Europos Sąjungos
oficialusis leidinys
LT
L serija
|
|
Europos Sąjungos |
LT L serija |
|
2024/3143 |
2024 12 19 |
KOMISIJOS ĮGYVENDINIMO REGLAMENTAS (ES) 2024/3143
2024 m. gruodžio 18 d.
kuriuo pagal Europos Parlamento ir Tarybos reglamento (ES) 2019/881 dėl ENISA (Europos Sąjungos kibernetinio saugumo agentūros) ir informacinių ir ryšių technologijų kibernetinio saugumo sertifikavimo 61 straipsnio 5 dalį nustatomos pranešimų teikimo aplinkybės, formatai ir procedūros
(Tekstas svarbus EEE)
EUROPOS KOMISIJA,
atsižvelgdama į Sutartį dėl Europos Sąjungos veikimo,
atsižvelgdama į 2019 m. balandžio 17 d. Europos Parlamento ir Tarybos reglamentą (ES) 2019/881 dėl ENISA (Europos Sąjungos kibernetinio saugumo agentūros) ir informacinių ir ryšių technologijų kibernetinio saugumo sertifikavimo, kuriuo panaikinamas Reglamentas (ES) Nr. 526/2013, (Kibernetinio saugumo aktą) (1), ypač į jo 61 straipsnio 5 dalį,
kadangi:
|
(1) |
Reglamento (ES) 2019/881 (Kibernetinio saugumo akto) 61 straipsnio 1 dalyje nustatyta, kad nacionalinės kibernetinio saugumo sertifikavimo institucijos (NKSSI) turi Komisijai pranešti apie atitikties vertinimo įstaigas, akredituotas ir, kai taikytina, įgaliotas išduoti nustatytų saugumo užtikrinimo lygių Europos kibernetinio saugumo sertifikatus, ir turėtų nuolat atnaujinti šio notifikavimo informaciją. Be to, pagal Reglamento (ES) 2019/881 61 straipsnio 2 dalį Komisija turi, praėjus vieniems metams nuo Europos kibernetinio saugumo sertifikavimo schemos įsigaliojimo, Europos Sąjungos oficialiajame leidinyje paskelbti pagal tą schemą notifikuotų atitikties vertinimo įstaigų sąrašą. Siekiant suderinti pranešimų teikimo tvarką ir palengvinti jų teikimo procesą NKSSI, šiame reglamente turėtų būti nustatytos tikslesnės pranešimų teikimo aplinkybės, formatai ir procedūros. Patikslinti tuos aspektus svarbu atsižvelgiant į pirmosios bendraisiais kriterijais grindžiamos Europos kibernetinio saugumo sertifikavimo schemos (EKSSS), nustatytos Komisijos įgyvendinimo reglamentu (ES) 2024/482 (2), taikymą; |
|
(2) |
šiuo reglamentu pripažįstama Reglamento (ES) 2019/881 ir atitinkamų derinamųjų Sąjungos teisės aktų, įskaitant Europos Parlamento ir Tarybos reglamentą (ES) 2024/2847 (Kibernetinio atsparumo aktą) (3), sinergija. Todėl siūloma, kad NKSSI pranešimus Komisijai teiktų naudodamosi Europos Parlamento ir Tarybos sprendime Nr. 768/2008/EB (4) nurodyta Komisijos sukurta ir administruojama elektronine notifikavimo priemone. Nedarant poveikio Komisijos pareigai notifikuotųjų atitikties vertinimo įstaigų sąrašą paskelbti Europos Sąjungos oficialiajame leidinyje, jis taip pat turėtų būti viešai pateikiamas Komisijos sukurtoje ir administruojamoje elektroninėje notifikavimo priemonėje; |
|
(3) |
akredituotų ir, kai taikytina, įgaliotų atitikties vertinimo įstaigų notifikavimas reiškia, kad šioms įstaigoms galima patikėti pagal Reglamentą (ES) 2019/881 atlikti vertinimo ir sertifikavimo veiklą, o tai prisideda prie bendros Europos kibernetinio saugumo sertifikavimo schemų reputacijos. Todėl labai svarbu užtikrinti, kad notifikuotosios atitikties vertinimo įstaigos joms taikomus reikalavimus atitiktų ir savo pareigas vykdytų ir bėgant laikui. Paskelbtas notifikuotųjų atitikties vertinimo įstaigų sąrašas turėtų būti tikslus ir nuolat atnaujinamas atsižvelgiant į tai, ar tos įstaigos atitinka Reglamente (ES) 2019/881 nustatytus reikalavimus ir, kai taikytina, konkrečius ar papildomus Europos kibernetinio saugumo sertifikavimo schemoje nustatytus reikalavimus. Tuo tikslu būtina, kad NKSSI, nepagrįstai nedelsdamos, pagal Reglamento (ES) 2019/881 61 straipsnio 1 dalį Komisijai praneštų apie visus notifikavimo informacijos pasikeitimus; |
|
(4) |
NKSSI turi užtikrinti, kad atitikties vertinimo įstaigos atitiktų Reglamentą (ES) 2019/881 ir Europos kibernetinio saugumo sertifikavimo schemas ir, atsižvelgdamos į tai, užtikrinti, kad notifikavimo informacija būtų tiksli. Turi būti atliekamas šios veiklos tarpusavio vertinimas, kurio rezultatai turėtų padėti nustatyti, kokių pakeitimų reikia siekiant padidinti jos veiksmingumą. Vienomis ar kitomis aplinkybėmis sužinojusios apie susirūpinimą keliančius aspektus, NKSSI gali nustatyti, kad atitikties vertinimo įstaiga nebeatitinka aktualių reikalavimų. Kai taikytina, per tarpusavio vertinimus nustatyti faktai turėtų padėti NKSSI stebėti, ar notifikuotosios atitikties vertinimo įstaigos išlieka kompetentingos. Be to, susirūpinimą dėl to, ar notifikuotosios atitikties vertinimo įstaigos išlieka kompetentingos, notifikuojančiajai NKSSI gali išreikšti kitos NKSSI, Komisija arba suinteresuotieji subjektai; |
|
(5) |
priimdama sprendimą laikinai sustabdyti, apriboti arba panaikinti atitikties vertinimo įstaigos notifikavimo galiojimą, notifikuojančioji NKSSI turi bendradarbiauti su nacionaline akreditacijos įstaiga, paskirta pagal Europos Parlamento ir Tarybos reglamentą (EB) Nr. 765/2008 (5). Tai atitinka Reglamentą (ES) 2019/881, kuriame nustatyta, kad NKSSI turėtų aktyviai padėti nacionalinėms akreditacijos įstaigoms vykdyti stebėsenos ir priežiūros veiklą, jas remti ir su jomis bendradarbiauti. Notifikavimo galiojimo apribojimas turėtų reikšti akreditacijos ar, kai taikytina, įgaliojimo srities, taigi ir notifikavimo galiojimo srities, susiaurinimą; |
|
(6) |
vadovaujantis Reglamento (ES) 2019/881 54 straipsnio 1 dalies n punktu, kiekviena Europos kibernetinio saugumo sertifikavimo schema turi apimti, kai taikytina, taisykles dėl atitikties vertinimo įstaigų įrašų laikymo. Todėl tais atvejais, kai apribojamas, laikinai sustabdomas arba panaikinamas notifikavimo galiojimas arba kai notifikuotoji atitikties vertinimo įstaiga nutraukia savo veiklą, notifikuojančioji NKSSI turi užtikrinti, kad tos atitikties vertinimo įstaigos įrašai būtų saugiai išlaikomi reikiamą laikotarpį, nustatytą Europos kibernetinio saugumo sertifikavimo schemoje; |
|
(7) |
šiame reglamente nustatytos priemonės atitinka pagal Reglamento (ES) 2019/881 66 straipsnį įsteigto komiteto nuomonę, |
PRIĖMĖ ŠĮ REGLAMENTĄ:
1 straipsnis
Dalykas
Šiuo reglamentu nustatomos pagal Reglamento (ES) 2019/881 61 straipsnio 1 dalį nacionalinių kibernetinio saugumo sertifikavimo institucijų (NKSSI) teikiamų pranešimų apie atitikties vertinimo įstaigas teikimo aplinkybės, formatai ir procedūros.
2 straipsnis
Notifikavimo tvarka
1. Vadovaudamosi Reglamento (ES) 2019/881 61 straipsnio 1 dalimi, NKSSI praneša Komisijai apie atitikties vertinimo įstaigas, atitinkančias Reglamente (ES) 2019/881 nustatytus reikalavimus ir, kai taikytina, konkrečius ar papildomus Europos kibernetinio saugumo sertifikavimo schemoje nustatytus reikalavimus.
2. Pranešimus Komisijai NKSSI teikia naudodamosi Sprendime Nr. 768/2008/EB nurodyta Komisijos sukurta ir administruojama elektronine notifikavimo priemone.
3. Pranešime pateikiama priede nurodyta informacija.
3 straipsnis
Atitikties vertinimo įstaigų identifikaciniai numeriai ir sąrašas
1. Komisija notifikuotajai atitikties vertinimo įstaigai suteikia identifikacinį numerį. Kiekvienai įstaigai ji suteikia tik vieną identifikacinį numerį, net jei įstaiga notifikuota pagal kelias Europos kibernetinio saugumo sertifikavimo schemas ar Sąjungos teisės aktus.
2. Savo sukurtoje ir administruojamoje elektroninėje notifikavimo priemonėje pateikdama notifikuotųjų atitikties vertinimo įstaigų sąrašą, Komisija jame taip pat nurodo notifikuotosioms atitikties vertinimo įstaigoms suteiktus identifikacinius numerius bei veiklą, dėl kurios jos buvo notifikuotos.
3. ENISA informaciją apie notifikuotąsias atitikties vertinimo įstaigas paskelbia specialioje Europos kibernetinio saugumo sertifikavimo schemoms skirtoje svetainėje, nurodytoje Reglamento (ES) 2019/881 50 straipsnio 1 dalyje.
4 straipsnis
Notifikavimo informacijos pasikeitimai
1. NKSSI, nepagrįstai nedelsdamos, pagal Reglamento (ES) 2019/881 61 straipsnio 1 dalį praneša Komisijai apie visus vėlesnius notifikavimo pagal 2 straipsnį informacijos pasikeitimus, naudodamosi Komisijos sukurta ir administruojama elektronine notifikavimo priemone.
2. Jei NKSSI, bendradarbiaudama su nacionaline akreditacijos įstaiga, kaip numatyta Reglamente (ES) 2019/881, nustato, kad notifikuotoji atitikties vertinimo įstaiga nebeatitinka jai taikomų reikalavimų arba nebevykdo savo pareigų, ji, atsižvelgdama į neatitikties tiems reikalavimams arba tų pareigų nevykdymo atvejo sunkumą, atitinkamai apriboja, laikinai sustabdo arba panaikina notifikavimo galiojimą. Nepagrįstai nedelsdama, ji pateikia informaciją apie tai Komisijai, naudodamasi Komisijos sukurta ir administruojama elektronine notifikavimo priemone.
3. Tais atvejais, kai apribojamas, laikinai sustabdomas arba panaikinamas notifikavimo galiojimas arba kai notifikuotoji atitikties vertinimo įstaiga nutraukia savo veiklą, notifikuojančioji NKSSI imasi veiksmų, reikalingų užtikrinti, kad tos atitikties vertinimo įstaigos įrašai būtų saugiai išlaikomi reikiamą laikotarpį, nustatytą Europos kibernetinio saugumo sertifikavimo schemoje.
5 straipsnis
Įsigaliojimas
Šis reglamentas įsigalioja dvidešimtą dieną po jo paskelbimo Europos Sąjungos oficialiajame leidinyje.
Šis reglamentas privalomas visas ir tiesiogiai taikomas visose valstybėse narėse.
Priimta Briuselyje 2024 m. gruodžio 18 d.
Komisijos vardu
Pirmininkė
Ursula VON DER LEYEN
(1) OL L 151, 2019 6 7, p. 15, ELI: http://data.europa.eu/eli/reg/2019/881/oj.
(2) 2024 m. sausio 31 d. Komisijos įgyvendinimo reglamentas (ES) 2024/482, kuriuo nustatomos Europos Parlamento ir Tarybos reglamento (ES) 2019/881 taikymo taisyklės dėl bendraisiais kriterijais grindžiamos Europos kibernetinio saugumo sertifikavimo schemos (EKSSS) priėmimo (OL L, 2024/482, 2024 2 7, ELI: http://data.europa.eu/eli/reg_impl/2024/482/oj).
(3) 2024 m. spalio 23 d. Europos Parlamento ir Tarybos reglamentas (ES) 2024/2847 dėl horizontaliųjų kibernetinio saugumo reikalavimų, keliamų produktams su skaitmeniniais elementais, kuriuo iš dalies keičiami reglamentai (ES) Nr. 168/2013 bei (ES) 2019/1020 ir Direktyva (ES) 2020/1828, (Kibernetinio atsparumo aktas) (OL L, 2024/2847, 2024 11 20, ELI: http://data.europa.eu/eli/reg/2024/2847/oj).
(4) 2008 m. liepos 9 d. Europos Parlamento ir Tarybos sprendimas Nr. 768/2008/EB dėl bendrosios gaminių pardavimo sistemos ir panaikinantis Tarybos sprendimą 93/465/EEB (OL L 218, 2008 8 13, p. 82, ELI: http://data.europa.eu/eli/dec/2008/768(1)/oj).
(5) 2008 m. liepos 9 d. Europos Parlamento ir Tarybos reglamentas (EB) Nr. 765/2008, nustatantis su gaminių prekyba susijusius akreditavimo ir rinkos priežiūros reikalavimus ir panaikinantis Reglamentą (EEB) Nr. 339/93 (OL L 218, 2008 8 13, p. 30, ELI: http://data.europa.eu/eli/reg/2008/765/oj).
PRIEDAS
Informacija kuri, kaip nurodyta šio reglamento 2 straipsnio 3 dalyje, turi būti pateikiama pagal Reglamento (ES) 2019/881 61 straipsnio 1 dalį teikiamame pranešime apie atitikties vertinimo įstaigą, veiksiančią pagal Europos kibernetinio saugumo sertifikavimo schemą
1.
Bendroji informacija:|
1) |
kibernetinio saugumo sertifikavimo schemos pavadinimas; |
|
2) |
kai taikytina, saugumo užtikrinimo lygis (pvz., bazinis, pakankamai aukštas, aukštas) ir susijusios atitikties vertinimo procedūros; |
|
3) |
sritis (pvz., akreditacijos sritis, produktų, paslaugų, procesų kategorijos ar rūšys). |
2.
Informacija apie notifikuojančiąją nacionalinę kibernetinio saugumo sertifikavimo instituciją:|
1) |
pavadinimas; |
|
2) |
šalis; |
|
3) |
pašto adresas; |
|
4) |
e. pašto adresas (-ai); |
|
5) |
telefono numeris (-iai); |
|
6) |
interneto svetainė. |
3.
Informacija apie notifikuojamą atitikties vertinimo įstaigą:|
1) |
pavadinimas; |
|
2) |
šalis; |
|
3) |
pašto adresas; |
|
4) |
e. pašto adresas (-ai); |
|
5) |
telefono numeris (-iai); |
|
6) |
interneto svetainė. |
4.
Informacija apie akreditaciją:|
1) |
akreditacija:
|
|
2) |
nacionalinė akreditacijos įstaiga:
|
5.
Informacija apie įgaliojimą (jei taikytina):|
1) |
įgaliojimas:
|
|
2) |
įgaliojimą suteikianti kibernetinio saugumo institucija (jei tai ne notifikuojančioji nacionalinė kibernetinio saugumo sertifikavimo institucija):
|
6.
Papildoma informacija:|
1) |
papildoma informacija, kurios reikalaujama konkrečioje Europos kibernetinio saugumo sertifikavimo schemoje; |
|
2) |
patvirtinamieji dokumentai. |
ELI: http://data.europa.eu/eli/reg_impl/2024/3143/oj
ISSN 1977-0723 (electronic edition)