This document is an excerpt from the EUR-Lex website
Document 32024R0482
Commission Implementing Regulation (EU) 2024/482 of 31 January 2024 laying down rules for the application of Regulation (EU) 2019/881 of the European Parliament and of the Council as regards the adoption of the European Common Criteria-based cybersecurity certification scheme (EUCC)
2024 m. sausio 31 d. Komisijos įgyvendinimo reglamentas (ES) 2024/482, kuriuo nustatomos Europos Parlamento ir Tarybos reglamento (ES) 2019/881 taikymo taisyklės dėl bendraisiais kriterijais grindžiamos Europos kibernetinio saugumo sertifikavimo schemos (EKSSS) priėmimo
2024 m. sausio 31 d. Komisijos įgyvendinimo reglamentas (ES) 2024/482, kuriuo nustatomos Europos Parlamento ir Tarybos reglamento (ES) 2019/881 taikymo taisyklės dėl bendraisiais kriterijais grindžiamos Europos kibernetinio saugumo sertifikavimo schemos (EKSSS) priėmimo
C/2024/560
OL L, 2024/482, 7.2.2024, ELI: http://data.europa.eu/eli/reg_impl/2024/482/oj (BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In force
Relation | Act | Comment | Subdivision concerned | From | To |
---|---|---|---|---|---|
Corrected by | 32024R0482R(01) | (SK) |
oficialusis leidinys |
LT L serija |
2024/482 |
2024 2 7 |
KOMISIJOS ĮGYVENDINIMO REGLAMENTAS (ES) 2024/482
2024 m. sausio 31 d.
kuriuo nustatomos Europos Parlamento ir Tarybos reglamento (ES) 2019/881 taikymo taisyklės dėl bendraisiais kriterijais grindžiamos Europos kibernetinio saugumo sertifikavimo schemos (EKSSS) priėmimo
(Tekstas svarbus EEE)
EUROPOS KOMISIJA,
atsižvelgdama į Sutartį dėl Europos Sąjungos veikimo,
atsižvelgdama į 2019 m. balandžio 17 d. Europos Parlamento ir Tarybos reglamentą (ES) 2019/881 dėl ENISA (Europos Sąjungos kibernetinio saugumo agentūros) ir informacinių ir ryšių technologijų kibernetinio saugumo sertifikavimo, kuriuo panaikinamas Reglamentas (ES) Nr. 526/2013 (Kibernetinio saugumo aktas) (1), ypač į jo 49 straipsnio 7 dalį,
kadangi:
(1) |
šiuo reglamentu nustatomos su bendraisiais kriterijais grindžiama Europos kibernetinio saugumo sertifikavimo schema (EKSSS) susijusios funkcijos, taisyklės ir pareigos, taip pat jos struktūra pagal Reglamente (ES) 2019/881 nustatytą Europos kibernetinio saugumo sertifikavimo sistemą. EKSSS grindžiama vyresniųjų pareigūnų grupės informacinių sistemų saugumo klausimais (angl. SOG-IS) informacinių technologijų saugumo sertifikatų tarpusavio pripažinimo susitarimu (2) (TPS), pagal kurį taikomi bendrieji kriterijai, įskaitant grupės procedūras ir dokumentus; |
(2) |
schema turėtų būti grindžiama nustatytais tarptautiniais standartais. Bendrieji kriterijai yra tarptautinis informacinių technologijų saugumo vertinimo standartas, paskelbtas, pavyzdžiui, kaip standartas ISO/IEC 15408 „Informacijos saugumas, kibernetinis saugumas ir privatumo apsauga. IT saugumo vertinimo kriterijai“. Jis grindžiamas trečiosios šalies atliekamu vertinimu ir pagal jį numatomi septyni vertinimo užtikrinimo lygiai. Prie bendrųjų kriterijų pridedama bendra vertinimo metodika, paskelbta, pavyzdžiui, kaip standartas ISO/IEC 18045 „Informacijos saugumas, kibernetinis saugumas ir privatumo apsauga. IT saugumo vertinimo kriterijai. IT saugumo vertinimo metodika“. Specifikacijos ir dokumentai, kuriais taikomos šio reglamento nuostatos, gali būti susiję su viešai prieinamu standartu, atitinkančiu standartą, taikomą vykdant sertifikavimą pagal šį reglamentą, pavyzdžiui, bendruosius informacinių technologijų saugumo vertinimo kriterijus ir bendrą informacinių technologijų saugumo vertinimo metodiką; |
(3) |
EKSSS atveju taikomi bendrųjų kriterijų pažeidžiamumo vertinimo grupės (AVA_VAN) 1–5 komponentai. Penki komponentai yra visi pagrindiniai lemiami veiksniai ir priklausomumo atvejai, nagrinėjami atliekant IRT produktų pažeidžiamumų analizę. Kadangi šie komponentai atitinka šiame reglamente nustatytus saugumo užtikrinimo lygius, jie suteikia galimybę priimti informacija pagrįstą saugumo užtikrinimo būdo pasirinkimo sprendimą, remiantis atliktais saugumo reikalavimų ir rizikos, susijusios su numatoma IRT produkto paskirtimi, vertinimais. Pareiškėjas, siekiantis gauti EKSSS sertifikatą, turėtų pateikti dokumentus, susijusius su numatoma IRT produkto paskirtimi ir su tokia paskirtimi susijusios rizikos lygių analizę, kad atitikties vertinimo įstaiga galėtų įvertinti pasirinkto saugumo užtikrinimo lygio tinkamumą. Jei vertinimo ir sertifikavimo veiklą vykdo ta pati atitikties vertinimo įstaiga, pareiškėjas prašomą informaciją turėtų pateikti tik vieną kartą; |
(4) |
techninė sritis yra orientacinė sistema, apimanti IRT produktų, turinčių specialias ir panašias saugumo funkcines galimybes, padedančias sušvelninti išpuolius, kai charakteristikos yra bendros tam tikram saugumo užtikrinimo lygiui, grupę. Techninėje srityje aprašomi naujausi dokumentai, kuriuose nurodomi specialūs saugumo reikalavimai, taip pat papildomi vertinimo metodai, būdai ir priemonės, taikomi sertifikuojant į šią techninę sritį patenkančius IRT produktus. Todėl techninė sritis taip pat padeda skatinti suderinti į ją įtrauktų IRT produktų vertinimą. Atliekant sertifikavimą komponentų AVA_VAN.4 ir AVA_VAN.5 lygiais, šiuo metu plačiai naudojamos dvi techninės sritys. Pirmoji techninė sritis – „Lustinės kortelės ir panašios priemonės“ (angl. „Smart cards and similar devices“), kurioje didelė reikalaujamų saugumo funkcinių galimybių dalis priklauso nuo konkrečių, pritaikytų ir dažnai atskiriamų aparatinės įrangos elementų (pvz., lustinės kortelės aparatinė įranga, integriniai grandynai, sudėtiniai lustinių kortelių produktai, patikimų platformų moduliai, naudojami patikimumo kompiuterijoje, arba skaitmeninių tachografų kortelės). Antroji techninė sritis – „Aparatinės įrangos įtaisai su apsauginėmis dėžėmis“ (angl. „Hardware devices with security boxes“), kurioje didelė reikalaujamų saugumo funkcinių galimybių dalis priklauso nuo aparatinės įrangos fizinio apgaubo (toliau – apsauginė dėžė), kuris yra skirtas atlaikyti tiesioginius išpuolius (pvz., mokėjimo terminalai, transporto priemonių tachografai, išmanieji skaitikliai, prieigos kontrolės terminalai ir aparatinės įrangos saugumo moduliai); |
(5) |
teikdamas sertifikavimo paraišką, pareiškėjas savo argumentus dėl saugumo užtikrinimo lygio pasirinkimo turėtų susieti su Reglamento (ES) 2019/881 51 straipsnyje nustatytais tikslais ir komponentų pasirinkimu iš bendruosiuose kriterijuose pateiktų saugumo funkcinių reikalavimų ir saugumo užtikrinimo reikalavimų katalogo. Sertifikavimo įstaigos turėtų įvertinti pasirinkto saugumo užtikrinimo lygio tinkamumą ir užtikrinti, kad pasirinktas lygis atitiktų su numatoma IRT produkto paskirtimi susijusios rizikos lygį; |
(6) |
pagal bendruosius kriterijus sertifikavimas atliekamas atsižvelgiant į saugumo uždavinį, kuris apima IRT produkto saugumo problemos apibrėžtį ir su tos problemos sprendimu susijusius saugumo tikslus. Saugumo problema suteikia išsamios informacijos apie numatomą IRT produkto paskirtį ir su tokia paskirtimi susijusią riziką. Pasirinkti saugumo reikalavimai atitinka ir IRT produkto saugumo problemą, ir saugumo tikslus; |
(7) |
apsaugos profiliai yra veiksminga priemonė siekiant iš anksto įvertinti bendruosius kriterijus, taikytinus tam tikros kategorijos IRT produktams, todėl jie taip pat yra vienas iš esminių IRT produktų, kuriems taikomas apsaugos profilis, sertifikavimo proceso elementų. Apsaugos profilis naudojamas vertinant būsimus saugumo uždavinius, susijusius su tam tikros kategorijos IRT produktais, kuriems tas apsaugos profilis taikomas. Jais dar labiau racionalizuojamas ir didinamas IRT produktų sertifikavimo proceso veiksmingumas ir jie padeda naudotojams teisingai ir veiksmingai nurodyti IRT produkto funkcines galimybes. Todėl apsaugos profiliai turėtų būti laikomi neatsiejama IRT produktų sertifikavimo proceso dalimi; |
(8) |
kad apsaugos profiliai galėtų atlikti vaidmenį IRT procese, kuriuo remiamas sertifikuoto IRT produkto kūrimas ir pateikimas, juos pačius turėtų būti galima sertifikuoti nepriklausomai nuo konkretaus IRT produkto, kuriam taikomas atitinkamas apsaugos profilis, sertifikavimo. Todėl, siekiant užtikrinti aukštą kibernetinio saugumo lygį, labai svarbu apsaugos profiliams taikyti bent tokį patį tikrinimo lygį, koks taikomas saugumo uždaviniams. Apsaugos profiliai turėtų būti vertinami ir sertifikuojami atskirai nuo susijusio IRT produkto ir tik taikant bendrųjų kriterijų ir bendros vertinimo metodikos užtikrinimo klasę apsaugos profiliams (angl. APE) ir atitinkamais atvejais apsaugos profilių konfigūracijoms (angl. ACE). Kadangi sertifikuojant IRT produktus šie profiliai atlieka svarbią ir atžvalgią lyginamojo standarto funkciją, juos turėtų sertifikuoti tik viešosios įstaigos arba sertifikavimo įstaiga, gavusi išankstinį nacionalinės kibernetinio saugumo sertifikavimo institucijos patvirtinimą dėl konkretaus apsaugos profilio. Kadangi apsaugos profiliai yra labai svarbūs sertifikuojant aukštą saugumo užtikrinimo lygį, visų pirma už techninių sričių ribų, jie turėtų būti kuriami kaip naujausi dokumentai, kuriuos turėtų tvirtinti Europos kibernetinio saugumo sertifikavimo grupė; |
(9) |
sertifikuoti apsaugos profiliai turėtų būti įtraukti į EKSSS reikalavimų laikymosi ir atitikties stebėseną, kurią vykdo nacionalinės kibernetinio saugumo sertifikavimo institucijos. Jei IRT produktų vertinimo metodams taikoma konkrečių sertifikuotų apsaugos profilių metodika, priemonės ir įgūdžiai, techninės sritys gali būti grindžiamos tais konkrečiais apsaugos profiliais; |
(10) |
kad būtų pasiektas aukštas pasitikėjimo sertifikuotais IRT produktais ir jų saugumo užtikrinimo lygis, pagal šį reglamentą neturėtų būti leidžiama atlikti savarankiško vertinimo. Turėtų būti leidžiamas tik trečiosios šalies vertinimas, kurį atlieka IT saugumo vertinimo įstaigos (ITSVĮ) ir sertifikavimo įstaigos; |
(11) |
SOG-IS bendruomenė pateikė bendrųjų kriterijų ir bendros vertinimo metodikos taikymo sertifikavimo srityje bendrą aiškinimą ir metodus, visų pirma taikomus aukštam saugumo užtikrinimo lygiui, kurio siekiama techninėse srityse „Lustinės kortelės ir panašios priemonės“ ir „Aparatinės įrangos įtaisai su apsauginėmis dėžėmis“. Pakartotinai naudojant tokius patvirtinamuosius dokumentus ESKSS schemoje užtikrinamas sklandus perėjimas nuo nacionaliniu lygmeniu įgyvendinamų SOG-IS schemų prie suderintos EKSSS. Todėl į šį reglamentą turėtų būti įtrauktos suderintos vertinimo metodikos, kurios yra apskritai svarbios visai sertifikavimo veiklai. Be to, Komisija turėtų turėti galimybę prašyti Europos kibernetinio saugumo sertifikavimo grupės priimti nuomonę, kurioje naujausiuose dokumentuose nurodytos vertinimo metodikos būtų patvirtintos ir jas būtų rekomenduojama taikyti sertifikuojant IRT produktą arba apsaugos profilį pagal EKSSS. Todėl šio reglamento I priede išvardyti naujausi dokumentai, skirti naudoti vertinimo veikloje, kurią atlieka atitikties vertinimo įstaigos. Europos kibernetinio saugumo sertifikavimo grupė turėtų tvirtinti ir tvarkyti naujausius dokumentus. Sertifikuojant turėtų būti naudojami naujausi dokumentai. Tik išimtiniais ir tinkamai pagrįstais atvejais atitikties vertinimo įstaiga gali jų nenaudoti laikydamasi konkrečių sąlygų, visų pirma gavusi nacionalinės kibernetinio saugumo sertifikavimo institucijos patvirtinimą; |
(12) |
IRT produktų sertifikavimas AVA_VAN 4 arba 5 lygiu turėtų būti įmanomas tik konkrečiomis sąlygomis ir jei turima konkreti vertinimo metodika. Konkreti vertinimo metodika gali būti įtvirtinta naujausiuose su technine sritimi susijusiuose dokumentuose arba konkrečiuose apsaugos profiliuose, priimtuose kaip naujausias dokumentas, susijusiuose su atitinkama gaminių kategorija. Sertifikavimas šiais saugumo užtikrinimo lygiais turėtų būti įmanomas tik išimtiniais ir tinkamai pagrįstais atvejais, laikantis konkrečių sąlygų, visų pirma gavus nacionalinės kibernetinio saugumo sertifikavimo institucijos patvirtinimą, be kita ko, taikomos vertinimo metodikos. Tokie išimtiniai ir tinkamai pagrįsti atvejai gali būti, kai pagal Sąjungos arba nacionalinės teisės aktus reikalaujama sertifikuoti IRT produktą AVA_VAN 4 arba 5 lygiu. Panašiai išimtiniais ir tinkamai pagrįstais atvejais apsaugos profiliai gali būti sertifikuojami netaikant atitinkamų naujausių dokumentų, laikantis konkrečių sąlygų, visų pirma gavus nacionalinės kibernetinio saugumo sertifikavimo institucijos patvirtinimą, be kita ko, taikomos vertinimo metodikos; |
(13) |
ženklų ir etikečių naudojimo pagal EKSSS tikslas – aiškiai parodyti naudotojams sertifikuoto IRT produkto patikimumą ir suteikti jiems galimybę priimti informacija pagrįstą sprendimą perkant IRT produktus. Ženklų ir etikečių naudojimui taip pat turėtų būti taikomos taisyklės ir sąlygos, nustatytos standarte ISO/IEC 17065 ir atitinkamais atvejais standarte ISO/IEC 17030, bei taikytinos rekomendacijos; |
(14) |
sertifikavimo įstaigos turėtų nuspręsti dėl sertifikatų galiojimo trukmės, atsižvelgdamos į atitinkamo IRT produkto gyvavimo ciklą. Galiojimo trukmė neturėtų viršyti penkerių metų. Nacionalinės kibernetinio saugumo sertifikavimo institucijos turėtų siekti suderinti galiojimo trukmę Sąjungoje; |
(15) |
jei esamo EKSSS sertifikato taikymo sritis susiaurinama, sertifikatas panaikinamas ir turėtų būti išduodamas naujas sertifikatas, kurio taikymo sritis būtų nauja, siekiant užtikrinti, kad naudotojai būtų aiškiai informuojami apie esamą konkretaus IRT produkto sertifikato taikymo sritį ir saugumo užtikrinimo lygį; |
(16) |
apsaugos profilių sertifikavimas skiriasi nuo IRT produktų sertifikavimo, nes jis susijęs su IRT procesu. Kadangi apsaugos profilis apima IRT produktų kategoriją, jo vertinimo ir sertifikavimo negalima atlikti remiantis vienu IRT produktu. Kadangi apsaugos profiliu suvienodinami bendrieji saugumo reikalavimai, susiję su tam tikros kategorijos IRT produktais, ir nepriklausomai nuo to, kaip IRT produktą viešai pateikia jo pardavėjas, apsaugos profiliui skirto EKSSS sertifikato galiojimo laikotarpis iš esmės turėtų būti ne trumpesnis kaip pernkeri metai ir gali trukti visą apsaugos profilio naudojimo laikotarpį; |
(17) |
atitikties vertinimo įstaiga apibrėžiama kaip įstaiga, atliekanti atitikties vertinimo veiklą, įskaitant kalibravimą, bandymus, sertifikavimą ir tikrinimą. Siekiant užtikrinti aukštą paslaugų kokybę, šiame reglamente nurodoma, kad, viena vertus, bandymų veiklą ir, kita vertus, sertifikavimo ir tikrinimo veiklą turėtų vykdyti nepriklausomai vienas nuo kito veikiantys subjektai, t. y. atitinkamai informacinių technologijų saugumo vertinimo įstaigos (ITSVĮ) ir sertifikavimo įstaigos. Abiejų rūšių atitikties vertinimo įstaigos turėtų būti akredituotos, o tam tikrais atvejais ir įgaliotos; |
(18) |
nacionalinė akreditacijos įstaiga pagal standartą ISO/IEC 17065 turėtų akredituoti sertifikavimo įstaigą dėl pakankamai aukšto ir aukšto saugumo užtikrinimo lygio. Be akreditavimo pagal Reglamentą (ES) 2019/881, kartu su Reglamentu (EB) Nr. 765/2008, atitikties vertinimo įstaigos turėtų atitikti konkrečius reikalavimus, kad būtų užtikrinta jų techninė kompetencija vertinti kibernetinio saugumo reikalavimus pagal aukštą EKSSS saugumo užtikrinimo lygį, kuris patvirtinamas įgaliojimu. Siekdama padėti vykdyti įgaliojimų suteikimo procesą, ENISA turėtų parengti atitinkamus naujausius dokumentus ir Europos kibernetinio saugumo sertifikavimo grupei juos patvirtinus, juos paskelbti; |
(19) |
ITSVĮ techninė kompetencija turėtų būti vertinama akredituojant bandymų laboratoriją pagal standartą ISO/IEC 17025, papildant jį standartu ISO/IEC 23532-1, taikomu visai vertinimo veiklai, kuri yra susijusi su saugumo užtikrinimo lygiu ir nurodyta standarte ISO/IEC 18045, taikomame kartu su standartu ISO/IEC 15408. Tiek sertifikavimo įstaiga, tiek ITSVĮ turėtų sukurti ir prižiūrėti tinkamą darbuotojų kompetencijos valdymo sistemą, grindžiamą standartu ISO/IEC 19896-1, taikomu kompetencijos elementams ir lygiams ir kompetencijos vertinimui. Vertintojų žinioms, įgūdžiams, patirčiai ir išsilavinimo lygiui taikytini reikalavimai turėtų būti grindžiami standartu ISO/IEC 19896-3. Turėtų būti parodyta, kad yra lygiaverčių su nukrypimais nuo tokių kompetencijos valdymo sistemų susijusių nuostatų ir priemonių, atitinkančių sistemos tikslus; |
(20) |
kad ITSVĮ būtų įgaliota, ji turėtų įrodyti savo gebėjimą nustatyti, ar nėra žinomų pažeidžiamumų, ar tinkamai ir nuosekliai diegiamos pažangiausios konkrečios technologijos saugumo funkcinės galimybės ir ar tikslinis IRT produktas yra atsparus aukšto lygio įgūdžius turinčių subjektų vykdomiems išpuoliams. Be to, kad būtų įgaliota techninėje srityje „Lustinės kortelės ir panašios priemonės“, ITSVĮ taip pat turėtų įrodyti, kad turi techninius gebėjimus, būtinus vertinimo veiklai ir susijusioms užduotims atlikti, kaip apibrėžta bendrųjų kriterijų lydimajame dokumente „Minimum ITSVĮ requirements for security evaluations of smart cards and similar devices“ (3) (liet. „ITSVĮ keliami minimalieji lustinių kortelių ir panašių prietaisų saugumo vertinimų reikalavimai“). Kad būtų įgaliota techninėje srityje „Aparatinės įrangos įtaisai su apsauginėmis dėžėmis“, ITSVĮ taip pat turėtų įrodyti, kad atitinka minimaliuosius techninius reikalavimus, būtinus su apsaugines dėžes turinčiais aparatinės įrangos įtaisais susijusiai vertinimo veiklai ir užduotims atlikti, kaip rekomendavo EKSSG. Atsižvelgiant į minimaliuosius reikalavimus, ITSVĮ turėtų būti pajėgi vykdyti įvairių rūšių išpuolius, nurodytus bendrųjų kriterijų lydinčiame dokumente „Application of Attack Potential to Hardware Devices with Security Boxes“ (liet. „Išpuolių potencialo taikymas aparatinės įrangos įtaisams su apsauginėmis dėžėmis“. Šie pajėgumai apima vertintojo žinias ir įgūdžius, įrangą ir vertinimo metodus, reikalingus įvairių rūšių išpuoliams nustatyti ir įvertinti; |
(21) |
nacionalinė kibernetinio saugumo sertifikavimo institucija turėtų stebėti, kaip sertifikavimo įstaigos, ITSVĮ ir sertifikatų turėtojai laikosi savo pareigų pagal šį reglamentą ir Reglamentą (ES) 2019/881. Šiuo tikslu nacionalinė kibernetinio saugumo sertifikavimo institucija turėtų naudotis visais tinkamais informacijos šaltiniais, įskaitant informaciją, gautą iš sertifikavimo proceso dalyvių ir savo tyrimų; |
(22) |
sertifikavimo įstaigos turėtų bendradarbiauti su atitinkamomis rinkos priežiūros institucijomis ir atsižvelgti į bet kokią informaciją apie pažeidžiamumus, kuri galėtų būti svarbi IRT produktų, kuriems jos išdavė sertifikatus, atveju. Sertifikavimo įstaigos turėtų stebėti jų sertifikuotus apsaugos profilius, kad galėtų nustatyti, ar IRT produktų kategorijai nustatyti saugumo reikalavimai ir toliau atitinka naujausius grėsmių padėties pokyčius; |
(23) |
remdamos atitikties stebėseną, nacionalinės kibernetinio saugumo sertifikavimo institucijos turėtų bendradarbiauti su atitinkamomis rinkos priežiūros institucijomis pagal Europos Parlamento ir Tarybos reglamento (ES) 2019/881 58 straipsnį ir Europos Parlamento ir Tarybos reglamentą (ES) 2019/1020 (4). Sąjungos ekonominės veiklos vykdytojai privalo dalytis informacija ir bendradarbiauti su rinkos priežiūros institucijomis pagal Reglamento (ES) 2019/1020 4 straipsnio 3 dalį; |
(24) |
sertifikavimo įstaigos turėtų stebėti, ar sertifikato turėtojai laikosi reikalavimų ir ar visi pagal EKSSS išduoti sertifikatai atitinka reikalavimus. Vykdant stebėseną turėtų būti užtikrinta, kad visos vertinimo ataskaitos, kurias pateikia ITSVĮ, ir jose padarytos išvados, taip pat vertinimo kriterijai ir metodai būtų nuosekliai ir teisingai taikomi visai sertifikavimo veiklai; |
(25) |
nustačius galimas neatitikties problemas, kurios daro poveikį sertifikuotam IRT produktui, svarbu užtikrinti proporcingą atsaką. Todėl sertifikatų galiojimas gali būti sustabdytas. Sustabdymas turėtų apimti tam tikrus apribojimus, susijusius su atitinkamo IRT produkto pardavimo skatinimu ir naudojimu, tačiau neturėtų daryti poveikio sertifikato galiojimui. ES sertifikato turėtojas turėtų pranešti apie sustabdymą susijusių IRT produktų pirkėjams, o atitinkama nacionalinė kibernetinio saugumo sertifikavimo institucija turėtų pranešti atitinkamoms rinkos priežiūros institucijoms. Siekdama informuoti visuomenę, ENISA turėtų paskelbti informaciją apie sustabdymą tam skirtoje interneto svetainėje; |
(26) |
EKSSS sertifikato turėtojas turėtų įdiegti būtinas pažeidžiamumų valdymo procedūras ir užtikrinti, kad tos procedūros būtų integruotos į jo organizaciją. Sužinojęs apie galimą pažeidžiamumą, EKSSS sertifikato turėtojas turėtų atlikti pažeidžiamumo poveikio analizę. Jei pažeidžiamumo poveikio analizės rezultatais patvirtinama, kad pažeidžiamumu gali būti pasinaudota, sertifikato turėtojas turėtų nusiųsti vertinimo ataskaitą sertifikavimo įstaigai, kuri savo ruožtu turėtų informuoti nacionalinę kibernetinio saugumo sertifikavimo instituciją. Ataskaitoje turėtų būti pateikta informacija apie pažeidžiamumo poveikį, būtinus pakeitimus ar taisomuosius sprendimus, kurių reikia imtis, įskaitant galimus platesnius pažeidžiamumo padarinius, taip pat taisomuosius sprendimus, skirtus kitiems produktams. Prireikus pažeidžiamumų atskleidimo procedūra turėtų būti papildyta standartu EN ISO/IEC 29147; |
(27) |
sertifikavimo tikslais atitikties vertinimo įstaigos ir nacionalinės kibernetinio saugumo sertifikavimo institucijos gauna konfidencialius ir neskelbtinus duomenis bei verslo paslaptis, be kita ko, susijusius su intelektine nuosavybe arba atitikties stebėsena, kuriuos reikia tinkamai apsaugoti. Todėl jos turėtų turėti reikiamos techninės kompetencijos ir žinių ir turėtų sukurti ir įdiegti informacijos apsaugos sistemas. Informacijos apsaugos reikalavimų ir sąlygų turėtų būti laikomasi ir akreditacijos, ir įgaliojimo tikslais; |
(28) |
ENISA turėtų pateikti sertifikuotų apsaugos profilių sąrašą savo kibernetinio saugumo sertifikavimo svetainėje ir nurodyti jų statusą, kaip reikalaujama pagal Reglamentą (ES) 2019/881; |
(29) |
šiame reglamente nustatomos tarpusavio pripažinimo susitarimų su trečiosiomis šalimis sąlygos. Tokie tarpusavio pripažinimo susitarimai gali būti dvišaliai arba daugiašaliai ir turėtų pakeisti panašius šiuo metu galiojančius susitarimus. Siekdamos palengvinti sklandų perėjimą prie tokių tarpusavio pripažinimo susitarimų, valstybės narės gali ribotą laikotarpį toliau taikyti galiojančius bendradarbiavimo susitarimus su trečiosiomis šalimis; |
(30) |
sertifikavimo įstaigos, išduodančios EKSSS sertifikatus, kuriuose nurodomas aukštas saugumo užtikrinimo lygis, ir atitinkamos susijusios ITSVĮ turėtų atlikti tarpusavio vertinimus. Tarpusavio vertinimų tikslas turėtų būti nustatyti, ar tarpusavio vertinimu įvertintos sertifikavimo įstaigos struktūra ir procedūros ir toliau atitinka EKSSS reikalavimus. Tarpusavio vertinimai skiriasi nuo nacionalinių kibernetinio saugumo sertifikavimo institucijų tarpusavio peržiūrų, numatytų Reglamento (ES) 2019/881 59 straipsnyje. Tarpusavio vertinimai turėtų padėti įsitikinti, kad sertifikavimo įstaigos dirba suderintai ir užtikrina vienodą sertifikatų kokybę, taip pat nustatyti visas galimas sertifikavimo įstaigų veiklos stiprybes ar silpnybes, be kita ko, siekiant dalytis geriausios praktikos pavyzdžiais. Kadangi sertifikavimo įstaigos yra skirtingų rūšių, turėtų būti leidžiama atlikti skirtingų rūšių tarpusavio vertinimą. Sudėtingesniais atvejais, pavyzdžiui, kai sertifikavimo įstaigos išduoda skirtingų AVA_VAN lygių sertifikatus, gali būti taikomi skirtingų rūšių tarpusavio vertinimai, jei laikomasi visų reikalavimų; |
(31) |
Europos kibernetinio saugumo sertifikavimo grupė turėtų atlikti svarbų vaidmenį prižiūrint schemą. Tai turėtų būti daroma, inter alia, bendradarbiaujant su privačiuoju sektoriumi, kuriant specializuotus pogrupius ir atliekant atitinkamą parengiamąjį darbą bei teikiant pagalbą, kurios prašo Komisija. Europos kibernetinio saugumo sertifikavimo grupė atlieka svarbų vaidmenį tvirtinant naujausius dokumentus. Tvirtinant ir priimant naujausius dokumentus turėtų būti tinkamai atsižvelgiama į Reglamento (ES) 2019/881 54 straipsnio 1 dalies c punkte nurodytus elementus. Techninės sritys ir naujausi dokumentai turėtų būti paskelbti šio reglamento I priede. Apsaugos profiliai, kurie buvo patvirtinti kaip naujausi dokumentai, turėtų būti skelbiami II priede. Siekdama užtikrinti, kad šie priedai būtų dinamiški, Komisija gali juos iš dalies pakeisti Reglamento (ES) 2019/881 66 straipsnio 2 dalyje nustatyta tvarka ir atsižvelgdama į Europos kibernetinio saugumo sertifikavimo grupės nuomonę. III priede pateikiami rekomenduojami apsaugos profiliai, kurie šio reglamento įsigaliojimo metu nėra naujausi dokumentai. Jie turėtų būti skelbiami Reglamento (ES) 2019/881 50 straipsnio 1 dalyje nurodytoje ENISA interneto svetainėje; |
(32) |
šis reglamentas turėtų būti pradėtas taikyti praėjus 12 mėnesiams nuo jo įsigaliojimo. IV skyriaus ir V priedo reikalavimų atveju nereikia pereinamojo laikotarpio, todėl juos turėtų būti pradėta taikyti nuo šio reglamento įsigaliojimo dienos; |
(33) |
šiame reglamente nustatytos priemonės atitinka Reglamento (ES) 2019/881 66 straipsniu įsteigto Europos kibernetinio saugumo sertifikavimo komiteto nuomonę, |
PRIĖMĖ ŠĮ REGLAMENTĄ:
I SKYRIUS
BENDROSIOS NUOSTATOS
1 straipsnis
Dalykas ir taikymo sritis
Šiuo reglamentu nustatoma bendraisiais kriterijais grindžiama Europos kibernetinio saugumo sertifikavimo schema (EKSSS).
Šis reglamentas taikomas visiems informacinių ir ryšių technologijų (IRT) produktams, įskaitant jų dokumentus, kurie pateikiami sertifikuoti pagal EKSSS, ir visiems apsaugos profiliams, kurie pateikiami sertifikuoti vykdant IRT procesą, per kurį sertifikuojami IRT produktai.
2 straipsnis
Terminų apibrėžtys
Šiame reglamente vartojamų terminų apibrėžtys:
1) |
bendrieji kriterijai – bendrieji informacinių technologijų saugumo vertinimo kriterijai, nustatyti ISO standarte ISO/IEC 15408; |
2) |
bendra vertinimo metodika – bendra informacinių technologijų saugumo vertinimo metodika, nustatyta ISO/IEC standarte ISO/IEC 18045; |
3) |
vertinimo objektas – IRT produktas ar jo dalis arba apsaugos profilis, kuris yra IRT proceso dalis, ir kuriam taikomas kibernetinio saugumo vertinimas siekiant gauti EKSSS sertifikatą; |
4) |
saugumo uždavinys – pareiškimas dėl konkretaus IRT produkto saugumo reikalavimų, priklausomų nuo įgyvendinimo; |
5) |
apsaugos profilis – IRT procesas, kuriuo nustatomi konkrečios kategorijos IRT produktų saugumo reikalavimai ir kuriuo tenkinami nuo įgyvendinimo nepriklausomi saugumo poreikiai bei kuris gali būti taikomas sertifikavimo tikslu vertinant tai konkrečiai kategorijai priskiriamus IRT produktus; |
6) |
techninė vertinimo ataskaita – ITSVĮ parengtas dokumentas, kuriame pateikiamos išvados, sprendimai ir pagrindimai, gauti vertinant IRT produktą arba apsaugos profilį pagal šiame reglamente nustatytas taisykles ir pareigas; |
7) |
ITSVĮ – informacinių technologijų saugumo vertinimo įstaiga, kuri yra Reglamento (EB) Nr. 765/2008 2 straipsnio 13 punkte apibrėžta atitikties vertinimo įstaiga, atliekanti vertinimo užduotis; |
8) |
AVA_VAN lygis – saugumo užtikrinimo pažeidžiamumo analizės lygis, rodantis kibernetinio saugumo vertinimo veiklos, vykdomos siekiant nustatyti atsparumo galimam pasinaudojimui vertinimo objekto trūkumais ar silpnybėmis jo operacinėje aplinkoje, lygį, kaip nustatyta bendruosiuose kriterijuose; |
9) |
EKSSS sertifikatas – kibernetinio saugumo sertifikatas, pagal EKSSS išduotas IRT produktams arba apsaugos profiliams, kurie gali būti naudojami tik IRT procese sertifikuojant IRT produktus; |
10) |
sudėtinis produktas – IRT produktas, vertinamas kartu su kitu pagrindiniu IRT produktu, kuriam jau išduotas EKSSS sertifikatas ir nuo kurio saugumo funkcinių galimybių priklauso sudėtinis IRT produktas; |
11) |
nacionalinė kibernetinio saugumo sertifikavimo institucija – valstybės narės pagal Reglamento (ES) 2019/881 58 straipsnio 1 dalį paskirta institucija; |
12) |
sertifikavimo įstaiga – atitikties vertinimo įstaiga, kaip apibrėžta Reglamento (EB) Nr. 765/2008 2 straipsnio 13 punkte, kuri vykdo sertifikavimo veiklą; |
13) |
techninė sritis – su konkrečia technologija susijusi suderinto sertifikavimo bendra techninė sistema su būdingais saugumo reikalavimais; |
14) |
naujausias dokumentas – dokumentas, kuriame nurodomi vertinimo metodai, būdai ir priemonės, taikomi sertifikuojant IRT produktus, arba bendrosios IRT produktų kategorijos saugumo reikalavimai arba bet kokie kiti sertifikavimui būtini reikalavimai, siekiant suderinti vertinimą, visų pirma techninių sričių arba apsaugos profilių vertinimą; |
15) |
rinkos priežiūros institucija – institucija, apibrėžta Reglamento (ES) 2019/1020 3 straipsnio 4 dalyje. |
3 straipsnis
Vertinimo standartai
Pagal EKSSS schemą atliekamiems vertinimams taikomi šie standartai:
a) |
bendrieji kriterijai; |
b) |
bendra vertinimo metodika. |
4 straipsnis
Saugumo užtikrinimo lygiai
1. Sertifikavimo įstaigos išduoda EKSSS sertifikatus, kuriuose nurodomas pakankamai aukštas arba aukštas saugumo užtikrinimo lygis.
2. EKSSS sertifikatai, kuriuose nurodomas pakankamai aukštas saugumo užtikrinimo lygis, atitinka sertifikatus, kuriuose nurodomas AVA_VAN 1 arba 2 lygis.
3. Aukšto saugumo užtikrinimo lygio EKSSS sertifikatai, kuriuose nurodomas aukštas saugumo užtikrinimo lygis, atitinka sertifikatus, kuriuose nurodomas AVA_VAN 3, 4 arba 5 lygis.
4. EKSSS sertifikate patvirtintas saugumo užtikrinimo lygis atskiriamas pagal reikalavimus atitinkantį ir padidintą užtikrinimo komponentų naudojimą, kaip nurodyta bendruosiuose kriterijuose pagal VIII priedą.
5. Atitikties vertinimo įstaigos taiko tuos užtikrinimo komponentus, nuo kurių priklauso pasirinktas AVA_VAN lygis, laikydamosi 3 straipsnyje nurodytų standartų.
5 straipsnis
IRT produktų sertifikavimo metodai
1. IRT produktas sertifikuojamas atsižvelgiant į su juo susijusį saugumo uždavinį:
a) |
kaip apibrėžė pareiškėjas, arba |
b) |
įtraukiant sertifikuotą apsaugos profilį į IRT procesą, kai IRT produktas patenka į IRT produktų kategoriją, kuriai tas apsaugos profilis taikomas. |
2. Apsaugos profiliai sertifikuojami tik siekiant sertifikuoti IRT produktus, priklausančius konkrečiai IRT produktų kategorijai, kuriai apsaugos profilis taikomas.
6 straipsnis
Savarankiškas atitikties vertinimas
Neleidžiama atlikti savarankiško atitikties vertinimo, kaip apibrėžta Reglamento (ES) 2019/881 53 straipsnyje.
II SKYRIUS
IRT PRODUKTŲ SERTIFIKAVIMAS
I SKIRSNIS
Specialieji vertinimo standartai ir reikalavimai
7 straipsnis
IRT produktų vertinimo kriterijai ir metodai
1. Sertifikavimui pateiktas IRT produktas vertinamas bent pagal:
a) |
taikytinus 3 straipsnyje nurodytų standartų elementus; |
b) |
saugumo užtikrinimo reikalavimų klases, taikomas pažeidžiamumo vertinimo ir nepriklausomo funkcinio bandymo atvejais, kaip nustatyta 3 straipsnyje nurodytuose vertinimo standartuose; |
c) |
rizikos, susijusios su numatyta atitinkamų IRT produktų paskirtimi pagal Reglamento (ES) 2019/881 52 straipsnį ir jų saugumo funkcijomis, kuriomis padedama siekti Reglamento (ES) 2019/881 51 straipsnyje nustatytų saugumo tikslų, lygį; |
d) |
I priede išvardytus taikytinus naujausius dokumentus, ir |
e) |
II priede išvardytus taikytinus sertifikuotus apsaugos profilius. |
2. Išimtiniais ir tinkamai pagrįstais atvejais atitikties vertinimo įstaiga gali prašyti netaikyti atitinkamo naujausio dokumento. Tokiais atvejais atitikties vertinimo įstaiga informuoja nacionalinę kibernetinio saugumo sertifikavimo instituciją ir pateikia tinkamai pagrįstą savo prašymo pagrindimą. Nacionalinė kibernetinio saugumo sertifikavimo institucija įvertina išimties pagrindimą ir, jei ji pagrįsta, ją patvirtina. Atitikties vertinimo įstaiga sertifikatą išduoda tik po to, kai nacionalinė kibernetinio saugumo sertifikavimo institucija priima sprendimą. Nacionalinė kibernetinio saugumo sertifikavimo institucija nepagrįstai nedelsdama praneša apie patvirtintą išimtį Europos kibernetinio saugumo sertifikavimo grupei, kuri gali pateikti nuomonę. Nacionalinė kibernetinio saugumo sertifikavimo institucija kuo labiau atsižvelgia į Europos kibernetinio saugumo sertifikavimo grupės nuomonę.
3. IRT produktų sertifikavimas AVA_VAN 4 arba 5 lygiu galimas tik šiais atvejais:
a) |
jei IRT produktas priklauso kuriai nors I priede nurodytai techninei sričiai, jis vertinamas pagal taikytinus naujausius tų techninių sričių dokumentus, |
b) |
jei IRT produktas priskiriamas prie IRT produktų, kuriems taikomas sertifikuotas apsaugos profilis, apimantis AVA_VAN 4 arba 5 lygius, ir kuris II priede nurodytas kaip naujausias apsaugos profilis, jis vertinamas pagal tam apsaugos profiliui taikomą vertinimo metodiką, |
c) |
jei šios dalies a ir b punktai netaikomi ir jei techninės srities įtraukimas į I priedą arba sertifikuoto apsaugos profilio įtraukimas į II priedą artimiausioje ateityje mažai tikėtinas, ir tik išimtiniais ir tinkamai pagrįstais atvejais, laikantis 4 dalyje nustatytų sąlygų. |
4. Jei atitikties vertinimo įstaiga mano, kad jai galioja 3 dalies c punkte nurodytas išimtinis ir tinkamai pagrįstas atvejis, ji apie numatomą sertifikavimą praneša nacionalinei kibernetinio saugumo sertifikavimo institucijai ir pateikia pagrindimą bei siūlomą vertinimo metodiką. Nacionalinė kibernetinio saugumo sertifikavimo institucija įvertina išimties pagrindimą ir pagrįstais atvejais patvirtina arba iš dalies pakeičia atitikties vertinimo įstaigos taikytiną vertinimo metodiką. Atitikties vertinimo įstaiga sertifikatą išduoda tik po to, kai nacionalinė kibernetinio saugumo sertifikavimo institucija priima sprendimą. Nacionalinė kibernetinio saugumo sertifikavimo institucija nepagrįstai nedelsdama praneša apie numatomą sertifikavimą Europos kibernetinio saugumo sertifikavimo grupei, kuri gali pateikti nuomonę. Nacionalinė kibernetinio saugumo sertifikavimo institucija kuo labiau atsižvelgia į Europos kibernetinio saugumo sertifikavimo grupės nuomonę.
5. Jei pagal atitinkamus naujausius dokumentus IRT produktas vertinamas kaip sudėtinis produktas, pagrindinio IRT produkto vertinimą atlikusi ITSVĮ dalijasi atitinkama informacija su sudėtinio IRT produkto vertinimą atliekančia ITSVĮ.
II SKIRSNIS
EKSSS sertifikatų išdavimas, atnaujinimas ir panaikinimas
8 straipsnis
Sertifikavimui reikalinga informacija
1. Pareiškėjas, siekiantis gauti sertifikatą pagal EKSSS, pateikia sertifikavimo įstaigai ir ITSVĮ visą sertifikavimo veiklai būtiną informaciją arba kitaip sudaro sąlygas su ja susipažinti.
2. 1 dalyje nurodyta informacija apima visus susijusius įrodymus pagal pasirinktam saugumo užtikrinimo lygiui ir susijusiems saugumo užtikrinimo reikalavimams taikomų bendrųjų kriterijų ir bendros vertinimo metodikos skirsnius „Kūrėjo veiksmų elementai“ tinkamu formatu, nustatytu skirsniuose „Įrodymo elemento turinys ir pateikimas“. Prireikus įrodymai apima išsamią informaciją apie IRT produktą ir jo pirminį kodą pagal šį reglamentą, taikant apsaugos nuo neteisėto atskleidimo priemones.
3. Pareiškėjai, siekiantys gauti sertifikatą, gali pateikti sertifikavimo įstaigai ir ITSVĮ atitinkamus vertinimo rezultatus, gautus atlikus ankstesnį sertifikavimą pagal:
a) |
šį reglamentą; |
b) |
kitą Europos kibernetinio saugumo sertifikavimo schemą, priimtą pagal Reglamento (ES) 2019/881 49 straipsnį; |
c) |
šio reglamento 49 straipsnyje nurodytą nacionalinę schemą. |
4. Jei vertinimo rezultatai yra susiję su ITSVĮ užduotimis, ITSVĮ gali pakartotinai naudoti vertinimo rezultatus, jei tokie rezultatai atitinka taikomus reikalavimus ir yra patvirtintas jų autentiškumas.
5. Jei sertifikavimo įstaiga leidžia produktui taikyti sudėtinio produkto sertifikavimą, pareiškėjas, siekiantis gauti sertifikatą, pateikia sertifikavimo įstaigai ir ITSVĮ visą būtiną informaciją, kai taikoma, pagal naujausią dokumentą.
6. Pareiškėjai sertifikavimo įstaigai ir ITSVĮ taip pat pateikia šią informaciją:
a) |
nuorodą į savo interneto svetainę, kurioje pateikiama Reglamento (ES) 2019/881 55 straipsnyje nurodyta papildoma kibernetinio saugumo informacija; |
b) |
pareiškėjo pažeidžiamumų valdymo ir atskleidimo procedūrų aprašymą. |
7. Visus šiame straipsnyje nurodytus atitinkamus dokumentus sertifikavimo įstaiga, ITSVĮ ir pareiškėjas saugo penkerius metus nuo sertifikato galiojimo pabaigos.
9 straipsnis
EKSSS sertifikato išdavimo sąlygos
1. Sertifikavimo įstaigos išduoda EKSSS sertifikatą, jei tenkinamos visos šios sąlygos:
a) |
IRT produkto kategorija patenka į sertifikavimo įstaigos ir sertifikavimo procese dalyvaujančios ITSVĮ suteikiamos akreditacijos ir, kai taikytina, įgaliojimo taikymo sritį; |
b) |
Pareiškėjas, siekiantis gauti sertifikatą, pasirašė pareiškimą, kuriuo prisiima visus 2 dalyje išvardytus įsipareigojimus; |
c) |
ITSVĮ be prieštaravimų užbaigė vertinimą pagal 3 ir 7 straipsniuose nurodytus vertinimo standartus, kriterijus ir metodus; |
d) |
sertifikavimo įstaiga be prieštaravimų užbaigė vertinimo rezultatų peržiūrą; |
e) |
sertifikavimo įstaiga patikrino, ar ITSVĮ pateiktos techninės vertinimo ataskaitos atitinka pateiktus įrodymus ir ar buvo tinkamai taikomi 3 ir 7 straipsniuose nurodyti vertinimo standartai, kriterijai ir metodai. |
2. Pareiškėjas, siekiantis gauti sertifikatą, prisiima šiuos įsipareigojimus:
a) |
pateikti sertifikavimo įstaigai ir ITSVĮ visą būtiną išsamią ir teisingą informaciją ir paprašius pateikti būtiną papildomą informaciją; |
b) |
nereklamuoti IRT produkto kaip pagal EKSSS sertifikuojamo produkto, kol bus išduotas EKSSS sertifikatas; |
c) |
reklamuoti IRT produktą kaip sertifikuotą tik EKSSS sertifikate nustatytos taikymo srities atžvilgiu; |
d) |
nedelsiant nustoti reklamuoti IRT produktą kaip sertifikuotą tuo atveju, kai EKSSS sertifikato galiojimas laikinai sustabdomas, sertifikatas panaikinamas arba nustoja galioti; |
e) |
užtikrinti, kad IRT produktai, parduodami nurodant EKSSS sertifikatą, būtų visiškai tapatūs IRT produktui, kuriam taikomas sertifikavimas; |
f) |
laikytis EKSSS sertifikatui pagal 11 straipsnį nustatytų ženklo ir etiketės naudojimo taisyklių. |
3. Jei pagal atitinkamus naujausius dokumentus IRT produktas sertifikuojamas kaip sudėtinis produktas, pagrindinio IRT produkto sertifikavimą atlikusi sertifikavimo įstaiga dalijasi atitinkama informacija su sudėtinio IRT produkto sertifikavimą atliekančia sertifikavimo įstaiga.
10 straipsnis
EKSSS sertifikato turinys ir formatas
1. EKSSS sertifikate pateikiama bent VII priede nurodyta informacija.
2. EKSSS sertifikate arba sertifikavimo ataskaitoje nedviprasmiškai apibrėžiama sertifikuoto IRT produkto taikymo sritis ir ribos, nurodant, ar sertifikuotas visas IRT produktas, ar tik jo dalys.
3. Sertifikavimo įstaiga pateikia pareiškėjui EKSSS sertifikatą bent elektronine forma.
4. Sertifikavimo įstaiga pagal V priedą parengia kiekvieno jos išduodamo EKSSS sertifikato sertifikavimo ataskaitą. Sertifikavimo ataskaita grindžiama ITSVĮ parengta technine vertinimo ataskaita. Techninėje vertinimo ataskaitoje ir sertifikavimo ataskaitoje nurodomi konkretūs 7 straipsnyje minimi vertinimo kriterijai ir metodai, taikyti atliekant vertinimą.
5. Sertifikavimo įstaiga nacionalinei kibernetinio saugumo sertifikavimo institucijai ir ENISA pateikia kiekvieną EKSSS sertifikatą ir kiekvieną sertifikavimo ataskaitą elektronine forma.
11 straipsnis
Ženklas ir etiketė
1. Sertifikato turėtojas gali paženklinti sertifikuotą IRT produktą ženklu ir etikete. Ženklu ir etikete įrodoma, kad IRT produktas yra sertifikuotas pagal šį reglamentą. Ženklas ir etiketė pritvirtinami pagal šį straipsnį ir IX priedą.
2. Ženklas ir etiketė pritvirtinami prie sertifikuoto IRT produkto arba jo duomenų plokštelės taip, kad jie būtų matomi, įskaitomi ir nenutrinami. Jeigu taip ženklinti produktą neįmanoma arba negalima dėl jo pobūdžio, ženklu ir etikete ženklinama pakuotė ir lydimieji dokumentai. Jei sertifikuotas IRT produktas pristatomas kaip programinė įranga, ženklas ir etiketė pateikiami lydimuosiuose dokumentuose taip, kad būtų matomi, įskaitomi ir nenutrinami, arba tie dokumentai naudotojams turi būti lengvai ir tiesiogiai prieinami interneto svetainėje.
3. Ženklas ir etiketė nustatomi taip, kaip nustatyta IX priede, ir juose nurodoma:
a) |
sertifikuoto IRT produkto saugumo užtikrinimo lygis ir AVA_VAN lygis; |
b) |
unikalus sertifikato identifikavimo kodas, kurį sudaro:
|
4. Prie ženklo ir etiketės pridedamas QR kodas su nuoroda į interneto svetainę, kurioje pateikiama bent ši informacija:
a) |
informacija apie sertifikato galiojimą; |
b) |
būtina sertifikavimo informacija, nurodyta V ir VII prieduose; |
c) |
informacija, kurią sertifikato turėtojas turi viešai paskelbti pagal Reglamento (ES) 2019/881 55 straipsnį, ir |
d) |
kai taikytina, istorinė informacija, susijusi su konkrečiu IRT produkto sertifikatu ar sertifikatais, kad būtų galima jį atsekti. |
12 straipsnis
EKSSS sertifikato galiojimo laikotarpis
1. Sertifikavimo įstaiga nustato kiekvieno išduoto EKSSS sertifikato galiojimo laikotarpį, atsižvelgdama į sertifikuoto IRT produkto charakteristikas.
2. EKSSS sertifikatas galioja ne ilgiau kaip penkerius metus.
3. Nukrypstant nuo 2 dalies, tas laikotarpis gali būti ilgesnis kaip penkeri metai, jei tam iš anksto pritaria nacionalinė kibernetinio saugumo sertifikavimo institucija. Nacionalinė kibernetinio saugumo sertifikavimo institucija nepagrįstai nedelsdama praneša Europos kibernetinio saugumo sertifikavimo grupei apie suteiktą pritarimą.
13 straipsnis
EKSSS sertifikato peržiūra
1. Sertifikato turėtojo prašymu arba dėl kitų pagrįstų priežasčių sertifikavimo įstaiga gali nuspręsti peržiūrėti IRT produkto EKSSS sertifikatą. Peržiūra atliekama pagal IV priedą. Peržiūros apimtį nustato sertifikavimo įstaiga. Jei tai būtina peržiūrai atlikti, sertifikavimo įstaiga paprašo ITSVĮ atlikti pakartotinį sertifikuoto IRT produkto vertinimą.
2. Remdamasi peržiūros ir, kai taikytina, pakartotinio vertinimo rezultatais, sertifikavimo įstaiga:
a) |
patvirtina EKSSS sertifikatą; |
b) |
panaikina EKSSS sertifikatą pagal 14 straipsnį; |
c) |
panaikina EKSSS sertifikatą pagal 14 straipsnį ir išduoda naują vienodos taikymo srities ir pratęsto galiojimo laikotarpio EKSSS sertifikatą, ir |
d) |
panaikina EKSSS sertifikatą pagal 14 straipsnį ir išduoti naują kitokios taikymo srities EKSSS sertifikatą. |
3. Sertifikavimo įstaiga gali nuspręsti nepagrįstai nedelsdama sustabdyti EKSSS sertifikato galiojimą pagal 30 straipsnį, kol EKSSS sertifikato turėtojas imsis taisomųjų veiksmų.
14 straipsnis
EKSSS sertifikato panaikinimas
1. Nepažeidžiant Reglamento (ES) 2019/881 58 straipsnio 8 dalies e punkto, EKSSS sertifikatą panaikina tą sertifikatą išdavusi sertifikavimo įstaiga.
2. 1 dalyje nurodyta sertifikavimo įstaiga praneša nacionalinei kibernetinio saugumo sertifikavimo institucijai apie sertifikato panaikinimą. Ji taip pat praneša ENISA apie tokį panaikinimą, kad palengvintų jos užduoties pagal Reglamento (ES) 2019/881 50 straipsnį vykdymą. Nacionalinė kibernetinio saugumo sertifikavimo institucija apie tai praneša kitoms atitinkamoms rinkos priežiūros institucijoms.
3. EKSSS sertifikato turėtojas gali prašyti panaikinti sertifikatą.
III SKYRIUS
APSAUGOS PROFILIŲ SERTIFIKAVIMAS
I SKIRSNIS
Specialieji Vertinimo Standartai Ir Reikalavimai
15 straipsnis
Vertinimo kriterijai ir metodai
1. Apsaugos profilis vertinamas bent pagal šiuos kriterijus:
a) |
taikytinus 3 straipsnyje nurodytų standartų elementus; |
b) |
rizikos, susijusios su numatyta atitinkamų IRT produktų paskirtimi pagal Reglamento (ES) 2019/881 52 straipsnį ir jų saugumo funkcijomis, kuriomis padedama siekti to reglamento 51 straipsnyje nustatytų saugumo tikslų, lygį, ir |
c) |
I priede išvardytus taikytinus naujausius dokumentus. Į techninę sritį įtrauktas apsaugos profilis sertifikuojamas pagal toje techninėje srityje nustatytus reikalavimus. |
2. Išimtiniais ir tinkamai pagrįstais atvejais atitikties vertinimo įstaiga gali sertifikuoti apsaugos profilį netaikydama atitinkamų naujausių dokumentų. Tokiais atvejais ji informuoja kompetentingą nacionalinę kibernetinio saugumo sertifikavimo instituciją ir pateikia numatomo sertifikavimo netaikant atitinkamų naujausios dokumentų ir siūlomos vertinimo metodikos pagrindimą. Nacionalinė kibernetinio saugumo sertifikavimo institucija įvertina pagrindimą ir, kai pagrįsta, patvirtina, kad atitinkami naujausi dokumentai netaikomi, ir prireikus patvirtina arba iš dalies pakeičia vertinimo metodiką, kurią turi taikyti atitikties vertinimo įstaiga. Atitikties vertinimo įstaiga apsaugos profilio sertifikatą išduoda tik po to, kai nacionalinė kibernetinio saugumo sertifikavimo institucija priima sprendimą. Nacionalinė kibernetinio saugumo sertifikavimo institucija nepagrįstai nedelsdama praneša apie leidimą netaikyti atitinkamų naujausių dokumentų Europos kibernetinio saugumo sertifikavimo grupei, kuri gali pateikti nuomonę. Nacionalinė kibernetinio saugumo sertifikavimo institucija kuo labiau atsižvelgia į Europos kibernetinio saugumo sertifikavimo grupės nuomonę.
II SKIRSNIS
Apsaugos profilių eksss sertifikatų išdavimas, atnaujinimas ir panaikinimas
16 straipsnis
Apsaugos profiliams sertifikuoti būtina informacija
Pareiškėjas, siekiantis gauti apsaugos profilio sertifikatą, pateikia sertifikavimo įstaigai ir ITSVĮ visą sertifikavimo veiklai būtiną informaciją arba kitaip sudaro sąlygas su ja susipažinti. Mutatis mutandis taikomos 8 straipsnio 2, 3, 4 ir 7 dalys.
17 straipsnis
Apsaugos profilių EKSSS sertifikatų išdavimas
1. Pareiškėjas, siekiantis gauti sertifikatą, sertifikavimo įstaigai ir ITSVĮ pateikia visą būtiną išsamią ir teisingą informaciją.
2. Mutatis mutandis taikomi 9 ir 10 straipsniai.
3. ITSVĮ įvertina, ar apsaugos profilis yra išsamus, nuoseklus, techniškai patikimas ir veiksmingas IRT produkto kategorijos, kuriai taikomas tas apsaugos profilis, numatytos paskirties ir saugumo tikslų atžvilgiu.
4. Apsaugos profilį sertifikuoja tik:
a) |
nacionalinė kibernetinio saugumo sertifikavimo institucija arba kita kaip sertifikavimo įstaiga akredituota viešoji įstaiga, arba |
b) |
sertifikavimo įstaiga, kiekvieno atskiro apsaugos profilio atveju gavusi išankstinį nacionalinės kibernetinio saugumo sertifikavimo institucijos patvirtinimą. |
18 straipsnis
Apsaugos profilio EKSSS sertifikato galiojimo laikotarpis
1. Sertifikavimo įstaiga nustato kiekvieno EKSSS sertifikato galiojimo laikotarpį.
2. Galiojimo laikotarpis gali trukti iki atitinkamo apsaugos profilio naudojimo trukmės pabaigos.
19 straipsnis
Apsaugos profilio EKSSS sertifikato peržiūra
1. Sertifikato turėtojo prašymu arba dėl kitų pagrįstų priežasčių sertifikavimo įstaiga gali nuspręsti peržiūrėti apsaugos profilio EKSSS sertifikatą. Peržiūra atliekama taikant 15 straipsnyje nustatytas sąlygas. Peržiūros apimtį nustato sertifikavimo įstaiga. Jei tai būtina peržiūrai atlikti, sertifikavimo įstaiga paprašo ITSVĮ atlikti pakartotinį sertifikuoto apsaugos profilio vertinimą.
2. Remdamasi peržiūros ir, kai taikytina, pakartotinio vertinimo rezultatais, sertifikavimo įstaiga:
a) |
patvirtina EKSSS sertifikatą; |
b) |
panaikina EKSSS sertifikatą pagal 20 straipsnį; |
c) |
panaikina EKSSS sertifikatą pagal 20 straipsnį ir išduoda naują vienodos taikymo srities ir pratęsto galiojimo laikotarpio EKSSS sertifikatą |
d) |
panaikina EKSSS sertifikatą pagal 20 straipsnį ir išduoda naują kitokios taikymo srities EKSSS sertifikatą. |
20 straipsnis
Apsaugos profilio EKSSS sertifikato panaikinimas
1. Nepažeidžiant Reglamento (ES) 2019/881 58 straipsnio 8 dalies e punkto, apsaugos profilio EKSSS sertifikatą panaikina sertifikavimo įstaiga, išdavusi tą sertifikatą. 14 straipsnis taikomas mutatis mutandis.
2. Pagal 17 straipsnio 4 dalies b punktą išduotą apsaugos profilio sertifikatą panaikina tą sertifikatą patvirtinusi nacionalinė kibernetinio saugumo sertifikavimo institucija.
IV SKYRIUS
ATITIKTIES VERTINIMO ĮSTAIGOS
21 straipsnis
Sertifikavimo įstaigai taikomi papildomi arba specialūs reikalavimai
1. Nacionalinė kibernetinio saugumo sertifikavimo institucija įgalioja sertifikavimo įstaigą išduoti EKSSS sertifikatus, kuriuose nurodomas aukštas saugumo užtikrinimo lygis, jei ta įstaiga ne tik atitinka Reglamento (ES) 2019/881 60 straipsnio 1 dalyje ir priede nustatytus reikalavimus, susijusius su atitikties vertinimo įstaigų akreditavimu, bet ir įrodo, kad ji:
a) |
turi ekspertinių žinių ir kompetencijos, kurių reikia priimant sprendimą dėl sertifikavimo, kuriame nurodomas aukštas saugumo užtikrinimo lygis; |
b) |
vykdo sertifikavimo veiklą bendradarbiaudama ITSVĮ, įgaliota pagal 22 straipsnį, ir |
c) |
ne tik atitinka 43 straipsnyje nustatytus reikalavimus, bet ir turi reikiamą kompetenciją bei taiko tinkamas technines ir operatyvines priemones, kad galėtų veiksmingai apsaugoti konfidencialią ir neskelbtiną informaciją, taip užtikrinant aukštą saugumo užtikrinimo lygį. |
2. Nacionalinė kibernetinio saugumo sertifikavimo institucija įvertina, ar sertifikavimo įstaiga atitinka visus 1 dalyje nustatytus reikalavimus. Tas vertinimas apima bent struktūruotus pokalbius ir bent vieno bandomojo sertifikavimo įstaigos pagal šį reglamentą atliekamo sertifikavimo atvejo peržiūrą.
Atlikdama vertinimą nacionalinė kibernetinio saugumo sertifikavimo institucija gali pakartotinai naudoti visus tinkamus įrodymus, gautus pagal ankstesnį įgaliojimą arba vykdant panašią veiklą pagal:
a) |
šį reglamentą; |
b) |
kitą Europos kibernetinio saugumo sertifikavimo schemą, priimtą pagal Reglamento (ES) 2019/881 49 straipsnį; |
c) |
šio reglamento 49 straipsnyje nurodytą nacionalinę schemą. |
3. Nacionalinė kibernetinio saugumo sertifikavimo institucija parengia įgaliojimo ataskaitą, kuriai taikoma pagal Reglamento (ES) 2019/881 59 straipsnio 3 dalies d punktą atliekama tarpusavio peržiūra.
4. Nacionalinė kibernetinio saugumo sertifikavimo institucija nurodo IRT produktų kategorijas ir apsaugos profilius, kuriems taikomas įgaliojimas. Įgaliojimas galioja ne ilgiau nei akreditacija. Pateikus prašymą, jis gali būti pratęstas, jei sertifikavimo įstaiga vis dar atitinka šiame straipsnyje nustatytus reikalavimus. Norint atnaujinti įgaliojimą, bandomųjų vertinimų atlikti nereikia.
5. Nacionalinė kibernetinio saugumo sertifikavimo institucija panaikina sertifikavimo įstaigos įgaliojimą, jei ji nebeatitinka šiame straipsnyje nustatytų sąlygų. Panaikinus įgaliojimą, sertifikavimo įstaiga nedelsdama nustoja viešinti save kaip įgaliotąją sertifikavimo įstaigą.
22 straipsnis
ITSVĮ taikomi papildomi arba specialūs reikalavimai
1. Nacionalinė kibernetinio saugumo sertifikavimo institucija įgalioja ITSVĮ atlikti IRT produktų, kurie sertifikuojami nurodant aukštą saugumo užtikrinimo lygį, vertinimą, jei ITSVĮ ne tik atitinka Reglamento (ES) 2019/881 60 straipsnio 1 dalyje ir priede nustatytus reikalavimus, susijusius su atitikties vertinimo įstaigų akreditavimu, bet ir įrodo, kad ji atitinka visas toliau nurodytas sąlygas:
a) |
ji turi reikiamų ekspertinių žinių vertinimo veiklai atlikti, kad būtų galima nustatyti atsparumą naujausiomis technologijomis pagrįstiems kibernetiniams išpuoliams, kuriuos vykdo aukšto lygio įgūdžių ir daug išteklių turintys subjektai; |
b) |
techninių sričių ir apsaugos profilių, kurie yra tų IRT produktų IRT proceso dalis, atveju ji turi:
|
c) |
ne tik atitinka 43 straipsnyje nustatytus reikalavimus, bet ir turi reikiamą kompetenciją bei taiko tinkamas technines ir operatyvines priemones, kad galėtų veiksmingai apsaugoti konfidencialią ir neskelbtiną informaciją, taip užtikrinant aukštą saugumo užtikrinimo lygį. |
2. Nacionalinė kibernetinio saugumo sertifikavimo institucija įvertina, ar ITSVĮ atitinka visus 1 dalyje nustatytus reikalavimus. Tas vertinimas apima bent struktūruotus pokalbius ir bent vieno bandomojo pagal šį reglamentą ITSVĮ atliekamo vertinimo atvejo peržiūrą.
3. Atlikdama vertinimą nacionalinė kibernetinio saugumo sertifikavimo institucija gali pakartotinai naudoti visus tinkamus įrodymus, gautus pagal ankstesnį įgaliojimą arba vykdant panašią veiklą pagal:
a) |
šį reglamentą; |
b) |
kitą Europos kibernetinio saugumo sertifikavimo schemą, priimtą pagal Reglamento (ES) 2019/881 49 straipsnį; |
c) |
šio reglamento 49 straipsnyje nurodytą nacionalinę schemą. |
4. Nacionalinė kibernetinio saugumo sertifikavimo institucija parengia įgaliojimo ataskaitą, kuriai taikoma pagal Reglamento (ES) 2019/881 59 straipsnio 3 dalies d punktą atliekama tarpusavio peržiūra.
5. Nacionalinė kibernetinio saugumo sertifikavimo institucija nurodo IRT produktų kategorijas ir apsaugos profilius, kuriems taikomas įgaliojimas. Įgaliojimas galioja ne ilgiau nei akreditacija. Pateikus prašymą, jis gali būti pratęstas, jei ITSVĮ vis dar atitinka šiame straipsnyje nustatytus reikalavimus. Norint atnaujinti įgaliojimą neturėtų būti reikalaujama atlikti jokių bandomųjų vertinimų.
6. Nacionalinė kibernetinio saugumo sertifikavimo institucija panaikina ITSVĮ įgaliojimą, jei ITSVĮ nebeatitinka šiame straipsnyje nustatytų sąlygų. Panaikinus įgaliojimą ITSVĮ nustoja save viešinti kaip įgaliotąją ITSVĮ.
23 straipsnis
Sertifikavimo įstaigų notifikavimas
1. Nacionalinė kibernetinio saugumo sertifikavimo institucija praneša Komisijai apie jos teritorijoje esančias sertifikavimo įstaigas, kurios, remiantis jų akreditacija, yra kompetentingos sertifikuoti patvirtinant pakankamai aukštą saugumo užtikrinimo lygį.
2. Nacionalinė kibernetinio saugumo sertifikavimo institucija praneša Komisijai apie jų teritorijoje esančias sertifikavimo įstaigas, kurios, remiantis jų akreditacija ir sprendimu dėl jų įgaliojimo, yra kompetentingos sertifikuoti patvirtinant aukštą saugumo užtikrinimo lygį.
3. Nacionalinė kibernetinio saugumo sertifikavimo institucija, pranešdama Komisijai apie sertifikavimo įstaigas, pateikia bent šią informaciją:
a) |
saugumo užtikrinimo lygį arba lygius, kuriems patvirtinti sertifikavimo įstaiga yra kompetentinga išduoti EKSSS sertifikatus; |
b) |
šią su akreditacija susijusią informaciją:
|
c) |
šią informaciją, susijusią su įgaliojimu dėl aukšto saugumo užtikrinimo lygio:
|
4. Nacionalinė kibernetinio saugumo sertifikavimo institucija siunčia 1 ir 2 dalyse nurodyto pranešimo kopiją ENISA, kad ši kibernetinio saugumo sertifikavimo svetainėje paskelbtų tikslią informaciją apie sertifikavimo įstaigų tinkamumą.
5. Nacionalinė kibernetinio saugumo sertifikavimo institucija nepagrįstai nedelsdama išnagrinėja visą informaciją, susijusią su nacionalinės akreditacijos įstaigos suteiktos akreditacijos statuso pasikeitimu. Jei akreditacija arba įgaliojimas panaikinami, nacionalinė kibernetinio saugumo sertifikavimo institucija apie tai informuoja Komisiją ir gali pateikti Komisijai prašymą pagal Reglamento (ES) 2019/881 61 straipsnio 4 dalį.
24 straipsnis
ITSVĮ notifikavimas
23 straipsnyje nustatytos nacionalinių kibernetinio saugumo sertifikavimo institucijų pareigos pranešti taip pat taikomos ITSVĮ. Pranešime nurodomas ITSVĮ adresas, galiojanti akreditacija ir, kai taikoma, galiojantis tos ITSVĮ įgaliojimas.
V SKYRIUS
STEBĖSENA, REIKALAVIMŲ NESILAIKYMAS IR NEATITIKTIS
I SKIRSNIS
Atitikties stebėsena
25 straipsnis
Nacionalinės kibernetinio saugumo sertifikavimo institucijos vykdoma stebėsenos veikla
1. Nepažeidžiant Reglamento (ES) 2019/881 58 straipsnio 7 dalies, nacionalinė kibernetinio saugumo sertifikavimo institucija stebi:
a) |
ar sertifikavimo įstaiga ir ITSVĮ laikosi savo pareigų pagal šį reglamentą ir Reglamentą (ES) 2019/881; |
b) |
ar EKSSS sertifikato turėtojai laikosi savo pareigų pagal šį reglamentą ir Reglamentą (ES) 2019/881; |
c) |
sertifikuotų IRT produktų atitiktį EKSSS nustatytiems reikalavimams; |
d) |
EKSSS sertifikate pateikto saugumo užtikrinimo atitiktį sprendžiant kintančios grėsmių padėties klausimą. |
2. Nacionalinė kibernetinio saugumo sertifikavimo institucija savo stebėsenos veiklą vykdo visų pirma remdamasi:
a) |
iš sertifikavimo įstaigų, nacionalinių akreditacijos įstaigų ir atitinkamų rinkos priežiūros institucijų gauta informacija; |
b) |
informacija, gauta jai pačiai ar kitai institucijai atlikus auditą ir tyrimus; |
c) |
atrankiniu tyrimu, atliekamu pagal 3 dalį; |
d) |
gautais skundais. |
3. Nacionalinė kibernetinio saugumo sertifikavimo institucija, bendradarbiaudama su kitomis rinkos priežiūros institucijomis, kasmet atlieka atrankinį tyrimą, kuriam atrenka bent 4 proc. EKSSS sertifikatų, kaip nustatyta rizikos vertinime. Kompetentingos nacionalinės kibernetinio saugumo sertifikavimo institucijos prašymu ir veikdamos jos vardu sertifikavimo įstaigos ir, jei reikia, ITSVĮ padeda tai institucijai stebėti atitiktį.
4. Nacionalinė kibernetinio saugumo sertifikavimo institucija atrenka sertifikuotus IRT produktus, kurie turi būti patikrinti pagal objektyvius kriterijus, įskaitant:
a) |
produkto kategoriją; |
b) |
produktų saugumo užtikrinimo lygius; |
c) |
sertifikato turėtoją; |
d) |
sertifikavimo įstaigą ir, kai taikoma, ITSVĮ, kuri yra jos subrangovė; |
e) |
visą kitą institucijai pateiktą informaciją. |
5. Nacionalinė kibernetinio saugumo sertifikavimo institucija informuoja EKSSS sertifikato turėtojus apie atrinktus IRT produktus ir atrankos kriterijus.
6. Nacionalinei kibernetinio saugumo sertifikavimo institucijai paprašius, sertifikavimo įstaiga, kuri sertifikavo atrinktą IRT produktą, padedant atitinkamai ITSVĮ, atlieka papildomą peržiūrą pagal IV priedo IV.2 skirsnyje nustatytą procedūrą ir informuoja nacionalinę kibernetinio saugumo sertifikavimo instituciją apie jos rezultatus.
7. Jeigu nacionalinė kibernetinio saugumo sertifikavimo institucija turi pakankamą pagrindą manyti, kad sertifikuotas IRT produktas nebeatitinka šio reglamento arba Reglamento (ES) 2019/881, ji gali atlikti tyrimus arba pasinaudoti kitais stebėsenos įgaliojimais, nustatytais Reglamento (ES) 2019/881 58 straipsnio 8 dalyje.
8. Nacionalinė kibernetinio saugumo sertifikavimo institucija informuoja sertifikavimo įstaigą ir atitinkamą ITSVĮ apie vykdomus tyrimus, susijusius su atrinktais IRT produktais.
9. Jei nacionalinė kibernetinio saugumo sertifikavimo institucija nustato, kad vykdomas tyrimas susijęs su IRT produktais, kuriuos sertifikavo kitose valstybėse narėse įsisteigusios sertifikavimo įstaigos, ji apie tai informuoja atitinkamų valstybių narių nacionalines kibernetinio saugumo sertifikavimo institucijas, kad prireikus galėtų bendradarbiauti atliekant tyrimus. Tokia nacionalinė kibernetinio saugumo sertifikavimo institucija taip pat praneša Europos kibernetinio saugumo sertifikavimo grupei apie tarpvalstybinius tyrimus ir vėlesnius jų rezultatus.
26 straipsnis
Sertifikavimo įstaigos vykdoma stebėsena
1. Sertifikavimo įstaiga stebi:
a) |
ar sertifikato turėtojai laikosi savo pareigų pagal šį reglamentą ir Reglamentą (ES) 2019/881 dėl EKSSS sertifikato, kurį išdavė ta sertifikavimo įstaiga; |
b) |
jos sertifikuotų IRT produktų atitiktį jų atitinkamiems saugumo reikalavimams; |
c) |
sertifikuotuose apsaugos profiliuose pateiktą saugumo užtikrinimą. |
2. Sertifikavimo įstaiga vykdo stebėsenos veiklą remdamasi:
a) |
informacija, pateikta remiantis 9 straipsnio 2 dalyje nurodytais sertifikatą siekiančio gauti pareiškėjo įsipareigojimais; |
b) |
informacija, gauta iš kitų atitinkamų rinkos priežiūros institucijų veiklos; |
c) |
gautais skundais; |
d) |
informacija apie pažeidžiamumą, kuri galėtų daryti poveikį jos sertifikuotiems IRT produktams. |
3. Nacionalinė kibernetinio saugumo sertifikavimo institucija, nedarydama poveikio veiklai, susijusiai su kitomis atitinkamomis rinkos priežiūros institucijomis, gali parengti taisykles, pagal kurias būtų periodiškai vykdomas sertifikavimo įstaigų ir EKSSS sertifikatų turėtojų dialogas, kuriuo siekiama patikrinti, kaip laikomasi pagal 9 straipsnio 2 dalį prisiimtų įsipareigojimų, ir apie tai pranešti.
27 straipsnis
Sertifikato turėtojo vykdoma stebėsena
1. EKSSS sertifikato turėtojas, siekdamas stebėti sertifikuoto IRT produkto atitiktį jo saugumo reikalavimams, atlieka šias užduotis:
a) |
stebėti su sertifikuotu IRT produktu susijusią informaciją apie pažeidžiamumą, įskaitant žinomus priklausomumo atvejus, savo priemonėmis, taip pat atsižvelgiant į:
|
b) |
stebėti EKSSS sertifikate nurodytą saugumo užtikrinimą. |
2. EKSSS sertifikato turėtojas bendradarbiauja su sertifikavimo įstaiga, ITSVĮ ir, kai taikytina, nacionaline kibernetinio saugumo sertifikavimo institucija, kad padėtų joms vykdyti stebėsenos veiklą.
II SKIRSNIS
REIKALAVIMŲ LAIKYMASIS IR ATITIKTIS
28 straipsnis
Sertifikuoto IRT produkto arba apsaugos profilio neatitikties reikalavimams padariniai
1. Jei sertifikuotas IRT produktas arba apsaugos profilis neatitinka šiame reglamente ir Reglamente (ES) 2019/881 nustatytų reikalavimų, sertifikavimo įstaiga informuoja EKSSS sertifikato turėtoją apie nustatytą neatitiktį ir paprašo imtis taisomųjų veiksmų.
2. Jei neatitikties šio reglamento nuostatoms atvejis gali turėti įtakos atitikčiai kitiems atitinkamiems Sąjungos teisės aktams, kuriuose numatyta galimybė pagrįsti atitikties to teisės akto reikalavimams prielaidą naudojant EKSSS sertifikatą, sertifikavimo įstaiga nedelsdama apie tai informuoja nacionalinę kibernetinio saugumo sertifikavimo instituciją. Nacionalinė kibernetinio saugumo sertifikavimo institucija nedelsdama praneša rinkos priežiūros institucijai, atsakingai už tokius kitus atitinkamus Sąjungos teisės aktus, apie nustatytą neatitikties atvejį.
3. Gavęs 1 dalyje nurodytą informaciją, EKSSS sertifikato turėtojas per sertifikavimo įstaigos nustatytą laikotarpį, kuris yra ne ilgesnis kaip 30 dienų, pasiūlo sertifikavimo įstaigai taisomuosius veiksmus, būtinus neatitikčiai pašalinti.
4. Sertifikavimo įstaiga pagal 30 straipsnį gali nepagrįstai nedelsdama sustabdyti EKSSS sertifikato galiojimą ekstremaliosios situacijos atveju arba kai EKSSS sertifikato turėtojas tinkamai nebendradarbiauja su sertifikavimo įstaiga.
5. Sertifikavimo įstaiga atlieka peržiūrą pagal 13 ir 19 straipsnius ir įvertina, ar taisomaisiais veiksmais neatitiktis pašalinama.
6. Jei EKSSS sertifikato turėtojas nepasiūlo tinkamų taisomųjų veiksmų per 3 dalyje nurodytą laikotarpį, sertifikato galiojimas sustabdomas pagal 30 straipsnį arba panaikinamas pagal 14 arba 20 straipsnį.
7. Šis straipsnis netaikomas pažeidžiamumų, darančių poveikį sertifikuotam IRT produktui, atvejams; jie turi būti sprendžiami taip, kaip nustatyta VI skyriuje.
29 straipsnis
Sertifikato turėtojo reikalavimų nesilaikymo padariniai
1. Kai sertifikavimo įstaiga nustato, kad:
a) |
EKSSS sertifikato turėtojas arba pareiškėjas, siekiantis gauti sertifikatą, nesilaiko savo įsipareigojimų ir pareigų, nustatytų 9 straipsnio 2 dalyje, 17 straipsnio 2 dalyje ir 27 bei 41 straipsniuose, arba |
b) |
EKSSS sertifikato turėtojas nesilaiko Reglamento (ES) 2019/881 56 straipsnio 8 dalies arba šio reglamento VI skyriaus nuostatų, ji nustato ne ilgesnį kaip 30 dienų laikotarpį, per kurį EKSSS sertifikato turėtojas turi imtis taisomųjų veiksmų. |
2. Jei EKSSS sertifikato turėtojas nepasiūlo tinkamų taisomųjų veiksmų per 1 dalyje nurodytą laikotarpį, sertifikato galiojimas sustabdomas pagal 30 straipsnį arba panaikinamas pagal 14 straipsnį ir 20 straipsnį.
3. Tolesnio ar pasikartojančio EKSSS sertifikato turėtojo daromo 1 dalyje nurodytų pareigų pažeidimo atveju EKSSS sertifikatas panaikinamas pagal 14 arba 20 straipsnį.
4. Sertifikavimo įstaiga informuoja nacionalinę kibernetinio saugumo sertifikavimo instituciją apie 1 dalyje nurodytus pažeidimus. Jei reikalavimų nesilaikymo atvejis turi įtakos atitikčiai kitiems atitinkamiems Sąjungos teisės aktams, nacionalinė kibernetinio saugumo sertifikavimo institucija nedelsdama praneša apie nustatytą reikalavimų nesilaikymo atvejį už tokius kitus atitinkamus Sąjungos teisės aktus atsakingai rinkos priežiūros institucijai.
30 straipsnis
EKSSS sertifikato galiojimo sustabdymas
1. Tais atvejais, kai šiame reglamente nurodomas EKSSS sertifikato galiojimo sustabdymas, sertifikavimo įstaiga sustabdo atitinkamo EKSSS sertifikato galiojimą laikotarpiui, kuris yra ne ilgesnis nei 42 dienos, atsižvelgiant į aplinkybes, dėl kurių sertifikato galiojimas sustabdomas. Sertifikato galiojimo sustabdymo laikotarpis prasideda kitą dieną po sertifikavimo įstaigos sprendimo priėmimo dienos. Sertifikato galiojimo sustabdymas neturi įtakos sertifikato galiojimui.
2. Sertifikavimo įstaiga nepagrįstai nedelsdama praneša sertifikato turėtojui ir nacionalinei kibernetinio saugumo sertifikavimo institucijai apie sertifikato galiojimo sustabdymą ir nurodo jo sustabdymo priežastis, veiksmus, kurių prašoma imtis, ir sertifikato galiojimo sustabdymo laikotarpį.
3. Sertifikato turėtojai praneša atitinkamų IRT produktų pirkėjams apie sertifikato galiojimo sustabdymą ir sertifikavimo įstaigos nurodytas sustabdymo priežastis, išskyrus tas priežasčių dalis, kuriomis dalijantis kiltų saugumo rizika arba kuriose yra neskelbtinos informacijos. Šią informaciją sertifikato turėtojas taip pat viešai paskelbia.
4. Jeigu kituose atitinkamuose Sąjungos teisės aktuose numatyta atitikties prielaida, pagrįsta pagal šio reglamento nuostatas išduotais sertifikatais, nacionalinė kibernetinio saugumo sertifikavimo institucija apie sertifikato galiojimo sustabdymą informuoja rinkos priežiūros instituciją, atsakingą už tokius kitus atitinkamus Sąjungos teisės aktus.
5. Apie sertifikato galiojimo sustabdymą pranešama ENISA pagal 42 straipsnio 3 dalį.
6. Tinkamai pagrįstais atvejais nacionalinė kibernetinio saugumo sertifikavimo institucija gali leisti pratęsti EKSSS sertifikato galiojimo sustabdymo laikotarpį. Bendras sustabdymo laikotarpis negali būti ilgesnis nei vieni metai.
31 straipsnis
Atitikties vertinimo įstaigos reikalavimų nesilaikymo padariniai
1. Jei sertifikavimo įstaiga nesilaiko savo pareigų arba atitinkama sertifikavimo įstaiga nustato, kad ITSVĮ nesilaiko reikalavimų, nacionalinė kibernetinio saugumo sertifikavimo institucija nepagrįstai nedelsdama:
a) |
nustato EKSSS sertifikatus, kuriems gali būti daromas poveikis, padedant atitinkamai ITSVĮ; |
b) |
prireikus paprašo, kad vertinimą atlikusi ITSVĮ arba bet kuri kita akredituota ir, kai taikytina, įgaliotoji ITSVĮ, kuri gali turėti geresnes technines galimybes padėti nustatyti tuos sertifikatus, atliktų vieno ar daugiau IRT produktų ar apsaugos profilių vertinimo veiklą; |
c) |
išnagrinėja reikalavimų nesilaikymo padarinius; |
d) |
apie tai praneša EKSSS sertifikato, kuriam reikalavimų nesilaikymo atvejis daro poveikį, turėtojui. |
2. Remdamasi 1 dalyje nurodytomis priemonėmis, sertifikavimo įstaiga dėl kiekvieno paveikto EKSSS sertifikato priima vieną iš šių sprendimų:
a) |
EKSSS sertifikatą palikti nepakeistą; |
b) |
panaikinti EKSSS sertifikatą pagal 14 arba 20 straipsnį ir, kai tinkama, išduoti naują EKSSS sertifikatą. |
3. Remdamasi 1 dalyje nurodytomis priemonėmis, nacionalinė kibernetinio saugumo sertifikavimo institucija:
a) |
prireikus praneša nacionalinei akreditacijos įstaigai apie tai, kad sertifikavimo įstaiga arba susijusi ITSVĮ nesilaiko reikalavimų; |
b) |
kai taikytina, įvertina galimą poveikį įgaliojimui. |
VI SKYRIUS
PAŽEIDŽIAMUMŲ VALDYMAS IR ATSKLEIDIMAS
32 straipsnis
Pažeidžiamumų valdymo apimtis
Šis skyrius taikomas IRT produktams, kuriems išduotas EKSSS sertifikatas.
I SKIRSNIS
Pažeidžiamumų valdymas
33 straipsnis
Pažeidžiamumų valdymo procedūros
1. EKSSS sertifikato turėtojas nustato ir taiko visas būtinas pažeidžiamumų valdymo procedūras pagal šiame skirsnyje nustatytas taisykles ir prireikus papildomas standarte EN ISO/IEC 30111 nustatytas procedūras.
2. EKSSS sertifikato turėtojas taiko ir paskelbia tinkamus metodus, kaip iš išorės šaltinių, įskaitant naudotojus, sertifikavimo įstaigas ir saugumo srities tyrėjus, gauti informaciją apie pažeidžiamumą, susijusį su jo produktais.
3. Jei EKSSS sertifikato turėtojas aptinka arba gauna informaciją apie galimą pažeidžiamumą, darantį poveikį sertifikuotam IRT produktui, jis jį užregistruoja ir atlieka pažeidžiamumo poveikio analizę.
4. Kai galimas pažeidžiamumas daro poveikį sudėtiniam produktui, EKSSS sertifikato turėtojas informuoja priklausomų EKSSS sertifikatų turėtoją apie galimą pažeidžiamumą.
5. Gavęs pagrįstą sertifikatą išdavusios sertifikavimo įstaigos prašymą EKSSS sertifikato turėtojas perduoda tai sertifikavimo įstaigai visą svarbią informaciją apie galimą pažeidžiamumą.
34 straipsnis
Pažeidžiamumo poveikio analizė
1. Pažeidžiamumo poveikio analizėje nurodomas vertinimo tikslas ir sertifikate pateikti saugumo užtikrinimo pareiškimai. Pažeidžiamumo poveikio analizė atliekama per tokį laiką, kuris atitinka galimybes pasinaudoti sertifikuoto IRT produkto galimu pažeidžiamumu ir jo kritiškumo lygį.
2. Kai taikytina, pagal atitinkamą metodiką, įtrauktą į 3 straipsnyje nurodytus standartus, ir atitinkamus naujausius dokumentus, išvardytus I priede, atliekamas išpuolio potencialo skaičiavimas, siekiant nustatyti galimybes pasinaudoti pažeidžiamumu. Atsižvelgiama į EKSSS sertifikato AVA_VAN lygį.
35 straipsnis
Pažeidžiamumo poveikio analizės ataskaita
1. Sertifikato turėtojas parengia pažeidžiamumo poveikio analizės ataskaitą, jei iš poveikio analizės matyti, kad tikėtina, jog pažeidžiamumas gali paveikti IRT produkto atitiktį jo sertifikatui.
2. Pažeidžiamumo poveikio analizės ataskaitoje įvertinami šie elementai:
a) |
pažeidžiamumo poveikis sertifikuotam IRT produktui; |
b) |
galima rizika, susijusi su išpuolio tikėtinumu ar galimybe jį įvykdyti; |
c) |
ar pažeidžiamumas gali būti ištaisytas; |
d) |
jei pažeidžiamumas gali būti ištaisytas, galimus pažeidžiamumo ištaisymo sprendimus. |
3. Atitinkamais atvejais pažeidžiamumo poveikio analizės ataskaitoje pateikiama išsami informacija apie galimus pasinaudojimo pažeidžiamumu būdus. Informacija apie galimus pasinaudojimo pažeidžiamumu būdus tvarkoma laikantis tinkamų saugumo priemonių, kad būtų apsaugotas jos konfidencialumas ir prireikus užtikrintas ribotas jos platinimas.
4. EKSSS sertifikato turėtojas pagal Reglamento (ES) 2019/881 56 straipsnio 8 dalį nepagrįstai nedelsdamas perduoda pažeidžiamumo poveikio analizės ataskaitą sertifikavimo įstaigai arba nacionalinei kibernetinio saugumo sertifikavimo institucijai.
5. Jei pažeidžiamumo poveikio analizės ataskaitoje nustatoma, kad pažeidžiamumas nėra liekamasis, kaip apibrėžta 3 straipsnyje nurodytuose standartuose, ir kad jį galima ištaisyti, taikomas 36 straipsnis.
6. Jei pažeidžiamumo poveikio analizės ataskaitoje nustatoma, kad pažeidžiamumas nėra liekamasis ir kad jo ištaisyti neįmanoma, EKSSS sertifikatas panaikinamas pagal 14 straipsnį.
7. EKSSS sertifikato turėtojas stebi visus liekamuosius pažeidžiamumus, siekdamas užtikrinti, kad pasikeitus operacinei aplinkai jais nebūtų galima pasinaudoti.
36 straipsnis
Pažeidžiamumo ištaisymas
EKSSS sertifikato turėtojas sertifikavimo įstaigai pateikia pasiūlymą dėl tinkamų taisomųjų veiksmų. Sertifikavimo įstaiga peržiūri sertifikatą pagal 13 straipsnį. Peržiūros apimtis nustatoma pagal siūlomą pažeidžiamumo ištaisymą.
II SKIRSNIS
Pažeidžiamumo atskleidimas
37 straipsnis
Informacija, kuria dalijamasi su nacionaline kibernetinio saugumo sertifikavimo institucija
1. Sertifikavimo įstaigos nacionalinei kibernetinio saugumo sertifikavimo institucijai teikiama informacija apima visus elementus, kurių reikia, kad nacionalinė kibernetinio saugumo sertifikavimo institucija suprastų pažeidžiamumo poveikį, atliktinus IRT produkto pakeitimus ir, kai prieinama, visą sertifikavimo įstaigos pateiktą informaciją apie platesnio masto pažeidžiamumo poveikį kitiems sertifikuotiems IRT produktams.
2. Pagal 1 dalį pateiktoje informacijoje neturi būti išsamios informacijos apie pasinaudojimo pažeidžiamumu būdus. Šia nuostata nedaromas poveikis nacionalinės kibernetinio saugumo sertifikavimo institucijos tyrimo įgaliojimams.
38 straipsnis
Bendradarbiavimas su kitomis nacionalinėmis kibernetinio saugumo sertifikavimo institucijomis
1. Nacionalinė kibernetinio saugumo sertifikavimo institucija dalijasi pagal 37 straipsnį gauta atitinkama informacija su kitomis nacionalinėmis kibernetinio saugumo sertifikavimo institucijomis ir ENISA.
2. Kitos nacionalinės kibernetinio saugumo sertifikavimo institucijos gali nuspręsti toliau analizuoti pažeidžiamumą arba, informavusios EKSSS sertifikato turėtoją, paprašyti atitinkamų sertifikavimo įstaigų įvertinti, ar pažeidžiamumas gali daryti poveikį kitiems sertifikuotiems IRT produktams.
39 straipsnis
Pranešimas apie pažeidžiamumą
Panaikinus sertifikatą, EKSSS sertifikato turėtojas atskleidžia ir užregistruoja visus viešai žinomus ir ištaisytus IRT produkto pažeidžiamumus Europos pažeidžiamumų duomenų bazėje, sukurtoje pagal Europos Parlamento ir Tarybos direktyvos (ES) 2022/2555 (5) 12 straipsnį, arba kitose Reglamento (ES) 2019/881 55 straipsnio 1 dalies d punkte nurodytose internetinėse duomenų saugyklose.
VII SKYRIUS
INFORMACIJOS SAUGOJIMAS, ATSKLEIDIMAS IR APSAUGA
40 straipsnis
Sertifikavimo įstaigų ir ITSVĮ įrašų saugojimas
1. ITSVĮ ir sertifikavimo įstaigos tvarko įrašų sistemą, kurioje saugomi visi su kiekvienu jų atliekamu vertinimu ir sertifikavimu susiję dokumentai.
2. Sertifikavimo įstaigos ir ITSVĮ įrašus saugo saugiai ir tiek ilgai, kiek reikia šio reglamento tikslams įgyvendinti, bet ne trumpiau kaip penkerius metus po atitinkamo EKSSS sertifikato panaikinimo. Sertifikavimo įstaigai pagal 13 straipsnio 2 dalies c punktą išdavus naują EKSSS sertifikatą, ji saugo panaikinto EKSSS sertifikato dokumentus kartu su naujuoju EKSSS sertifikatu tiek pat laiko, kiek ir naująjį EKSSS sertifikatą.
41 straipsnis
Sertifikato turėtojo pateikiama informacija
1. Reglamento (ES) 2019/881 55 straipsnyje nurodyta informacija pateikiama naudotojams lengvai prieinama kalba.
2. Šio reglamento tikslais būtiną laikotarpį, bet ne trumpiau kaip penkerius metus po atitinkamo EKSSS sertifikato panaikinimo EKSSS sertifikato turėtojas saugiai saugo:
a) |
sertifikavimo įstaigai ir ITSVĮ per sertifikavimo procesą pateiktos informacijos įrašus |
b) |
sertifikuoto IRT produkto pavyzdį. |
3. Sertifikavimo įstaigai pagal 13 straipsnio 2 dalies c punktą išdavus naują EKSSS sertifikatą, jo turėtojas saugo panaikinto EKSSS sertifikato dokumentus kartu su naujuoju EKSSS sertifikatu tiek pat laiko, kiek ir naująjį EKSSS sertifikatą.
4. Sertifikavimo įstaigos arba nacionalinės kibernetinio saugumo sertifikavimo institucijos prašymu EKSSS sertifikato turėtojas pateikia 2 dalyje nurodytus įrašus ir kopijas.
42 straipsnis
ENISA teiktina informacija
1. ENISA Reglamento (ES) 2019/881 50 straipsnio 1 dalyje nurodytoje interneto svetainėje skelbia šią informaciją:
a) |
visus EKSSS sertifikatus; |
b) |
informaciją apie EKSSS sertifikato statusą, visų pirma tai, ar jis galioja, ar jo galiojimas sustabdytas, ar sertifikatas yra panaikintas, ar jo galiojimas yra pasibaigęs; |
c) |
sertifikavimo ataskaitas, atitinkančias kiekvieną EKSSS sertifikatą; |
d) |
akredituotų atitikties vertinimo įstaigų sąrašą; |
e) |
įgaliotų atitikties vertinimo įstaigų sąrašą; |
f) |
I priede išvardytus naujausius dokumentus; |
g) |
Reglamento (ES) 2019/881 62 straipsnio 4 dalies c punkte nurodytas Europos kibernetinio saugumo sertifikavimo grupės nuomones; |
h) |
tarpusavio vertinimo ataskaitas, pateiktas pagal 47 straipsnį. |
2. 1 dalyje nurodyta informacija pateikiama bent anglų kalba.
3. Sertifikavimo įstaigos ir, kai taikytina, nacionalinės kibernetinio saugumo sertifikavimo institucijos nedelsdamos informuoja ENISA apie savo sprendimus, kurie daro poveikį 1 dalies b punkte nurodyto EKSSS sertifikato turiniui ar būsenai.
4. ENISA užtikrina, kad pagal 1 dalies a, b ir c punktus paskelbtoje informacijoje būtų aiškiai nurodytos sertifikuoto IRT produkto versijos, kurioms taikomas EKSSS sertifikatas.
43 straipsnis
Informacijos apsauga
Atitikties vertinimo įstaigos, nacionalinės kibernetinio saugumo sertifikavimo institucijos, EKSSG, ENISA, Komisija ir visos kitos šalys užtikrina verslo paslapčių ir kitos konfidencialios informacijos, įskaitant komercines paslaptis, saugumą ir apsaugą, taip pat intelektinės nuosavybės teisių išsaugojimą ir imasi būtinų bei tinkamų techninių ir organizacinių priemonių.
VIII SKYRIUS
TARPUSAVIO PRIPAŽINIMO SUSITARIMAI SU TREČIOSIOMIS ŠALIMIS
44 straipsnis
Sąlygos
1. Trečiosios šalys, pageidaujančios sertifikuoti savo produktus pagal šį reglamentą ir norinčios, kad toks sertifikavimas būtų pripažintas Sąjungoje, su Sąjunga sudaro tarpusavio pripažinimo susitarimą.
2. Tarpusavio pripažinimo susitarimas apima IRT produktams ir, kai taikoma, apsaugos profiliams taikytinus saugumo užtikrinimo lygius.
3. 1 dalyje nurodyti tarpusavio pripažinimo susitarimai gali būti sudaromi tik su trečiosiomis šalimis, kurios atitinka šias sąlygas:
a) |
turi instituciją, kuri:
|
b) |
turi nepriklausomą akreditacijos įstaigą, atliekančią akreditavimą pagal standartus, lygiaverčius nurodytiems Reglamente (EB) Nr. 765/2008; |
c) |
įsipareigoja užtikrinti, kad vertinimo ir sertifikavimo procesai ir procedūros būtų vykdomi tinkamai ir profesionaliai, atsižvelgiant į atitiktį šiame reglamente, visų pirma 3 straipsnyje, nurodytiems tarptautiniams standartams; |
d) |
yra pajėgios pranešti apie anksčiau neaptiktus pažeidžiamumus ir turi nustatytą tinkamą pažeidžiamumų valdymo ir atskleidimo procedūrą; |
e) |
yra nustačiusios procedūras, pagal kurias galima veiksmingai teikti ir nagrinėti skundus ir suteikti skundo pateikėjui veiksmingas teisių gynimo priemones; |
f) |
kuria mechanizmą, taikytiną bendradarbiavimui su kitomis Sąjungos ir valstybių narių įstaigomis, susijusiomis su kibernetinio saugumo sertifikavimu pagal šį reglamentą, įskaitant dalijimąsi informacija apie galimą sertifikatų neatitiktį, atitinkamų pokyčių sertifikavimo srityje stebėseną ir bendro požiūrio į sertifikavimo priežiūrą ir peržiūrą užtikrinimą. |
4. Be 3 dalyje nustatytų sąlygų, 1 dalyje nurodytas tarpusavio pripažinimo susitarimas, apimantis aukštą saugumo užtikrinimo lygį, gali būti sudarytas su trečiosiomis šalimis tik tuo atveju, jei tenkinamos šios sąlygos:
a) |
trečioji šalis turi nepriklausomą ir viešą kibernetinio saugumo sertifikavimo instituciją, kuri vykdo arba deleguoja vertinimo veiklą, būtiną tam, kad būtų galima vykdyti sertifikavimą patvirtinant aukštą saugumo užtikrinimo lygį, kuri yra lygiavertė šiame reglamente ir Reglamente (ES) 2019/881 nacionalinėms kibernetinio saugumo institucijoms nustatytiems reikalavimams ir procedūroms; |
b) |
tarpusavio pripažinimo susitarimu nustatomas bendras mechanizmas, lygiavertis EKSSS sertifikavimo tarpusavio vertinimui, kuriuo siekiama pagerinti keitimąsi patirtimi ir bendrai spręsti vertinimo ir sertifikavimo srities klausimus. |
IX SKYRIUS
SERTIFIKAVIMO ĮSTAIGŲ TARPUSAVIO VERTINIMAS
45 straipsnis
Tarpusavio vertinimo procedūra
1. Sertifikavimo įstaigos, išduodančios EKSSS sertifikatus, kuriuose nurodomas aukštas saugumo užtikrinimo lygis, tarpusavio vertinimas atliekamas reguliariai ir ne rečiau kaip kas penkerius metus. VI priede išvardytos įvairios tarpusavio vertinimo rūšys.
2. Europos kibernetinio saugumo sertifikavimo grupė parengia ir tvarko tarpusavio vertinimų tvarkaraštį, kuriuo užtikrinama, kad būtų laikomasi tokio periodiškumo. Išskyrus tinkamai pagrįstus atvejus, tarpusavio vertinimai atliekami vietoje.
3. Tarpusavio vertinimas gali būti grindžiamas įrodymais, surinktais per ankstesnius tarpusavio vertinimus arba lygiavertes procedūras, kurias atliko tarpusavyje įvertinta sertifikavimo įstaiga arba nacionalinė kibernetinio saugumo sertifikavimo institucija, jeigu:
a) |
rezultatai yra ne senesni kaip penkerių metų; |
b) |
prie rezultatų pridedamas tai schemai nustatytų tarpusavio vertinimo procedūrų aprašymas, jei jie susiję su tarpusavio vertinimu, atliekamu pagal kitą sertifikavimo schemą; |
c) |
47 straipsnyje minimoje tarpusavio vertinimo ataskaitoje nurodoma, kurie rezultatai buvo pakartotinai panaudoti atliekant tolesnį vertinimą arba jo neatliekant. |
4. Jei tarpusavio vertinimas apima techninę sritį, taip pat įvertinama atitinkama ITSVĮ.
5. Tarpusavio vertinimą atlikusi sertifikavimo įstaiga ir, kai būtina, nacionalinė kibernetinio saugumo sertifikavimo institucija užtikrina, kad tarpusavio vertinimo grupei būtų pateikta visa svarbi informacija.
6. Tarpusavio vertinimą atlieka pagal VI priedą sudaryta tarpusavio vertinimo grupė.
46 straipsnis
Tarpusavio vertinimo etapai
1. Parengiamuoju etapu tarpusavio vertinimo grupės nariai peržiūri sertifikavimo įstaigos dokumentus, apimančius jos politiką ir procedūras, įskaitant naujausių dokumentų naudojimą.
2. Apsilankymo vietoje etapu tarpusavio vertinimo grupė įvertina įstaigos techninę kompetenciją ir, kai taikoma, ITSVĮ, atlikusios bent vieną IRT produkto vertinimą, kuriam taikomas tarpusavio vertinimas, kompetenciją.
3. Apsilankymo vietoje etapo trukmė gali būti pratęsta arba sutrumpinta atsižvelgiant į tokius veiksnius, kaip galimybė pakartotinai panaudoti turimus tarpusavio vertinimo įrodymus ir rezultatus, arba į ITSVĮ ir techninių sričių, kurioms skirtus sertifikatus sertifikavimo įstaiga išduoda, skaičių.
4. Jei taikoma, tarpusavio vertinimo grupė nustato kiekvienos ITSVĮ techninę kompetenciją, apsilankydama jos techninėje laboratorijoje ar laboratorijose ir apklausdama jos vertintojus apie techninę sritį ir susijusius konkrečius išpuolių vykdymo metodus.
5. Ataskaitos teikimo etapu vertinimo grupė savo išvadas dokumentais pagrindžia tarpusavio vertinimo ataskaitoje, apimančioje nuosprendį ir, kai taikoma, pastebėtų neatitikčių sąrašą, suskirstytą pagal kritiškumo lygį.
6. Tarpusavio vertinimo ataskaita pirmiausia turi būti aptarta su tarpusavyje įvertinta sertifikavimo įstaiga. Po šių diskusijų tarpusavyje įvertinta sertifikavimo įstaiga nustato priemonių, kurių reikia imtis, kad būtų atsižvelgta į išvadas, įgyvendinimo tvarkaraštį.
47 straipsnis
Tarpusavio vertinimo ataskaita
1. Tarpusavio vertinimo grupė pateikia tarpusavyje įvertintai sertifikavimo įstaigai tarpusavio vertinimo ataskaitos projektą.
2. Tarpusavyje įvertinta sertifikavimo įstaiga tarpusavio vertinimo grupei pateikia pastabas dėl išvadų ir įsipareigojimų pašalinti tarpusavio vertinimo ataskaitos projekte nustatytus trūkumus sąrašą.
3. Tarpusavio vertinimo grupė pateikia Europos kibernetinio saugumo sertifikavimo grupei galutinę tarpusavio vertinimo ataskaitą, į kurią taip pat įtraukiamos tarpusavyje įvertintos sertifikavimo įstaigos pateiktos pastabos ir prisiimti įsipareigojimai. Tarpusavio vertinimo grupė taip pat pateikia savo poziciją dėl pastabų ir dėl to, ar tų įsipareigojimų pakanka nustatytiems trūkumams pašalinti.
4. Jei tarpusavio vertinimo ataskaitoje nustatoma neatitikimų, Europos kibernetinio saugumo sertifikavimo grupė gali nustatyti tinkamą terminą, iki kurio tarpusavyje įvertinta sertifikavimo įstaiga turi pašalinti neatitikimus.
5. Europos kibernetinio saugumo sertifikavimo grupė priima nuomonę dėl tarpusavio vertinimo ataskaitos:
a) |
jei tarpusavio vertinimo ataskaitoje neatitikčių nenustatyta arba jei tarpusavyje įvertinta sertifikavimo įstaiga tinkamai pašalino neatitikimus, Europos kibernetinio saugumo sertifikavimo grupė gali pateikti teigiamą nuomonę, o visi susiję dokumentai skelbiami ENISA sertifikavimo svetainėje; |
b) |
jei tarpusavyje įvertinta sertifikavimo įstaiga iki nustatyto termino tinkamai nepašalina neatitikimų, Europos kibernetinio saugumo sertifikavimo grupė gali pateikti neigiamą nuomonę, kuri skelbiama ENISA sertifikavimo svetainėje, įskaitant tarpusavio vertinimo ataskaitą ir visus susijusius dokumentus. |
6. Prieš paskelbiant nuomonę visa neskelbtina, asmeninė arba nuosavybės teise priklausanti informacija pašalinama iš skelbiamų dokumentų.
X SKYRIUS
SCHEMOS PRIEŽIŪRA
48 straipsnis
EKSSS priežiūra
1. Komisija gali paprašyti Europos kibernetinio saugumo sertifikavimo grupės priimti nuomonę EKSSS priežiūros tikslais ir imtis būtinų parengiamųjų darbų.
2. Europos kibernetinio saugumo sertifikavimo grupė gali priimti nuomonę, kad patvirtintų naujausius dokumentus.
3. Europos kibernetinio saugumo sertifikavimo grupės patvirtintus naujausius dokumentus skelbia ENISA.
XI SKYRIUS
BAIGIAMOSIOS NUOSTATOS
49 straipsnis
Nacionalinės schemos, kurioms taikoma EKSSS
1. Pagal Reglamento (ES) 2019/881 57 straipsnio 1 dalį ir nepažeidžiant to reglamento 57 straipsnio 3 dalies, visos nacionalinės kibernetinio saugumo sertifikavimo schemos ir susijusios procedūros, taikomos IRT produktams ir procesams, kuriems taikoma EKSSS, netenka galios praėjus 12 mėnesių nuo šio reglamento įsigaliojimo.
2. Nukrypstant nuo 50 straipsnio, sertifikavimo procesas pagal nacionalinę kibernetinio saugumo sertifikavimo schemą gali būti pradėtas per 12 mėnesių nuo šio reglamento įsigaliojimo dienos, su sąlyga, kad sertifikavimo procesas bus baigtas ne vėliau kaip per 24 mėnesius nuo šio reglamento įsigaliojimo dienos.
3. Pagal nacionalines kibernetinio saugumo sertifikavimo schemas išduoti sertifikatai gali būti peržiūrėti. Nauji sertifikatai, pakeičiantys peržiūrėtus sertifikatus, išduodami pagal šį reglamentą.
50 straipsnis
Įsigaliojimas
Šis reglamentas įsigalioja dvidešimtą dieną po jo paskelbimo Europos Sąjungos oficialiajame leidinyje.
Jis taikomas nuo 2025 m. vasario 27 d.
IV skyrius ir V priedas taikomi nuo šio reglamento įsigaliojimo dienos.
Šis reglamentas privalomas visas ir tiesiogiai taikomas visose valstybėse narėse.
Priimta Briuselyje 2024 m. sausio 31 d.
Komisijos vardu
Pirmininkė
Ursula VON DER LEYEN
(1) OL L 151, 2019 6 7, p. 15.
(2) Susitarimo dėl informacinių technologijų saugumo įvertinimo pažymėjimų tarpusavio pripažinimo (SOG-IS TPS) 2010 m. sausio mėn. 3.0 versija, paskelbta svetainėje „Sorgis.eu“, kurią patvirtino Europos Komisijos vyresniųjų pareigūnų grupė informacinių sistemų saugumo klausimais, atsižvelgdama į 1995 m. balandžio 7 d. Tarybos rekomendacijos 95/144/EB dėl bendrų informacinių technologijų saugumo vertinimo kriterijų (OL L 93, 1995 4 26, p. 27) 3 punktą.
(3) Joint Interpretation Library (liet. Bendra aiškinimo dokumentų biblioteka): Minimum ITSEF Requirements for Security Evaluations of Smart cards and similar devices, 2020 m. vasario mėn. 2.1 versija, paskelbta adresu sogis.eu.
(4) 2019 m. birželio 20 d. Europos Parlamento ir Tarybos reglamentas (ES) 2019/1020 dėl rinkos priežiūros ir gaminių atitikties, kuriuo iš dalies keičiama Direktyva 2004/42/EB ir reglamentai (EB) Nr. 765/2008 ir (ES) Nr. 305/2011 (OL L 169, 2019 6 25, p. 1).
(5) 2022 m. gruodžio 14 d. Europos Parlamento ir Tarybos direktyva (ES) 2022/2555 dėl priemonių aukštam bendram kibernetinio saugumo lygiui visoje Sąjungoje užtikrinti, kuria iš dalies keičiamas Reglamentas (ES) Nr. 910/2014 ir Direktyva (ES) 2018/1972 ir panaikinama Direktyva (ES) 2016/1148 (TIS 2 direktyva) (OL L 333, 2022 12 27, p. 80).
I PRIEDAS
Techninės sritys ir naujausi dokumentai
1.
AVA_VAN 4 arba 5 lygio techninės sritys:
a) |
dokumentai, susiję su techninės srities „Lustinės kortelės ir panašios priemonės“ suderintu vertinimu, visų pirma šie atitinkamos redakcijos, galiojančios [įsigaliojimo data], dokumentai:
|
b) |
dokumentai, susiję su techninės srities „Aparatinės įrangos įtaisai su apsauginėmis dėžėmis“ suderintu vertinimu, visų pirma šie atitinkamos redakcijos, galiojančios [įsigaliojimo data], dokumentai:
|
2.
Naujausi atitinkamos redakcijos, galiojančios [įsigaliojimo data], dokumentai:
a) |
dokumentas, susijęs su suderintu atitikties vertinimo įstaigų akreditavimu: „Accreditation of ITSEFs for the EUCC“ (liet. „ITSVĮ akreditavimas taikyti EKSSS“), kurį EKSSG iš pradžių patvirtino 2023 m. spalio 20 d. |
II PRIEDAS
AVA_VAN 4 arba 5 lygiu sertifikuoti apsaugos profiliai
1.
Nuotolinio kvalifikuoto parašo ir spaudo kūrimo įtaisų kategorijos atveju:
1) |
EN 419241-2:2019. Patikimos pasirašymo elektroniniu parašu sistemos. 2 dalis. Patvirtintų elektroninio parašo kūrimo įtaisų apsaugos profilis, skirtas pasirašymui elektroniniu parašu; |
2) |
EN 419221-5:2018. Patikimumo užtikrinimo paslaugų teikėjo kriptografinių modulių apsaugos profiliai. 5 dalis. Patikimumo užtikrinimo paslaugų kriptografinis modulis |
2.
Apsaugos profiliai, kurie buvo patvirtinti kaip naujausi dokumentai:[TUŠČIA]
III PRIEDAS
Rekomenduojami apsaugos profiliai (rodantys technines sritis iš I priedo)
Apsaugos profiliai, naudojami sertifikuojant toliau nurodytus IRT produktus, priskiriamus toliau nurodytai IRT produktų kategorijai:
a) |
mašininio nuskaitymo kelionės dokumentų kategorijos atveju:
|
b) |
saugių elektroninio parašo kūrimo įtaisų kategorijos atveju:
|
c) |
skaitmeninių tachografų kategorijos atveju:
|
d) |
saugiųjų integrinių grandynų, lustinių kortelių ir susijusių prietaisų kategorijos atveju:
|
e) |
(mokėjimo) sąveikos taškų ir mokėjimo terminalų kategorijos atveju:
|
f) |
aparatinės įrangos įtaisų su apsauginėmis dėžėmis kategorijos atveju:
|
IV PRIEDAS
Užtikrinimo tęstinumas ir sertifikatų peržiūra
IV.1. Užtikrinimo tęstinumas: taikymo sritis
1. |
Šie užtikrinimo tęstinumo reikalavimai taikomi priežiūros veiklai, susijusiai su:
|
2. |
EKSSS sertifikato turėtojas gali prašyti peržiūrėti sertifikatą šiais atvejais:
|
IV.2. Pakartotinis vertinimas
1. |
Jei reikia įvertinti nepakitusio sertifikuoto IRT produkto grėsmės aplinkos pokyčių poveikį, sertifikavimo įstaigai pateikiamas prašymas atlikti pakartotinį vertinimą. |
2. |
Pakartotinį vertinimą atlieka ta pati ITSVĮ, kuri dalyvavo atliekant ankstesnį vertinimą, kuris buvo įtrauktas į ankstesnį vertinimą, pakartotinai panaudodama visus tebetaikomus jo rezultatus. Atliekant vertinimą daugiausia dėmesio skiriama saugumo užtikrinimo veiklai, kurią gali paveikti pakeista sertifikuoto IRT produkto grėsmės aplinka, visų pirma atitinkamai AVA_VAN grupei ir, be to, užtikrinimo gyvavimo ciklo grupei, kurioje vėl surenkama pakankamai įrodymų apie kūrimo aplinkos priežiūrą. |
3. |
ITSVĮ aprašo pakeitimus ir išsamiai išdėsto pakartotinio vertinimo rezultatus bei atnaujina techninę ankstesnio vertinimo ataskaitą. |
4. |
Sertifikavimo įstaiga peržiūri atnaujintą techninę vertinimo ataskaitą ir parengia pakartotinio vertinimo ataskaitą. Tuomet pirminio sertifikato būsena pakeičiama pagal 13 straipsnį. |
5. |
Pakartotinio vertinimo ataskaita ir atnaujintas sertifikatas pateikiami nacionalinei kibernetinio saugumo sertifikavimo institucijai ir ENISA, kad ši agentūra paskelbtų juos savo kibernetinio saugumo sertifikavimo svetainėje. |
IV.3. Sertifikuoto IRT produkto pakeitimai
1. |
Jei sertifikuotas IRT produktas buvo pakeistas, sertifikato turėtojas, norintis išlaikyti sertifikatą, pateikia sertifikavimo įstaigai poveikio analizės ataskaitą. |
2. |
Poveikio analizės ataskaitoje pateikiama ši informacija:
|
3. |
Sertifikavimo įstaiga išnagrinėja poveikio analizės ataskaitoje aprašytus pakeitimus, kad patvirtintų jų poveikį sertifikuoto vertinimo objekto saugumo užtikrinimui, kaip siūloma poveikio analizės ataskaitos išvadose. |
4. |
Atlikusi patikrinimą, sertifikavimo įstaiga nustato, ar pakeitimas yra nereikšmingo, ar reikšmingo masto, atsižvelgiant į jo poveikį. |
5. |
Jei sertifikavimo įstaiga patvirtina, kad pakeitimai yra nereikšmingi, išduodamas pakeistam IRT produktui skirtas naujas sertifikatas ir parengiama prie pradinės sertifikavimo ataskaitos pridedama priežiūros ataskaita, laikantis šių sąlygų:
|
6. |
Naujas sertifikatas, įskaitant priežiūros ataskaitą, pateikiamas ENISA, kad ši agentūra paskelbtų jį savo kibernetinio saugumo sertifikavimo svetainėje. |
7. |
Patvirtinus, kad pakeitimai yra reikšmingi, atliekamas pakartotinis vertinimas, atsižvelgiant į ankstesnį vertinimą ir pakartotinai panaudojant visus vis dar taikomus ankstesnio vertinimo rezultatus. |
8. |
Užbaigus pasikeitusio vertinimo objekto vertinimą, ITSVĮ parengia naują techninę vertinimo ataskaitą. Sertifikavimo įstaiga peržiūri atnaujintą techninę vertinimo ataskaitą ir, kai taikoma, parengia naują sertifikatą su nauja sertifikavimo ataskaita. |
9. |
Naujas sertifikatas ir sertifikavimo ataskaita pateikiami ENISA, kad ši agentūra juos paskelbtų. |
IV.4. Pataisų valdymas
1. |
Pataisų valdymo procedūroje numatytas struktūrizuotas sertifikuoto IRT produkto atnaujinimo procesas. Pataisų valdymo procedūra, įskaitant mechanizmą, kurį IRT produkte įdiegė sertifikavimo prašantis pareiškėjas, gali būti taikoma po IRT produkto sertifikavimo, už kurį atsako atitikties vertinimo įstaiga. |
2. |
Sertifikavimo prašantis pareiškėjas gali įtraukti į IRT produkto sertifikavimą pataisų mechanizmą, kuris yra dalis sertifikuotos valdymo procedūros, įdiegtos į IRT produktą, esant vienai iš šių sąlygų:
|
3. |
Jei pataisa susijusi su svarbiu sertifikuoto IRT produkto vertinimo objekto pakeitimu, susijusiu su anksčiau nenustatytu pažeidžiamumu, neturinčiu itin didelio poveikio IRT produkto saugumui, taikomos 13 straipsnio nuostatos. |
4. |
IRT produkto pataisų valdymo procedūrą sudarys šie elementai:
|
5. |
Sertifikuojant IRT produktą:
|
6. |
Sertifikato turėtojas atitinkamam sertifikuotam IRT produktui gali pradėti taikyti pagal sertifikuotą pataisų valdymo procedūrą atliktą pataisą ir per penkias darbo dienas atlieka šiuos veiksmus šiais atvejais:
|
V PRIEDAS
Sertifikavimo ataskaitos turinys
V.1. Sertifikavimo ataskaita
1. |
Remdamasi ITSVĮ pateiktomis techninėmis vertinimo ataskaitomis, sertifikavimo įstaiga parengia sertifikavimo ataskaitą, kuri turi būti skelbiama kartu su atitinkamu EKSSS sertifikatu. |
2. |
Sertifikavimo ataskaita yra išsamios ir praktinės informacijos apie IRT produktą arba IRT produktų kategoriją ir saugų IRT produkto diegimą šaltinis, todėl joje pateikiama visa naudotojams ir suinteresuotosioms šalims aktuali viešai prieinama ir bendrai naudojama informacija. Viešai prieinama ir bendrai naudojama informacija gali būti nurodyta sertifikavimo ataskaitoje. |
3. |
Sertifikavimo ataskaitą sudaro bent šie skirsniai:
|
4. |
Santrauka yra trumpa visos sertifikavimo ataskaitos santrauka. Santraukoje aiškiai ir glaustai apžvelgiami vertinimo rezultatai ir pateikiama ši informacija:
|
5. |
Įvertintas IRT produktas aiškiai nurodomas, be kita ko, pateikiant šią informaciją:
|
6. |
Į šį skirsnį įtraukta informacija turi būti kuo tikslesnė, kad būtų užtikrintas išsamus ir tikslus IRT produkto aprašymas, kurį galima pakartotinai naudoti atliekant būsimus vertinimus. |
7. |
Saugumo politikos skirsnyje aprašoma IRT produkto saugumo politika ir politika ar taisyklės, kurių vykdymą įvertintas IRT produktas turi padėti užtikrinti arba kurių reikalavimus tas produktas turi atitikti. Jame taip pat nurodoma ir aprašoma ši politika:
|
8. |
Kai taikytina, į politiką gali būti įtrauktos sąlygos, susijusios su pataisų valdymo procedūros taikymu sertifikato galiojimo laikotarpiu. |
9. |
Prielaidų ir taikymo srities paaiškinimo skirsnyje pateikiama išsami informacija apie aplinkybes ir tikslus, susijusius su numatoma produkto paskirtimi, kaip nurodyta 7 straipsnio 1 dalies c punkte. Informaciją sudaro:
|
10. |
9 punkte nurodyta informacija turi būti kuo suprantamesnė, kad sertifikuoto IRT produkto naudotojai galėtų priimti informacija pagrįstus sprendimus dėl rizikos, susijusios su jo naudojimu. |
11. |
Architektūrinės informacijos skirsnyje pateikiamas platus IRT produkto ir jo pagrindinių komponentų aprašymas pagal bendrųjų kriterijų ADV_TDS posistemių projektą. |
12. |
Išsamus papildomos IRT produkto kibernetinio saugumo informacijos sąrašas pateikiamas pagal Reglamento (ES) 2019/881 55 straipsnį. Visi susiję dokumentai žymimi versijos numeriais. |
13. |
IRT produktų bandymų skirsnyje pateikiama ši informacija:
|
14. |
Vertinimo rezultatai ir informacija apie sertifikato skirsnį apima šią informaciją:
|
15. |
Saugumo uždavinys įtraukiamas į sertifikavimo ataskaitą arba joje nurodomas ir apibendrinamas ir pateikiamas kartu su sertifikavimo ataskaita, kad būtų paskelbtas. |
16. |
Saugumo uždavinys gali būti išvalomas pagal VI.2 skirsnį. |
17. |
Pagal 11 straipsnyje nustatytas taisykles ir procedūras į sertifikavimo ataskaitą gali būti įtrauktas su EKSSS susijęs ženklas arba etiketė. |
18. |
Bibliografijos skirsnyje pateikiamos nuorodos į visus dokumentus, naudotus rengiant sertifikavimo ataskaitą. Ta informacija apima bent:
|
19. |
Siekiant užtikrinti vertinimo atkuriamumą, visi nurodyti dokumentai turi būti unikaliai identifikuojami pagal jų tikrąją išleidimo datą ir tikrąjį versijos numerį. |
V.2. Skelbtino saugumo uždavinio išvalymas
1. |
Saugumo uždavinys, kuris turi būti įtrauktas į sertifikavimo ataskaitą arba nurodytas joje pagal VI.1 skirsnio 1 punktą, gali būti išvalomas pašalinant arba perfrazuojant nuosavybinę techninę informaciją. |
2. |
Gautas išvalytas saugumo uždavinys turi būti tikrasis išsamios originalios versijos aprašymas. Tai reiškia, kad į išvalytą saugumo uždavinį negali būti neįtraukta informacija, kuri yra būtina norint suprasti vertinimo objekto saugumo savybes ir vertinimo apimtį. |
3. |
Išvalyto saugumo uždavinio turinys turi atitikti šiuos būtiniausius reikalavimus:
|
4. |
Net jei išvalytas saugumo uždavinys nėra oficialiai įvertintas pagal 3 straipsnyje nurodytus vertinimo standartus, sertifikavimo įstaiga užtikrina, kad jis atitiktų išsamų ir įvertintą saugumo uždavinį, o sertifikavimo ataskaitoje nurodo tiek išsamų, tiek išvalytą saugumo uždavinį. |
VI PRIEDAS
Tarpusavio vertinimų apimtis ir grupės sudėtis
VI.1. Tarpusavio vertinimo apimtis
1. |
Taikomi šių rūšių tarpusavio vertinimai:
|
2. |
Tarpusavyje vertinama sertifikavimo įstaiga pateikia sertifikuotų IRT produktų, kuriuos tarpusavio vertinimo grupė gali peržiūrėti, sąrašą, laikydamasi šių taisyklių:
|
VI.2. Tarpusavio vertinimo grupė
1. |
Vertinimo grupę sudaro bent du ekspertai, atrinkti iš skirtingų valstybių narių skirtingų sertifikavimo įstaigų, išduodančių sertifikatus, kuriuose nurodomas aukštas saugumo užtikrinimo lygis. Ekspertai turėtų įrodyti, kad turi atitinkamų ekspertinių žinių, susijusių su 3 straipsnyje nurodytais standartais ir naujausiais dokumentais, kuriems taikomas tarpusavio vertinimas. |
2. |
Reglamento (ES) 2019/881 56 straipsnio 6 dalyje nurodyto įgaliojimų išduoti sertifikatus delegavimo arba išankstinio sertifikatų patvirtinimo atveju nacionalinės kibernetinio saugumo sertifikavimo institucijos ekspertas, susijęs su atitinkama sertifikavimo įstaiga, taip pat dalyvauja pagal šio skirsnio 1 dalį atrinktų ekspertų grupės veikloje. |
3. |
Atliekant 2 rūšies tarpusavio vertinimą, grupės nariai atrenkami iš sertifikavimo įstaigų, įgaliotų dirbti atitinkamoje techninėje srityje. |
4. |
Kiekvienas vertinimo grupės narys turi turėti bent dvejų metų sertifikavimo veiklos sertifikavimo įstaigoje patirtį. |
5. |
Atliekant 2 arba 3 rūšies tarpusavio vertinimą, kiekvienas vertinimo grupės narys turi turėti bent dvejų metų sertifikavimo veiklos toje atitinkamoje techninėje srityje arba apsaugos profilio sertifikavimo patirtį ir įrodytą kompetenciją, taip pat dalyvavimo suteikiant ITSVĮ įgaliojimus patirtį. |
6. |
Tarpusavio vertinime stebėtojo teisėmis dalyvauja nacionalinė kibernetinio saugumo sertifikavimo institucija, stebinti ir prižiūrinti tarpusavio vertinimą, ir bent viena nacionalinė kibernetinio saugumo sertifikavimo institucija, kurios sertifikavimo įstaigai tarpusavio vertinimas netaikomas. ENISA taip pat gali dalyvauti tarpusavio vertinime kaip stebėtoja. |
7. |
Tarpusavyje vertinama sertifikavimo įstaiga supažindinama su tarpusavio vertinimo grupės sudėtimi. Pagrįstais atvejais ji gali ginčyti tarpusavio vertinimo grupės sudėtį ir prašyti ją peržiūrėti. |
VII PRIEDAS
EKSSS sertifikato turinys
EKSSS sertifikate pateikiama bent ši informacija:
a) |
sertifikatą išduodančios sertifikavimo įstaigos nustatytas unikalus identifikatorius; |
b) |
informacija, susijusi su sertifikuotu IRT produktu arba apsaugos profiliu ir sertifikato turėtoju, įskaitant:
|
c) |
informacija, susijusi su IRT produkto arba apsaugos profilio vertinimu ir sertifikavimu, įskaitant:
|
d) |
ženklas ir etiketė, susiję su sertifikatu pagal 11 straipsnį. |
VIII PRIEDAS
Saugumo užtikrinimo paketo paskelbimas
1.
Priešingai nei nustatyta bendruosiuose kriterijuose, papildymas:
a) |
neturi būti žymimas santrumpa „+“; |
b) |
nurodomas pateikiant visų susijusių komponentų sąrašą; |
c) |
išsamiai aprašomas sertifikavimo ataskaitoje. |
2.
EKSSS sertifikate patvirtintas saugumo užtikrinimo lygis gali būti papildytas vertinimo užtikrinimo lygiu, kaip nurodyta šio reglamento 3 straipsnyje.
3.
Jei EKSSS sertifikate patvirtintas saugumo užtikrinimo lygis nėra susijęs su papildymu, EKSSS sertifikate nurodomas vienas iš šių paketų:
a) |
„konkretus užtikrinimo paketas“; |
b) |
„apsaugos profilį atitinkantis užtikrinimo paketas“, jei nurodomas apsaugos profilis be vertinimo užtikrinimo lygio. |
IX PRIEDAS
Ženklas ir etiketė
1.
Ženklo ir etiketės forma:
2.
Jei ženklas ir etiketė sumažinami arba padidinami, turi būti laikomasi pirmiau pateiktame piešinyje nurodytų proporcijų.
3.
Kai ženklas ir etiketė naudojami fiziniu pavidalu, jie turi būti bent 5 mm aukščio.
ELI: http://data.europa.eu/eli/reg_impl/2024/482/oj
ISSN 1977-0723 (electronic edition)