista vaatimustenmukaisuuden arviointilaitoksista vuoden kuluttua järjestelmän voimaantulosta. Jotta voidaan varmistaa yhdenmukainen lähestymistapa ilmoituksiin ja helpottaa kansallisten kyberturvallisuussertifioinnin myöntävien viranomaisten ilmoitusprosessia, tässä asetuksessa olisi täsmennettävä ilmoituksiin liittyvät olosuhteet, muotoseikat ja menettelyt. Näitä näkökohtia on tärkeää selventää, jotta voidaan soveltaa komission täytäntöönpanoasetuksella (EU) 2024/482 (2) perustettua ensimmäistä yhteisiin kriteereihin perustuvaa eurooppalaista kyberturvallisuuden sertifiointijärjestelmää. |
|
(2) |
Tässä asetuksessa otetaan huomioon asetuksen (EU) 2019/881 ja asiaankuuluvan unionin yhdenmukaistamislainsäädännön, mukaan lukien Euroopan parlamentin ja neuvoston asetus (EU) 2024/2847 (kyberkestävyyssäädös) (3), väliset synergiat. Sen vuoksi ehdotetaan, että kansalliset kyberturvallisuussertifioinnin myöntävät viranomaiset tekevät ilmoituksensa komissiolle käyttäen Euroopan parlamentin ja neuvoston päätöksessä N:o 768/2008/EY (4) tarkoitettua komission kehittämää ja hallinnoimaa sähköistä ilmoitusvälinettä. Luettelo olisi myös asetettava julkisesti saataville komission kehittämässä ja hallinnoimassa sähköisessä ilmoitusvälineessä, sanotun kuitenkaan vaikuttamatta komission velvollisuuteen julkaista luettelo ilmoitetuista vaatimustenmukaisuuden arviointilaitoksista Euroopan unionin virallisessa lehdessä. |
|
(3) |
Akkreditoiduista ja soveltuvin osin valtuutetuista vaatimustenmukaisuuden arviointilaitoksista ilmoittaminen tarkoittaa, että näiden laitosten voidaan luottaa suorittavan arviointi- ja sertifiointitoimia asetuksen (EU) 2019/881 mukaisesti, mikä edistää eurooppalaisten kyberturvallisuuden sertifiointijärjestelmien yleistä mainetta. Sen vuoksi on olennaisen tärkeää varmistaa, että ilmoitetut vaatimustenmukaisuuden arviointilaitokset täyttävät vaatimuksensa ja hoitavat velvoitteensa myös jatkossa. Ilmoitetuista vaatimustenmukaisuuden arviointilaitoksista julkaistun luettelon olisi oltava paikkansapitävä ja se olisi pidettävä ajan tasalla, jotta se heijastaa sitä, että laitokset täyttävät asetuksessa (EU) 2019/881 säädetyt vaatimukset ja soveltuvin osin eurooppalaisen kyberturvallisuuden sertifiointijärjestelmän mukaiset erityis- tai lisävaatimukset. Tätä varten on tarpeen, että kansalliset kyberturvallisuussertifioinnin myöntävät viranomaiset ilmoittavat komissiolle ilmoituksen mahdollisista muutoksista ilman aiheetonta viivytystä asetuksen (EU) 2019/881 61 artiklan 1 kohdan mukaisesti. |
|
(4) |
Kansalliset kyberturvallisuussertifioinnin myöntävät viranomaiset vastaavat sen varmistamisesta, että vaatimustenmukaisuuden arviointilaitokset noudattavat asetusta (EU) 2019/881 ja eurooppalaisia kyberturvallisuuden sertifiointijärjestelmiä, ja tässä yhteydessä varmistavat ilmoitusten paikkansapitävyyden. Näistä toimista tehdään vertaisarviointi, jonka tulosten pitäisi auttaa määrittämään tarvittavat muutokset niiden tehokkuuden parantamiseksi. Kansalliset kyberturvallisuussertifioinnin myöntävät viranomaiset voivat niiden tietoon eri olosuhteissa tuotujen huolenaiheiden johdosta todeta, että vaatimustenmukaisuuden arviointilaitos ei enää täytä asiaankuuluvia vaatimuksia. Vertaisarviointimekanismien havaintojen olisi tarvittaessa tuettava kansallisia kyberturvallisuussertifioinnin myöntäviä viranomaisia ilmoitettujen vaatimustenmukaisuuden arviointilaitosten jatkuvan pätevyyden seurannassa. Myös muut kansalliset kyberturvallisuussertifioinnin myöntävät viranomaiset, komissio tai sidosryhmät voivat tuoda ilmoittavan kansallisen kyberturvallisuussertifioinnin myöntävän viranomaisen tietoon ilmoitettujen vaatimustenmukaisuuden arviointilaitosten jatkuvaa pätevyyttä koskevia huolenaiheita. |
|
(5) |
Kun ilmoittava kansallinen kyberturvallisuussertifioinnin myöntävä viranomainen päättää vaatimustenmukaisuuden arviointilaitosta koskevan ilmoituksen voimassaolon keskeyttämisestä, rajoittamisesta tai peruuttamisesta, sen on tehtävä yhteistyötä Euroopan parlamentin ja neuvoston asetuksen (EY) N:o 765/2008 (5) mukaisesti nimetyn kansallisen akkreditointielimen kanssa. Tämä on asetuksen (EU) 2019/881 mukaista, sillä siinä säädetään, että kansallisten kyberturvallisuussertifioinnin myöntävien viranomaisten olisi aktiivisesti avustettava ja tuettava kansallisia akkreditointielimiä ja tehtävä yhteistyötä niiden kanssa niiden seuranta- ja valvontatoimissa. Ilmoituksen rajoittamisessa olisi viitattava tapaukseen, jossa akkreditoinnin pätevyysaluetta tai tapauksen mukaan valtuutuksen soveltamisalaa ja siten ilmoituksen soveltamisalaa on rajoitettu. |
|
(6) |
Asetuksen (EU) 2019/881 54 artiklan 1 kohdan n alakohdan mukaan kuhunkin eurooppalaiseen kyberturvallisuuden sertifiointijärjestelmään on tarvittaessa sisällyttävä säännöt, jotka koskevat tietojen säilyttämistä vaatimustenmukaisuuden arviointilaitoksissa. Sen vuoksi on tarpeen, että jos ilmoitusta rajoitetaan tai sen voimassaolo keskeytetään tai se peruutetaan tai jos ilmoitettu vaatimustenmukaisuuden arviointilaitos on lopettanut toimintansa, ilmoittava kansallinen kyberturvallisuussertifioinnin myöntävä viranomainen varmistaa, että kyseisen vaatimustenmukaisuuden arviointilaitoksen tiedot säilytetään turvallisella tavalla ja tarvittavan ajan, kuten eurooppalaisessa kyberturvallisuuden sertifiointijärjestelmässä määrätään. |
|
(7) |
Tässä asetuksessa säädetyt toimenpiteet ovat asetuksen (EU) 2019/881 66 artiklalla perustetun komitean lausunnon mukaiset, |
ON HYVÄKSYNYT TÄMÄN ASETUKSEN:
1 artikla
Kohde
Tässä asetuksessa vahvistetaan olosuhteet, muotoseikat ja menettelyt, joiden mukaisesti kansalliset kyberturvallisuussertifioinnin myöntävät viranomaiset ilmoittavat vaatimustenmukaisuuden arviointilaitoksista asetuksen (EU) 2019/881 61 artiklan 1 kohdan mukaisesti.
2 artikla
Ilmoitusmenettely
1. Kansallisten kyberturvallisuussertifioinnin myöntävien viranomaisten on asetuksen (EU) 2019/881 61 artiklan 1 kohdan mukaisesti ilmoitettava komissiolle vaatimustenmukaisuuden arviointilaitoksista, jotka ovat täyttäneet asetuksessa (EU) 2019/881 säädetyt vaatimukset ja tarvittaessa eurooppalaisen kyberturvallisuuden sertifiointijärjestelmän mukaiset erityis- tai lisävaatimukset.
2. Kansallisen kyberturvallisuussertifioinnin myöntävän viranomaisen on tehtävä ilmoitus komissiolle käyttäen päätöksessä N:o 768/2008/EY tarkoitettua komission kehittämää ja hallinnoimaa sähköistä ilmoitusvälinettä.
3. Ilmoituksen on sisällettävä liitteessä esitetyt tiedot.
3 artikla
Vaatimustenmukaisuuden arviointilaitosten tunnusnumerot ja luettelot
1. Komissio antaa ilmoitetulle vaatimustenmukaisuuden arviointilaitokselle tunnusnumeron. Se antaa yhden ainoan tunnusnumeron myös silloin, kun laitos ilmoitetaan usean eurooppalaisen kyberturvallisuuden sertifiointijärjestelmän tai unionin säädöksen nojalla.
2. Kun komissio asettaa ilmoitettujen vaatimustenmukaisuuden arviointilaitosten luettelon saataville kehittämässään ja hallinnoimassaan sähköisessä ilmoitusvälineessä, se sisällyttää siihen ilmoitetuille vaatimustenmukaisuuden arviointilaitoksille annetut tunnusnumerot ja toimet, joita varten ne on ilmoitettu.
3. ENISA asettaa ilmoitettuja vaatimustenmukaisuuden arviointilaitoksia koskevat tiedot saataville asetuksen (EU) 2019/881 50 artiklan 1 kohdassa tarkoitetulla eurooppalaisia kyberturvallisuuden sertifiointijärjestelmiä koskevalla verkkosivustollaan.
4 artikla
Ilmoituksiin tehtävät muutokset
1. Kansallisten kyberturvallisuussertifioinnin myöntävien viranomaisten on ilmoitettava komissiolle 2 artiklassa tarkoitettuun ilmoitukseen tehtävistä myöhemmistä muutoksista ilman aiheetonta viivytystä komission kehittämän ja hallinnoiman sähköisen ilmoitusvälineen kautta asetuksen (EU) 2019/881 61 artiklan 1 kohdan mukaisesti.
2. Jos kansallinen kyberturvallisuussertifioinnin myöntävä viranomainen on todennut yhteistyössä kansallisen akkreditointielimen kanssa asetuksen (EU) 2019/881 mukaisesti, että ilmoitettu vaatimustenmukaisuuden arviointilaitos ei enää täytä sille asetettuja vaatimuksia tai velvoitteita, kansallisen kyberturvallisuussertifioinnin myöntävän viranomaisen on tarvittaessa rajoitettava ilmoitusta, keskeytettävä sen voimassaolo tai peruutettava se sen mukaan, miten vakava kyseisten vaatimusten tai velvoitteiden noudattamatta jättäminen on. Sen on ilmoitettava asiasta komissiolle ilman aiheetonta viivytystä komission kehittämän ja hallinnoiman sähköisen ilmoitusvälineen kautta.
3. Jos ilmoitusta rajoitetaan tai sen voimassaolo keskeytetään tai se peruutetaan tai jos ilmoitettu vaatimustenmukaisuuden arviointilaitos on lopettanut toimintansa, ilmoittavan kansallisen kyberturvallisuussertifioinnin myöntävän viranomaisen on toteutettavat asianmukaiset toimet sen varmistamiseksi, että kyseisen vaatimustenmukaisuuden arviointilaitoksen tiedot säilytetään turvallisella tavalla ja tarvittavan ajan, kuten eurooppalaisessa kyberturvallisuuden sertifiointijärjestelmässä määrätään.
5 artikla
Voimaantulo
Tämä asetus tulee voimaan kahdentenakymmenentenä päivänä sen jälkeen, kun se on julkaistu Euroopan unionin virallisessa lehdessä.
Tämä asetus on kaikilta osiltaan velvoittava, ja sitä sovelletaan sellaisenaan kaikissa jäsenvaltioissa.
Tehty Brysselissä 18 päivänä joulukuuta 2024.
Komission puolesta
Puheenjohtaja
Ursula VON DER LEYEN
(1) EUVL L 151, 7.6.2019, s. 15, ELI: http://data.europa.eu/eli/reg/2019/881/oj.
(2) Komission täytäntöönpanoasetus (EU) 2024/482, annettu 31 päivänä tammikuuta 2024, Euroopan parlamentin ja neuvoston asetuksen (EU) 2019/881 soveltamissäännöistä siltä osin kuin on kyse yhteisiin kriteereihin perustuvan eurooppalaisen kyberturvallisuuden sertifiointijärjestelmän (EUCC) hyväksymisestä (EUVL L, 2024/482, 7.2.2024, ELI: http://data.europa.eu/eli/reg_impl/2024/482/oj).
(3) Euroopan parlamentin ja neuvoston asetus (EU) 2024/2847, annettu 23 päivänä lokakuuta 2024, digitaalisia elementtejä sisältävien tuotteiden horisontaalisista kyberturvallisuusvaatimuksista ja asetusten (EU) N:o 168/2013 ja (EU) 2019/1020 ja direktiivin (EU) 2020/1828 muuttamisesta (kyberkestävyyssäädös) (EUVL L, 2024/2847, 20.11.2024, ELI: http://data.europa.eu/eli/reg/2024/2847/oj).
(4) Euroopan parlamentin ja neuvoston päätös N:o 768/2008/EY, tehty 9 päivänä heinäkuuta 2008, tuotteiden kaupan pitämiseen liittyvistä yhteisistä puitteista ja päätöksen 93/465/ETY kumoamisesta (EUVL L 218, 13.8.2008, s. 82, ELI: http://data.europa.eu/eli/dec/2008/768(1)/oj).
(5) Euroopan parlamentin ja neuvoston asetus (EY) N:o 765/2008, annettu 9 päivänä heinäkuuta 2008, tuotteiden kaupan pitämiseen liittyvää akkreditointia ja markkinavalvontaa koskevista vaatimuksista ja neuvoston asetuksen (ETY) N:o 339/93 kumoamisesta (EUVL L 218, 13.8.2008, s. 30, ELI: http://data.europa.eu/eli/reg/2008/765/oj).
LIITE
Tämän asetuksen 2 artiklan 3 kohdassa tarkoitetut tiedot, jotka on sisällytettävä asetuksen (EU) 2019/881 61 artiklan 1 kohdan mukaisesti eurooppalaisen kyberturvallisuuden sertifiointijärjestelmän puitteissa tehtävään ilmoitukseen vaatimustenmukaisuuden arviointilaitoksesta
1.
Yleiset tiedot:|
1) |
Kyberturvallisuuden sertifiointijärjestelmän nimi |
|
2) |
Tapauksen mukaan varmuustaso(t) ja niihin liittyvät vaatimustenmukaisuuden arviointimenettelyt (esim. perustaso, korotettu, korkea) |
|
3) |
Soveltamisala (esim. akkreditoinnin pätevyysalue, tuotteiden, palvelujen tai prosessien luokat tai tyypit) |
2.
Tiedot ilmoittavasta kansallisesta kyberturvallisuussertifioinnin myöntävästä viranomaisesta:|
1) |
Nimi |
|
2) |
Maa |
|
3) |
Postiosoite |
|
4) |
Sähköpostiosoite (-osoitteet) |
|
5) |
Puhelinnumero(t) |
|
6) |
Verkkosivu |
3.
Tiedot ilmoitettavasta vaatimustenmukaisuuden arviointilaitoksesta:|
1) |
Nimi |
|
2) |
Maa |
|
3) |
Postiosoite |
|
4) |
Sähköpostiosoite (-osoitteet) |
|
5) |
Puhelinnumero(t) |
|
6) |
Verkkosivu |
4.
Akkreditointia koskevat tiedot:|
1) |
Akkreditointi:
|
|
2) |
Kansallinen akkreditointielin:
|
5.
Valtuutusta koskevat tiedot (tarvittaessa):|
1) |
Valtuutus:
|
|
2) |
Valtuutuksen myöntävä kansallinen kyberturvallisuusviranomainen (jos eri kuin ilmoittava kansallinen kyberturvallisuussertifioinnin myöntävä viranomainen):
|
6.
Lisätiedot:|
1) |
Tietyssä eurooppalaisessa kyberturvallisuuden sertifiointijärjestelmässä mahdollisesti vaadittavat lisätiedot |
|
2) |
Mahdolliset liiteasiakirjat |
ELI: http://data.europa.eu/eli/reg_impl/2024/3143/oj
ISSN 1977-0812 (electronic edition)