This document is an excerpt from the EUR-Lex website
Document 32024R3143
Commission Implementing Regulation (EU) 2024/3143 of 18 December 2024 establishing the circumstances, formats and procedures for notifications pursuant to Article 61(5) of Regulation (EU) 2019/881 of the European Parliament and of the Council on ENISA (the European Union Agency for Cybersecurity) and on information and communications technology cybersecurity certification
Komisijas Īstenošanas regula (ES) 2024/3143 (2024. gada 18. decembris), ar ko nosaka apstākļus, formātus un procedūras paziņojumiem saskaņā ar Eiropas Parlamenta un Padomes Regulas (ES) 2019/881 par ENISA (Eiropas Savienības Kiberdrošības aģentūra) un par informācijas un komunikācijas tehnoloģiju kiberdrošības sertifikāciju 61. panta 5. punktu
Komisijas Īstenošanas regula (ES) 2024/3143 (2024. gada 18. decembris), ar ko nosaka apstākļus, formātus un procedūras paziņojumiem saskaņā ar Eiropas Parlamenta un Padomes Regulas (ES) 2019/881 par ENISA (Eiropas Savienības Kiberdrošības aģentūra) un par informācijas un komunikācijas tehnoloģiju kiberdrošības sertifikāciju 61. panta 5. punktu
C/2024/8889
OV L, 2024/3143, 19.12.2024., ELI: http://data.europa.eu/eli/reg_impl/2024/3143/oj (BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In force
|
Eiropas Savienības |
LV L sērija |
|
2024/3143 |
19.12.2024 |
KOMISIJAS ĪSTENOŠANAS REGULA (ES) 2024/3143
(2024. gada 18. decembris),
ar ko nosaka apstākļus, formātus un procedūras paziņojumiem saskaņā ar Eiropas Parlamenta un Padomes Regulas (ES) 2019/881 par ENISA (Eiropas Savienības Kiberdrošības aģentūra) un par informācijas un komunikācijas tehnoloģiju kiberdrošības sertifikāciju 61. panta 5. punktu
(Dokuments attiecas uz EEZ)
EIROPAS KOMISIJA,
ņemot vērā Līgumu par Eiropas Savienības darbību,
ņemot vērā Eiropas Parlamenta un Padomes Regulu (ES) 2019/881 (2019. gada 17. aprīlis) par ENISA (Eiropas Savienības Kiberdrošības aģentūra) un par informācijas un komunikācijas tehnoloģiju kiberdrošības sertifikāciju, un ar ko atceļ Regulu (ES) Nr. 526/2013 (Kiberdrošības akts) (1), un jo īpaši tās 61. panta 5. punktu,
tā kā:
|
(1) |
Saskaņā ar Regulas (ES) 2019/881 (Kiberdrošības akta) 61. panta 1. punktu valstu kiberdrošības sertifikācijas iestādes (VKSI) atbild par to, lai Komisijai tiktu paziņots, kuras atbilstības novērtēšanas struktūras ir akreditētas un attiecīgā gadījumā pilnvarotas izdot Eiropas kiberdrošības sertifikātus konkrētos apliecinājuma līmeņos, un minētos paziņojumus pastāvīgi atjaunina. Turklāt saskaņā ar Regulas (ES) 2019/881 61. panta 2. punktu Komisijai gadu pēc Eiropas kiberdrošības sertifikācijas shēmas stāšanās spēkā ir Eiropas Savienības Oficiālajā Vēstnesī jāpublicē to atbilstības novērtēšanas struktūru saraksts, par kurām paziņots saskaņā ar minēto shēmu. Lai nodrošinātu saskaņotu pieeju paziņojumiem un valstu kiberdrošības sertifikācijas iestādēm atvieglotu paziņošanas procesu, šajā regulā būtu jāprecizē paziņojumu apstākļi, formāti un procedūras. Minētos aspektus ir svarīgi padarīt skaidrākus, lai piemērotu pirmo vienotos kritērijos balstīto Eiropas kiberdrošības sertifikācijas shēmu (EUCC), kas noteikta Komisijas Īstenošanas regulā (ES) 2024/482 (2). |
|
(2) |
Šajā regulā ir atzīta sinerģija starp Regulu (ES) 2019/881 un attiecīgajiem Savienības saskaņošanas tiesību aktiem, to vidū Eiropas Parlamenta un Padomes Regulu (ES) 2024/2847 (Kibernoturības aktu) (3). Tāpēc tiek ierosināts, ka VKSI Komisijai iesniedz paziņojumus, izmantojot Komisijas izstrādāto un pārvaldīto elektronisko paziņošanas rīku, kas minēts Eiropas Parlamenta un Padomes Lēmumā Nr. 768/2008/EK (4). Neskarot Komisijas pienākumu Eiropas Savienības Oficiālajā Vēstnesī publicēt paziņoto atbilstības novērtēšanas struktūru sarakstu, saraksts būtu jādara publiski pieejams arī Komisijas izstrādātajā un pārvaldītajā elektroniskajā paziņošanas rīkā. |
|
(3) |
Akreditētu un attiecīgā gadījumā pilnvarotu atbilstības novērtēšanas struktūru paziņošana nozīmē, ka var paļauties uz to, ka izvērtēšanas un sertifikācijas darbībās šīs struktūras ievēro Regulu (ES) 2019/881 un tādējādi kopumā vairo Eiropas kiberdrošības sertifikācijas shēmu reputāciju. Tāpēc ir būtiski nodrošināt, ka paziņotās atbilstības novērtēšanas struktūras laika gaitā izpilda tām izvirzītās prasības un savus pienākumus. Publicētajam paziņoto atbilstības novērtēšanas struktūru sarakstam vajadzētu būt precīzam un atjauninātam un jāatspoguļo šo struktūru atbilstība Regulā (ES) 2019/881 noteiktajām prasībām un attiecīgā gadījumā ar Eiropas kiberdrošības sertifikācijas shēmu saistītajām īpašajām vai papildu prasībām. Šajā nolūkā ir nepieciešams, lai VKSI saskaņā ar Regulas (ES) 2019/881 61. panta 1. punktu bez liekas kavēšanās paziņotu Komisijai par visām izmaiņām paziņojuma statusā. |
|
(4) |
VKSI atbildība ir nodrošināt, ka atbilstības novērtēšanas struktūras izpilda Regulas (ES) 2019/881 un Eiropas kiberdrošības sertifikācijas shēmu prasības, un šajā kontekstā tās nodrošina paziņojumu pareizumu. Uz šīm darbībām attiecas profesionālizvērtēšana, kuras iznākumam būtu jāpalīdz noteikt visas izmaiņas, kas nepieciešamas, lai uzlabotu minēto darbību efektivitāti. Ja valsts kiberdrošības sertifikācijas iestādēm dažādos apstākļos tapis zināms, ka atbilstības novērtēšanas struktūra vairs neatbilst attiecīgajām prasībām, tās var par to pārliecināties un neatbilstību konstatēt. Attiecīgā gadījumā profesionālizvērtēšanas mehānismu konstatējumiem būtu jāpalīdz VKSI pārraudzīt paziņoto atbilstības novērtēšanas struktūru kompetences nepārtrauktību. Turklāt bažas par paziņotās atbilstības novērtēšanas struktūras kompetences nepārtrauktību paziņotājai VKSI var paust citas VKSI, Komisija vai ieinteresētās personas. |
|
(5) |
Pieņemot lēmumu par paziņojuma par atbilstības novērtēšanas struktūras apturēšanu, ierobežošanu vai atsaukšanu, paziņotājai VKSI jāsadarbojas ar valsts akreditācijas struktūru, kas iecelta saskaņā ar Eiropas Parlamenta un Padomes Regulu (EK) Nr. 765/2008 (5). Tas ir saskaņā ar Regulu (ES) 2019/881, kurā noteikts, ka VKSI būtu aktīvi jāpalīdz, jāatbalsta un jāsadarbojas ar valsts akreditācijas struktūrām to pārraudzības un uzraudzības darbībās. Paziņošanas statusa ierobežojumam būtu jāattiecas uz gadījumu, kad tiek sašaurināts akreditācijas vai attiecīgā gadījumā pilnvarojuma tvērums un līdz ar to arī paziņojumā paziņotais tvērums. |
|
(6) |
Saskaņā ar Regulas (ES) 2019/881 54. panta 1. punkta n) apakšpunktu katrā Eiropas kiberdrošības sertifikācijas shēmā attiecīgā gadījumā ir jāiekļauj noteikumi par uzskaites datu glabāšanu, ko veic atbilstības novērtēšanas struktūras. Tāpēc paziņojuma ierobežošanas, apturēšanas vai atsaukšanas gadījumā vai tad, ja paziņotā atbilstības novērtēšanas struktūra ir beigusi darboties, paziņotājai VKSI ir jānodrošina, ka minētās atbilstības novērtēšanas struktūras dati tiek glabāti drošā veidā un tiek saglabāti tik ilgi, cik noteikts Eiropas kiberdrošības sertifikācijas shēmā. |
|
(7) |
Šajā regulā noteiktie pasākumi ir saskaņā ar atzinumu, ko sniegusi ar Regulas (ES) 2019/881 66. pantu izveidotā komiteja, |
IR PIEŅĒMUSI ŠO REGULU.
1. pants
Priekšmets
Šī regula nosaka apstākļus, formātus un procedūras, saskaņā ar kurām valstu kiberdrošības sertifikācijas iestādes (VKSI) saskaņā ar Regulas (ES) 2019/881 61. panta 1. punktu dara zināmas atbilstības novērtēšanas struktūras.
2. pants
Paziņošanas kārtība
1. Saskaņā ar Regulas (ES) 2019/881 61. panta 1. punktu VKSI dara zināmas Komisijai atbilstības novērtēšanas struktūras, kuras ir izpildījušas Regulā (ES) 2019/881 noteiktās prasības un attiecīgā gadījumā Eiropas kiberdrošības sertifikācijas shēmā paredzētās īpašās vai papildu prasības.
2. VKSI informē Komisiju, izmantojot Lēmumā Nr. 768/2008/EK minēto Komisijas izstrādāto un pārvaldīto elektronisko paziņošanas rīku.
3. Paziņojumā iekļauj informāciju, kas izklāstīta pielikumā.
3. pants
Atbilstības novērtēšanas struktūru identifikācijas numuri un saraksts
1. Katrai atbilstības novērtēšanas struktūrai, par kuru paziņots, Komisija piešķir identifikācijas numuru. Tā piešķir tikai vienu identifikācijas numuru pat tad, ja par struktūru tiek paziņots saskaņā ar vairākām Eiropas kiberdrošības sertifikācijas shēmām vai Savienības tiesību aktiem.
2. Darot paziņoto atbilstības novērtēšanas struktūru sarakstu pieejamu Komisijas izstrādātajā un pārvaldītajā elektroniskajā paziņošanas rīkā, Komisija iekļauj paziņotajām atbilstības novērtēšanas struktūrām piešķirtos identifikācijas numurus un darbības, kuru veikšanai tās ir paziņotas.
3. Informāciju par paziņotajām atbilstības novērtēšanas struktūrām ENISA dara pieejamu īpaši izveidotajā tīmekļa vietnē par Eiropas kiberdrošības sertifikācijas shēmām, kas minēta Regulas (ES) 2019/881 50. panta 1. punktā.
4. pants
Izmaiņas paziņojumos
1. VKSI, izmantojot Komisijas izstrādāto un pārvaldīto elektronisko paziņošanas rīku, saskaņā ar Regulas (ES) 2019/881 61. panta 1. punktu bez liekas kavēšanās paziņo Komisijai par vēlākām izmaiņām 2. pantā minētajā paziņojumā.
2. Ja, kā paredzēts Regulā (ES) 2019/881, VKSI sadarbībā ar valsts akreditācijas struktūru ir konstatējusi, ka paziņotā atbilstības novērtēšanas struktūra vairs neatbilst prasībām vai pienākumiem, kas uz to attiecas, VKSI attiecīgi ierobežo, aptur vai atsauc paziņojumu atkarībā no tā, kādā mērā attiecīgā atbilstības novērtēšanas struktūra nav spējusi nodrošināt atbilstību minētajām prasībām vai pildīt minētos pienākumus. Tā bez liekas kavēšanās attiecīgi informē Komisiju, izmantojot Komisijas izstrādāto un pārvaldīto elektronisko rīku.
3. Paziņojuma ierobežošanas, apturēšanas vai atsaukšanas gadījumā vai tad, ja paziņotā atbilstības novērtēšanas struktūra ir beigusi darboties, paziņotājai VKSI ir jāveic piemēroti pasākumi, kas nodrošina, ka minētās atbilstības novērtēšanas struktūras dati tiek glabāti drošā veidā un tiek saglabāti tik ilgi, cik noteikts Eiropas kiberdrošības sertifikācijas shēmā.
5. pants
Stāšanās spēkā
Šī regula stājas spēkā divdesmitajā dienā pēc tās publicēšanas Eiropas Savienības Oficiālajā Vēstnesī.
Šī regula uzliek saistības kopumā un ir tieši piemērojama visās dalībvalstīs.
Briselē, 2024. gada 18. decembrī
Komisijas vārdā –
priekšsēdētāja
Ursula VON DER LEYEN
(1) OV L 151, 7.6.2019., 15. lpp., ELI: http://data.europa.eu/eli/reg/2019/881/oj.
(2) Komisijas Īstenošanas regula (ES) 2024/482 (2024. gada 31. janvāris) par to, kā vienotos kritērijos balstītas Eiropas kiberdrošības sertifikācijas shēmas (EUCC) pieņemšanas sakarā piemērojama Eiropas Parlamenta un Padomes Regula (ES) 2019/881 (OV L, 2024/482, 7.2.2024., ELI: http://data.europa.eu/eli/reg_impl/2024/482/oj).
(3) Eiropas Parlamenta un Padomes Regula (ES) 2024/2847 (2024. gada 23. oktobris) par horizontālajām kiberdrošības prasībām attiecībā uz produktiem ar digitāliem elementiem un ar ko groza Regulas (ES) Nr. 168/2013 un (ES) 2019/1020 un Direktīvu (ES) 2020/1828 (Kibernoturības akts) (OV L, 2024/2847, 20.11.2024., ELI: http://data.europa.eu/eli/reg/2024/2847/oj)
(4) Eiropas Parlamenta un Padomes Lēmums Nr. 768/2008/EK (2008. gada 9. jūlijs) par produktu tirdzniecības vienotu sistēmu un ar ko atceļ Padomes Lēmumu 93/465/EEK (OV L 218, 13.8.2008., 82. lpp., ELI: http://data.europa.eu/eli/dec/2008/768(1)/oj).
(5) Eiropas Parlamenta un Padomes Regula (EK) Nr. 765/2008 (2008. gada 9. jūlijs), ar ko nosaka akreditācijas un tirgus uzraudzības prasības attiecībā uz produktu tirdzniecību un atceļ Regulu (EEK) Nr. 339/93 (OV L 218, 13.8.2008., 30. lpp., ELI: http://data.europa.eu/eli/reg/2008/765/oj).
PIELIKUMS
Informācija, kas jāiekļauj, Eiropas kiberdrošības sertifikācijas shēmas ietvaros paziņojot par atbilstības novērtēšanas struktūru saskaņā ar Regulas (ES) 2019/881 61. panta 1. punktu, kā minēts šīs regulas 2. panta 3. punktā
1.
Vispārīga informācija:|
1) |
kiberdrošības sertifikācijas shēmas nosaukums; |
|
2) |
attiecīgā gadījumā apliecinājuma līmenis vai līmeņi (piemēram, pamata, būtisks, augsts) un ar to vai ar tiem saistītās atbilstības novērtēšanas procedūras; |
|
3) |
tvērums (piemēram, akreditācijas tvērums, produktu, pakalpojumu, procesu kategorijas vai veidi). |
2.
Informācija par valsts kiberdrošības sertifikācijas iestādi paziņotāju:|
1) |
nosaukums; |
|
2) |
valsts; |
|
3) |
pasta adrese; |
|
4) |
e-pasta adrese vai adreses; |
|
5) |
telefona numurs vai numuri; |
|
6) |
tīmekļa vietne. |
3.
Informācija par paziņojamo atbilstības novērtēšanas struktūru:|
1) |
nosaukums; |
|
2) |
valsts; |
|
3) |
pasta adrese; |
|
4) |
e-pasta adrese vai adreses; |
|
5) |
telefona numurs vai numuri; |
|
6) |
tīmekļa vietne. |
4.
Informācija par akreditāciju:|
1) |
akreditācija:
|
|
2) |
valsts akreditācijas struktūra:
|
5.
Informācija par pilnvarojumu (attiecīgā gadījumā):|
1) |
pilnvarojums:
|
|
2) |
pilnvarotāja kiberdrošības iestāde (ja nav tā pati valsts kiberdrošības sertifikācijas iestāde paziņotāja):
|
6.
Papildu informācija:|
1) |
jebkāda papildu informācija, kas prasīta konkrētā Eiropas kiberdrošības sertifikācijas shēmā; |
|
2) |
apliecinošie dokumenti, ja tādi ir. |
ELI: http://data.europa.eu/eli/reg_impl/2024/3143/oj
ISSN 1977-0715 (electronic edition)