32024R0482

This document is an excerpt from the EUR-Lex website

EUROPA
EUR-Lex home
Regolament implimentattiv - UE - 2024/482 - EN - EUR-Lex

Help

Search tips

Need more search options? Use the Advanced search

Document 32024R0482

Help

Regolament ta’ Implimentazzjoni tal-Kummissjoni (UE) 2024/482 tal-31 ta’ Jannar 2024 li jistabbilixxi r-regoli għall-applikazzjoni tar-Regolament (UE) 2019/881 tal-Parlament Ewropew u tal-Kunsill fir-rigward tal-adozzjoni tal-iskema Ewropea taċ-ċertifikazzjoni taċ-ċibersigurtà bbażata fuq il-Kriterji Komuni (EUCC)

C/2024/560

ĠU L, 2024/482, 7.2.2024, ELI: http://data.europa.eu/eli/reg_impl/2024/482/oj (BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

Legal status of the document In force: This act has been changed. Current consolidated version: 29/12/2025

ELI: http://data.europa.eu/eli/reg_impl/2024/482/oj

Date of document:: 31/01/2024; Data ta' adozzjoni
Date of effect:: 27/02/2024; Dħul fis-seħħ Data tal-pubblikazzjoni +20 Ara Art. 50
Date of effect:: 27/02/2024; Applikazzjoni Applikazzjoni parzjali Ara Art. 50
Date of effect:: 27/02/2025; Applikazzjoni Ara Art. 50
Date of end of validity:: No end date

Author:: Il-Kummissjoni Ewropea, Id-Direttorat Ġenerali għan-Networks tal-Komunikazzjonijiet, Il-Kontenut u t-Teknoloġija
Responsible body:: Directorate-General for Communications Networks, Content and Technology, CNECT
Form:: Regolament implimentattiv
Additional information:: Rilevanza għaż-ŻEE

Treaty:

Trattat dwar il-Funzjonament tal-Unjoni Ewropea

Legal basis:

32019R0881 - A49P7

Link

Select all documents mentioning this document

Modified by:

Relation	Act	Comment	Subdivision concerned	From
Corrected by	32024R0482R(01)	(SK)
Corrected by	32024R0482R(02)	(PT)
Corrected by	32024R0482R(03)	(SK)
Modified by	32024R3144	Tħassir	artikolu 24	08/01/2025
Modified by	32024R3144	Tħassir	artikolu 17 paragrafu 1	08/01/2025
Modified by	32024R3144	Sostituzzjoni	artikolu 16	08/01/2025
Modified by	32024R3144	Sostituzzjoni	anness I	08/01/2025
Modified by	32024R3144	Sostituzzjoni	anness IV taqsima IV.3 punt 5	08/01/2025
Modified by	32024R3144	Żieda	artikolu 48 paragrafu 4	08/01/2025
Modified by	32024R3144	Sostituzzjoni	artikolu 2 punt 1	08/01/2025
Modified by	32024R3144	Sostituzzjoni	artikolu 8 paragrafu 1	08/01/2025
Modified by	32024R3144	Sostituzzjoni	artikolu 3	08/01/2025
Modified by	32024R3144	Sostituzzjoni	artikolu 2 punt 2	08/01/2025
Modified by	32024R3144	Sostituzzjoni	artikolu 8 titolu	08/01/2025
Modified by	32024R3144	Sostituzzjoni	artikolu 29 paragrafu 2	08/01/2025
Modified by	32024R3144	Tħassir	artikolu 23	08/01/2025
Modified by	32024R3144	Żieda	artikolu 49 paragrafu 4	08/01/2025
Modified by	32024R3144	Żieda	kapitolu IV artikolu 20a	08/01/2025
Modified by	32024R3144	Sostituzzjoni	anness IV taqsima IV.3 punt 6	08/01/2025
Modified by	32024R3144	Sostituzzjoni	artikolu 5 paragrafu 1 punt (b)	08/01/2025
Modified by	32025R2462	Żieda	artikolu 2 punt 18	29/12/2025
Modified by	32025R2462	Sostituzzjoni	anness III	29/12/2025
Modified by	32025R2462	Sostituzzjoni	artikolu 19 paragrafu 1	29/12/2025
Modified by	32025R2462	Sostituzzjoni	anness IV punt IV.3 titolu	29/12/2025
Modified by	32025R2462	Sostituzzjoni	artikolu 9 paragrafu 2 punt (a)	29/12/2025
Modified by	32025R2462	Żieda	anness IV punt IV.3 punt 5a	29/12/2025
Modified by	32025R2462	Sostituzzjoni	artikolu 42 paragrafu 2	29/12/2025
Modified by	32025R2462	Sostituzzjoni	anness V punt V.1	29/12/2025
Modified by	32025R2462	Żieda	artikolu 42 paragrafu 1 punt (i)	29/12/2025
Modified by	32025R2462	Sostituzzjoni	anness IX	29/12/2025
Modified by	32025R2462	Sostituzzjoni	anness I	29/12/2025
Modified by	32025R2462	Sostituzzjoni	artikolu 11 paragrafu 3 punt (b)	29/12/2025
Modified by	32025R2462	Żieda	artikolu 2 punt 17	29/12/2025
Modified by	32025R2462	Sostituzzjoni	anness IV punt IV.2 punt 4	29/12/2025
Modified by	32025R2462	Sostituzzjoni	anness IV punt IV.3 punt 5	29/12/2025
Modified by	32025R2462	Żieda	artikolu 2 punt 16	29/12/2025
Modified by	32025R2462	Sostituzzjoni	anness II	29/12/2025
Modified by	32025R2462	Żieda	artikolu 5 paragrafu 3	29/12/2025
Modified by	32025R2462	Sostituzzjoni	anness IV punt IV.3 punt 4	29/12/2025
Modified by	32025R2462	Sostituzzjoni	artikolu 48 paragrafu 4	29/12/2025

Instruments cited:

EUROVOC descriptor:

Subject matter:

Directory code:

HTML

PDF - authentic OJ

e-signature

How to verify the authenticity of the Official Journal

Il-Ġurnal Uffiċjali
ta'l-Unjoni Ewropea

Is-serje L

2024/482

7.2.2024

REGOLAMENT TA’ IMPLIMENTAZZJONI TAL-KUMMISSJONI (UE) 2024/482

tal-31 ta’ Jannar 2024

li jistabbilixxi r-regoli għall-applikazzjoni tar-Regolament (UE) 2019/881 tal-Parlament Ewropew u tal-Kunsill fir-rigward tal-adozzjoni tal-iskema Ewropea taċ-ċertifikazzjoni taċ-ċibersigurtà bbażata fuq il-Kriterji Komuni (EUCC)

(Test b’rilevanza għaż-ŻEE)

IL-KUMMISSJONI EWROPEA,

Wara li kkunsidrat it-Trattat dwar il-Funzjonament tal-Unjoni Ewropea,

Wara li kkunsidrat ir-Regolament (UE) 2019/881 tal-Parlament Ewropew u tal-Kunsill tas-17 ta’ April 2019 dwar l-ENISA (l-Aġenzija tal-Unjoni Ewropea għaċ-Ċibersigurtà) u dwar iċ-ċertifikazzjoni taċ-ċibersigurtà tat-teknoloġija tal-informazzjoni u tal-komunikazzjoni u li jħassar ir-Regolament (UE) Nru 526/2013 (l-Att dwar iċ-Ċibersigurtà) (1), u b’mod partikolari l-Artikolu 49(7) tiegħu,

Billi:

(1)

Dan ir-Regolament jispeċifika r-rwoli, ir-regoli u l-obbligi, kif ukoll l-istruttura tal-iskema Ewropea taċ-ċertifikazzjoni taċ-ċibersigurtà bbażata fuq il-Kriterji Komuni (EUCC) f’konformità mal-qafas Ewropew taċ-ċertifikazzjoni taċ-ċibersigurtà stabbilit fir-Regolament (UE) 2019/881. L-EUCC jibni fuq il-Ftehim ta’ Rikonoxximent Reċiproku (“MRA”) taċ-Ċertifikati tas-Sigurtà tat-Teknoloġija tal-Informazzjoni tal-Grupp tal-Uffiċjali Għoljin dwar is-Sigurtà tas-Sistemi tal-Informazzjoni (2) (“SOG-IS”) permezz tal-Kriterji Komuni, inkluż il-proċeduri u d-dokumenti tal-grupp.

(2)

L-iskema jenħtieġ li tkun ibbażata fuq standards internazzjonali stabbiliti. Il-Kriterji Komuni huma standard internazzjonali għall-evalwazzjoni tas-sigurtà tal-informazzjoni ppubblikat, pereżempju, bħall-ISO/IEC 15408 — Sigurtà tal-informazzjoni, ċibersigurtà u protezzjoni tal-privatezza — Kriterji tal-evalwazzjoni għas-sigurtà tal-IT. Hu bbażat fuq evalwazzjoni ta’ parti terza u jipprevedi seba’ Livell tal-Assigurazzjoni tal-Evalwazzjoni (EAL). Mal-Kriterji Komuni hemm il-Metodoloġija Komuni tal-Evalwazzjoni, ippubblikata, pereżempju, bħala ISO/IEC 18045 — Sigurtà tal-informazzjoni, ċibersigurtà u protezzjoni tal-privatezza — Kriterji tal-evalwazzjoni għas-sigurtà tal-IT-— Metodoloġija għall-evalwazzjoni tas-sigurtà tal-IT. L-ispeċifikazzjonijiet u d-dokumenti li japplikaw id-dispożizzjonijiet ta’ dan ir-Regolament jistgħu jkunu relatati ma’ standard disponibbli għall-pubbliku li jirrifletti l-istandard użat fiċ-ċertifikazzjoni skont dan ir-Regolament, bħall-Kriterji Komuni tal-Evalwazzjoni tas-Sigurtà tat-Teknoloġija tal-Informazzjoni u l-Metodoloġija Komuni tal-Evalwazzjoni tas-Sigurtà tat-Teknoloġija tal-Informazzjoni.

(3)

L-EUCC juża l-familja tal-valutazzjoni tal-vulnerabbiltà tal-Kriterji Komuni (AVA_VAN), il-komponenti minn 1 sa 5. Il-ħames komponenti jipprovdu d-determinanti u d-dipendenzi ewlenin kollha għall-analiżi tal-vulnerabbiltajiet tal-prodotti tal-ICT. Peress li l-komponenti jikkorrispondu għal-livelli ta’ assigurazzjoni f’dan ir-Regolament, dawn jippermettu għażla infurmata sew ta’ assigurazzjoni, skont l-evalwazzjonijiet imwettqa tar-rekwiżiti tas-sigurtà u r-riskju assoċjat mal-użu maħsub tal-prodott tal-ICT. L-applikant għal ċertifikat tal-EUCC jenħtieġ li jipprovdi d-dokumentazzjoni relatata mal-użu maħsub tal-prodott tal-ICT u l-analiżi tal-livelli tar-riskji assoċjati ma’ dan l-użu biex il-korp tal-valutazzjoni tal-konformità jkun jista’ jevalwa l-adegwatezza tal-livell tal-assigurazzjoni magħżul. Meta l-attivitajiet tal-evalwazzjoni u taċ-ċertifikazzjoni jagħmluhom l-istess korp tal-valutazzjoni tal-konformità, l-applikant jenħtieġ li jissottometti l-informazzjoni mitluba darba biss.

(4)

Dominju tekniku hu qafas ta’ referenza li jkopri grupp ta’ prodotti tal-ICT li għandhom funzjonalità tas-sigurtà speċifika u simili li tindirizza l-attakki meta l-karatteristiċi jkunu komuni għal livell tal-assigurazzjoni partikolari. Fid-dokumenti tal-aqwa żvilupp tekniku, dominju tekniku jiddeskrivi r-rekwiżiti speċifiċi tas-sigurtà kif ukoll metodi, tekniki u għodod addizzjonali ta’ evalwazzjoni li japplikaw għaċ-ċertifikazzjoni tal-prodotti tal-ICT li huma koperti minn dan id-dominju tekniku. Għalhekk, dominju tekniku jrawwem ukoll l-armonizzazzjoni tal-evalwazzjoni tal-prodotti tal-ICT koperti. Bħalissa hemm żewġ dominji tekniċi li qed jintużaw ħafna għaċ-ċertifikazzjoni fil-livelli AVA_VAN.4 u AVA_VAN.5. L-ewwel dominju tekniku hu d-dominju tekniku “Kards intelliġenti u apparati simili”, fejn porzjonijiet sinifikanti tal-funzjonalità tas-sigurtà meħtieġa jiddependu fuq elementi speċifiċi, imfassla apposta u spiss separabbli tal-hardware (eż. hardware tal-kards intelliġenti, ċirkwiti integrati, prodotti komposti tal-kards intelliġenti, Moduli tal-Pjattaformi ta’ Fiduċja kif użati fil-Computing ta’ Fiduċja, jew kards tat-takografu diġitali). It-tieni dominju tekniku hu “Apparati tal-hardware b’kaxxi tas-sigurtà”, fejn porzjonijiet sinifikanti tal-funzjonalità tas-sigurtà meħtieġa jiddependu fuq pakkett fiżiku tal-hardware (imsejjaħ “Kaxxa tas-Sigurtà”) li jkun iddisinjat biex jiflaħ l-attakki diretti, eż. terminals tal-pagamenti, unitajiet tal-vetturi tat-takografu, miters intelliġenti, terminals tal-kontroll tal-aċċess, u Moduli tas-Sigurtà tal-Hardware).

(5)

Meta japplika għal ċertifikazzjoni, l-applikant jenħtieġ li jorbot ir-raġunament tiegħu għall-għażla ta’ livell tal-assigurazzjoni mal-objettivi stabbiliti fl-Artikolu 51 tar-Regolament (UE) 2019/881, u mal-għażla tal-komponenti mill-katalogu tar-rekwiżiti funzjonali tas-sigurtà u tar-rekwiżiti tal-assigurazzjoni tas-sigurtà li hemm fil-Kriterji Komuni. Il-korpi taċ-ċertifikazzjoni jenħtieġ li jivvalutaw l-adegwatezza tal-livell tal-assigurazzjoni magħżul u jiżguraw li l-livell magħżul ikun proporzjonat mal-livell tar-riskju assoċjat mal-użu maħsub tal-prodott tal-ICT.

(6)

Skont il-Kriterji Komuni, iċ-ċertifikazzjoni ssir skont mira tas-sigurtà li tinkludi definizzjoni tal-problema tas-sigurtà tal-prodott tal-ICT kif ukoll l-objettivi tas-sigurtà li jindirizzaw il-problema tas-sigurtà. Il-problema tas-sigurtà tipprovdi dettalji dwar l-użu maħsub tal-prodott tal-ICT u r-riskji assoċjati ma’ tali użu. Sett magħżul tar-rekwiżiti tas-sigurtà jkun jirrispondi kemm il-problema tas-sigurtà u anki l-objettivi tas-sigurtà tal-prodott tal-ICT.

(7)

Il-profili tal-protezzjoni huma mezz effettiv biex jiġu ddeterminati minn qabel il-kriterji komuni applikabbli għal kategorija partikolari ta’ prodotti tal-ICT, u għalhekk huma wkoll element essenzjali tal-proċess taċ-ċertifikazzjoni tal-prodotti tal-ICT koperti mill-profil tal-protezzjoni. Profil tal-protezzjoni jintuża biex jiġu vvalutati l-miri futuri tas-sigurtà li jaqgħu fil-kategorija partikolari tal-prodotti tal-ICT indirizzata b’dak il-profil tal-protezzjoni. Dawn ikomplu jissimplifikaw u jtejbu l-effiċjenza tal-proċess taċ-ċertifikazzjoni tal-prodotti tal-ICT u jgħinu lill-utenti jispeċifikaw sew il-funzjonalità tal-prodott tal-ICT u b’mod effettiv. Għalhekk, jenħtieġ li l-profili tal-protezzjoni jitqiesu bħala parti integrali mill-proċess tal-ICT li jwassal għaċ-ċertifikazzjoni tal-prodotti tal-ICT.

(8)

Biex ikunu jistgħu jiġu involuti fil-proċess tal-ICT li jappoġġa l-iżvilupp u t-twassil ta’ prodott tal-ICT ċċertifikat, jenħtieġ li l-profili tal-protezzjoni nfushom ikunu jistgħu jiġu ċċertifikati indipendentement minn xi ċertifikazzjoni tal-prodott speċifiku tal-ICT li jaqa’ fil-profil tal-protezzjoni rispettiv. Għalhekk hu essenzjali li jiġi applikat mill-inqas l-istess livell ta’ skrutinju għall-profili tal-protezzjoni bħall-miri tas-sigurtà biex ikun żgurat livell għoli taċ-ċibersigurtà. Il-profili tal-protezzjoni jenħtieġ li jiġu evalwati u ċċertifikati separatament mill-prodott tal-ICT relatat u billi jiġu applikati biss il-Kriterji Komuni u l-klassi tal-assigurazzjoni tal-Metodoloġija Komuni tal-Evalwazzjoni għall-profili tal-protezzjoni (APE) u, meta applikabbli, għall-konfigurazzjonijiet tal-profili tal-protezzjoni (ACE). Minħabba r-rwol importanti u sensittiv tagħhom bħala parametru referenzjarju fiċ-ċertifikazzjoni tal-prodotti tal-ICT, jenħtieġ li dawn jiġu ċċertifikati biss minn korpi pubbliċi jew minn korp taċ-ċertifikazzjoni li jkun irċieva approvazzjoni minn qabel għall-profil tal-protezzjoni speċifiku mill-awtorità nazzjonali taċ-ċertifikazzjoni taċ-ċibersigurtà. Minħabba r-rwol fundamentali tagħhom fiċ-ċertifikazzjoni fil-livell tal-assigurazzjoni “għoli”, b’mod partikolari barra mid-dominji tekniċi, jenħtieġ li l-profili tal-protezzjoni jiġu żviluppati bħala dokumenti tal-aqwa żvilupp tekniku li jenħtieġu l-approvazzjoni tal-Grupp Ewropew taċ-Ċertifikazzjoni taċ-Ċibersigurtà.

(9)

Il-profili tal-protezzjoni ċċertifikati jenħtieġ li jkunu parti mill-monitoraġġ tal-konformità u tal-osservanza tal-EUCC li jagħmlu l-awtoritajiet nazzjonali taċ-ċertifikazzjoni taċ-ċibersigurtà. Meta l-metodoloġija, l-għodod u l-ħiliet applikati għall-approċċi tal-evalwazzjoni tal-prodotti tal-ICT ikunu disponibbli għal profili tal-protezzjoni ċċertifikati speċifiċi, id-dominji tekniċi jistgħu jkunu bbażati fuq dawk il-profili tal-protezzjoni speċifiċi.

(10)	Biex il-prodotti tal-ICT ċċertifikati jiksbu livell għoli ta’ fiduċja u assigurazzjoni, jenħtieġ li l-awtovalutazzjoni ma tkunx permessa skont dan ir-Regolament. Jenħtieġ li tkun permessa biss il-valutazzjoni tal-konformità ta’ parti terza mill-ITSEF u mill-korpi taċ-ċertifikazzjoni.

(11)

Il-komunità SOG-IS ipprovdiet interpretazzjonijiet u approċċi konġunti għall-applikazzjoni tal-Kriterji Komuni u l-Metodoloġija Komuni tal-Evalwazzjoni fiċ-ċertifikazzjoni, b’mod partikolari għal-livell tal-assigurazzjoni “għoli” li għandhom id-dominji tekniċi “Kards intelliġenti u apparati simili” u “Apparati tal-hardware b’kaxxi tas-sigurtà”. L-użu mill-ġdid ta’ dawn id-dokumenti ta’ sostenn fl-iskema tal-EUCC jiżgura tranżizzjoni bla xkiel mill-iskemi SOG-IS implimentati nazzjonalment għall-iskema tal-EUCC armonizzata. Għalhekk, f’dan ir-Regolament jenħtieġ li jiġu inklużi metodoloġiji armonizzati tal-evalwazzjoni ta’ rilevanza ġenerali għall-attivitajiet kollha taċ-ċertifikazzjoni. Barra minn hekk, il-Kummissjoni jenħtieġ li tkun tista’ titlob lill-Grupp Ewropew taċ-Ċertifikazzjoni taċ-Ċibersigurtà jadotta opinjoni li tapprova u tirrakkomanda l-applikazzjoni tal-metodoloġiji tal-evalwazzjoni speċifikati fid-dokumenti tal-aqwa żvilupp tekniku għaċ-ċertifikazzjoni tal-prodott tal-ICT jew il-profil tal-protezzjoni fl-iskema tal-EUCC. Għaldaqstant, l-Anness I ta’ dan ir-Regolament jelenka d-dokumenti tal-aqwa żvilupp tekniku għall-attivitajiet tal-evalwazzjoni mwettqa mill-korpi tal-valutazzjoni tal-konformità. Il-Grupp Ewropew taċ-Ċertifikazzjoni taċ-Ċibersigurtà jenħtieġ li japprova u jżomm dokumenti tal-aqwa żvilupp tekniku. Id-dokumenti tal-aqwa żvilupp tekniku jenħtieġ li jintużaw fiċ-ċertifikazzjoni. Hu biss f’każijiet eċċezzjonali u debitament ġustifikati li korp tal-valutazzjoni tal-konformità ma jistax jużahom soġġett għal kundizzjonijiet speċifiċi, b’mod partikolari l-approvazzjoni mill-awtorità nazzjonali taċ-ċertifikazzjoni taċ-ċibersigurtà.

(12)

Iċ-ċertifikazzjoni ta’ prodotti tal-ICT fil-livell AVA_VAN.4 jew .5 jenħtieġ li tkun possibbli biss taħt kundizzjonijiet speċifiċi u fejn tkun disponibbli metodoloġija speċifika ta’ evalwazzjoni. Il-metodoloġija speċifika tal-evalwazzjoni tista’ tiġi minquxa f’dokumenti rilevanti tal-aqwa żvilupp tekniku għad-dominju tekniku, jew fi profili tal-protezzjoni speċifiċi adottati bħala dokument tal-aqwa żvilupp tekniku li jkun rilevanti għall-kategorija tal-prodotti kkonċernata. Iċ-ċertifikazzjoni f’dawn il-livelli tal-assigurazzjoni jenħtieġ li tkun possibbli biss f’każijiet eċċezzjonali u debitament ġustifikati, soġġetta għal kundizzjonijiet speċifiċi, b’mod partikolari l-approvazzjoni tal-awtorità nazzjonali taċ-ċertifikazzjoni taċ-ċibersigurtà, inkluż tal-metodoloġija tal-evalwazzjoni applikabbli. Dawn il-każijiet eċċezzjonali u debitament ġustifikati jistgħu jkunu jeżistu meta l-leġiżlazzjoni tal-Unjoni jew nazzjonali teżiġi ċertifikazzjoni ta’ prodott tal-ICT fil-livell AVA_VAN.4 jew .5. Bl-istess mod, f’każijiet eċċezzjonali u debitament ġustifikati, il-profili tal-protezzjoni jistgħu jiġu ċċertifikati mingħajr ma jiġu applikati d-dokumenti rilevanti tal-aqwa żvilupp tekniku, soġġetti għal kundizzjonijiet speċifiċi, b’mod partikolari l-approvazzjoni mill-awtorità nazzjonali taċ-ċertifikazzjoni taċ-ċibersigurtà, inkluż tal-metodoloġija tal-evalwazzjoni applikabbli.

(13)

Il-marki u t-tikketti użati skont l-EUCC għandhom l-għan li juru b’mod viżibbli l-affidabbiltà tal-prodott tal-ICT iċċertifikat lill-utenti u jippermettulhom jagħmlu għażla infurmata meta jixtru l-prodotti tal-ICT. L-użu tal-marki u tat-tikketti jenħtieġ li jkun soġġett ukoll għar-regoli u l-kundizzjonijiet stabbiliti fl-ISO/IEC 17065 u, meta applikabbli, fl-ISO/IEC 17030 bil-gwida applikabbli.

(14)

Il-korpi taċ-ċertifikazzjoni jenħtieġ li jiddeċiedu dwar it-tul taż-żmien tal-validità taċ-ċertifikati filwaqt li jqisu ċ-ċiklu tal-ħajja tal-prodott tal-ICT kkonċernat. It-tul taż-żmien tal-validità jenħtieġ li ma jaqbiżx il-5 snin. L-awtoritajiet nazzjonali taċ-ċertifikazzjoni taċ-ċibersigurtà jenħtieġ li jaħdmu biex jarmonizzaw it-tul taż-żmien tal-validità fl-Unjoni.

(15)

Meta jiċċekken l-ambitu ta’ ċertifikat tal-EUCC eżistenti, iċ-ċertifikat jenħtieġ li jiġi rtirat u jinħareġ ċertifikat ġdid skont l-ambitu l-ġdid biex ikun żgurat li l-utenti jkunu infurmati b’mod ċar dwar l-ambitu attwali u l-livell tal-assigurazzjoni taċ-ċertifikat ta’ prodott tal-ICT partikolari.

(16)

Iċ-ċertifikazzjoni tal-profili tal-protezzjoni hija differenti miċ-ċertifikazzjoni tal-prodotti tal-ICT għax dik tikkonċerna proċess tal-ICT. Peress li profil tal-protezzjoni jkun ikopri kategorija tal-prodotti tal-ICT, l-evalwazzjoni u ċ-ċertifikazzjoni tiegħu ma jistgħux isiru fuq prodott tal-ICT wieħed. Peress li profil tal-protezzjoni jgħaqqad ir-rekwiżiti ġenerali tas-sigurtà fir-rigward ta’ kategorija ta’ prodotti tal-ICT u indipendentement mill-manifestazzjoni tal-prodott ICT mill-bejjiegħ tiegħu, il-perjodu tal-validità ta’ ċertifikat tal-EUCC għal profil tal-protezzjoni jenħtieġ li, fil-prinċipju, ikopri mqar 5 snin u jista’ jiġi estiż għal kemm ittul il-ħajja tal-profil tal-protezzjoni.

(17)

“korp tal-valutazzjoni tal-konformità” tfisser korp li jwettaq attivitajiet tal-valutazzjoni tal-konformità, inkluż il-kalibrazzjoni, l-ittestjar, iċ-ċertifikazzjoni u l-ispezzjonar. Biex tkun żgurata kwalità għolja tas-servizzi, dan ir-Regolament jispeċifika li l-attivitajiet tal-ittestjar minn naħa, u l-attivitajiet taċ-ċertifikazzjoni u tal-ispezzjoni min-naħa l-oħra, jenħtieġ li jagħmluhom entitajiet li joperaw b’mod indipendenti minn xulxin, jiġifieri l-Faċilitajiet tal-Evalwazzjoni tas-Sigurtà tat-Teknoloġija tal-Informazzjoni (“ITSEF”), u l-korpi taċ-ċertifikazzjoni, rispettivament. Iż-żewġ tipi ta’ korpi tal-valutazzjoni tal-konformità jenħtieġ li jiġu akkreditati u, f’ċerti sitwazzjonijiet, awtorizzati.

(18)

Korp taċ-ċertifikazzjoni jenħtieġ li jiġi akkreditat f’konformità mal-istandard ISO/IEC 17065 mill-korp nazzjonali tal-akkreditazzjoni għal-livell tal-assigurazzjoni “sostanzjali” u “għoli”. Minbarra l-akkreditazzjoni f’konformità mar-Regolament (UE) 2019/881 flimkien mar-Regolament (KE) Nru 765/2008, il-korpi tal-valutazzjoni tal-konformità jenħtieġ li jissodisfaw rekwiżiti speċifiċi biex jiggarantixxu l-kompetenza teknika tagħhom għall-evalwazzjoni tar-rekwiżiti taċ-ċibersigurtà fil-livell tal-assigurazzjoni “għoli” tal-EUCC, li jiġi kkonfermat b’“awtorizzazzjoni”. Biex jiġi appoġġat il-proċess tal-awtorizzazzjoni, jenħtieġ li jinħolqu d-dokumenti rilevanti tal-aqwa żvilupp tekniku u jiġu ppubblikati mill-ENISA wara l-approvazzjoni tal-Grupp Ewropew taċ-Ċertifikazzjoni taċ-Ċibersigurtà.

(19)

Il-kompetenza teknika ta’ ITSEF jenħtieġ li tiġi vvalutata bl-akkreditazzjoni tal-laboratorju tal-ittestjar f’konformità mal-ISO/IEC 17025 u tiġi kkumplimentata bl-ISO/IEC 23532-1 għas-sett kollu tal-attivitajiet tal-evalwazzjoni li għandhom rilevanza għal-livell tal-assigurazzjoni u speċifikati fl-ISO/IEC 18045 flimkien mal-ISO/IEC 15408. Il-korp taċ-ċertifikazzjoni u l-ITSEF tiegħu jenħtieġ li jistabbilixxu u jħaddmu sistema xierqa tal-ġestjoni tal-kompetenzi għall-persunal li tislet mill-ISO/IEC 19896-1 għall-elementi u l-livelli tal-kompetenza u għall-valutazzjoni tal-kompetenza. Għal-livell tal-għarfien, tal-ħiliet, tal-esperjenza u tal-edukazzjoni, ir-rekwiżiti applikabbli għall-evalwaturi jenħtieġ li jinsiltu mill-ISO/IEC 19896-3. Jenħtieġ li jintwerew dispożizzjonijiet u miżuri ekwivalenti li jittrattaw id-devjazzjonijiet minn dawn is-sistemi tal-ġestjoni tal-kompetenzi, f’konformità mal-objettivi tas-sistema.

(20)

Biex jiġi awtorizzat, jenħtieġ li l-ITSEF juri l-kapaċità tiegħu li jiddetermina n-nuqqas ta’ vulnerabbiltajiet magħrufa, l-implimentazzjoni korretta u konsistenti tal-aqwa funzjonalitajiet tas-sigurtà għat-teknoloġija speċifika kkonċernata u r-reżistenza tal-prodott tal-ICT fil-mira għall-aggressuri professjonali. Barra minn hekk, għall-awtorizzazzjonijiet fid-dominju tekniku tal-“Kards intelliġenti u apparati simili”, jenħtieġ li l-ITSEF juri wkoll il-kapaċitajiet tekniċi meħtieġa għall-attivitajiet tal-evalwazzjoni u l-kompiti relatati kif definit fid-dokument ta’ sostenn “Rekwiżiti minimi tal-ITSEF għall-evalwazzjonijiet tas-sigurtà tad-dokument ta’ sostenn tal-kards intelliġenti u apparati simili (3) skont il-Kriterji Komuni. Għal awtorizzazzjoni fid-dominju tekniku “Apparati tal-hardware b’kaxxi tas-sigurtà”, l-ITSEF jenħtieġ li minbarra dawk, juri wkoll ir-rekwiżiti tekniċi minimi meħtieġa biex iwettaq l-attivitajiet tal-evalwazzjoni u l-kompiti relatati fuq l-apparati tal-hardware b’kaxxi tas-sigurtà kif rakkomandat mill-ECCG. Fil-kuntest tar-rekwiżiti minimi, jenħtieġ li l-ITSEF ikun kapaċi jwettaq it-tipi differenti ta’ attakki stabbiliti fid-dokument ta’ sostenn “Applikazzjoni tal-Potenzjal ta’ Attakki fuq l-Apparati tal-Hardware b’Kaxxi tas-Sigurtà” skont il-Kriterji Komuni. Dawk il-kapaċitajiet jinkludu l-għarfien u l-ħiliet tal-evalwatur u tat-tagħmir, u l-metodi tal-evalwazzjoni meħtieġa biex jiġu ddeterminati u vvalutati t-tipi differenti ta’ attakki.

(21)

L-awtorità nazzjonali taċ-ċertifikazzjoni taċ-ċibersigurtà jenħtieġ li timmonitorja l-osservanza tal-obbligi tal-korpi taċ-ċertifikazzjoni, l-ITSEF u d-detenturi taċ-ċertifikati, li jirriżultaw minn dan ir-Regolament u mir-Regolament (UE) 2019/881. L-awtorità nazzjonali taċ-ċertifikazzjoni taċ-ċibersigurtà jenħtieġ li tuża kull sors xieraq ta’ informazzjoni għal dan il-għan, inkluż l-informazzjoni li tasal mingħand il-parteċipanti fil-proċess taċ-ċertifikazzjoni u li toħroġ mill-investigazzjonijiet tagħha stess.

(22)

Il-korpi taċ-ċertifikazzjoni jenħtieġ li jikkooperaw mal-awtoritajiet rilevanti tas-sorveljanza tas-suq u jqisu kull informazzjoni dwar il-vulnerabbiltà li tista’ tkun rilevanti għall-prodotti tal-ICT li għalihom ikunu ħarġu ċ-ċertifikati. Il-korpi taċ-ċertifikazzjoni jenħtieġ li jimmonitorjaw il-profili tal-protezzjoni li jkunu ġew iċċertifikati biex jaraw jekk ir-rekwiżiti tas-sigurtà stabbiliti għal kategorija ta’ prodotti tal-ICT għadhomx jirriflettu l-aħħar żviluppi fix-xenarju tat-theddid.

(23)

B’appoġġ għall-monitoraġġ tal-osservanza, jenħtieġ li l-awtoritajiet nazzjonali taċ-ċertifikazzjoni taċ-ċibersigurtà jikkooperaw mal-awtoritajiet rilevanti tas-sorveljanza tas-suq f’konformità mal-Artikolu 58 tar-Regolament (UE) 2019/881 u r-Regolament (UE) 2019/1020 tal-Parlament Ewropew u tal-Kunsill (4). L-operaturi ekonomiċi fl-Unjoni huma obbligati jaqsmu informazzjoni u jikkooperaw mal-awtoritajiet tas-sorveljanza tas-suq, f’konformità mal-Artikolu 4(3) tar-Regolament 2019/1020.

(24)

Il-korpi taċ-ċertifikazzjoni jenħtieġ li jimmonitorjaw l-osservanza tad-detenturi taċ-ċertifikati u l-konformità taċ-ċertifikati kollha maħruġa bl-EUCC. Il-monitoraġġ jenħtieġ li jiżgura li r-rapporti tal-evalwazzjoni kollha pprovduti mill-ITSEF, u l-konklużjonijiet tagħhom, u l-kriterji u l-metodi tal-evalwazzjoni jiġu applikati b’mod konsistenti u sew tul l-attivitajiet kollha taċ-ċertifikazzjoni.

(25)

Meta jinstabu kwistjonijiet potenzjali ta’ nuqqas ta’ osservanza li jaffettwaw lil xi prodott tal-ICT iċċertifikat, hu importanti li jkun żgurat rispons proporzjonali. Għaldaqstant, iċ-ċertifikati jistgħu jiġu sospiżi. Is-sospensjoni jenħtieġ li tkun tinvolvi ċerti limitazzjonijiet fir-rigward tal-promozzjoni u l-użu tal-prodott tal-ICT inkwistjoni, iżda ma taffettwax il-validità taċ-ċertifikat. Is-sospensjoni jenħtieġ li tiġi notifikata mid-detentur taċ-ċertifikat tal-UE lix-xerrejja tal-prodotti tal-ICT affettwati, filwaqt li l-awtoritajiet tas-sorveljanza tas-suq rilevanti jenħtieġ li jiġu notifikati mill-awtorità nazzjonali rilevanti taċ-ċertifikazzjoni taċ-ċibersigurtà. Biex tinforma lill-pubbliku, l-ENISA jenħtieġ li tippubblika informazzjoni dwar sospensjoni fuq sit web apposta.

(26)

Id-detentur ta’ ċertifikat tal-EUCC jenħtieġ li jimplimenta l-proċeduri meħtieġa għall-ġestjoni tal-vulnerabbiltà u jiżgura li dawk il-proċeduri jkunu inkorporati fl-organizzazzjoni tiegħu. Meta jsir konxju ta’ vulnerabbiltà potenzjali, id-detentur taċ-ċertifikat tal-EUCC jenħtieġ li jwettaq analiżi tal-impatt tal-vulnerabbiltà. Meta l-analiżi tal-impatt tal-vulnerabbiltà tikkonferma li l-vulnerabbiltà tista’ tiġi sfruttata, id-detentur taċ-ċertifikat jenħtieġ li jibgħat rapport tal-valutazzjoni lill-korp taċ-ċertifikazzjoni li min-naħa tiegħu jenħtieġ li jinforma lill-awtorità nazzjonali taċ-ċertifikazzjoni taċ-ċibersigurtà. Ir-rapport jenħtieġ li jinforma dwar l-impatt tal-vulnerabbiltà, il-bidliet meħtieġa jew is-soluzzjonijiet ta’ rimedju meħtieġa, inkluż l-implikazzjonijiet usa’ possibbli tal-vulnerabbiltà u soluzzjonijiet ta’ rimedju għal prodotti oħra. Meta meħtieġ, l-istandard EN ISO/IEC 29147 jenħtieġ li jissupplimenta l-proċedura għall-iżvelar tal-vulnerabbiltà.

(27)

Għall-fini taċ-ċertifikazzjoni, il-korpi tal-valutazzjoni tal-konformità u l-awtoritajiet nazzjonali taċ-ċertifikazzjoni taċ-ċibersigurtà jiksbu data kunfidenzjali u sensittiva u sigrieti kummerċjali, relatati wkoll mal-proprjetà intellettwali jew il-monitoraġġ tal-osservanza li jeħtieġu protezzjoni adegwata. Għaldaqstant, dawn jenħtieġ li jkollhom il-kompetenzi u l-għarfien tekniċi meħtieġa u jenħtieġ li jdaħħlu sistemi fis-seħħ għall-protezzjoni tal-informazzjoni. Ir-rekwiżiti u l-kundizzjonijiet għall-protezzjoni tal-informazzjoni jenħtieġ li jiġu ssodisfati kemm għall-akkreditazzjoni kif ukoll għall-awtorizzazzjoni.

(28)	L-ENISA jenħtieġ li tipprovdi l-lista tal-profili tal-protezzjoni ċċertifikati fuq is-sit web taċ-ċertifikazzjoni taċ-ċibersigurtà tagħha u tindika l-istatus tagħhom, f’konformità mar-Regolament (UE) 2019/881.

(29)

Dan ir-Regolament jistabbilixxi l-kundizzjonijiet għall-ftehimiet tar-rikonoxximent reċiproku mal-pajjiżi terzi. Dawn il-ftehimiet ta’ rikonoxximent reċiproku jistgħu jkunu bilaterali jew multilaterali u jenħtieġ li jissostitwixxu ftehimiet simili fis-seħħ bħalissa. Biex tiġi ffaċilitata tranżizzjoni bla xkiel lejn dawn il-ftehimiet ta’ rikonoxximent reċiproku, l-Istati Membri jistgħu jibqgħu jħaddmu l-arranġamenti eżistenti ta’ kooperazzjoni mal-pajjiżi terzi għal żmien limitat.

(30)

Il-korpi taċ-ċertifikazzjoni li joħorġu ċertifikati tal-EUCC fil-livell tal-assigurazzjoni “għoli”, kif ukoll l-ITSEFs assoċjati rilevanti, jenħtieġ li jsirulhom valutazzjonijiet bejn il-pari. L-objettiv tal-valutazzjonijiet bejn il-pari jenħtieġ li jkun biex tiġi determinata l-osservanza kontinwa tal-kostituzzjoni u l-proċeduri tal-korp taċ-ċertifikazzjoni vvalutat bejn il-pari mar-rekwiżiti tal-iskema tal-EUCC. Il-valutazzjonijiet bejn il-pari huma differenti mill-evalwazzjonijiet bejn il-pari fost l-awtoritajiet nazzjonali taċ-ċertifikazzjoni taċ-ċibersigurtà, kif previst fl-Artikolu 59 tar-Regolament (UE) 2019/881. Il-valutazzjonijiet bejn il-pari jenħtieġ li jiżguraw li l-korpi taċ-ċertifikazzjoni jaħdmu b’mod armonizzat u jipproduċu l-istess kwalità taċ-ċertifikati, u jenħtieġ li jidentifikaw kull preġju jew dgħufija potenzjali fil-prestazzjoni tal-korpi taċ-ċertifikazzjoni, anki fid-dawl tal-kondiviżjoni tal-aqwa prattiki. Peress li hemm tipi differenti ta’ korpi taċ-ċertifikazzjoni, jenħtieġ li jkunu permessi tipi differenti ta’ valutazzjonijiet bejn il-pari. F’każijiet aktar kumplessi, bħall-korpi taċ-ċertifikazzjoni li joħorġu ċ-ċertifikati f’livelli AVA_VAN differenti, jistgħu jintużaw tipi differenti ta’ valutazzjonijiet bejn il-pari, diment li jiġu ssodisfati r-rekwiżiti kollha.

(31)

Il-Grupp Ewropew taċ-Ċertifikazzjoni taċ-Ċibersigurtà jenħtieġ li jaqdi rwol importanti fiż-żamma tal-iskema. Dan għandu, fost l-oħrajn, isir b’kooperazzjoni mas-settur privat, bil-ħolqien ta’ sottogruppi speċjalizzati u bil-ħidma preparatorja u l-assistenza rilevanti mitluba mill-Kummissjoni. Il-Grupp Ewropew taċ-Ċertifikazzjoni taċ-Ċibersigurtà jaqdi rwol importanti fl-approvazzjoni tad-dokumenti tal-aqwa żvilupp tekniku. Fl-approvazzjoni u l-adozzjoni tad-dokumenti tal-aqwa żvilupp tekniku, jenħtieġ li jitqiesu kif xieraq l-elementi msemmija fl-Artikolu 54(1) l-ittra c) tar-Regolament (UE) 2019/881. Id-dominji tekniċi u d-dokumenti tal-aqwa żvilupp tekniku jenħtieġ li jiġu ppubblikati fl-Anness I ta’ dan ir-Regolament. Il-profili tal-protezzjoni li jkunu ġew adottati bħala dokumenti tal-aqwa żvilupp tekniku jenħtieġ li jiġu ppubblikati fl-Anness II. Biex ikun żgurat li dawn l-Annessi jkunu dinamiċi, il-Kummissjoni tista’ temendahom bil-proċedura stabbilita fl-Artikolu 66(2) tar-Regolament (UE) 2019/881, u filwaqt li tqis l-opinjoni tal-Grupp Ewropew taċ-Ċertifikazzjoni taċ-Ċibersigurtà. L-Anness III fih profili tal-protezzjoni rakkomandati, li fil-mument tad-dħul fis-seħħ ta’ dan ir-Regolament ma jkunux dokumenti tal-aqwa żvilupp tekniku. Dawn jenħtieġ li jsiru pubbliċi fuq is-sit web tal-ENISA msemmi fl-Artikolu 50(1) tar-Regolament (UE) 2019/881.

(32)	Dan ir-Regolament jenħtieġ li jibda japplika wara 12-il xahar mid-dħul fis-seħħ tiegħu. Ir-rekwiżiti tal-Kapitolu IV u l-Anness V ma jeħtiġux perjodu tat-tranżizzjoni u għalhekk jenħtieġ li japplikaw mid-dħul fis-seħħ ta’ dan ir-Regolament.

(33)	Il-miżuri previsti f’dan ir-Regolament huma konsistenti mal-opinjoni tal-Kumitat dwar l-Aġenzija Ewropea tas-Sikurezza tal-Avjazzjoni stabbilit bl-Artikolu 66 tar-Regolament (UE) 2019/881,

ADOTTAT DAN IR-REGOLAMENT:

KAPITOLU I

DISPOŻIZZJONIJIET ĠENERALI

Artikolu 1

Suġġett u kamp ta’ applikazzjoni

Dan ir-Regolament jistabbilixxi l-iskema Ewropea taċ-ċertifikazzjoni taċ-ċibersigurtà bbażata fuq il-Kriterji Komuni (EUCC).

Dan ir-Regolament japplika għall-prodotti kollha tat-teknoloġiji tal-informazzjoni u tal-komunikazzjoni (“ICT”), inkluż id-dokumentazzjoni tagħhom, li jiġu sottomessi għaċ-ċertifikazzjoni skont l-EUCC, u għall-profili tal-protezzjoni kollha li jiġu sottomessi għaċ-ċertifikazzjoni bħala parti mill-proċess tal-ICT li jwassal għaċ-ċertifikazzjoni tal-prodotti tal-ICT.

Artikolu 2

Definizzjonijiet

Għall-iskopijiet ta’ dan ir-Regolament, japplikaw id-definizzjonijiet li ġejjin:

(1)	“Kriterji Komuni” tfisser il-Kriterji Komuni għall-Evalwazzjoni tas-Sigurtà tat-Teknoloġija tal-Informazzjoni stabbiliti fl-istandard ISO ISO/IEC 15408;

(2)	“Metodoloġija Komuni tal-Evalwazzjoni” tfisser il-Metodoloġija Komuni għall-Evalwazzjoni tas-Sigurtà tat-Teknoloġija tal-Informazzjoni stabbilita fl-istandard ISO/IEC 18045;

(3)	“mira tal-evalwazzjoni” tfisser prodott tal-ICT jew parti minnu, jew profil tal-protezzjoni bħala parti minn proċess tal-ICT, li jssirlu evalwazzjoni taċ-ċibersigurtà biex ikun jista’ jirċievi ċertifikazzjoni tal-EUCC;

(4)	“mira tas-sigurtà” tfisser pretensjoni ta’ rekwiżiti tas-sigurtà dipendenti fuq l-implimentazzjoni għal prodott speċifiku tal-ICT;

(5)

“profil tal-protezzjoni” tfisser proċess tal-ICT li jistabbilixxi r-rekwiżiti tas-sigurtà għal kategorija speċifika ta’ prodotti tal-ICT, li jindirizzaw ħtiġijiet tas-sigurtà indipendenti mill-implimentazzjoni, li jistgħu jintużaw biex jiġu vvalutati l-prodotti tal-ICT li jaqgħu f’dik il-kategorija speċifika;

(6)	“rapport tekniku tal-evalwazzjoni” tfisser dokument prodott minn ITSEF biex jippreżenta s-sejbiet, il-verdetti u l-ġustifikazzjonijiet miksuba waqt l-evalwazzjoni ta’ prodott tal-ICT jew ta’ profil tal-protezzjoni f’konformità mar-regoli u l-obbligi stabbiliti f’dan ir-Regolament;

(7)	“ITSEF” tfisser Faċilità tal-Evalwazzjoni tas-Sigurtà tat-Teknoloġija tal-Informazzjoni, li hi korp tal-valutazzjoni tal-konformità kif definit fl-Artikolu 2, il-punt (13), tar-Regolament (KE) Nru 765/2008 li jwettaq il-kompiti tal-evalwazzjoni;

(8)

“Livell AVA_VAN” tfisser livell ta’ analiżi tal-vulnerabbiltà tal-assigurazzjoni li jindika l-grad tal-attivitajiet tal-evalwazzjoni taċ-ċibersigurtà mwettqa biex jiġi ddeterminat il-livell tar-reżistenza minn sfruttamenti potenzjali tad-difetti jew tad-dgħufijiet fil-mira tal-evalwazzjoni fl-ambjent operazzjonali tiegħu kif stabbilit fil-Kriterji Komuni;

(9)	“ċertifikat EUCC” tfisser ċertifikat taċ-ċibersigurtà maħruġ bl-EUCC għall-prodotti tal-ICT, jew għal profili tal-protezzjoni li jistgħu jintużaw esklussivament fil-proċess taċ-ċertifikazzjoni tal-ICT tal-prodotti ICT;

(10)	“prodott kompost” tfisser prodott tal-ICT li jiġi evalwat flimkien ma’ prodott tal-ICT sottostanti ieħor li jkun diġà rċieva ċertifikat tal-EUCC, u li l-prodott kompost tal-ICT jiddependi fuq il-funzjonalità tas-sigurtà tiegħu;

(11)	“awtorità nazzjonali taċ-ċertifikazzjoni taċ-ċibersigurtà” tfisser awtorità ddeżinjata minn Stat Membru skont l-Artikolu 58(1) tar-Regolament (UE) 2019/881;

(12)	“korp taċ-ċertifikazzjoni” tfisser korp tal-valutazzjoni tal-konformità kif definit fl-Artikolu 2, il-punt (13), tar-Regolament (KE) Nru 765/2008, li jwettaq l-attivitajiet taċ-ċertifikazzjoni;

(13)	“dominju tekniku” tfisser qafas tekniku komuni relatat ma’ teknoloġija partikolari għaċ-ċertifikazzjoni armonizzata b’sett ta’ rekwiżiti tas-sigurtà karatteristiċi;

(14)

“dokument tal-aqwa żvilupp tekniku” tfisser dokument li jispeċifika l-metodi, it-tekniki u l-għodod tal-evalwazzjoni li japplikaw għaċ-ċertifikazzjoni tal-prodotti tal-ICT jew għar-rekwiżiti tas-sigurtà ta’ kategorija ġenerika ta’ prodotti tal-ICT, jew xi rekwiżiti meħtieġa oħra għaċ-ċertifikazzjoni, biex jarmonizza l-evalwazzjoni, b’mod partikolari tad-dominji tekniċi jew tal-profili tal-protezzjoni;

(15)	“awtorità tas-sorveljanza tas-suq” tfisser awtorità kif definit fl-Artikolu 3(4) tar-Regolament (UE) 2019/1020.

Artikolu 3

Standards tal-evalwazzjoni

L-istandards li ġejjin għandhom japplikaw għall-evalwazzjonijiet imwettqa bl-iskema tal-EUCC:

(a)	il-Kriterji Komuni;

(b)	il-Metodoloġija Komuni tal-Evalwazzjoni.

Artikolu 4

Livelli ta’ assigurazzjoni

1. Il-korpi taċ-ċertifikazzjoni għandhom joħorġu ċertifikati tal-EUCC fil-livell tal-assigurazzjoni “sostanzjali” jew “għoli”.

2. Iċ-ċertifikati tal-EUCC fil-livell tal-assigurazzjoni “sostanzjali” għandhom jikkorrispondu għaċ-ċertifikati li jkopru l-livell AVA_VAN.1 jew .2.

3. Iċ-ċertifikati tal-EUCC fil-livell tal-assigurazzjoni “għoli” għandhom jikkorrispondu għaċ-ċertifikati li jkopru l-livell AVA_VAN.3, .4 jew .5.

4. Il-livell tal-assigurazzjoni kkonfermat f’ċertifikat tal-EUCC għandu jiddistingwi bejn l-użu konformi u l-użu miżjud tal-komponenti tal-assigurazzjoni kif speċifikat fil-Kriterji Komuni skont l-Anness VIII.

5. Il-korpi tal-valutazzjoni tal-konformità għandhom japplikaw dawk il-komponenti tal-assigurazzjoni li fuqhom jiddependi l-livell AVA_VAN magħżul skont l-istandards imsemmija fl-Artikolu 3.

Artikolu 5

Metodi għaċ-ċertifikazzjoni tal-prodotti tal-ICT

1. Iċ-ċertifikazzjoni ta’ prodott tal-ICT għandha ssir skont il-mira tas-sigurtà tiegħu:

(a)	kif definit mill-applikant; jew

(b)	b’mod li jinkorpora profil tal-protezzjoni ċċertifikat bħala parti mill-proċess tal-ICT, meta l-prodott ICT ikun jaqa’ fil-kategorija tal-prodotti tal-ICT koperta b’dak il-profil tal-protezzjoni.

2. Il-profili tal-protezzjoni għandhom jiġu ċċertifikati bl-iskop uniku taċ-ċertifikazzjoni tal-prodotti tal-ICT li jaqgħu fil-kategorija speċifika tal-prodotti tal-ICT koperti bil-profil tal-protezzjoni.

Artikolu 6

Awtovalutazzjoni tal-konformità

Awtovalutazzjoni tal-konformità skont it-tifsira tal-Artikolu 53 tar-Regolament (UE) 2019/881 ma għandhiex tkun permessa.

KAPITOLU II

ĊERTIFIKAZZJONI TAL-PRODOTTI TAL-ICT

TAQSIMA I

Standards u rekwiżiti speċifiċi għall-evalwazzjoni

Artikolu 7

Kriterji u metodi tal-evalwazzjoni għall-prodotti tal-ICT

1. Prodott tal-ICT ippreżentat għaċ-ċertifikazzjoni għandu, mill-anqas, jiġi evalwat f’konformità ma’ dan li ġej:

(a)	l-elementi applikabbli tal-istandards imsemmija fl-Artikolu 3;

(b)	il-klassijiet tar-rekwiżiti tal-assigurazzjoni tas-sigurtà għall-valutazzjoni tal-vulnerabbiltà u l-ittestjar funzjonali indipendenti, kif stabbilit fl-istandards tal-evalwazzjoni msemmija fl-Artikolu 3;

(c)	il-livell tar-riskju assoċjat mal-użu maħsub tal-prodotti tal-ICT ikkonċernati skont l-Artikolu 52 tar-Regolament (UE) 2019/881 u l-funzjonijiet tas-sigurtà tagħhom li jappoġġaw l-objettivi tas-sigurtà stabbiliti fl-Artikolu 51 tar-Regolament (UE) 2019/881;

(d)	id-dokumenti tal-aqwa żvilupp tekniku applikabbli elenkati fl-Anness I; u

(e)	il-profili tal-protezzjoni ċċertifikati applikabbli elenkati fl-Anness II.

2. F’każijiet eċċezzjonali u debitament ġustifikati, korp tal-valutazzjoni tal-konformità jista’ jitlob li jkollux għalfejn japplika d-dokument rilevanti tal-aqwa żvilupp tekniku. F’każijiet bħal dawn, il-korp tal-valutazzjoni tal-konformità għandu jinforma lill-awtorità nazzjonali taċ-ċertifikazzjoni taċ-ċibersigurtà b’ġustifikazzjoni debitament motivata għat-talba tiegħu. L-awtorità nazzjonali taċ-ċertifikazzjoni taċ-ċibersigurtà għandha tivvaluta l-ġustifikazzjoni għal eċċezzjoni u, meta ġġustifikat, għandha tapprovaha. Sakemm l-awtorità nazzjonali taċ-ċertifikazzjoni taċ-ċibersigurtà tieħu d-deċiżjoni, il-korp tal-valutazzjoni tal-konformità ma għandu joħroġ l-ebda ċertifikat. L-awtorità nazzjonali taċ-ċertifikazzjoni taċ-ċibersigurtà għandha tinnotifika l-eċċezzjoni approvata, mingħajr dewmien żejjed, lill-Grupp Ewropew taċ-Ċertifikazzjoni taċ-Ċibersigurtà, li jista’ joħroġ opinjoni. L-awtorità nazzjonali taċ-ċertifikazzjoni taċ-ċibersigurtà għandha tikkunsidra l-opinjoni tal-Grupp Ewropew taċ-Ċertifikazzjoni taċ-Ċibersigurtà bl-aħjar mod.

3. Iċ-ċertifikazzjoni tal-prodotti tal-ICT fil-livelli AVA_VAN.4 jew .5 għandha tkun possibbli biss fix-xenarji li ġejjin:

(a)	meta l-prodott tal-ICT ikun kopert minn xi dominju tekniku elenkat fl-Anness I, dan għandu jiġi evalwat f’konformità mad-dokumenti tal-aqwa żvilupp tekniku applikabbli ta’ dawk id-dominji tekniċi,

(b)

meta l-prodott tal-ICT jaqa’ f’kategorija ta’ prodotti tal-ICT koperti bi profil tal-protezzjoni ċċertifikat li jinkludi l-livelli AVA_VAN.4 jew .5, u li jkun ġie elenkat bħala profil tal-protezzjoni tal-aqwa żvilupp tekniku fl-Anness II, dan għandu jiġi evalwat bil-metodoloġija tal-evalwazzjoni speċifikata għal dak il-profil tal-protezzjoni,

(c)

meta l-punti a) u b) ta’ dan il-paragrafu ma jkunux applikabbli u meta l-inklużjoni ta’ dominju tekniku fl-Anness I jew ta’ profil tal-protezzjoni ċċertifikat fl-Anness II ma tkunx probabbli fil-futur prevedibbli, u biss f’każijiet eċċezzjonali u debitament ġustifikati, soġġetta għall-kundizzjonijiet stabbiliti fil-paragrafu 4.

4. Meta korp tal-valutazzjoni tal-konformità jidhirlu li jkun f’każ eċċezzjonali u debitament ġustifikat imsemmi fil-punt c) tal-paragrafu 3, dan għandu jinnotifika ċ-ċertifikazzjoni maħsuba lill-awtorità nazzjonali taċ-ċertifikazzjoni taċ-ċibersigurtà b’ġustifikazzjoni u metodoloġija tal-evalwazzjoni proposta. L-awtorità nazzjonali taċ-ċertifikazzjoni taċ-ċibersigurtà għandha tivvaluta l-ġustifikazzjoni għal eċċezzjoni u, meta ġġustifikat, għandha tapprova jew temenda l-metodoloġija tal-evalwazzjoni li jrid japplika l-korp tal-valutazzjoni tal-konformità. Sakemm l-awtorità nazzjonali taċ-ċertifikazzjoni taċ-ċibersigurtà tieħu d-deċiżjoni, il-korp tal-valutazzjoni tal-konformità ma għandu joħroġ l-ebda ċertifikat. L-awtorità nazzjonali taċ-ċertifikazzjoni taċ-ċibersigurtà għandha tirrapporta, mingħajr dewmien żejjed, iċ-ċertifikazzjoni maħsuba lill-Grupp Ewropew taċ-Ċertifikazzjoni taċ-Ċibersigurtà, li jista’ joħroġ opinjoni. L-awtorità nazzjonali taċ-ċertifikazzjoni taċ-ċibersigurtà għandha tikkunsidra l-opinjoni tal-Grupp Ewropew taċ-Ċertifikazzjoni taċ-Ċibersigurtà bl-aħjar mod.

5. Jekk prodott tal-ICT ikun qed issirlu ċertifikazzjoni tal-prodotti komposti f’konformità mad-dokumenti rilevanti tal-aqwa żvilupp tekniku, l-ITSEF- li jkun wettaq l-evalwazzjoni tal-prodott tal-ICT sottostanti għandu jaqsam l-informazzjoni rilevanti mal-ITSEF li jkun qed iwettaq l-evalwazzjoni tal-prodott tal-ICT kompost.

TAQSIMA II

Ħruġ, tiġdid u rtirar taċ-ċertifikati tal-EUCC

Artikolu 8

Informazzjoni meħtieġa għaċ-ċertifikazzjoni

1. Applikant għaċ-ċertifikazzjoni bl-EUCC għandu jipprovdi l-informazzjoni kollha meħtieġa għall-attivitajiet taċ-ċertifikazzjoni lill-korp taċ-ċertifikazzjoni u l-ITSEF, jew iqegħedha għad-dispożizzjoni b’xi mod ieħor.

2. L-informazzjoni msemmija fil-paragrafu 1 għandha tinkludi l-evidenza rilevanti kollha f’konformità mat-taqsimiet dwar “Elementi tal-azzjoni tal-iżviluppaturi” bil-format xieraq kif stabbilit fit-taqsimiet dwar “Kontenut u preżentazzjoni tal-element tal-evidenza” tal-Kriterji Komuni u tal-Metodoloġija Komuni tal-Evalwazzjoni għal-livell tal-assigurazzjoni magħżul u r-rekwiżiti tal-assigurazzjoni tas-sigurtà assoċjati. L-evidenza għandha tinkludi, meta meħtieġ, dettalji dwar il-prodott tal-ICT u l-kodiċi tas-sors tiegħu f’konformità ma’ dan ir-Regolament, soġġetti għal salvagwardji mill-iżvelar mhux awtorizzat.

3. L-applikanti għaċ-ċertifikazzjoni jistgħu jipprovdu riżultati xierqa tal-evalwazzjoni lill-korp taċ-ċertifikazzjoni u lill-ITSEF minn ċertifikazzjoni preċedenti skont:

(a)	dan ir-Regolament;

(b)	skema Ewropea oħra taċ-ċertifikazzjoni taċ-ċibersigurtà adottata skont l-Artikolu 49 tar-Regolament (UE) 2019/881;

(c)	skema nazzjonali msemmija fl-Artikolu 49 ta’ dan ir-Regolament.

4. Meta r-riżultati tal-evalwazzjoni jkunu pertinenti għall-kompiti tiegħu, l-ITSEF jista’ jerġa’ juża r-riżultati tal-evalwazzjoni diment li dawk ir-riżultati jkunu konformi mar-rekwiżiti applikabbli u l-awtentiċità tagħhom tkun ikkonfermata.

5. Meta l-korp taċ-ċertifikazzjoni jippermetti li l-prodott issirlu ċertifikazzjoni ta’ prodott kompost, l-applikant għaċ-ċertifikazzjoni għandu jagħmel disponibbli l-elementi kollha meħtieġa għall-korp taċ-ċertifikazzjoni u għall-ITSEF, meta applikabbli, f’konformità mad-dokument tal-aqwa żvilupp tekniku.

6. L-applikanti għaċ-ċertifikazzjoni għandhom jipprovdu wkoll l-informazzjoni li ġejja lill-korp taċ-ċertifikazzjoni u lill-ITSEF:

(a)	il-link għas-sit web tagħhom li jkollu l-informazzjoni supplimentari dwar iċ-ċibersigurtà msemmija fl-Artikolu 55 tar-Regolament (UE) 2019/881;

(b)	deskrizzjoni tal-ġestjoni tal-vulnerabbiltajiet u tal-proċeduri tal-iżvelar tal-vulnerabbiltajiet tal-applikant.

7. Id-dokumentazzjoni rilevanti kollha msemmija f’dan l-Artikolu għandha tinżamm mill-korp taċ-ċertifikazzjoni, mill-ITSEF u mill-applikant għal perjodu ta’ ħames (5) snin mill-iskadenza taċ-ċertifikat.

Artikolu 9

Kundizzjonijiet għall-ħruġ ta’ ċertifikat tal-EUCC

1. Il-korpi taċ-ċertifikazzjoni għandhom joħorġu ċertifikat tal-EUCC meta jiġu ssodisfati l-kundizzjonijiet kollha li ġejjin:

(a)	il-kategorija tal-prodott tal-ICT hija fl-ambitu tal-akkreditazzjoni, u meta applikabbli tal-awtorizzazzjoni, tal-korp taċ-ċertifikazzjoni u tal-ITSEF involut fiċ-ċertifikazzjoni;

(b)	l-applikant għaċ-ċertifikazzjoni jkun iffirma dikjarazzjoni li torbtu bl-impenji kollha elenkati fil-paragrafu 2;

(c)	l-ITSEF ikun ikkonkluda l-evalwazzjoni mingħajr oġġezzjoni f’konformità mal-istandards, il-kriterji u l-metodi tal-evalwazzjoni msemmija fl-Artikoli 3 u 7;

(d)	il-korp taċ-ċertifikazzjoni jkun ikkonkluda r-rieżami tar-riżultati tal-evalwazzjoni mingħajr oġġezzjoni;

(e)	il-korp taċ-ċertifikazzjoni jkun ivverifika li r-rapporti tekniċi tal-evalwazzjoni pprovduti mill-ITSEF huma konsistenti mal-evidenza pprovduta u li l-istandards, il-kriterji u l-metodi tal-evalwazzjoni msemmija fl-Artikoli 3 u 7 ikunu ġew applikati sew.

2. L-applikant għaċ-ċertifikazzjoni għandu jwettaq l-impenji li ġejjin:

(a)	jipprovdi l-informazzjoni sħiħa u korretta kollha meħtieġa lill-korp taċ-ċertifikazzjoni u lill-ITSEF, u jipprovdi l-informazzjoni addizzjonali meħtieġa jekk jintalab;

(b)	ma jippromwovix il-prodott tal-ICT bħala xi prodott iċċertifikat bl-EUCC qabel jinħareġ iċ-ċertifikat tal-EUCC;

(c)	jippromwovi l-prodott tal-ICT bħala prodott iċċertifikat biss fir-rigward tal-ambitu stabbilit fiċ-ċertifikat tal-EUCC;

(d)	iwaqqaf minnufih kull promozzjoni tal-prodott tal-ICT bħala xi prodott iċċertifikat fil-każ ta’ sospensjoni, irtirar jew skadenza taċ-ċertifikat tal-EUCC;

(e)	jiżgura li l-prodotti tal-ICT mibjugħa b’referenza għaċ-ċertifikat tal-EUCC ikunu strettament identiċi għall-prodott tal-ICT soġġett għaċ-ċertifikazzjoni;

(f)	josserva r-regoli tal-użu tal-marka u t-tikketta stabbiliti għaċ-ċertifikat tal-EUCC f’konformità mal-Artikolu 11.

3. Fil-każ ta’ prodott tal-ICT li jkun qed issirlu ċertifikazzjoni tal-prodotti komposti f’konformità mad-dokumenti rilevanti tal-aqwa żvilupp tekniku, il-korp taċ-ċertifikazzjoni li jkun wettaq iċ-ċertifikazzjoni tal-prodott tal-ICT sottostanti għandu jaqsam l-informazzjoni rilevanti mal-korp taċ-ċertifikazzjoni li jkun qed iwettaq iċ-ċertifikazzjoni tal-prodott tal-ICT kompost.

Artikolu 10

Kontenut u format taċ-ċertifikat tal-EUCC

1. Ċertifikat tal-EUCC għandu jinkludi mill-inqas l-informazzjoni stabbilita fl-Anness VII.

2. L-ambitu u l-konfini tal-prodott tal-ICT ċċertifikat għandhom jiġu speċifikati mingħajr ambigwità fiċ-ċertifikat tal-EUCC jew fir-rapport taċ-ċertifikazzjoni, filwaqt li jiġi indikat jekk il-prodott ICT jkunx ġie ċċertifikat kollu kemm hu jew partijiet minnu biss.

3. Il-korp taċ-ċertifikazzjoni għandu jipprovdi ċ-ċertifikat EUCC lill-applikant imqar b’format elettroniku.

4. Il-korp taċ-ċertifikazzjoni għandu jipproduċi rapport taċ-ċertifikazzjoni f’konformità mal-Anness V għal kull ċertifikat tal-EUCC li joħroġ. Ir-rapport taċ-ċertifikazzjoni għandu jkun ibbażat fuq ir-rapport tekniku tal-evalwazzjoni maħruġ mill-ITSEF. Ir-rapport tekniku tal-evalwazzjoni u r-rapport taċ-ċertifikazzjoni għandhom jindikaw il-kriterji u l-metodi speċifiċi tal-evalwazzjoni msemmija fl-Artikolu 7 użati għall-evalwazzjoni.

5. Il-korp taċ-ċertifikazzjoni għandu jipprovdi ċ-ċertifikazzjoni taċ-ċibersigurtà lill-awtorità nazzjonali u kull ċertifikat tal-EUCC u kull rapport taċ-ċertifikazzjoni lill-ENISA b’format elettroniku.

Artikolu 11

Marka u tikketta

1. Id-detentur ta’ ċertifikat jista’ jwaħħal marka u tikketta ma’ prodott tal-ICT ċċertifikat. Il-marka u t-tikketta juru li l-prodott tal-ICT jkun ġie ċċertifikat f’konformità ma’ dan ir-Regolament. Il-marka u t-tikketta għandhom jitwaħħlu skont dan l-Artikolu u l-Anness IX.

2. Il-marka u t-tikketta għandhom jitwaħħlu b’mod viżibbli, leġibbli u li ma jitħassarx fuq il-prodott tal-ICT ċċertifikat jew it-tikketta tad-data tiegħu. Meta dan ma jkunx possibbli jew ma jkunx jaqbel li jsir minħabba n-natura tal-prodott, dawn għandhom jitwaħħlu mal-imballaġġ u fuq id-dokumenti mehmuża. Meta l-prodott tal-ICT ċċertifikat jitwassal fil-forma ta’ software, il-marka u t-tikketta għandhom jidhru b’mod viżibbli, leġibbli u li ma jitħassarx fid-dokumentazzjoni mehmuża magħhom, jew inkella f’dik id-dokumentazzjoni għandhom ikunu aċċessibbli faċilment u direttament għall-utenti fuq sit web.

3. Il-marka u t-tikketta għandhom ikunu stabbiliti fl-Anness IX u jkun fihom:

(a)	il-livell tal-assigurazzjoni u l-livell AVA_VAN tal-prodott tal-ICT ċċertifikat;

(b)

l-identifikazzjoni unika taċ-ċertifikat, li tikkonsisti minn:

(1)	l-isem tal-iskema;

(2)	l-isem u n-numru ta’ referenza tal-akkreditazzjoni tal-korp taċ-ċertifikazzjoni li jkun ħareġ iċ-ċertifikat;

(3)	is-sena u x-xahar tal-ħruġ;

(4)	in-numru tal-identifikazzjoni assenjat lill-korp taċ-ċertifikazzjoni li jkun ħareġ iċ-ċertifikat.

4. Mal-marka u t-tikketta għandu jingħata kodiċi QR b’link għal sit web li jkollu mqar:

(a)	l-informazzjoni dwar il-validità taċ-ċertifikat;

(b)	l-informazzjoni meħtieġa dwar iċ-ċertifikazzjoni kif stabbilit fl-Annessi V u VII;

(c)	l-informazzjoni li d-detentur taċ-ċertifikat għandu jagħmel disponibbli għall-pubbliku f’konformità mal-Artikolu 55 tar-Regolament (UE) 2019/881; u

(d)	meta applikabbli, l-informazzjoni storika relatata maċ-ċertifikazzjoni jew iċ-ċertifikazzjonijiet speċifiċi tal-prodott tal-ICT biex tkun tista’ ssir it-traċċabbiltà.

Artikolu 12

Perjodu tal-validità ta’ ċertifikat tal-EUCC

1. Il-korp taċ-ċertifikazzjoni għandu jistabbilixxi perjodu tal-validità għal kull ċertifikat tal-EUCC maħruġ filwaqt li jqis il-karatteristiċi tal-prodott tal-ICT ċċertifikat.

2. Il-perjodu tal-validità tal-awtorizzazzjoni ma għandux jaqbeż il-5 snin.

3. B’deroga mill-paragrafu 2, dak il-perjodu jista’ jaqbeż il-5 snin, soġġett għall-approvazzjoni minn qabel tal-awtorità nazzjonali taċ-ċertifikazzjoni taċ-ċibersigurtà. L-awtorità nazzjonali taċ-ċertifikazzjoni taċ-ċibersigurtà għandha tinnotifika lill-Grupp Ewropew taċ-Ċertifikazzjoni taċ-Ċibersigurtà mingħajr dewmien żejjed dwar l-approvazzjoni mogħtija.

Artikolu 13

Rieżami ta’ ċertifikat tal-EUCC

1. Meta jintalab mid-detentur taċ-ċertifikat jew għal raġunijiet ġustifikati oħra, il-korp taċ-ċertifikazzjoni jista’ jiddeċiedi li jwettaq rieżami taċ-ċertifikat tal-EUCC għal xi prodott tal-ICT. Ir-rieżami għandu jsir f’konformità mal-Anness IV. Il-korp taċ-ċertifikazzjoni għandu jiddetermina l-firxa tar-rieżami. Meta jkun meħtieġ għar-rieżami, il-korp taċ-ċertifikazzjoni għandu jitlob lill-ITSEF biex iwettaq evalwazzjoni mill-ġdid tal-prodott tal-ICT ċċertifikat.

2. Wara r-riżultati tar-rieżami, u meta applikabbli wara l-evalwazzjoni mill-ġdid, il-korp taċ-ċertifikazzjoni għandu:

(a)	jikkonferma ċ-ċertifikat tal-EUCC;

(b)	jirtira ċ-ċertifikat tal-EUCC f’konformità mal-Artikolu 14;

(c)	jirtira ċ-ċertifikat tal-EUCC f’konformità mal-Artikolu 14 u joħroġ ċertifikat tal-EUCC ġdid b’ambitu identiku u perjodu tal-validità estiż; jew

(d)	jirtira ċ-ċertifikat tal-EUCC f’konformità mal-Artikolu 14 u joħroġ ċertifikat tal-EUCC ġdid b’ambitu differenti.

3. Il-korp taċ-ċertifikazzjoni jista’ jiddeċiedi li jissospendi, mingħajr dewmien żejjed, iċ-ċertifikat tal-EUCC f’konformità mal-Artikolu 30, sakemm id-detentur taċ-ċertifikat tal-EUCC jieħu azzjoni ta’ rimedju.

Artikolu 14

Irtirar ta’ ċertifikat tal-EUCC

1. Mingħajr preġudizzju għall-Artikolu 58(8), il-punt (e) tar-Regolament (UE) 2019/881, ċertifikat tal-EUCC għandu jiġi rtirat mill-korp taċ-ċertifikazzjoni li jkun ħarġu.

2. Il-korp taċ-ċertifikazzjoni msemmi fil-paragrafu 1 għandu jinnotifika lill-awtorità nazzjonali taċ-ċertifikazzjoni taċ-ċibersigurtà bl-irtirar taċ-ċertifikat. B’dan l-irtirar għandu jinnotifika wkoll lill-ENISA biex jiffaċilita t-twettiq tal-kompitu tagħha skont l-Artikolu 50 tar-Regolament (UE) 2019/881. L-awtorità nazzjonali taċ-ċertifikazzjoni taċ-ċibersigurtà għandha tinnotifika lil awtoritajiet rilevanti oħra tas-sorveljanza tas-suq.

3. Id-detentur ta’ ċertifikat tal-EUCC jista’ jitlob l-irtirar taċ-ċertifikat.

KAPITOLU III

ĊERTIFIKAZZJONI TAL-PROFILI TAL-PROTEZZJONI

TAQSIMA I

Standards u rekwiżiti speċifiċi għall-evalwazzjoni

Artikolu 15

Kriterji u metodi tal-evalwazzjoni

1. Profil tal-protezzjoni għandu jiġu evalwat imqar f’konformità ma’ dan li ġej:

(a)	l-elementi applikabbli tal-istandards imsemmija fl-Artikolu 3;

(b)	il-livell tar-riskju assoċjat mal-użu maħsub tal-prodotti tal-ICT ikkonċernati skont l-Artikolu 52 tar-Regolament (UE) 2019/881 u l-funzjonijiet tas-sigurtà tagħhom li jappoġġaw l-objettivi tas-sigurtà stabbiliti fl-Artikolu 51 tiegħu; u

(c)	id-dokumenti tal-aqwa żvilupp tekniku applikabbli elenkati fl-Anness I. Profil tal-protezzjoni kopert minn dominju tekniku għandu jiġi ċċertifikat skont ir-rekwiżiti stabbiliti f’dak id-dominju tekniku.

2. F’każijiet eċċezzjonali u debitament ġustifikati, korp tal-valutazzjoni tal-konformità jista’ jiċċertifika profil tal-protezzjoni mingħajr ma japplika d-dokumenti rilevanti tal-aqwa żvilupp tekniku. F’każijiet bħal dawn, dan għandu jinforma lill-awtorità nazzjonali kompetenti responsabbli għaċ-ċertifikazzjoni taċ-ċibersigurtà u jipprovdi ġustifikazzjoni għaċ-ċertifikazzjoni maħsuba mingħajr l-applikazzjoni tad-dokumenti rilevanti tal-aqwa żvilupp tekniku kif ukoll tal-metodoloġija tal-evalwazzjoni proposta. L-awtorità nazzjonali taċ-ċertifikazzjoni taċ-ċibersigurtà għandha tivvaluta l-ġustifikazzjoni u, meta ġġustifikat, għandha tapprova n-nonapplikazzjoni tad-dokumenti rilevanti tal-aqwa żvilupp tekniku, u tapprova jew temenda, meta xieraq, il-metodoloġija tal-evalwazzjoni li jrid japplika l-korp tal-valutazzjoni tal-konformità. Sakemm l-awtorità nazzjonali taċ-ċertifikazzjoni taċ-ċibersigurtà tieħu d-deċiżjoni, il-korp tal-valutazzjoni tal-konformità ma għandu joħroġ l-ebda ċertifikat għall-profil tal-protezzjoni. L-awtorità nazzjonali taċ-ċertifikazzjoni taċ-ċibersigurtà għandha tinnotifika, mingħajr dewmien żejjed, in-nonapplikazzjoni awtorizzata tad-dokumenti rilevanti tal-aqwa żvilupp tekniku lill-Grupp Ewropew taċ-Ċertifikazzjoni taċ-Ċibersigurtà, li jista’ joħroġ opinjoni. L-awtorità nazzjonali taċ-ċertifikazzjoni taċ-ċibersigurtà għandha tikkunsidra l-opinjoni tal-Grupp Ewropew taċ-Ċertifikazzjoni taċ-Ċibersigurtà bl-aħjar mod.

TAQSIMA II

Ħruġ, tiġdid u rtirar taċ-ċertifikati tal-EUCC għall-profili tal-protezzjoni

Artikolu 16

Informazzjoni meħtieġa għaċ-ċertifikazzjoni tal-profili tal-protezzjoni

Applikant għaċ-ċertifikazzjoni ta’ profil tal-protezzjoni għandu jipprovdi, jew jagħmel disponibbli mod ieħor, l-informazzjoni kollha meħtieġa għall-attivitajiet taċ-ċertifikazzjoni lill-korp taċ-ċertifikazzjoni u lill-ITSEF. L-Artikolu 8(2), (3), (4) u (7) għandu japplika mutatis mutandis.

Artikolu 17

Ħruġ taċ-ċertifikati tal-EUCC għall-profili tal-protezzjoni

1. L-applikant għaċ-ċertifikazzjoni għandu jipprovdi kull informazzjoni korretta u sħiħa lill-korp taċ-ċertifikazzjoni u lill-ITSEF.

2. L-Artikoli 9 u 10 għandhom japplikaw mutatis mutandis.

3. L-ITSEF għandu jevalwa jekk profil tal-protezzjoni hux sħiħ, konsistenti, teknikament sod u effettiv għall-użu maħsub u għall-objettivi tas-sigurtà tal-kategorija tal-prodott tal-ICT koperta b’dak il-profil tal-protezzjoni.

4. Profil tal-protezzjoni għandu jiġi ċċertifikat biss minn:

(a)	awtorità nazzjonali taċ-ċertifikazzjoni taċ-ċibersigurtà jew korp pubbliku ieħor akkreditat bħala korp taċ-ċertifikazzjoni; jew

(b)	korp taċ-ċertifikazzjoni, wara l-approvazzjoni minn qabel tal-awtorità nazzjonali taċ-ċertifikazzjoni taċ-ċibersigurtà għal kull profil tal-protezzjoni individwali.

Artikolu 18

Perjodu tal-validità ta’ ċertifikat tal-EUCC għall-profili tal-protezzjoni

1. Il-korp taċ-ċertifikazzjoni għandu jistabbilixxi perjodu tal-validità għal kull ċertifikat tal-EUCC.

2. Il-perjodu tal-validità jista’ jkun għat-terminu kollu tal-profil tal-protezzjoni kkonċernat.

Artikolu 19

Rieżami ta’ ċertifikati tal-EUCC għall-profili tal-protezzjoni

1. Meta jintalab mid-detentur taċ-ċertifikat jew għal raġunijiet ġustifikati oħra, il-korp taċ-ċertifikazzjoni jista’ jiddeċiedi li jwettaq rieżami taċ-ċertifikat tal-EUCC għal xi profil tal-protezzjoni. Ir-rieżami għandu jsir billi jiġu applikati l-kundizzjonijiet stabbiliti fl-Artikolu 15. Il-korp taċ-ċertifikazzjoni għandu jiddetermina l-firxa tar-rieżami. Meta jkun meħtieġ għar-rieżami, il-korp taċ-ċertifikazzjoni għandu jitlob lill-ITSEF biex iwettaq evalwazzjoni mill-ġdid tal-profil tal-protezzjoni ċċertifikat.

2. Wara r-riżultati tar-rieżami, u meta applikabbli wara l-evalwazzjoni mill-ġdid, il-korp taċ-ċertifikazzjoni għandu:

(a)	jikkonferma ċ-ċertifikat tal-EUCC;

(b)	jirtira ċ-ċertifikat tal-EUCC f’konformità mal-Artikolu 20;

(c)	jirtira ċ-ċertifikat tal-EUCC f’konformità mal-Artikolu 20 u joħroġ ċertifikat tal-EUCC ġdid b’ambitu identiku u perjodu tal-validità estiż;

(d)	jirtira ċ-ċertifikat tal-EUCC f’konformità mal-Artikolu 20 u joħroġ ċertifikat tal-EUCC ġdid b’ambitu differenti.

Artikolu 20

Irtirar ta’ ċertifikati tal-EUCC għal profil tal-protezzjoni

1. Mingħajr preġudizzju għall-Artikolu 58(8), il-punt (e) tar-Regolament (UE) 2019/881, ċertifikat tal-EUCC għal profil tal-protezzjoni għandu jiġi rtirat mill-korp taċ-ċertifikazzjoni li jkun ħarġu. L-Artikolu 14 għandu japplika mutatis mutandis.

2. Ċertifikat għal profil tal-protezzjoni maħruġ f’konformità mal-Artikolu 17(4), il-punt (b) għandu jiġi rtirat mill-awtorità nazzjonali taċ-ċertifikazzjoni taċ-ċibersigurtà li tkun approvat dak iċ-ċertifikat.

KAPITOLU IV

KORPI TAL-VALUTAZZJONI TAL-KONFORMITÀ

Artikolu 21

Rekwiżiti addizzjonali jew speċifiċi għal korp taċ-ċertifikazzjoni

1. Korp taċ-ċertifikazzjoni għandu jkun awtorizzat mill-awtorità nazzjonali taċ-ċertifikazzjoni taċ-ċibersigurtà biex joħroġ ċertifikati tal-EUCC bil-livell “għoli” tal-assigurazzjoni meta, apparti li jissodisfa r-rekwiżiti stabbiliti fl-Artikolu 60(1) u l-Anness tar-Regolament (UE) 2019/881 rigward l-akkreditazzjoni tal-korpi tal-valutazzjoni tal-konformità, dak il-korp juri wkoll li:

(a)	għandu l-għarfien espert u l-kompetenzi meħtieġa biex jiġu deċiżjoni dwar iċ-ċertifikazzjoni fil-livell “għoli” tal-assigurazzjoni;

(b)	iwettaq l-attivitajiet taċ-ċertifikazzjoni tiegħu b’kooperazzjoni ma’ ITSEF awtorizzat f’konformità mal-Artikolu 22; u

(c)	il-kompetenzi meħtieġa u jistabbilixxi miżuri tekniċi u operazzjonali xierqa biex jipproteġi b’mod effettiv l-informazzjoni kunfidenzjali u sensittiva għal-livell “għoli” tal-assigurazzjoni, apparti r-rekwiżiti stabbiliti fl-Artikolu 43.

2. L-awtorità nazzjonali taċ-ċertifikazzjoni taċ-ċibersigurtà għandha tivvaluta jekk korp taċ-ċertifikazzjoni jkunx jissodisfa r-rekwiżiti kollha stabbiliti fil-paragrafu 1. Dik il-valutazzjoni għandha tinkludi mill-inqas intervisti strutturati u rieżami ta’ mill-anqas ċertifikazzjoni pilota waħda li ssir mill-korp taċ-ċertifikazzjoni f’konformità ma’ dan ir-Regolament.

Fil-valutazzjoni tagħha, l-awtorità nazzjonali taċ-ċertifikazzjoni taċ-ċibersigurtà tista’ tuża mill-ġdid kull evidenza xierqa minn xi awtorizzazzjoni preċedenti jew attivitajiet simili mogħtija skont:

(a)	dan ir-Regolament;

(b)	skema Ewropea oħra taċ-ċertifikazzjoni taċ-ċibersigurtà adottata skont l-Artikolu 49 tar-Regolament (UE) 2019/881;

(c)	skema nazzjonali msemmija fl-Artikolu 49 ta’ dan ir-Regolament.

3. L-awtorità nazzjonali taċ-ċertifikazzjoni taċ-ċibersigurtà għandha tipproduċi rapport tal-awtorizzazzjoni li jkun soġġett għal evalwazzjoni bejn il-pari f’konformità mal-Artikolu 59(3), il-punt (d), tar-Regolament (UE) 2019/881.

4. L-awtorità nazzjonali taċ-ċertifikazzjoni taċ-ċibersigurtà għandha tispeċifika l-kategoriji tal-prodotti tal-ICT u l-profili tal-protezzjoni li għalihom testendi l-awtorizzazzjoni. L-awtorizzazzjoni għandha tkun valida għal perjodu li ma jkunx itwal mill-validità tal-akkreditazzjoni. Din tista’ tiġġedded meta jintalab, diment li l-korp taċ-ċertifikazzjoni jissodisfa r-rekwiżiti stabbiliti f’dan l-Artikolu. Għat-tiġdid tal-awtorizzazzjoni, mhi meħtieġa l-ebda evalwazzjoni pilota.

5. L-awtorità nazzjonali taċ-ċertifikazzjoni taċ-ċibersigurtà għandha tirtira l-awtorizzazzjoni tal-korp taċ-ċertifikazzjoni meta dan ma jibqax tissodisfa l-kundizzjonijiet stabbiliti f’dan l-Artikolu. Mal-irtirar tal-awtorizzazzjoni, il-korp taċ-ċertifikazzjoni għandu jieqaf minnufih jippromwovi lilu nnifsu bħala korp taċ-ċertifikazzjoni awtorizzat.

Artikolu 22

Rekwiżiti addizzjonali jew speċifiċi għal ITSEF

1. ITSEF għandu jkun awtorizzat mill-awtorità nazzjonali taċ-ċertifikazzjoni taċ-ċibersigurtà biex iwettaq l-evalwazzjoni tal-prodotti tal-ICT li jkunu soġġetti għal ċertifikazzjoni fil-livell “għoli” tal-assigurazzjoni meta, apparti li jissodisfa r-rekwiżiti stabbiliti fl-Artikolu 60(1) u l-Anness tar-Regolament (UE) 2019/881 rigward l-akkreditazzjoni tal-korpi tal-valutazzjoni tal-konformità, l-ITSEF juri li josserva wkoll il-kundizzjonijiet kollha li ġejjin:

(a)	ikollu l-għarfien espert meħtieġ biex iwettaq l-attivitajiet tal-evalwazzjoni biex jiddetermina r-reżistenza għall-attakki ċibernetiċi mill-aktar avvanzati li jagħmlu atturi b’ħiliet u riżorsi sinifikanti;

(b)

għad-dominji tekniċi u l-profili tal-protezzjoni, li huma parti mill-proċess tal-ICT ta’ dawk il-prodotti tal-ICT, ikollu:

(1)

l-għarfien espert biex iwettaq l-attivitajiet speċifiċi tal-evalwazzjoni meħtieġa biex tiġi ddeterminata b’mod metodiku mira ta’ reżistenza tal-evalwazzjoni kontra l-aggressuri professjonali fl-ambjent operattiv tagħha li jassumu potenzjal ta’ attakk “moderat” jew “għoli” kif stabbilit fl-istandards imsemmija fl-Artikolu 3;

(2)	il-kompetenzi tekniċi kif speċifikati fid-dokumenti tal-aqwa żvilupp tekniku elenkati fl-Anness I;

(c)	il-kompetenzi meħtieġa u jistabbilixxi miżuri tekniċi u operazzjonali xierqa biex jipproteġi b’mod effettiv l-informazzjoni kunfidenzjali u sensittiva għal-livell “għoli” tal-assigurazzjoni, apparti r-rekwiżiti stabbiliti fl-Artikolu 43.

2. L-awtorità nazzjonali taċ-ċertifikazzjoni taċ-ċibersigurtà għandha tivvaluta jekk l-ITSEF jissodisfax ir-rekwiżiti kollha stabbiliti fil-paragrafu 1. Dik il-valutazzjoni għandha tinkludi mill-inqas intervisti strutturati u rieżami ta’ mill-anqas evalwazzjoni pilota waħda mwettqa mill-ITSEF f’konformità ma’ dan ir-Regolament.

3. Fil-valutazzjoni tagħha, l-awtorità nazzjonali taċ-ċertifikazzjoni taċ-ċibersigurtà tista’ tuża mill-ġdid kull evidenza xierqa minn xi awtorizzazzjoni preċedenti jew attivitajiet simili mogħtija skont:

(a)	dan ir-Regolament;

(b)	skema Ewropea oħra taċ-ċertifikazzjoni taċ-ċibersigurtà adottata skont l-Artikolu 49 tar-Regolament (UE) 2019/881;

(c)	skema nazzjonali msemmija fl-Artikolu 49 ta’ dan ir-Regolament.

4. L-awtorità nazzjonali taċ-ċertifikazzjoni taċ-ċibersigurtà għandha tipproduċi rapport tal-awtorizzazzjoni li jkun soġġett għal evalwazzjoni bejn il-pari f’konformità mal-Artikolu 59(3), il-punt (d) tar-Regolament (UE) 2019/881.

5. L-awtorità nazzjonali taċ-ċertifikazzjoni taċ-ċibersigurtà għandha tispeċifika l-kategoriji tal-prodotti tal-ICT u l-profili tal-protezzjoni li għalihom testendi l-awtorizzazzjoni. L-awtorizzazzjoni għandha tkun valida għal perjodu li ma jkunx itwal mill-validità tal-akkreditazzjoni. Din tista’ tiġġedded meta jintalab dan, diment li l-ITSEF ikun għadu jissodisfa r-rekwiżiti stabbiliti f’dan l-Artikolu. Għat-tiġdid tal-awtorizzazzjoni, mhi meħtieġa l-ebda evalwazzjoni pilota.

6. L-awtorità nazzjonali taċ-ċertifikazzjoni taċ-ċibersigurtà għandha tirtira l-awtorizzazzjoni tal-ITSEF meta dan ma jibqax tissodisfa l-kundizzjonijiet stabbiliti f’dan l-Artikolu. Mal-irtirar tal-awtorizzazzjoni, l-ITSEF għandu jieqaf jippromwovi lilu nnifsu bħala ITSEF awtorizzat.

Artikolu 23

Notifika tal-korpi taċ-ċertifikazzjoni

1. L-awtorità nazzjonali taċ-ċertifikazzjoni taċ-ċibersigurtà għandha tinnotifika lill-Kummissjoni dwar il-korpi taċ-ċertifikazzjoni fit-territorju tagħha li huma kompetenti biex jiċċertifikaw fil-livell “sostanzjali” tal-assigurazzjoni skont l-akkreditazzjoni tagħhom.

2. L-awtorità nazzjonali taċ-ċertifikazzjoni taċ-ċibersigurtà għandha tinnotifika lill-Kummissjoni dwar il-korpi taċ-ċertifikazzjoni fit-territorju tagħha li huma kompetenti biex jiċċertifikaw fil-livell “għoli” tal-assigurazzjoni skont l-akkreditazzjoni tagħhom u d-deċiżjoni tal-awtorizzazzjoni.

3. Meta tinnotifika lill-Kummissjoni dwar il-korpi taċ-ċertifikazzjoni, l-awtorità nazzjonali taċ-ċertifikazzjoni taċ-ċibersigurtà għandha mqar tipprovdi din l-informazzjoni:

(a)	Iil-livell(i) tal-assigurazzjoni li jkun kompetenti fihom il-korp taċ-ċertifikazzjoni biex joħroġ ċertifikati tal-EUCC;

(b)

l-informazzjoni li ġejja relatata mal-akkreditazzjoni:

(1)	id-data tal-akkreditazzjoni;

(2)	isem u indirizz tal-korp taċ-ċertifikazzjoni;

(3)	il-pajjiż tar-reġistrazzjoni tal-korp taċ-ċertifikazzjoni;

(4)	in-numru ta’ referenza tal-akkreditazzjoni;

(5)	l-ambitu u t-tul taż-żmien tal-validità tal-akkreditazzjoni;

(6)	l-indirizz, il-post u link għas-sit web rilevanti tal-korp nazzjonali tal-akkreditazzjoni; u

(c)

l-informazzjoni li ġejja relatata mal-awtorizzazzjoni għal-livell “għoli”:

(1)	id-data tal-awtorizzazzjoni;

(2)	in-numru ta’ referenza tal-awtorizzazzjoni;

(3)	it-tul taż-żmien tal-validità tal-aworizzazzjoni;

(4)	l-ambitu tal-awtorizzazzjoni, inkluż l-ogħla livell AVA_VAN u, meta applikabbli, id-dominju tekniku kopert.

4. L-awtorità nazzjonali taċ-ċertifikazzjoni taċ-ċibersigurtà għandha tibgħat kopja tan-notifika msemmija fil-paragrafi 1 u 2 lill-ENISA għall-pubblikazzjoni ta’ informazzjoni preċiża fuq is-sit web taċ-ċertifikazzjoni taċ-ċibersigurtà rigward l-eliġibbiltà tal-korpi taċ-ċertifikazzjoni.

5. L-awtorità nazzjonali taċ-ċertifikazzjoni taċ-ċibersigurtà għandha teżamina mingħajr dewmien żejjed kull informazzjoni dwar xi bidla fl-istatus tal-akkreditazzjoni mogħtija mill-korp nazzjonali tal-akkreditazzjoni. Meta l-akkreditazzjoni jew l-awtorizzazzjoni tkun ġiet irtirata, l-awtorità nazzjonali taċ-ċertifikazzjoni taċ-ċibersigurtà għandha tinforma lill-Kummissjoni dwar dan, u tista’ tippreżenta talba lill-Kummissjoni f’konformità mal-Artikolu 61(4) tar-Regolament (UE) 2019/881.

Artikolu 24

In-notifika tal-ITSEF

L-obbligi tan-notifika tal-awtoritajiet nazzjonali taċ-ċertifikazzjoni taċ-ċibersigurtà stabbiliti fl-Artikolu 23 għandhom japplikaw ukoll għall-ITSEF. In-notifika għandha tinkludi l-indirizz tal-ITSEF, l-akkreditazzjoni valida u, meta applikabbli, l-awtorizzazzjoni valida ta’ dak l-ITSEF.

KAPITOLU V

MONITORAĠĠ, NONKONFORMITÀ U NUQQAS TA’ OSSERVANZA

TAQSIMA I

Monitoraġġ tal-osservanza

Artikolu 25

Attivitajiet tal-monitoraġġ mill-awtorità nazzjonali taċ-ċertifikazzjoni taċ-ċibersigurtà

1. Mingħajr preġudizzju għall-Artikolu 58(7) tar-Regolament (UE) 2019/881, l-awtorità nazzjonali taċ-ċertifikazzjoni taċ-ċibersigurtà għandha timmonitorja l-osservanza ta’:

(a)	l-obbligi mill-korp taċ-ċertifikazzjoni u l-ITSEF skont dan ir-Regolament u r-Regolament (UE) 2019/881;

(b)	l-obbligi mid-detenturi taċ-ċertifikati tal-EUCC skont dan ir-Regolament u r-Regolament (UE) 2019/881;

(c)	ir-rekwiżiti mill-prodotti tal-ICT ċċertifikati kif stabbilit fl-EUCC;

(d)	l-assigurazzjoni espressa fiċ-ċertifikat tal-EUCC li jindirizza x-xenarju tat-theddid evolventi.

2. L-awtorità nazzjonali taċ-ċertifikazzjoni taċ-ċibersigurtà għandha twettaq l-attivitajiet tal-monitoraġġ tagħha skont:

(a)	l-informazzjoni mingħand il-korpi taċ-ċertifikazzjoni, il-korpi nazzjonali tal-akkreditazzjoni u l-awtoritajiet rilevanti tas-sorveljanza tas-suq;

(b)	l-informazzjoni li toħroġ mill-awditjar u l-investigazzjonijiet tagħha stess jew ta’ awtorità oħra;

(c)	il-kampjunar imwettaq skont il-paragrafu 3;

(d)	l-ilmenti li jaslu.

3. L-awtorità nazzjonali taċ-ċertifikazzjoni taċ-ċibersigurtà għandha, b’kooperazzjoni ma’ awtoritajiet oħra tas-sorveljanza tas-suq, tieħu kampjuni annwali ta’ mill-inqas 4% taċ-ċertifikati tal-EUCC kif determinat minn valutazzjoni tar-riskju. Meta jintalbu u filwaqt li jaġixxu f’isem l-awtorità nazzjonali taċ-ċertifikazzjoni taċ-ċibersigurtà kompetenti, il-korpi taċ-ċertifikazzjoni u, jekk ikun meħtieġ, l-ITSEF għandhom jassistu lil dik l-awtorità fil-monitoraġġ tal-osservanza.

4. L-awtorità nazzjonali taċ-ċertifikazzjoni taċ-ċibersigurtà għandha tieħu l-kampjun ta’ prodotti tal-ICT ċċertifikati li jridu jiġu vverifikati bi kriterji oġġettivi, inkluż:

(a)	il-kategorija tal-prodott;

(b)	il-livelli tal-assigurazzjoni tal-prodotti;

(c)	id-detentur ta’ ċertifikat;

(d)	il-korp taċ-ċertifikazzjoni u, meta applikabbli, l-ITSEF sottokuntrattat;

(e)	kull informazzjoni oħra miġjuba għall-attenzjoni tal-awtorità.

5. L-awtorità nazzjonali taċ-ċertifikazzjoni taċ-ċibersigurtà għandha tinforma lid-detenturi taċ-ċertifikat tal-EUCC dwar il-prodotti tal-ICT magħżula u l-kriterji tal-għażla.

6. Il-korp taċ-ċertifikazzjoni li ċċertifika l-prodott tal-ICT tal-kampjun għandu, meta jintalab mill-awtorità nazzjonali taċ-ċertifikazzjoni taċ-ċibersigurtà, bl-assistenza tal-ITSEF rispettiv, iwettaq rieżami addizzjonali f’konformità mal-proċedura stabbilita fit-Taqsima IV.2 tal-Anness IV u jinforma lill-awtorità nazzjonali taċ-ċertifikazzjoni taċ-ċibersigurtà bir-riżultati.

7. Meta l-awtorità nazzjonali taċ-ċertifikazzjoni taċ-ċibersigurtà jkollha raġuni biżżejjed biex temmen li prodott tal-ICT ċċertifikat ma għadux josserva dan ir-Regolament jew ir-Regolament (UE) 2019/881, din tista’ twettaq investigazzjonijiet jew teżerċita xi setgħa oħra tal-monitoraġġ stabbilita fl-Artikolu 58(8) tar-Regolament (UE) 2019/881.

8. L-awtorità nazzjonali taċ-ċertifikazzjoni taċ-ċibersigurtà għandha tinforma lill-korp taċ-ċertifikazzjoni u lill-ITSEF ikkonċernat dwar l-investigazzjonijiet attwali rigward il-prodotti tal-ICT magħżula.

9. Meta l-awtorità nazzjonali taċ-ċertifikazzjoni taċ-ċibersigurtà tidentifika li investigazzjoni attwali tkun tikkonċerna lil xi prodotti tal-ICT ċċertifikati minn korpi taċ-ċertifikazzjoni stabbiliti fi Stati Membri oħra, din għandha tinforma b’dan lill-awtoritajiet nazzjonali taċ-ċertifikazzjoni taċ-ċibersigurtà tal-Istati Membri rilevanti biex jikkollaboraw fl-investigazzjonijiet, meta rilevanti. L-awtorità nazzjonali taċ-ċertifikazzjoni taċ-ċibersigurtà għandha tinnotifika lill-Grupp Ewropew taċ-Ċertifikazzjoni taċ-Ċibersigurtà dwar l-investigazzjonijiet transfruntieri u r-riżultati sussegwenti.

Artikolu 26

Attivitajiet tal-monitoraġġ tal-korp taċ-ċertifikazzjoni

1. Il-korp taċ-ċertifikazzjoni għandu jimmonitorja:

(a)	l-osservanza tal-obbligi mid-detenturi taċ-ċertifikat skont dan ir-Regolament u r-Regolament (UE) 2019/881 fir-rigward taċ-ċertifikat tal-EUCC maħruġ mill-korp taċ-ċertifikazzjoni;

(b)	l-osservanza tar-rekwiżiti tas-sigurtà rispettivi mill-prodotti tal-ICT li jkun iċċertifika;

(c)	l-assigurazzjoni espressa fil-profili tal-protezzjoni ċċertifikati.

2. Il-korp taċ-ċertifikazzjoni għandu jwettaq l-attivitajiet tal-monitoraġġ tiegħu skont:

(a)	l-informazzjoni mogħtija skont l-impenji tal-applikant għaċ-ċertifikazzjoni msemmija fl-Artikolu 9(2);

(b)	l-informazzjoni li toħroġ mill-attivitajiet ta’ awtoritajiet rilevanti oħra tas-sorveljanza tas-suq;

(c)	l-ilmenti li jaslu;

(d)	informazzjoni dwar il-vulnerabbiltà li tista’ tħalli impatt fuq il-prodotti tal-ICT li jkun iċċertifika.

3. L-awtorità nazzjonali taċ-ċertifikazzjoni taċ-ċibersigurtà tista’ tfassal regoli għal djalogu perjodiku bejn il-korpi taċ-ċertifikazzjoni u d-detenturi taċ-ċertifikati tal-EUCC biex tivverifika u tirrapporta dwar l-osservanza tal-impenji meħuda skont l-Artikolu 9(2), mingħajr preġudizzju għall-attivitajiet relatati ma’ awtoritajiet rilevanti oħra tas-sorveljanza tas-suq.

Artikolu 27

Attivitajiet tal-monitoraġġ mid-detentur taċ-ċertifikat

1. Id-detentur ta’ ċertifikat tal-EUCC għandu jwettaq il-kompiti li ġejjin biex jimmonitorja l-konformità tal-prodott tal-ICT ċċertifikat mar-rekwiżiti tas-sigurtà tiegħu:

(a)

iwettaq monitoraġġ tal-informazzjoni dwar il-vulnerabbiltà rigward il-prodott tal-ICT ċċertifikat, inklużi dipendenzi magħrufa bil-mezzi tiegħu stess iżda wkoll b’kunsiderazzjoni ta’:

(1)	pubblikazzjoni jew sottomissjoni rigward informazzjoni dwar vulnerabbiltà minn utent jew riċerkatur tas-sigurtà msemmija fl-Artikolu 55(1), il-punt (c) tar-Regolament (UE) 2019/881;

(2)	sottomissjoni mingħand xi sors ieħor;

(b)	iwettaq monitoraġġ tal-assigurazzjoni espressa fiċ-ċertifikat tal-EUCC.

2. Id-detentur ta’ ċertifikat tal-EUCC għandu jaħdem b’kooperazzjoni mal-korp taċ-ċertifikazzjoni, mal-ITSEF u, meta applikabbli, mal-awtorità nazzjonali taċ-ċertifikazzjoni taċ-ċibersigurtà biex jappoġġa l-attivitajiet tal-monitoraġġ tagħhom.

TAQSIMA II

Konformità u osservanza

Artikolu 28

Konsegwenzi ta’ nonkonformità ta’ prodott tal-ICT jew profil tal-protezzjoni ċċertifikati

1. Meta prodott tal-ICT jew profil tal-protezzjoni ċċertifikati ma jkunux konformi mar-rekwiżiti stabbiliti f’dan ir-Regolament u fir-Regolament (UE) 2019/881, il-korp taċ-ċertifikazzjoni għandu jinforma lid-detentur taċ-ċertifikat tal-EUCC dwar in-nonkonformità identifikata u jitlob azzjonijiet ta’ rimedju.

2. Meta każ ta’ nonkonformità mad-dispożizzjonijiet ta’ dan ir-Regolament tista’ taffettwa l-osservanza ta’ leġiżlazzjoni rilevanti oħra tal-Unjoni, li tipprevedi l-possibbiltà li tintwera l-preżunzjoni ta’ konformità mar-rekwiżiti ta’ dak l-att legali bl-użu taċ-ċertifikat tal-EUCC, il-korp taċ-ċertifikazzjoni għandu jinforma b’dan lill-awtorità nazzjonali taċ-ċertifikazzjoni taċ-ċibersigurtà mingħajr dewmien. L-awtorità nazzjonali taċ-ċertifikazzjoni taċ-ċibersigurtà għandha tinnotifika minnufih lill-awtorità tas-sorveljanza tas-suq responsabbli għal dik ir-regola f’leġiżlazzjoni rilevanti oħra tal-Unjoni, dwar il-każ tan-nonkonformità identifikata.

3. Malli jirċievi l-informazzjoni msemmija fil-paragrafu 1, id-detentur taċ-ċertifikat tal-EUCC għandu, fil-perjodu taż-żmien stabbilit mill-korp taċ-ċertifikazzjoni, li ma għandux jaqbeż it-30 jum, jipproponi l-azzjoni ta’ rimedju meħtieġa lill-korp taċ-ċertifikazzjoni biex tiġi indirizzata n-nonkonformità.

4. Il-korp taċ-ċertifikazzjoni jista’ jissospendi, mingħajr dewmien, iċ-ċertifikat tal-EUCC f’konformità mal-Artikolu 30 f’każ ta’ emerġenza, jew meta d-detentur taċ-ċertifikat tal-EUCC ma jikkooperax kif xieraq mal-korp taċ-ċertifikazzjoni.

5. Il-korp taċ-ċertifikazzjoni għandu jwettaq rieżami f’konformità mal-Artikoli 13 u 19, li jivvaluta jekk l-azzjoni ta’ rimedju tindirizzax in-nonkonformità.

6. Meta d-detentur taċ-ċertifikat tal-EUCC ma jipproponix azzjoni ta’ rimedju xierqa tul il-perjodu taż-żmien imsemmi fil-paragrafu 3, iċ-ċertifikat għandu jiġi sospiż f’konformità mal-Artikolu 30 jew jiġi rtirat f’konformità mal-Artikoli 14 u 20.

7. Dan l-Artikolu ma għandux japplika għall-vulnerabbiltajiet li jaffettwaw lil prodott tal-ICT iċċertifikat, li għandhom jiġu indirizzati skont il-Kapitolu VI.

Artikolu 29

Konsegwenzi tan-nuqqas ta’ osservanza mid-detentur taċ-ċertifikat

1. Meta l-korp taċ-ċertifikazzjoni jsib li:

(a)	id-detentur taċ-ċertifikat tal-EUCC jew l-applikant għaċ-ċertifikazzjoni ma jkunux konformi mal-impenji u l-obbligi tagħhom kif stabbilit fl-Artikoli 9(2), 17(2), 27 u 41;

(b)	id-detentur taċ-ċertifikat tal-EUCC ma jkunx konformi mal-Artikolu 56(8) tar-Regolament (UE) 2019/881 jew mal-Kapitolu VI ta’ dan ir-Regolament; dan għandu jistabbilixxi perjodu taż-żmien mhux iżjed minn 30 jum li matulu d-detentur taċ-ċertifikat tal-EUCC għandu jieħu azzjoni ta’ rimedju.

2. Meta d-detentur taċ-ċertifikat tal-EUCC ma jipproponix azzjoni ta’ rimedju xierqa tul il-perjodu taż-żmien imsemmi fil-paragrafu 1, iċ-ċertifikat għandu jiġi sospiż skont l-Artikolu 30 jew irtirat f’konformità mal-Artikolu 14 u mal-Artikolu 20.

3. Ksur kontinwu jew rikorrenti mid-detentur taċ-ċertifikat tal-EUCC, tal-obbligi msemmija fil-paragrafu 1 għandu jiskatta l-irtirar taċ-ċertifikat tal-EUCC f’konformità mal-Artikolu 14 u mal-Artikolu 20.

4. Il-korp taċ-ċertifikazzjoni għandu jinforma lill-awtorità nazzjonali taċ-ċertifikazzjoni taċ-ċibersigurtà dwar is-sejbiet imsemmija fil-paragrafu 1. Meta l-każ ta’ nuqqas ta’ osservanza jaffettwa l-konformità ma’ leġiżlazzjoni rilevanti oħra tal-Unjoni, l-awtorità nazzjonali taċ-ċertifikazzjoni taċ-ċibersigurtà għandha tinnotifika minnufih lill-awtorità tas-sorveljanza tas-suq responsabbli għal din il-leġiżlazzjoni rilevanti l-oħra tal-Unjoni dwar il-każ ta’ nuqqas ta’ osservanza identifikat.

Artikolu 30

Sospensjoni taċ-ċertifikat tal-EUCC

1. Meta dan ir-Regolament jirreferi għal sospensjoni ta’ ċertifikat tal-EUCC, il-korp taċ-ċertifikazzjoni għandu jissospendi ċ-ċertifikat tal-EUCC ikkonċernat għal perjodu xieraq skont iċ-ċirkostanzi li jiskattaw is-sospensjoni, liema perjodu ma jaqbiżx it-42 jum. Il-perjodu tas-sospensjoni għandu jibda l-għada tal-jum tad-deċiżjoni tal-korp taċ-ċertifikazzjoni. Is-sospensjoni ma għandhiex taffettwa l-validità taċ-ċertifikat.

2. Il-korp taċ-ċertifikazzjoni għandu jinnotifika lid-detentur taċ-ċertifikat u lill-awtorità nazzjonali taċ-ċertifikazzjoni taċ-ċibersigurtà dwar is-sospensjoni mingħajr dewmien u għandu jipprovdi r-raġunijiet għas-sospensjoni, l-azzjonijiet mitluba jittieħdu u l-perjodu tas-sospensjoni.

3. Id-detenturi taċ-ċertifikazzjoni għandhom jinnotifikaw lix-xerrejja tal-prodotti tal-ICT kkonċernati dwar is-sospensjoni u r-raġunijiet mogħtija mill-korp taċ-ċertifikazzjoni għas-sospensjoni, ħlief dawk il-partijiet tar-raġunijiet li l-kondiviżjoni tagħhom tkun tikkostitwixxi riskju għas-sigurtà jew li jkun fihom informazzjoni sensittiva. Din l-informazzjoni għandha wkoll tkun disponibbli għall-pubbliku mid-detentur taċ-ċertifikat.

4. Meta leġiżlazzjoni rilevanti oħra tal-Unjoni tipprevedi preżunzjoni ta’ konformità abbażi ta’ ċertifikati maħruġa skont id-dispożizzjonijiet ta’ dan ir-Regolament, l-awtorità nazzjonali taċ-ċertifikazzjoni taċ-ċibersigurtà għandha tinforma dwar is-sospensjoni lill-awtorità tas-sorveljanza tas-suq responsabbli għal din il-leġiżlazzjoni rilevanti oħra tal-Unjoni.

5. Is-sospensjoni ta’ ċertifikat għandha tiġi notifikata lill-ENISA f’konformità mal-Artikolu 42(3).

6. F’każijiet debitament ġustifikati, l-awtorità nazzjonali taċ-ċertifikazzjoni taċ-ċibersigurtà tista’ tawtorizza estensjoni tal-perjodu tas-sospensjoni ta’ ċertifikat tal-EUCC. Il-perjodu totali tas-sospensjoni ma jistax jaqbeż sena.

Artikolu 31

Konsegwenzi tan-nuqqas ta’ osservanza mill-korp tal-valutazzjoni tal-konformità

1. F’każ ta’ nuqqas ta’ osservanza minn korp taċ-ċertifikazzjoni tal-obbligi tiegħu, jew mill-korp taċ-ċertifikazzjoni rilevanti f’każ ta’ identifikazzjoni ta’ nuqqas ta’ osservanza minn ITSEF, l-awtorità nazzjonali taċ-ċertifikazzjoni taċ-ċibersigurtà għandha, mingħajr dewmien:

(a)	tidentifika, bl-appoġġ tal-ITSEF ikkonċernat, iċ-ċertifikati tal-EUCC potenzjalment affettwati;

(b)

meta meħtieġ, titlob li jsiru attivitajiet tal-evalwazzjoni fuq prodott tal-ICT wieħed jew aktar jew fuq profil tal-protezzjoni wieħed jew aktar, mill-ITSEF li jkun wettaq l-evalwazzjoni, jew minn xi ITSEF akkreditat ieħor u, meta applikabbli, awtorizzat li jista’ jkun f’pożizzjoni teknika aħjar biex jappoġġa dik l-identifikazzjoni;

(c)	tanalizza l-impatti tan-nuqqas ta’ osservanza;

(d)	jinnotifika lid-detentur taċ-ċertifikat tal-EUCC affettwat bin-nuqqas ta’ osservanza.

2. Abbażi tal-miżuri msemmija fil-paragrafu 1, il-korp taċ-ċertifikazzjoni għandu jadotta waħda mid-deċiżjonijiet li ġejjin rigward kull ċertifikat tal-EUCC affettwat:

(a)	iżomm iċ-ċertifikat tal-EUCC mingħajr tibdil;

(b)	jirtira ċ-ċertifikat tal-EUCC f’konformità mal-Artikolu 14 u mal-Artikolu 20, u, meta xieraq, joħroġ ċertifikat tal-EUCC ġdid.

3. Abbażi tal-miżuri msemmija fil-paragrafu 1, l-awtorità nazzjonali taċ-ċertifikazzjoni taċ-ċibersigurtà għandha:

(a)	meta meħtieġ, tirrapporta n-nuqqas ta’ osservanza tal-korp taċ-ċertifikazzjoni jew l-ITSEF relatat lill-korp nazzjonali tal-akkreditazzjoni;

(b)	meta applikabbli, tivvaluta l-impatt potenzjali fuq l-awtorizzazzjoni.

KAPITOLU VI

ĠESTJONI U ŻVELAR TAL-VULNERABBILTAJIET

Artikolu 32

Ambitu tal-ġestjoni tal-vulnerabbiltajiet

Dan il-Kapitolu japplika għall-prodotti tal-ICT li jkun inħarġilhom ċertifikat tal-EUCC.

TAQSIMA I

Ġestjoni tal-vulnerabbiltajiet

Artikolu 33

Proċeduri għall-ġestjoni tal-vulnerabbiltajiet

1. Id-detentur ta’ ċertifikat tal-EUCC għandu jistabbilixxi u jħaddem il-proċeduri kollha meħtieġa għall-ġestjoni tal-vulnerabbiltajiet skont ir-regoli stabbiliti f’din it-Taqsima u, meta meħtieġ, issupplimentati bil-proċeduri stabbiliti fl-EN ISO/IEC 30111.

2. Id-detentur ta’ ċertifikat tal-EUCC għandu jħaddem u jippubblika metodi xierqa biex jirċievi informazzjoni dwar vulnerabbiltajiet relatati mal-prodotti tiegħu mingħand sorsi esterni, inkluż utenti, korpi taċ-ċertifikazzjoni u riċerkaturi tas-sigurtà.

3. Meta detentur ta’ ċertifikat tal-EUCC isib jew jirċievi informazzjoni dwar vulnerabbiltà potenzjali li taffettwa prodott tal-ICT ċċertifikat, dan għandu jirreġistraha u jwettaq analiżi tal-impatt tal-vulnerabbiltà.

4. Meta vulnerabbiltà potenzjali jkollha impatt fuq prodott kompost, id-detentur taċ-ċertifikat tal-EUCC għandu jinforma lid-detentur taċ-ċertifikati tal-EUCC dipendenti dwar il-vulnerabbiltà potenzjali.

5. Bi tweġiba għal talba motivata mill-korp taċ-ċertifikazzjoni li jkun ħareġ iċ-ċertifikat, id-detentur ta’ ċertifikat tal-EUCC għandu jibgħat l-informazzjoni rilevanti kollha dwar il-vulnerabbiltajiet potenzjali lil dak il-korp taċ-ċertifikazzjoni.

Artikolu 34

Analiżi tal-impatt tal-vulnerabbiltà

1. L-analiżi tal-impatt tal-vulnerabbiltà għandha tirreferi għall-mira tal-evalwazzjoni u d-dikjarazzjonijiet tal-assigurazzjoni li jkun hemm fiċ-ċertifikat. L-analiżi tal-impatt tal-vulnerabbiltà għandha ssir fi żmien xieraq għall-isfruttament u l-kritikalità tal-vulnerabbiltà potenzjali tal-prodott tal-ICT ċċertifikat.

2. Meta applikabbli, għandu jsir kalkolu tal-potenzjal ta’ attakk f’konformità mal-metodoloġija rilevanti inkluża fl-istandards imsemmija fl-Artikolu 3 u d-dokumenti rilevanti tal-aqwa żvilupp tekniku elenkati fl-Anness I, biex tiġi determinata l-isfruttabbiltà tal-vulnerabbiltà. Għandu jitqies il-livell AVA_VAN taċ-ċertifikat tal-EUCC.

Artikolu 35

Rapport tal-analiżi tal-impatt tal-vulnerabbiltà

1. Id-detentur għandu jipproduċi rapport tal-analiżi tal-impatt tal-vulnerabbiltà meta l-analiżi tal-impatt turi li l-vulnerabbiltà aktarx tħalli impatt fuq il-konformità tal-prodott tal-ICT maċ-ċertifikat tiegħu.

2. Ir-rapport tal-analiżi tal-impatt tal-vulnerabbiltà għandu jkun fih valutazzjoni tal-elementi li ġejjin:

(a)	l-impatt tal-vulnerabbiltà fuq il-prodott tal-ICT ċċertifikat;

(b)	riskji possibbli assoċjati mal-prossimità jew id-disponibbiltà ta’ attakk;

(c)	jekk il-vulnerabbiltà tistax tissewwa;

(d)	meta l-vulnerabbiltà tista’ tissewwa, ir-riżoluzzjonijiet possibbli tal-vulnerabbiltà.

3. Ir-rapport tal-analiżi tal-impatt tal-vulnerabbiltà għandu, meta applikabbli, ikun fih dettalji dwar il-mezzi possibbli ta’ sfruttament tal-vulnerabbiltà. L-informazzjoni li tappartjeni għall-mezzi possibbli ta’ sfruttament tal-vulnerabbiltà għandha tiġi ttrattata f’konformità mal-miżuri tas-sigurtà xierqa biex titħares il-kunfidenzjalità tagħha u tkun żgurata, meta meħtieġ, id-distribuzzjoni limitata tagħha.

4. Id-detentur ta’ ċertifikat tal-EUCC għandu jibgħat rapport tal-analiżi tal-impatt tal-vulnerabbiltà lill-korp taċ-ċertifikazzjoni jew lill-awtorità nazzjonali taċ-ċertifikazzjoni taċ-ċibersigurtà f’konformità mal-Artikolu 56(8) tar-Regolament (UE) 2019/881, mingħajr dewmien żejjed.

5. Meta r-rapport tal-analiżi tal-impatt tal-vulnerabbiltà jiddetermina li l-vulnerabbiltà mhix residwa skont it-tifsira tal-istandards imsemmija fl-Artikolu 3, u li tista’ tissewwa, għandu japplika l-Artikolu 36.

6. Meta r-rapport tal-analiżi tal-impatt tal-vulnerabbiltà jiddetermina li l-vulnerabbiltà mhix residwa u li ma tistax tissewwa, iċ-ċertifikat tal-EUCC għandu jiġi rtirat f’konformità mal-Artikolu 14.

7. Id-detentur taċ-ċertifikat tal-EUCC għandu jimmonitorja kull vulnerabbiltà residwa biex jiżgura li din ma tistax tiġi sfruttata f’każ ta’ bidliet fl-ambjent operazzjonali.

Artikolu 36

Rimedju għall-vulnerabbiltajiet

Id-detentur ta’ ċertifikat tal-EUCC għandu jippreżenta proposta għal azzjoni xierqa ta’ rimedju lill-korp taċ-ċertifikazzjoni. Il-korp taċ-ċertifikazzjoni għandu jirrieżamina ċ-ċertifikat f’konformità mal-Artikolu 13. L-ambitu tar-rieżami għandu jiġi ddeterminat mir-rimedju propost tal-vulnerabbiltà.

TAQSIMA II

Żvelar tal-vulnerabbiltajiet

Artikolu 37

Informazzjoni kondiviża mal-awtorità nazzjonali taċ-ċertifikazzjoni taċ-ċibersigurtà

1. L-informazzjoni pprovduta mill-korp taċ-ċertifikazzjoni lill-awtorità nazzjonali taċ-ċertifikazzjoni taċ-ċibersigurtà għandha tinkludi l-elementi kollha meħtieġa biex l-awtorità nazzjonali taċ-ċertifikazzjoni taċ-ċibersigurtà tifhem l-impatt tal-vulnerabbiltà, il-bidliet li jridu jsiru fil-prodott ICT u, meta disponibbli, kull informazzjoni mingħand il-korp taċ-ċertifikazzjoni dwar l-implikazzjonijiet usa’ tal-vulnerabbiltà għal prodotti tal-ICT ċċertifikati oħra.

2. L-informazzjoni pprovduta f’konformità mal-paragrafu 1 ma għandhiex tinkludi dettalji dwar il-mezzi tal-isfruttament tal-vulnerabbiltà. Din id-dispożizzjoni hi mingħajr preġudizzju għas-setgħat investigattivi tal-awtorità nazzjonali taċ-ċertifikazzjoni taċ-ċibersigurtà.

Artikolu 38

Kooperazzjoni ma’ awtoritajiet nazzjonali oħra taċ-ċertifikazzjoni taċ-ċibersigurtà

1. L-awtorità nazzjonali taċ-ċertifikazzjoni taċ-ċibersigurtà għandha taqsam l-informazzjoni rilevanti li tirċievi f’konformità mal-Artikolu 37 ma’ awtoritajiet nazzjonali oħra taċ-ċertifikazzjoni taċ-ċibersigurtà u mal-ENISA.

2. Awtoritajiet nazzjonali oħra taċ-ċertifikazzjoni taċ-ċibersigurtà jistgħu jiddeċiedu li janalizzaw il-vulnerabbiltà f’aktar dettall jew, wara li jinfurmaw lid-detentur taċ-ċertifikat tal-EUCC, jitolbu lill-korpi taċ-ċertifikazzjoni rilevanti biex jivvalutaw jekk il-vulnerabbiltà tistax taffettwa lil prodotti tal-ICT ċċertifikati oħra.

Artikolu 39

Pubblikazzjoni tal-vulnerabbiltà

Malli jiġi rtirat iċ-ċertifikat, id-detentur taċ-ċertifikat tal-EUCC għandu jiżvela u jirreġistra kull vulnerabbiltà magħrufa pubblikament u solvuta fil-prodott tal-ICT permezz tal-bażi tad-data Ewropea tal-vulnerabbiltajiet, stabbilita f’konformità mal-Artikolu 12 tad-Direttiva (UE) 2022/2555 tal-Parlament Ewropew u tal-Kunsill (5) jew f’repożitorji online oħra msemmija fl-Artikolu 55(1), il-punt (d) tar-Regolament (UE) 2019/881.

KAPITOLU VII

ŻAMMA, ŻVELAR U PROTEZZJONI TAL-INFORMAZZJONI

Artikolu 40

Żamma tar-rekords mill-korpi taċ-ċertifikazzjoni u mill-ITSEF

1. L-ITSEF u l-korpi taċ-ċertifikazzjoni għandhom iħaddmu sistema tar-rekords li terfa’ d-dokumenti kollha ġġenerati b’rabta ma’ kull evalwazzjoni u ċertifikazzjoni li jwettqu.

2. Il-korpi taċ-ċertifikazzjoni u l-ITSEF għandhom jerfgħu r-rekords b’mod sigur u għandhom iżommu dawk ir-rekords għall-perjodu meħtieġ għall-finijiet ta’ dan ir-Regolament u għal mill-inqas ħames (5) snin minn meta jiġi rtirat iċ-ċertifikat tal-EUCC rilevanti. Meta l-korp taċ-ċertifikazzjoni jkun ħareġ ċertifikat tal-EUCC ġdid f’konformità mal-Artikolu 13(2), il-punt (c), dan għandu jżomm id-dokumentazzjoni taċ-ċertifikat tal-EUCC irtirat flimkien maċ-ċertifikat tal-EUCC il-ġdid u sakemm ikun hemm għalih.

Artikolu 41

Informazzjoni pprovduta mid-detentur ta’ ċertifikat

1. L-informazzjoni msemmija fl-Artikolu 55 tar-Regolament (UE) 2019/881 għandha tkun disponibbli b’lingwa li tipprovdi aċċess faċli lill-utenti.

2. Id-detenturi taċ-ċertifikati tal-EUCC għandhom jerfgħu dan li ġej b’mod sigur għall-perjodu meħtieġ għall-finijiet ta’ dan ir-Regolament u għal mill-inqas ħames (5) snin minn meta jiġi rtirat iċ-ċertifikat tal-EUCC rilevanti:

(a)	rekords tal-informazzjoni mogħtija lill-korp taċ-ċertifikazzjoni u lill-ITSEF waqt il-proċess taċ-ċertifikazzjoni;

(b)	kampjun tal-prodott tal-ICT ċċertifikat.

3. Meta l-korp taċ-ċertifikazzjoni jkun ħareġ ċertifikat tal-EUCC ġdid f’konformità mal-Artikolu 13(2), il-punt (c), id-detentur għandu jżomm id-dokumentazzjoni taċ-ċertifikat tal-EUCC irtirat flimkien maċ-ċertifikat tal-EUCC il-ġdid u sakemm ikun hemm għalih.

4. Meta jintalab mill-korp taċ-ċertifikazzjoni jew mill-awtorità nazzjonali taċ-ċertifikazzjoni taċ-ċibersigurtà, id-detentur ta’ ċertifikat tal-EUCC għandu jipprovdi r-rekords u l-kopji msemmija fil-paragrafu 2.

Artikolu 42

Informazzjoni li trid issir disponibbli mill-ENISA

1. L-ENISA għandha tippubblika l-informazzjoni li ġejja fuq is-sit web imsemmi fl-Artikolu 50(1) tar-Regolament (UE) 2019/881:

(a)	iċ-ċertifikati tal-EUCC kollha;

(b)	l-informazzjoni dwar l-istatus ta’ ċertifikat tal-EUCC, b’mod partikolari jekk hux fis-seħħ, sospiż, irtirat jew skadut;

(c)	ir-rapporti taċ-ċertifikazzjoni li jikkorrispondu għal kull ċertifikat tal-EUCC;

(d)	lista tal-korpi akkreditati tal-valutazzjoni tal-konformità;

(e)	lista tal-korpi awtorizzati tal-valutazzjoni tal-konformità;

(f)	id-dokumenti tal-aqwa żvilupp tekniku elenkati fl-Anness I;

(g)	l-opinjonijiet tal-Grupp Ewropew taċ-Ċertifikazzjoni taċ-Ċibersigurtà msemmi fl-Artikolu 62(4), il-punt (c) tar-Regolament (UE) 2019/881;

(h)	ir-rapporti tal-valutazzjonijiet bejn il-pari maħruġa skont l-Artikolu 47.

2. L-informazzjoni msemmija fil-paragafu 1 għandha tkun disponibbli mill-aktar fis possibbli.

3. Il-korpi taċ-ċertifikazzjoni u, meta applikabbli, l-awtoritajiet nazzjonali taċ-ċertifikazzjoni taċ-ċibersigurtà għandhom jinfurmaw lill-ENISA mingħajr dewmien dwar id-deċiżjonijiet tagħhom li jaffettwaw il-kontenut jew l-istatus ta’ ċertifikat tal-EUCC imsemmi fil-paragrafu 1, il-punt (b).

4. L-ENISA għandha tiżgura li l-informazzjoni ppubblikata f’konformità mal-paragrafu 1, il-punti (a), (b) u (c), tidentifika b’mod ċar il-verżjonijiet ta’ prodott tal-ICT ċċertifikat li huma koperti minn ċertifikat tal-EUCC.

Artikolu 43

Protezzjoni tal-informazzjoni

Il-korpi tal-valutazzjoni tal-konformità, l-awtoritajiet nazzjonali taċ-ċertifikazzjoni taċ-ċibersigurtà, l-ECCG, l-ENISA, il-Kummissjoni u l-partijiet l-oħra kollha għandhom jiżguraw is-sigurtà u l-protezzjoni tas-sigrieti tan-negozji u ta’ informazzjoni kunfidenzjali oħra, inkluż is-sigrieti kummerċjali, kif ukoll il-ħarsien tad-drittijiet tal-proprjetà intellettwali, u jieħdu l-miżuri tekniċi u organizzattivi meħtieġa u xierqa.

KAPITOLU VIII

FTEHIMIET TA’ RIKONOXXIMENT REĊIPROKU MA’ PAJJIŻI TERZI

Artikolu 44

Kundizzjonijiet

1. Il-pajjiżi terzi li lesti jiċċertifikaw il-prodotti tagħhom skont dan ir-Regolament, u li jixtiequ li ċ-ċertifikazzjoni tagħhom tkun rikonoxxuta fl-Unjoni, għandhom jikkonkludu ftehim ta’ rikonoxximent reċiproku mal-Unjoni.

2. Il-ftehim ta’ rikonoxximent reċiproku għandu jkopri l-livelli tal-assigurazzjoni applikabbli għall-prodotti tal-ICT ċċertifikati u, meta applikabbli, għall-profili tal-protezzjoni.

3. Il-ftehimiet ta’ rikonoxximent reċiproku msemmija fil-paragrafu 1 jistgħu jiġu konklużi biss mal-pajjiżi terzi li jissodisfaw il-kundizzjonijiet li ġejjin:

(a)

ikollhom awtorità li:

(1)	tkun korp pubbliku, indipendenti mill-entitajiet li jissorvelja u jimmonitorja mil-lat ta’ struttura organizzattiva u legali, finanzjament u teħid tad-deċiżjonijiet;

(2)	ikollha setgħat xierqa ta’ monitoraġġ u superviżjoni biex twettaq investigazzjonijiet u jkollha s-setgħa li tieħu miżuri korrettivi xierqa biex tiżgura l-osservanza;

(3)	ikollha sistema effettiva, proporzjonata u dissważiva ta’ penali biex tiżgura l-osservanza;

(4)

taqbel li tikkollabora mal-Grupp Ewropew taċ-Ċertifikazzjoni taċ-Ċibersigurtà u mal-ENISA biex tiskambja l-aqwa prattiki u l-iżviluppi rilevanti fil-qasam taċ-ċertifikazzjoni taċ-ċibersigurtà u biex taħdem favur interpretazzjoni uniformi tal-kriterji u l-metodi tal-evalwazzjoni applikabbli bħalissa, fost l-oħrajn, billi tapplika dokumentazzjoni armonizzata li tkun ekwivalenti għad-dokumenti tal-aqwa żvilupp tekniku elenkati fl-Anness I

(b)	ikollhom korp ta’ akkreditazzjoni indipendenti li jwettaq akkreditazzjonijiet skont standards ekwivalenti għal dawk imsemmija fir-Regolament (KE) Nru 765/2008;

(c)	jintrabtu li l-proċessi u l-proċeduri tal-evalwazzjoni u taċ-ċertifikazzjoni jsiru b’mod debitament professjonali, filwaqt li titqies l-osservanza tal-istandards internazzjonali msemmija f’dan ir-Regolament, b’mod partikolari fl-Artikolu 3;

(d)	ikollhom il-kapaċità li jirrapportaw vulnerabbiltajiet li ma jkunux instabu qabel u proċedura stabbilita u adegwata ta’ ġestjoni u żvelar tal-vulnerabbiltajiet;

(e)	ikunu stabbilew proċeduri li jippermettu s-sottomissjoni u l-immaniġġjar effettiv tal-ilmenti u li jipprovdi rimedju legali effettiv lill-ilmentatur;

(f)

ikunu stabbilew mekkaniżmu għall-kooperazzjoni ma’ korpi oħra tal-Unjoni u tal-Istati Membri rilevanti għaċ-ċertifikazzjoni taċ-ċibersigurtà skont dan ir-Regolament, inkluż li jikkondividu informazzjoni dwar in-nuqqas ta’ osservanza possibbli taċ-ċertifikati, il-monitoraġġ tal-iżviluppi rilevanti fil-qasam taċ-ċertifikazzjoni, u li jiżguraw approċċ konġunt għaż-żamma u r-rieżami taċ-ċertifikazzjoni.

4. Minbarra l-kundizzjonijiet stipulati fil-paragrafu 3, ftehim ta’ rikonoxximent reċiproku msemmi fil-paragrafu 1 li jkopri livell “għoli” tal-assigurazzjoni jista’ jiġi konkluż biss ma’ pajjiżi terzi li jissodisfaw ukoll il-kundizzjonijiet li ġejjin:

(a)

il-pajjiż terz ikollu awtorità indipendenti u pubblika taċ-ċertifikazzjoni taċ-ċibersigurtà li twettaq jew tiddelega l-attivitajiet tal-evalwazzjoni meħtieġa biex tkun tista’ ssir ċertifikazzjoni b’livell “għoli” tal-assigurazzjoni li tkun ekwivalenti għar-rekwiżiti u l-proċeduri stabbiliti għall-awtoritajiet nazzjonali taċ-ċibersigurtà f’dan ir-Regolament u fir-Regolament (UE) 2019/881;

(b)	il-ftehim ta’ rikonoxximent reċiproku jkun jistabbilixxi mekkaniżmu konġunt ekwivalenti għall-valutazzjoni bejn il-pari għaċ-ċertifikazzjoni tal-EUCC biex jitjieb l-iskambju tal-prattiki u jissolvew b’mod konġunt ċerti kwistjonijiet fil-qasam tal-evalwazzjoni u taċ-ċertifikazzjoni.

KAPITOLU IX

VALUTAZZJONI BEJN IL-PARI TAL-KORPI TAĊ-ĊERTIFIKAZZJONI

Artikolu 45

Proċedura tal-valutazzjoni bejn il-pari

1. Korp taċ-ċertifikazzjoni li joħroġ ċertifikati tal-EUCC b’livell “għoli” tal-assigurazzjoni għandha ssirlu valutazzjoni bejn il-pari b’mod regolari u mill-inqas kull ħames (5) snin. It-tipi differenti ta’ valutazzjonijiet bejn il-pari huma elenkati fl-Anness VI.

2. Il-Grupp Ewropew taċ-Ċertifikazzjoni taċ-Ċibersigurtà għandu jfassal u jżomm skeda tal-valutazzjonijiet bejn il-pari biex jiżgura li din il-perjodiċità tiġi rispettata. Għajr meta debitament ġustifikat, il-valutazzjonijiet bejn il-pari għandhom isiru fuq il-post.

3. Il-valutazzjoni bejn il-pari tista’ tistrieħ fuq l-evidenza miġbura waqt valutazzjonijiet bejn il-pari preċedenti jew fuq proċeduri ekwivalenti vvalutati bejn il-pari tal-korp taċ-ċertifikazzjoni jew tal-awtorità nazzjonali taċ-ċertifikazzjoni taċ-ċibersigurtà, diment li:

(a)	ir-riżultati ma jkunux eqdem minn ħames (5) snin;

(b)	mar-riżultati jkun hemm deskrizzjoni tal-proċeduri tal-valutazzjoni bejn il-pari stabbiliti għal dik l-iskema meta jkunu relatati ma’ valutazzjoni bejn il-pari mwettqa fi skema taċ-ċertifikazzjoni differenti;

(c)	ir-rapport tal-valutazzjoni bejn il-pari msemmi fl-Artikolu 47 jispeċifika liema riżultati ntużaw mill-ġdid b’valutazzjoni ulterjuri jew mingħajrha.

4. Meta valutazzjoni bejn il-pari tkopri dominju tekniku, għandu jiġi vvalutat ukoll l-ITSEF ikkonċernat.

5. Il-korp taċ-ċertifikazzjoni vvalutat bejn il-pari u, meta meħtieġ, l-awtorità nazzjonali taċ-ċertifikazzjoni taċ-ċibersigurtà għandhom jiżguraw li l-informazzjoni rilevanti kollha tkun disponibbli għat-tim tal-valutazzjoni bejn il-pari.

6. Il-valutazzjoni bejn il-pari għandu jagħmilha tim tal-valutazzjoni bejn il-pari stabbilit skont l-Anness VI.

Artikolu 46

Fażijiet tal-valutazzjoni bejn il-pari

1. Fil-fażi preparatorja, il-membri tat-tim tal-valutazzjoni bejn il-pari għandhom jirrieżaminaw id-dokumentazzjoni tal-korp taċ-ċertifikazzjoni, li tkopri l-politiki u l-proċeduri tiegħu, inkluż l-użu tad-dokumenti tal-aqwa żvilupp tekniku.

2. Fil-fażi taż-żjara fuq il-post, it-tim tal-valutazzjoni bejn il-pari jivvaluta l-kompetenza teknika tal-korp u, meta applikabbli, il-kompetenza li għandu l-ITSEWF biex iwettaq mill-inqas evalwazzjoni waħda tal-prodott tal-ICT kopert b’valutazzjoni bejn il-pari.

3. It-tul tal-fażi taż-żjara fuq il-post jista’ jiġi estiż jew jitnaqqas, u dan jiddependi fuq fatturi bħall-possibbiltà ta’ użu mill-ġdid tal-evidenza u r-riżultati eżistenti tal-valutazzjoni bejn il-pari, jew fuq l-għadd ta’ ITSEF u d-dominji tekniċi li għalihom il-korp taċ-ċertifikazzjoni joħroġ iċ-ċertifikati.

4. Jekk applikabbli, it-tim tal-valutazzjoni bejn il-pari għandu jiddetermina l-kompetenza teknika ta’ kull ITSEF billi jżur il-laboratorju/i tekniċi tagħhom u jintervista lill-evalwaturi tagħhom fir-rigward tad-dominju tekniku u l-metodi tal-attakk speċifiċi relatati.

5. Fil-fażi tar-rappurtar, it-tim tal-valutazzjoni għandu jiddokumenta s-sejbiet tiegħu f’rapport tal-valutazzjoni bejn il-pari, inkluż verdett u, meta applikabbli, lista ta’ nonkonformitajiet osservati, ilkoll ikklassifikat b’livell tal-kritikalità.

6. Ir-rapport tal-valutazzjoni bejn il-pari qabelxejn irid jiġi diskuss mal-korp taċ-ċertifikazzjoni vvalutat bejn il-pari. Wara dawk id-diskussjonijiet, il-korp taċ-ċertifikazzjoni vvalutat bejn il-pari jistabbilixxi skeda tal-miżuri li jridu jitwettqu biex jiġu indirizzati s-sejbiet.

Artikolu 47

Rapport tal-valutazzjoni bejn il-pari

1. It-tim tal-valutazzjoni bejn il-pari għandu jipprovdi abbozz tar-rapport tal-valutazzjoni bejn il-pari lill-korp taċ-ċertifikazzjoni vvalutat bejn il-pari.

2. Il-korp taċ-ċertifikazzjoni vvalutat bejn il-pari għandu jippreżenta kummenti lit-tim tal-valutazzjoni bejn il-pari dwar is-sejbiet u lista tal-impenji li tindirizza n-nuqqasijiet identifikati fl-abbozz tar-rapport tal-valutazzjoni bejn il-pari.

3. It-tim tal-valutazzjoni bejn il-pari għandu jippreżenta rapport finali tal-valutazzjoni bejn il-pari lill-Grupp Ewropew taċ-Ċertifikazzjoni taċ-Ċibersigurtà, li għandu jinkludi wkoll il-kummenti u l-impenji li għamel il-korp taċ-ċertifikazzjoni vvalutat bejn il-pari. It-tim tal-valutazzjoni bejn il-pari għandu jinkludi wkoll il-pożizzjoni tiegħu dwar il-kummenti u dwar jekk dawk l-impenji humiex biżżejjed biex jindirizzaw in-nuqqasijiet identifikati.

4. Meta jiġu identifikati nonkonformitajiet fir-rapport tal-valutazzjoni bejn il-pari, il-Grupp Ewropew taċ-Ċertifikazzjoni taċ-Ċibersigurtà jista’ jistabbilixxi limitu taż-żmien xieraq għall-korp taċ-ċertifikazzjoni vvalutat bejn il-pari biex jindirizza n-nonkonformitajiet.

5. Il-Grupp Ewropew taċ-Ċertifikazzjoni taċ-Ċibersigurtà għandu jadotta opinjoni dwar ir-rapport tal-valutazzjoni bejn il-pari:

(a)

meta r-rapport tal-valutazzjoni bejn il-pari ma jidentifikax nonkonformitajiet jew meta n-nonkonformitajiet ikunu ġew indirizzati kif xieraq mill-korp taċ-ċertifikazzjoni vvalutat bejn il-pari, il-Grupp Ewropew taċ-Ċertifikazzjoni taċ-Ċibersigurtà jista’ joħroġ opinjoni pożittiva u d-dokumenti rilevanti kollha għandhom jiġu ppubblikati fuq is-sit web taċ-ċertifikazzjoni tal-ENISA;

(b)

meta l-korp taċ-ċertifikazzjoni vvalutat bejn il-pari ma jindirizzax in-nonkonformitajiet kif xieraq sal-limitu taż-żmien stabbilit, il-Grupp Ewropew taċ-Ċertifikazzjoni taċ-Ċibersigurtà jista’ joħroġ opinjoni negattiva li għandha tiġi ppubblikata fuq is-sit web taċ-ċertifikazzjoni tal-ENISA, flimkien mar-rapport tal-valutazzjoni bejn il-pari u d-dokumenti rilevanti kollha.

6. Qabel il-pubblikazzjoni tal-opinjoni, l-informazzjoni sensittiva, personali jew proprjetarja kollha għandha titneħħa mid-dokumenti ppubblikati.

KAPITOLU X

ŻAMMA TAL-ISKEMA

Artikolu 48

Żamma tal-EUCC

1. Il-Kummissjoni tista’ titlob lill-Grupp Ewropew taċ-Ċertifikazzjoni taċ-Ċibersigurtà jadotta opinjoni biex iżomm l-EUCC u jwettaq ix-xogħlijiet preparatorji meħtieġa.

2. Il-Grupp Ewropew taċ-Ċertifikazzjoni taċ-Ċibersigurtà jista’ jadotta opinjoni biex japprova dokumenti tal-aqwa żvilupp tekniku.

3. L-ENISA għandha tippubblika dokumenti tal-aqwa żvilupp tekniku li jkunu ġew approvati mill-Grupp Ewropew taċ-Ċertifikazzjoni taċ-Ċibersigurtà.

KAPITOLU XI

DISPOŻIZZJONIJIET FINALI

Artikolu 49

Skemi nazzjonali koperti mill-EUCC

1. F’konformità mal-Artikolu 57(1) tar-Regolament (UE) 2019/881 u mingħajr preġudizzju għall-Artikolu 57(3) ta’ dak ir-Regolament, l-iskemi nazzjonali kollha taċ-ċertifikazzjoni taċ-ċibersigurtà u l-proċeduri relatati għall-prodotti ICT u l-proċessi tal-ICT li huma koperti mill-EUCC għandhom jieqfu milli jipproduċu effetti minn 12-il xahar wara d-dħul fis-seħħ ta’ dan ir-Regolament.

2. B’deroga mill-Artikolu 50, proċess taċ-ċertifikazzjoni jista’ jinbeda bi skema nazzjonali taċ-ċertifikazzjoni taċ-ċibersigurtà fi żmien 12-il xahar mid-dħul fis-seħħ ta’ dan ir-Regolament, diment li l-proċess taċ-ċertifikazzjoni jitlesta sa 24 xahar mid-dħul fis-seħħ ta’ dan ir-Regolament.

3. Iċ-ċertifikati maħruġa bi skemi nazzjonali taċ-ċertifikazzjoni taċ-ċibersigurtà jistgħu jkunu soġġetti għal rieżami. Ċertifikati ġodda li jissostitwixxu ċ-ċertifikati riveduti għandhom jinħarġu f’konformità ma’ dan ir-Regolament.

Artikolu 50

Dħul fis-seħħ

Dan ir-Regolament għandu jidħol fis-seħħ fl-għoxrin jum wara dak tal-pubblikazzjoni tiegħu f’Il-Ġurnal Uffiċjali tal-Unjoni Ewropea.

Dan għandu japplika mit-27 ta’ Frar 2025.

Il-Kapitolu IV u l-Anness V għandhom japplikaw mid-data tad-dħul fis-seħħ ta’ dan ir-Regolament.

Dan ir-Regolament għandu jorbot fl-intier tiegħu u japplika direttament fl-Istati Membri kollha.

Magħmul fi Brussell, il-31 ta’ Jannar 2024.

Għall-Kummissjoni

Il-President

Ursula VON DER LEYEN

(1) ĠU L 151, 7.6.2019, p. 15.

(2) Il-Ftehim ta’ Rikonoxximent Reċiproku taċ-Ċertifikati tal-Evalwazzjoni tas-Sigurtà tat-Teknoloġija tal-Informazzjoni, il-verżjoni 3.0 ta’ Jannar 2010, jinsab fuq sogis.eu, approvat mill-Uffiċjali Għoljin dwar is-Sigurtà tas-Sistemi tal-Informazzjoni tal-Grupp tal-Kummissjoni Ewropea bi tweġiba għall-punt 3 tar-Rakkomandazzjoni tal-Kunsill 95/144/KE tas-7 ta’ April 1995 dwar kriterji komuni għall-evalwazzjoni tas-sigurtà tat-teknoloġija tal-informazzjoni (ĠU L 93, 26.4.1995, p. 27).

(3) Librerija Konġunta għall-Interpretazzjoni: Rekwiżiti minimi tal-ITSEF għall-Evalwazzjonijiet tas-Sigurtà tal-Kards intelliġenti u apparati simili, il-verżjoni 2.1 ta’ Frar 2020, disponibbli fuq sogis.eu.

(4) Ir-Regolament (UE) 2019/1020 tal-Parlament Ewropew u tal-Kunsill tal-20 ta’ Ġunju 2019 dwar is-sorveljanza tas-suq u l-konformità tal-prodotti u li jemenda d-Direttiva 2004/42/KE u r-Regolamenti (KE) Nru 765/2008 u (UE) Nru 305/2011 (ĠU L 169, 25.6.2019, p. 1).

(5) Id-Direttiva (UE) 2022/2555 tal-Parlament Ewropew u tal-Kunsill tal-14 ta’ Diċembru 2022 dwar miżuri għal livell għoli komuni ta’ ċibersigurtà madwar l-Unjoni kollha, li temenda r-Regolament (UE) Nru 910/2014 u d-Direttiva (UE) 2018/1972, u li tħassar id-Direttiva (UE) 2016/1148 (Direttiva NIS 2) (ĠU L 333, 27.12.2022, p. 80).

ANNESS I

Dominji tekniċi u dokumenti tal-aqwa żvilupp tekniku

Dominji tekniċi fil-livell AVA_VAN.4 jew .5:

(a)

dokumenti relatati mal-evalwazzjoni armonizzata tad-dominju tekniku “kards intelliġenti u apparati simili” u b’mod partikolari d-dokumenti li ġejjin fil-verżjoni rispettiva tagħhom fis-seħħ nhar [id-data tad-dħul fis-seħħ]:

(1)	“Rekwiżiti minimi tal-ITSEF għall-evalwazzjonijiet tas-sigurtà tal-kards intelliġenti u apparati simili”, approvati inizjalment mill-ECCG fl-20 ta’ Ottubru 2023;

(2)	“Rekwiżiti Minimi tas-Sigurtà tas-Sit”, approvati inizjalment mill-ECCG fl-20 ta’ Ottubru 2023;

(3)	“Applikazzjoni tal-Kriterji Komuni għaċ-ċirkwiti integrati”, approvata inizjalment mill-ECCG fl-20 ta’ Ottubru 2023;

(4)	“Rekwiżiti tal-Arkitettura tas-Sigurtà (ADV_ARC) għall-kards intelliġenti u apparati simili”, approvati inizjalment mill-ECCG fl-20 ta’ Ottubru 2023;

(5)	“Ċertifikazzjoni ta’ prodotti tal-kards intelliġenti ‘miftuħa’”, approvata inizjalment mill-ECCG fl-20 ta’ Ottubru 2023;

(6)	“Evalwazzjoni tal-prodott kompost għall-kards intelliġenti u apparat simili”, approvata inizjalment mill-ECCG fl-20 ta’ Ottubru 2023;

(7)	“Applikazzjoni tal-Potenzjal ta’ Attakki fuq kards intelliġenti”, approvata inizjalment mill-ECCG fl-20 ta’ Ottubru 2023;

(b)

dokumenti relatati mal-evalwazzjoni armonizzata tad-dominju tekniku “apparati tal-hardware bil-kaxxi tas-sigurtà” u b’mod partikolari d-dokumenti li ġejjin fil-verżjoni rispettiva tagħhom fis-seħħ nhar [id-data tad-dħul fis-seħħ:

(1)	“Rekwiżiti minimi tal-ITSEF għall-evalwazzjonijiet tas-sigurtà tal-apparati tal-hardware bil-kaxxi tas-sigurtà”, approvati inizjalment mill-ECCG fl-20 ta’ Ottubru 2023;

(2)	“Rekwiżiti Minimi tas-Sigurtà tas-Sit”, approvati inizjalment mill-ECCG fl-20 ta’ Ottubru 2023;

(3)	“Applikazzjoni tal-Potenzjal ta’ Attakki fuq apparati tal-hardware bil-kaxxi tas-sigurtà”, approvata inizjalment mill-ECCG fl-20 ta’ Ottubru 2023;

Dokumenti tal-aqwa żvilupp tekniku fil-verżjoni rispettiva tagħhom fis-seħħ nhar [id-data tad-dħul fis-seħħ]:

(a)	dokument relatat mal-akkreditazzjoni armonizzata tal-korpi tal-valutazzjoni tal-konformità: “Akkreditazzjoni tal-ITSEFs għall-EUCC”, approvata inizjalment mill-ECCG fl-20 ta’ Ottubru 2023.

ANNESS II

Profili tal-protezzjoni ċċertifikati fil-livell AVA_VAN.4 jew .5

Għall-kategorija tal-apparati kwalifikati għall-ħolqien tal-firem u s-siġilli mill-bogħod:

(1)	EN 419241-2:2019 — Iffirmar b’Server ta’ Appoġġ għal Sistemi Affidabbli — il-Part 2: Profil tal-Protezzjoni għall-QSCD għal Iffirmar b’Server;

(2)	EN 419221-5:2018 — Profili tal-protezzjoni għal Moduli Kriptografiċi għall-Fornituri tas-Servizzi ta’ Fiduċja — il-Parti 5: Modulu Kriptografiku għas-Servizzi ta’ Fiduċja;

Il-profili tal-protezzjoni li jkunu ġew adottati bħala dokumenti tal-aqwa żvilupp tekniku:

[VOJT]

ANNESS III

Profili tal-protezzjoni rakkomandati (li juru d-dominji tekniċi mill-Anness I)

Profili tal-protezzjoni użati fiċ-ċertifikazzjoni tal-prodotti tal-ICT li jaqgħu taħt il-kategorija tal-prodotti tal-ICT iddikjarata hawn taħt:

(a)

fil-każ tal-kategorija tad-dokumenti tal-ivvjaġġar li jinqraw mill-magni:

(1)	PP għal Dokument tal-Ivvjaġġar li Jinqara minn Magna bi Proċedura ta’ Spezzjoni Standard bil-PACE, BSI-CC-PP-0068-V2-2011-MA-01;

(2)	PP għal Dokument tal-Ivvjaġġar li Jinqara minn Magna b’Kontroll tal-Aċċess Estiż tal-“Applikazzjoni tal-ICAO”, BSI-CC-PP-0056-2009;

(3)	PP għal Dokument tal-Ivvjaġġar li Jinqara minn Magna b’Kontroll tal-Aċċess Estiż tal-“Applikazzjoni tal-ICAO” bil-PACE, BSI-CC-PP-0056-V2-2012-MA-02;

(4)	PP għal Dokument tal-Ivvjaġġar li Jinqara minn Magna b’Kontroll tal-Aċċess Bażiku tal-“Applikazzjoni tal-ICAO”, BSI-CC-PP-0055-2009;

(b)

fil-każ tal-kategorija tal-apparati siguri għall-ħolqien tal-firem:

(1)	EN 419211-1:2014 — Profili tal-protezzjoni għal apparat sigur għall-ħolqien tal-firem — il-Parti 1: Ħarsa ġenerali

(2)	EN 419211-2:2013 — Profili tal-protezzjoni għal apparat sigur għall-ħolqien tal-firem — il-Parti 2: Apparat b’ġeneratur tal-kjavi;

(3)	EN 419211-3:2013 — Profili tal-protezzjoni għal apparat sigur għall-ħolqien tal-firem — il-Parti 3: Apparat b’importatur tal-kjavi;

(4)	EN 419211-4:2013 — Profili tal-protezzjoni għal apparat sigur għall-ħolqien tal-firem — il-Parti 4: Estensjoni għal apparat b’ġeneratur tal-kjavi u mezz ta’ fiduċja għal applikazzjoni li tiġġenera ċ-ċertifikati

(5)	EN 419211-5:2013 — Profili tal-protezzjoni għal apparat sigur għall-ħolqien tal-firem — il-Parti 5: Estensjoni għal apparat b’ġeneratur tal-kjavi u mezz ta’ fiduċja għal applikazzjoni għall-ħolqien tal-firem

(6)	EN 419211-6:2014 — Profili tal-protezzjoni għal apparat sigur għall-ħolqien tal-firem — il-Parti 6: Estensjoni għal apparat b’importatur tal-kjavi u mezz ta’ fiduċja għal applikazzjoni għall-ħolqien tal-firem

(c)

fil-każ tal-kategorija tat-takografi diġitali:

(1)	Takografu Diġitali — Kard tat-Takografu, kif imsemmi fir-Regolament ta’ Implimentazzjoni tal-Kummissjoni (UE) 2016/799 tat-18 ta’ Marzu 2016, ir-Regolament ta’ Implimentazzjoni (UE) Nru 165/2014 (l-Anness 1C);

(2)	Takografu Diġitali — Unità tal-vettura kif imsemmi fl-Anness IB tar-Regolament tal-Kummissjoni (KE) Nru 1360/2002 maħsuba biex tiġi installata fil-vetturi tat-trasport bit-triq;

(3)	Takografu Diġitali — Faċilità tal-GNSS Esterna (PP FEG) kif imsemmi fl-Anness 1C tar-Regolament ta’ Implimentazzjoni tal-Kummissjoni (UE) 2016/799 tat-18 ta’ Marzu 2016, ir-Regolament ta’ Implimentazzjoni (UE) Nru 165/2014 tal-Parlament Ewropew u tal-Kunsill;

(4)	Takografu Diġitali — Senser tal-Moviment (PP MS) kif imsemmi fl-Anness 1C tar-Regolament ta’ Implimentazzjoni tal-Kummissjoni (UE) 2016/799 tat-18 ta’ Marzu 2016 ir-Regolament ta’ Implimentazzjoni (UE) Nru 165/2014 tal-Parlament Ewropew u tal-Kunsill;

(d)

fil-każ tal-kategorija taċ-ċirkwiti integrati siguri, il-kards intelliġenti u apparati relatati:

(1)	PP għal Pattaforma IC tas-Sigurtà, BSI-CC-PP-0084-2014;

(2)	Sistema tal-Kard tal-Java — Konfigurazzjoni Miftuħa, V3.0.5 BSI-CC-PP-0099-2017;

(3)	Sistema tal-Kard tal-Java — Konfigurazzjoni Magħluqa, BSI-CC-PP-0101-2017;

(4)	PP għal Modulu PC għal-Pjattaforma ta’ Fiduċja Speċifika għall-Klijenti, tal-Familja 2.0 il-Livell 0, ir-Reviżjoni 1.16, ANSSI-CC-PP-2015/07;

(5)	SIM card universali, PU-2009-RT-79, ANSSI-CC-PP-2010/04;

(6)	UICC inkorporat (eUICC) għall-Apparati bejn il-Magni, BSI-CC-PP-0089-2015;

(e)

fil-każ tal-kategorija tal-punti tal-interazzjoni (tal-pagamenti) u t-terminals tal-pagamenti,

(1)	Punt tal-Interazzjoni “POI-CHIP-ONLY”, ANSSI-CC-PP-2015/01;

(2)	Punt tal-Interazzjoni “POI-CHIP-BISS u Pakkett tal-Protokoll Miftuħ”, ANSSI-CC-PP-2015/02;

(3)	Punt tal-Interazzjoni “POI-COMPREHENSIVE”, ANSSI-CC-PP-2015/03;

(4)	Punt tal-Interazzjoni “POI-COMPREHENSIVE u Pakkett tal-Protokoll Miftuħ”, ANSSI-CC-PP-2015/04;

(5)	Punt tal-Interazzjoni “POI-PED-ONLY”, ANSSI-CC-PP-2015/05;

(6)	Punt tal-Interazzjoni “POI-PED-BISS u Pakkett tal-Protokoll Miftuħ”, ANSSI-CC-PP-2015/06;

(f)

fil-każ tal-kategorija tal-apparati tal-hardware bil-kaxxi tas-sigurtà:

(1)	Modulu Kriptografiku għall-Operazzjonijiet tal-Iffirmar CSP b’Backup — PP CMCSOB, PP HSM CMCSOB 14167-2, ANSSI-CC-PP-2015/08;

(2)	Modulu Kriptografiku għas-servizzi tal-ġenerazzjoni tal-kjavi CSP — PP CMCKG, PP HSM CMCKG 14167-3, ANSSI-CC-PP-2015/09;

(3)	Modulu Kriptografiku għall-Operazzjonijiet tal-Iffirmar CSP bla Backup — PP CMCSO, PP HSM CMCKG 14167-4, ANSSI-CC-PP-2015/10.

ANNESS IV

Kontinwità tal-assigurazzjoni u rieżami taċ-ċertifikati

IV.1 Kontinwità tal-assigurazzjoni: ambitu

Ir-rekwiżiti li ġejjin għall-kontinwità tal-assigurazzjoni japplikaw għall-attivitajiet tal-manutenzjoni relatati ma’ dan li ġej:

(a)	il-valutazzjoni mill-ġdid jekk prodott tal-ICT ċċertifikat mhux mibdul xorta jkun jissodisfa r-rekwiżiti tas-sigurtà tiegħu;

(b)	evalwazzjoni tal-impatti tal-bidliet fi prodott tal-ICT ċċertifikat fuq iċ-ċertifikazzjoni tiegħu;

(c)	jekk inklużi fiċ-ċertifikazzjoni, l-applikazzjoni ta’ patches skont proċess ivvalutat tal-ġestjoni tal-patches;

(d)	jekk inkluż, ir-rieżami tal-proċessi tal-ġestjoni taċ-ċiklu tal-ħajja jew tal-produzzjoni tad-detentur taċ-ċertifikat.

Id-detentur ta’ ċertifikat tal-EUCC jista’ jitlob ir-rieżami taċ-ċertifikat fil-każijiet li ġejjin:

(a)	iċ-ċertifikat tal-EUCC se jiskadi fi żmien disa’ xhur;

(b)	saret bidla fil-prodott tal-ICT ċċertifikat jew f’fattur ieħor li jista’ jkollu impatt fuq il-funzjonalità tas-sigurtà tiegħu;

(c)	id-detentur taċ-ċertifikat jitlob li terġa’ ssir il-valutazzjoni tal-vulnerabbiltà biex terġa’ tiġi kkonfermata l-assigurazzjoni taċ-ċertifikat tal-EUCC assoċjata mar-reżistenza tal-prodott tal-ICT kontra l-attakki ċibernetiċi attwali.

IV.2 Valutazzjoni mill-ġdid

Meta jkun hemm bżonn valutazzjoni tal-impatt tal-bidliet fl-ambjent tat-theddid ta’ prodott tal-ICT ċċertifikat mhux mibdul, għandha tiġi ppreżentata talba għal valutazzjoni mill-ġdid lill-korp taċ-ċertifikazzjoni.

Il-valutazzjoni mill-ġdid għandha ssir mill-istess ITSEF li kien involut fl-evalwazzjoni preċedenti billi jerġa’ juża r-riżultati kollha tagħha li għadhom japplikaw. L-evalwazzjoni għandha tiffoka fuq l-attivitajiet tal-assigurazzjoni potenzjalment affettwati mill-ambjent tat-theddid mibdul tal-prodott tal-ICT ċċertifikat, b’mod partikolari l-familja AVA_VAN rilevanti, kif ukoll il-familja taċ-ċiklu tal-ħajja tal-assigurazzjoni (ALC) fejn għandha terġa’ tinġabar biżżejjed evidenza dwar iż-żamma tal-ambjent tal-iżvilupp.

L-ITSEF għandu jiddeskrivi l-bidliet u jagħti dettalji dwar ir-riżultati tal-valutazzjoni mill-ġdid b’aġġornament tar-rapport tekniku tal-evalwazzjoni preċedenti.

Il-korp taċ-ċertifikazzjoni għandu jwettaq rieżami tar-rapport tekniku tal-evalwazzjoni aġġornat u jistabbilixxi rapport tal-valutazzjoni mill-ġdid. L-istatus taċ-ċertifikat inizjali għandu mbagħad jiġi modifikat skont l-Artikolu 13.

Ir-rapport tal-valutazzjoni mill-ġdid u ċ-ċertifikat aġġornat għandhom jiġu pprovduti lill-awtorità nazzjonali taċ-ċertifikazzjoni taċ-ċibersigurtà u lill-ENISA għall-pubblikazzjoni fuq is-sit web taċ-ċertifikazzjoni taċ-ċibersigurtà tagħha.

IV.3 Bidliet fi prodott tal-ICT ċċertifikat

Meta prodott tal-ICT ċċertifikat ikun ġie soġġett għal bidliet, id-detentur taċ-ċertifikat li jixtieq iżomm iċ-ċertifikat għandu jipprovdi rapport tal-analiżi tal-impatt lill-korp taċ-ċertifikazzjoni.

Ir-rapport tal-analiżi tal-impatt għandu jipprovdi l-elementi li ġejjin:

(a)	introduzzjoni bl-informazzjoni meħtieġa biex jiġi identifikat ir-rapport tal-analiżi tal-impatt u l-mira tal-evalwazzjoni soġġetta għal bidliet;

(b)	deskrizzjoni tal-bidliet fil-prodott;

(c)	l-identifikazzjoni tal-evidenza tal-iżviluppatur affettwat;

(d)	deskrizzjoni tal-modifiki tal-evidenza tal-iżviluppatur;

(e)	is-sejbiet u l-konklużjonijiet dwar l-impatt fuq l-assigurazzjoni għal kull bidla.

Il-korp taċ-ċertifikazzjoni għandu jeżamina l-bidliet deskritti fir-rapport tal-analiżi tal-impatt biex jivvalida l-impatt tagħhom fuq l-assigurazzjoni tal-mira ċċertifikata tal-evalwazzjoni, kif propost fil-konklużjonijiet tar-rapport tal-analiżi tal-impatt.

Wara l-eżaminazzjoni, il-korp taċ-ċertifikazzjoni jiddetermina l-iskala ta’ bidla bħala minuri jew maġġuri fil-korrispondenza mal-impatt tagħha.

Meta l-bidliet ikunu ġew ikkonfermati bħala minuri mill-korp taċ-ċertifikazzjoni, għandu jinħareġ ċertifikat ġdid għall-prodott tal-ICT modifikat u għandu jiġi stabbilit rapport tal-manutenzjoni għar-rapport taċ-ċertifikazzjoni inizjali, bil-kundizzjonijiet li ġejjin:

(a)

ir-rapport tal-manutenzjoni għandu jiġi inkluż bħala subsett tar-rapport tal-analiżi tal-impatt, li jkun fih it-taqsimiet li ġejjin:

(1)	introduzzjoni;

(2)	bidliet fid-deskrizzjoni;

(3)	evidenza tal-iżviluppatur affettwat;

(b)	id-data tal-validità taċ-ċertifikat il-ġdid ma għandhiex taqbeż id-data taċ-ċertifikat inizjali.

Iċ-ċertifikat il-ġdid, inkluż ir-rapport tal-manutenzjoni, għandu jingħata lill-ENISA għall-pubblikazzjoni fuq is-sit web taċ-ċertifikazzjoni taċ-ċibersigurtà tagħha.

Meta l-bidliet ikunu ġew ikkonfermati bħala maġġuri, għandha ssir evalwazzjoni mill-ġdid fil-kuntest tal-evalwazzjoni preċedenti u bl-użu mill-ġdid ta’ kwalunkwe riżultat tal-evalwazzjoni preċedenti li jkun għadu japplika.

Wara t-tlestija tal-evalwazzjoni tal-mira mibdula tal-evalwazzjoni, l-ITSEF għandu jistabbilixxi rapport tekniku tal-evalwazzjoni ġdid. Il-korp taċ-ċertifikazzjoni għandu jwettaq rieżami tar-rapport tekniku tal-evalwazzjoni aġġornat u jistabbilixxi ċertifikat ġdid b’rapport tal-valutazzjoni ġdid.

Iċ-ċertifikat il-ġdid u r-rapport taċ-ċertifikazzjoni l-ġdid għandhom jingħataw lill-ENISA għall-pubblikazzjoni.

IV.4 Ġestjoni tal-patches

Proċedura tal-ġestjoni tal-patches tipprevedi proċess strutturat għall-aġġornament ta’ prodott tal-ICT ċċertifikat. Il-proċedura tal-ġestjoni tal-patches, inkluż il-mekkaniżmu kif implimentat fil-prodott tal-ICT mill-applikant għaċ-ċertifikazzjoni, tista’ tintuża wara ċ-ċertifikazzjoni tal-prodott tal-ICT fir-responsabbiltà tal-korp tal-valutazzjoni tal-konformità.

L-applikant għaċ-ċertifikazzjoni jista’ jinkludi mekkaniżmu tal-patch fiċ-ċertifikazzjoni tal-prodott tal-ICT bħala parti minn proċedura tal-ġestjoni ċċertifikata implimentata fuq il-prodott tal-ICT f’waħda mill-kundizzjonijiet li ġejjin:

(a)	il-funzjonalitajiet affettwati mill-patch ikunu jinsabu barra mill-mira tal-evalwazzjoni tal-prodott tal-ICT ċċertifikat;

(b)	il-patch tkun relatata ma’ bidla minuri predeterminata fil-prodott tal-ICT ċċertifikat;

(c)	il-patch tkun relatata ma’ vulnerabbiltà kkonfermata b’effetti kritiċi fuq is-sigurtà tal-prodott tal-ICT ċċertifikat.

Jekk il-patch tkun relatata ma’ bidla maġġuri fil-mira tal-evalwazzjoni tal-prodott tal-ICT ċċertifikat b’rabta ma’ vulnerabbiltà li ma tkunx ġiet identifikata qabel u li ma jkollha l-ebda effett kritiku fuq is-sigurtà tal-prodott tal-ICT, japplikaw id-dispożizzjonijiet tal-Artikolu 13.

Il-proċedura tal-ġestjoni tal-patch għal prodott tal-ICT se tkun magħmula mill-elementi li ġejjin:

(a)	il-proċess għall-iżvilupp u r-rilaxx tal-patch għall-prodott tal-ICT;

(b)	il-mekkaniżmu tekniku u l-funzjonijiet għall-adozzjoni tal-patch ġol-prodott tal-ICT;

(c)	sett ta’ attivitajiet tal-evalwazzjoni relatati mal-effettività u l-prestazzjoni tal-mekkaniżmu tekniku.

Waqt iċ-ċertifikazzjoni tal-prodott tal-ICT:

(a)	l-applikant għaċ-ċertifikazzjoni tal-prodott tal-ICT għandu jipprovdi d-deskrizzjoni tal-proċedura tal-ġestjoni tal-patch;

(b)

l-ITSEF għandu jivverifika l-elementi li ġejjin:

(1)	l-iżviluppatur ikun implimenta l-mekkaniżmi tal-patch ġol-prodott tal-ICT f’konformità mal-proċedura tal-ġestjoni tal-patch li tkun ġiet sottomessa għaċ-ċertifikazzjoni;

(2)	il-mira tal-konfini tal-evalwazzjoni tkun separata b’mod li l-bidliet li jsiru fil-proċessi separati ma jkunux jaffettwaw is-sigurtà tal-mira tal-evalwazzjoni;

(3)	il-mekkaniżmu tekniku tal-patch jaħdem skont id-dispożizzjonijiet ta’ din it-taqsima u t-talbiet tal-applikant;

(c)	fir-rapport taċ-ċertifikazzjoni, il-korp taċ-ċertifikazzjoni għandu jinkludi l-eżitu tal-proċedura vvalutata tal-ġestjoni tal-patch.

Id-detentur taċ-ċertifikat jista’ jipproċedi biex japplika l-patch magħmula bil-proċedura ċċertifikata tal-ġestjoni tal-patch għall-prodott tal-ICT ċċertifikat ikkonċernat u għandu jieħu l-passi li ġejjin fi żmien ħamest (5) ijiem tax-xogħol fil-każijiet li ġejjin:

(a)	fil-każ imsemmi fil-punt 2(a), jirrapporta l-patch ikkonċernata lill-korp taċ-ċertifikazzjoni li ma għandux ibiddel iċ-ċertifikat korrispondenti tal-EUCC;

(b)

fil-każ imsemmi fil-punt 2(b), jissottometti l-patch ikkonċernata lilu għal rieżami. L-ITSEF għandu jinforma lill-korp taċ-ċertifikazzjoni wara li jirċievi l-patch li skontha l-korp taċ-ċertifikazzjoni jieħu l-azzjoni xierqa dwar il-ħruġ ta’ verżjoni ġdida taċ-ċertifikat tal-EUCC korrispondenti u l-aġġornament tar-rapport taċ-ċertifikazzjoni;

(c)

fil-każ imsemmi fil-punt 2(c), jissottometti l-patch ikkonċernata lill-ITSEF għall-evalwazzjoni mill-ġdid meħtieġa iżda jista’ juża l-patch b’mod paralleli. L-ITSEF għandu jinforma lill-korp taċ-ċertifikazzjoni u wara dan, il-korp taċ-ċertifikazzjoni jibda l-attivitajiet taċ-ċertifikazzjoni relatati.

ANNESS V

KONTENUT TAR-RAPPORT TAĊ-ĊERTIFIKAZZJONI

V.1 Rapport taċ-ċertifikazzjoni

Abbażi tar-rapporti tekniċi tal-evalwazzjoni pprovduti mill-ITSEF, il-korp taċ-ċertifikazzjoni jistabbilixxi rapport taċ-ċertifikazzjoni li jrid jiġi ppubblikat flimkien maċ-ċertifikat korrispondenti tal-EUCC.

Ir-rapport taċ-ċertifikazzjoni hu s-sors ta’ informazzjoni dettaljata u prattika dwar il-prodott tal-ICT jew il-kategorija tal-prodotti tal-ICT u dwar l-użu sigur tal-prodott tal-ICT u għalhekk għandu jinkludi l-informazzjoni kollha disponibbli pubblikament u kondividibbli li tkun rilevanti għall-utenti u l-partijiet interessati. L-informazzjoni disponibbli pubblikament u kondividibbli tista’ tiġi referenzjata mir-rapport taċ-ċertifikazzjoni.

Ir-rapport taċ-ċertifikazzjoni għandu jkun fih mill-inqas l-elementi li ġejjin:

(a)	sommarju eżekuttiv;

(b)	identifikazzjoni tal-prodott tal-ICT jew tal-kategorija tal-prodott tal-ICT għall-profili tal-protezzjoni;

(c)	servizzi tas-sigurtà;

(d)	suppożizzjonijiet u kjarifika tal-ambitu;

(e)	informazzjoni arkitettonika;

(f)	informazzjoni supplimentari dwar iċ-ċibersigurtà, jekk applikabbli;

(g)	l-ittestjar tal-prodotti tal-ICT, jekk ikun sar;

(h)	meta applikabbli, identifikazzjoni tal-proċessi tal-ġestjoni taċ-ċiklu tal-ħajja u tal-faċilitajiet tal-produzzjoni tad-detentur taċ-ċertifikat;

(i)	ir-riżultati tal-evalwazzjoni u l-informazzjoni dwar iċ-ċertifikat;

(j)	sommarju tal-mira tas-sigurtà tal-prodott tal-ICT ppreżentat għaċ-ċertifikazzjoni;

(k)	meta disponibbli, il-marka jew it-tikketta assoċjati mal-iskema;

(l)	biblijografija

Is-sommarju eżekuttiv għandu jkun sommarju qasir tar-rapport taċ-ċertifikazzjoni sħiħ. Is-sommarju eżekuttiv għandu jipprovdi ħarsa ġenerali ċara u konċiża tar-riżultati tal-evalwazzjoni u għandu jinkludi l-informazzjoni li ġejja:

(a)	l-isem tal-prodott tal-ICT evalwat, enumerazzjoni tal-komponenti tal-prodott li huma parti mill-evalwazzjoni, u l-verżjoni tal-prodott tal-ICT;

(b)	l-isem tal-ITSEF li wettaq l-evalwazzjoni u, meta applikabbli, il-lista tas-sottokuntratturi;

(c)	id-data tat-tlestija tal-evalwazzjoni;

(d)	referenza għar-rapport tekniku tal-evalwazzjoni stabbilit mill-ITSEF;

(e)

deskrizzjoni qasira tar-riżultati tar-rapport taċ-ċertifikazzjoni, inkluż:

(1)	In-numru tal-verżjoni u, jekk applikabbli, tar-rilaxx tal-Kriterji Komuni applikati għall-evalwazzjoni;

(2)

il-pakkett tal-assigurazzjoni tal-Kriterji Komuni u l-komponenti tal-assigurazzjoni tas-sigurtà, inkluż il-livell AVA_VAN applikat waqt l-evalwazzjoni u l-livell tal-assigurazzjoni korrispondenti tiegħu kif stabbilit fl-Artikolu 52 tar-Regolament (UE) 2019/881 li għalih jirreferi ċ-ċertifikat tal-EUCC;

(3)	il-funzjonalità tas-sigurtà tal-prodott tal-ICT evalwat;

(4)	sommarju tat-theddid u l-politiki tas-sigurtà organizzazzjonali indirizzati mill-prodott tal-ICT evalwat;

(5)	rekwiżiti speċjali tal-konfigurazzjoni;

(6)	suppożizzjonijiet dwar l-ambjent operatorju;

(7)	meta applikabbli, il-preżenza ta’ proċedura approvata tal-ġestjoni tal-patch skont it-Taqsima IV.4 tal-Anness IV;

(8)	dikjarazzjoni(jiet) ta’ ċaħda tar-responsabbiltà.

Il-prodott tal-ICT evalwat għandu jiġi identifikat b’mod ċar, u jkollu din l-informazzjoni li ġejja:

(a)	Isem il-prodott tal-ICT evalwat;

(b)	enumerazzjoni tal-komponenti tal-prodott tal-ICT li huma parti mill-evalwazzjoni;

(c)	in-numru tal-verżjoni tal-komponenti tal-prodott tal-ICT;

(d)	identifikazzjoni tar-rekwiżiti addizzjonali għall-ambjent operatorju tal-prodott tal-ICT ċċertifikat;

(e)	l-isem u l-informazzjoni tal-kuntatt tad-detentur taċ-ċertifikat tal-EUCC;

(f)	meta applikabbli, il-proċedura tal-ġestjoni tal-patch inkluża fiċ-ċertifikat;

(g)	link għas-sit web tad-detentur taċ-ċertifikat tal-EUCC meta tingħata informazzjoni supplimentari dwar iċ-ċibersigurtà għall-prodott tal-ICT ċċertifikat f’konformità mal-Artikolu 55 tar-Regolament (UE) 2019/881.

L-informazzjoni inkluża f’din it-taqsima għandha tkun eżatta kemm jista’ jkun biex tiżgura rappreżentazzjoni sħiħa u eżatta tal-prodott tal-ICT li tista’ terġa’ tintuża f’evalwazzjonijiet futuri.

It-taqsima tal-politika tas-sigurtà għandu jkun fiha d-deskrizzjoni tal-politika tas-sigurtà tal-prodott tal-ICT u l-politiki jew ir-regoli li l-prodott tal-ICT evalwat għandu jinforza jew jikkonforma magħhom. Għandha tinkludi referenza u deskrizzjoni tal-politiki li ġejjin:

(a)	il-politika tat-trattament tal-vulnerabbiltà tad-detentur taċ-ċertifikat;

(b)	il-politika tal-kontinwità tal-assigurazzjoni tad-detentur taċ-ċertifikat.

Meta applikabbli, il-politika tista’ tinkludi l-kundizzjonijiet relatati mal-użu ta’ proċedura tal-ġestjoni tal-patch tul il-validità taċ-ċertifikat.

It-taqsima tas-suppożizzjonijiet u l-kjarifika tal-ambitu għandu jkun fiha informazzjoni eżawrjenti dwar iċ-ċirkostanzi u l-objettivi relatati mal-użu maħsub tal-prodott kif imsemmi fl-Artikolu 7(1), il-punt (c). L-informazzjoni għandha tinkludi dawn li ġejjin:

(a)	suppożizzjonijiet dwar l-użu u it-tħaddim tal-prodott tal-ICT fil-forma ta’ rekwiżiti minimi, bħal installazzjoni u konfigurazzjoni xierqa u r-rekwiżiti tal-hardware li qed jiġu ssodisfati;

(b)	suppożizzjonijiet dwar l-ambjent għall-operazzjoni konformi tal-prodott tal-ICT;

10.

L-informazzjoni elenkata fil-punt 9 għandha tkun tista’ tinftiehem kemm jista’ jkun biex l-utenti tal-prodott tal-ICT ċċertifikat ikunu jistgħu jieħdu deċiżjonijiet infurmati dwar ir-riskji assoċjati mal-użu tiegħu.

11.

It-taqsima tal-informazzjoni arkitettonika għandha tinkludi deskrizzjoni tal-livell għoli tal-prodott tal-ICT u tal-komponenti ewlenin tiegħu f’konformità mad-disinn tas-sottosistemi ADV_TDS tal-Kriterji Komuni.

12.

Għandu jingħata elenku sħiħ tal-informazzjoni supplimentari dwar iċ-ċibersigurtà tal-prodott tal-ICT f’konformità mal-Artikolu 55 tar-Regolament (UE) 2019/881. Id-dokumentazzjoni rilevanti kollha għandha tiġi indikata bin-numri tal-verżjoni.

13.

It-taqsima tal-ittestjar tal-prodotti tal-ICT għandha tinkludi l-informazzjoni li ġejja:

(a)	l-isem u l-punt tal-kuntatt tal-awtorità jew tal-korp li jkun ħareġ iċ-ċertifikat, inkluż l-awtorità nazzjonali responsabbli miċ-ċertifikazzjoni taċ-ċibersigurtà;

(b)	l-isem tal-ITSEF li jkun wettaq l-evalwazzjoni, meta dan ikun differenti mill-korp taċ-ċertifikazzjoni;

(c)	identifikazzjoni tal-komponenti tal-assigurazzjoni użati mill-istandards imsemmija fl-Artikolu 3;

(d)	il-verżjoni tad-dokument tal-aqwa żvilupp tekniku u kriterji ulterjuri tal-evalwazzjoni tas-sigurtà użati fl-evalwazzjoni;

(e)	il-konfigurazzjonijiet sħaħ u preċiżi tal-prodott tal-ICT waqt l-evalwazzjoni, inkluż in-noti operazzjonali u l-osservazzjonijiet jekk disponibbli;

(f)

kull profil tal-protezzjoni li jkun intuża, inkluż l-informazzjoni li ġejja:

(1)	l-awtur tal-profil tal-protezzjoni;

(2)	l-isem u l-identifikatur tal-profil tal-protezzjoni;

(3)	l-identifikatur taċ-ċertifikat tal-profil tal-protezzjoni;

(4)	l-isem u d-dettalji tal-kuntatt tal-korp taċ-ċertifikazzjoni u tal-ITSEF involut fl-evalwazzjoni tal-profil tal-protezzjoni;

(5)	il-pakkett(i) tal-assigurazzjoni meħtieġ(a) għal prodott li jikkonforma mal-profil tal-protezzjoni.

14.

Ir-riżultati tal-evalwazzjoni u l-informazzjoni dwar it-taqsima taċ-ċertifikat għandhom jinkludu l-informazzjoni li ġejja:

(a)	konferma tal-livell tal-assigurazzjoni miksub kif imsemmi fl-Artikolu 4 ta’ dan ir-Regolament u l-Artikolu 52 fir-Regolament (UE) 2019/881;

(b)	rekwiżiti tal-assigurazzjoni mill-istandards imsemmija fl-Artikolu 3 li l-prodott tal-ICT jew il-profil tal-protezzjoni effettivament jissodisfa, inkluż il-livell AVA_VAN;

(c)	deskrizzjoni dettaljata tar-rekwiżiti tal-assigurazzjoni, u dettalji fuq kif il-prodott jissodisfa kull wieħed minnhom;

(d)	id-data tal-ħruġ u l-perjodu tal-validità taċ-ċertifikat;

(e)	identifikatur uniku taċ-ċertifikat;

15.

Il-mira tas-sigurtà għandha tiġi inkluża fir-rapport taċ-ċertifikazzjoni jew issir referenza għaliha u tinġabar fil-qosor fir-rapport taċ-ċertifikazzjoni u tingħata mar-rapport taċ-ċertifikazzjoni assoċjat miegħu għall-finijiet tal-pubblikazzjoni.

16.

Il-mira tas-sigurtà tista’ titnaddaf skont it-taqsima VI.2.

17.

Il-marka jew it-tikketta assoċjata mal-EUCC tista’ tiddaħħal fir-rapport taċ-ċertifikazzjoni skont ir-regoli u l-proċeduri stabbiliti fl-Artikolu 11

18.

It-taqsima tal-biblijografija għandha tinkludi referenzi għad-dokumenti kollha użati fil-kompilazzjoni tar-rapport taċ-ċertifikazzjoni. Dik l-informazzjoni għandha tinkludi mill-inqas dawn li ġejjin:

(a)	il-kriterji tal-evalwazzjoni tas-sigurtà, id-dokumenti tal-aqwa żvilupp tekniku u speċifikazzjonijiet rilevanti ulterjuri użati u l-verżjoni tagħhom;

(b)	ir-rapport tekniku tal-evalwazzjoni;

(c)	ir-rapport tekniku tal-evalwazzjoni għal evalwazzjoni komposta, meta applikabbli;

(d)	dokumentazzjoni ta’ referenza teknika;

(e)	id-dokumentazzjoni tal-iżviluppatur użata fl-isforz tal-evalwazzjoni.

19.

Biex tkun żgurata r-riproduċibbiltà tal-evalwazzjoni, id-dokumentazzjoni kollha msemmija trid tiġi identifikata b’mod uniku bid-data tar-rilaxx xierqa, u bin-numru tal-verżjoni xieraq.

V.2 Tindif ta’ mira tas-sigurtà għall-pubblikazzjoni

Il-mira tas-sigurtà li trid tiġi inkluża fir-rapport taċ-ċertifikazzjoni jew referenzjata minnu skont il-punt 1 tat-Taqsima VI.1 tista’ titnaddaf bit-tneħħija jew bil-parafrażi ta’ informazzjoni teknika proprjetarja.

Il-mira tas-sigurtà mnaddfa li tirriżulta għandha tkun rappreżentazzjoni reali tal-verżjoni oriġinali sħiħa tagħha. Dan ifisser li l-mira tas-sigurtà mnaddfa ma tistax tħalli barra informazzjoni li tkun meħtieġa biex jinftiehmu l-proprjetajiet tas-sigurtà tal-mira tal-evalwazzjoni u l-ambitu tal-evalwazzjoni.

Il-kontenut tal-mira tas-sigurtà mnaddfa għandu jikkonforma mar-rekwiżiti minimi li ġejjin:

(a)	l-introduzzjoni tiegħu ma għandhiex titnaddaf għax din ma tkun tinkludi l-ebda informazzjoni proprjetarja b’mod ġenerali;

(b)	il-mira tas-sigurtà mnaddfa għandu jkollha identifikatur uniku li jkun distint mill-verżjoni oriġinali sħiħa tagħha;

(c)	il-mira tad-deskrizzjoni tal-evalwazzjoni tista’ titnaqqas għax din tista’ tinkludi informazzjoni proprjetarja u dettaljata dwar il-mira tad-disinn tal-evalwazzjoni li ma għandhiex tiġi ppubblikata;

(d)	il-mira tal-evalwazzjoni tad-deskrizzjoni tal-ambjent tas-sigurtà (suppożizzjonijiet, theddid, politiki tas-sigurtà organizzazzjonali) ma għandhiex titnaqqas, sa fejn dik l-informazzjoni tkun meħtieġa biex jinftiehem l-ambitu tal-evalwazzjoni;

(e)	l-objettivi tas-sigurtà ma għandhomx jitnaqqsu għax l-informazzjoni kollha trid issir pubblika biex tinftiehem l-intenzjoni tal-mira tas-sigurtà u l-mira tal-evalwazzjoni;

(f)	ir-rekwiżiti kollha tas-sigurtà għandhom isiru pubbliċi. In-noti tal-applikazzjoni jistgħu jagħtu informazzjoni dwar kif intużaw ir-rekwiżiti funzjonali tal-Kriterji Komuni kif imsemmija fl-Artikolu 3 biex tkun tista’ tinftiehem il-mira tas-sigurtà;

(g)	il-mira tal-ispeċifikazzjoni sommarja tal-evalwazzjoni għandha tinkludi l-mira kollha tal-funzjonijiet tas-sigurtà tal-evalwazzjoni iżda tista’ titnaddaf ċerta informazzjoni proprjetarja addizzjonali;

(h)	għandhom jiġu inklużi referenzi għall-profili tal-protezzjoni applikati għall-mira tal-evalwazzjoni;

(i)	ir-raġunament jista’ jitnaddaf biex titneħħa informazzjoni proprjetarja.

Anki jekk il-mira tas-sigurtà mnaddfa ma tiġix evalwata formalment skont l-istandards tal-evalwazzjoni msemmija fl-Artikolu 3, il-korp taċ-ċertifikazzjoni għandu jiżgura li din tikkonforma mal-mira tas-sigurtà sħiħa u evalwata, u tagħmel referenza kemm għall-mira tas-sigurtà sħiħa u għal dik imnaddfa fir-rapport taċ-ċertifikazzjoni.

ANNESS VI

AMBITU U KOMPOŻIZZJONI TAT-TIM GĦALL-VALUTAZZJONIJIET BEJN IL-PARI

VI.1 Ambitu tal-valutazzjoni bejn il-pari

It-tipi tal-valutazzjonijiet bejn il-pari li ġejjin huma koperti:

(a)	It-tip 1: meta korp taċ-ċertifikazzjoni jwettaq attivitajiet taċ-ċertifikazzjoni fil-livell AVA_VAN.3;

(b)	It-tip 2: meta korp taċ-ċertifikazzjoni jwettaq attivitajiet taċ-ċertifikazzjoni relatati ma’ dominju tekniku elenkat bħala dokumenti tal-aqwa żvilupp tekniku fl-Anness I;

(c)	It-tip 3: meta korp taċ-ċertifikazzjoni jwettaq attivitajiet taċ-ċertifikazzjoni iżjed mil-livell AVA_VAN.3 bl-użu ta’ profil tal-protezzjoni elenkat bħala dokumenti tal-aqwa żvilupp tekniku fl-Anness II jew III.

Il-korp taċ-ċertifikazzjoni vvalutat bejn il-pari għandu jippreżenta l-lista tal-prodotti tal-ICT ċċertifikati li jistgħu jkunu kandidati għar-rieżami mit-tim tal-valutazzjoni bejn il-pari, f’konformità mar-regoli li ġejjin:

(a)

il-prodotti kandidati għandhom ikopru l-ambitu tekniku tal-awtorizzazzjoni tal-korp taċ-ċertifikazzjoni, li minnu se jiġu analizzati mill-inqas żewġ evalwazzjonijiet differenti tal-prodotti fil-livell “għoli” tal-assigurazzjoni permezz tal-valutazzjoni bejn il-pari, u profil tal-protezzjoni wieħed jekk il-korp taċ-ċertifikazzjoni jkun ħareġ ċertifikat fil-livell “għoli” tal-assigurazzjoni;

(b)	għal valutazzjoni bejn il-pari tat-tip 2, il-korp taċ-ċertifikazzjoni għandu jippreżenta mill-inqas prodott wieħed għal kull dominju tekniku u għal kull ITSEF ikkonċernat;

(c)	għal valutazzjoni bejn il-pari tat-tip 3, mill-inqas prodott kandidat wieħed għandu jiġi evalwat f’konformità ma’ profili tal-protezzjoni applikabbli u rilevanti.

VI.2 Tim tal-valutazzjoni bejn il-pari

It-tim tal-valutazzjoni għandu jikkonsisti mill-anqas minn żewġ esperti, magħżula minn korp taċ-ċertifikazzjoni differenti minn Stati Membri differenti li joħroġ ċertifikati fil-livell “għoli” tal-assigurazzjoni. L-esperti għandhom juru l-għarfien espert rilevanti fl-istandards kif imsemmi fl-Artikolu 3 u d-dokumenti tal-aqwa żvilupp tekniku li jinsabu fl-ambitu tal-valutazzjoni bejn il-pari.

Fil-każ ta’ delega ta’ ħruġ taċ-ċertifikati jew approvazzjoni minn qabel taċ-ċertifikati kif imsemmi fl-Artikolu 56(6) tar-Regolament (UE) 2019/881, espert mill-awtorità nazzjonali taċ-ċertifikazzjoni taċ-ċibersigurtà relatat mal-korp taċ-ċertifikazzjoni kkonċernat għandu wkoll jipparteċipa fit-tim tal-esperti magħżul skont il-paragrafu 1 ta’ din it-Taqsima.

Għal valutazzjoni bejn il-pari tat-tip 2, il-membri tat-tim għandhom jintgħażlu minn korpi taċ-ċertifikazzjoni li jkunu qed jiġu awtorizzati għad-dominju tekniku kkonċernat.

Kull membru tat-tim tal-valutazzjoni għandu jkollu mill-inqas sentejn esperjenza fit-twettiq tal-attivitajiet taċ-ċertifikazzjoni f’korp taċ-ċertifikazzjoni;

Għal valutazzjoni bejn il-pari tat-tip 2 jew tat-tip 3, kull membru tat-tim tal-valutazzjoni għandu jkollu mill-inqas sentejn esperjenza fit-twettiq tal-attivitajiet taċ-ċertifikazzjoni f’dak id-dominju tekniku jew il-profil tal-protezzjoni rilevanti u l-għarfien espert ippruvat u parteċipazzjoni fl-awtorizzazzjoni ta’ ITSEF

L-awtorità nazzjonali taċ-ċertifikazzjoni taċ-ċibersigurtà li timmonitorja u tissorvelja l-korp taċ-ċertifikazzjoni vvalutat bejn il-pari u mill-inqas awtorità nazzjonali taċ-ċertifikazzjoni taċ-ċibersigurtà waħda li l-korp taċ-ċertifikazzjoni tagħha ma jkunx soġġett għall-valutazzjoni bejn il-pari għandhom jipparteċipaw fil-valutazzjoni bejn il-pari bħala osservatur. Anki l-ENISA tista’ tipparteċipa fil-valutazzjoni bejn il-pari bħala osservatur.

Il-korp taċ-ċertifikazzjoni vvalutat bejn il-pari jiġi ppreżentat bil-kompożizzjoni tat-tim tal-valutazzjoni bejn il-pari. F’każijiet ġustifikati, din tista’ tikkontesta l-kompożizzjoni tat-tim tal-valutazzjoni bejn il-pari u titlob li jsir ir-rieżami tiegħu.

ANNESS VII

Kontenut ta’ Ċertifikat tal-EUCC

Ċertifikat tal-EUCC għandu jkun fih mill-inqas:

(a)	identifikatur uniku stabbilit mill-korp taċ-ċertifikazzjoni li joħroġ iċ-ċertifikat;

(b)

informazzjoni relatata mal-prodott tal-ICT ċċertifikat jew mal-profil tal-protezzjoni u d-detentur taċ-ċertifikat, inkluż:

(1)	l-isem tal-prodott tal-ICT jew tal-profil tal-protezzjoni u, meta applikabbli, tal-mira tal-evalwazzjoni;

(2)	it-tip ta’ prodott tal-ICT jew profil tal-protezzjoni u, meta applikabbli, tal-mira tal-evalwazzjoni;

(3)	il-verżjoni tal-prodott tal-ICT jew tal-profil tal-protezzjoni;

(4)	l-isem, l-indirizz u l-informazzjoni tal-kuntatt tad-detentur taċ-ċertifikat;

(5)	il-link għas-sit web tad-detentur taċ-ċertifikat li jkun fih l-informazzjoni supplimentari dwar iċ-ċibersigurtà msemmija fl-Artikolu 55 tar-Regolament (UE) 2019/881;

(c)

informazzjoni relatata mal-evalwazzjoni u ċ-ċertifikazzjoni tal-prodott tal-ICT jew tal-profil tal-protezzjoni, inkluż:

(1)	l-isem, l-indirizz u l-informazzjoni tal-kuntatt tal-korp taċ-ċertifikazzjoni li jkun ħareġ iċ-ċertifikat;

(2)	meta jkun differenti mill-korp taċ-ċertifikazzjoni, l-isem tal-ITSEF li jkun wettaq l-evalwazzjoni;

(3)	l-isem tal-awtorità nazzjonali responsabbli miċ-ċertifikazzjoni taċ-ċibersigurtà;

(4)	referenza għal dan ir-Regolament;

(5)	referenza għar-rapport taċ-ċertifikazzjoni assoċjat maċ-ċertifikat imsemmi fl-Anness V;

(6)	il-livell tal-assigurazzjoni applikabbli f’konformità mal-Artikolu 4;

(7)	referenza għall-verżjoni tal-istandards użati għall-evalwazzjoni, imsemmija fl-Artikolu 3;

(8)	identifikazzjoni tal-livell jew tal-pakkett tal-assigurazzjoni speċifikat fl-istandards imsemmija fl-Artikolu 3 u f’konformità mal-Anness VIII, inkluż il-komponenti tal-assigurazzjoni użati u l-livell ta’ AVA_VAN kopert;

(9)	meta applikabbli, referenza għal profil tal-protezzjoni wieħed jew aktar li magħhom ikun konformi l-prodott tal-ICT jew il-profil tal-protezzjoni;

(10)	id-data tal-ħruġ;

(11)	il-perjodu tal-validità taċ-ċertifikat;

(d)	il-marka u t-tikketta assoċjati maċ-ċertifikat f’konformità mal-Artikolu 11.

ANNESS VIII

Dikjarazzjoni tal-pakkett tal-assigurazzjoni

Kuntrarju għad-definizzjonijiet fil-Kriterji Komuni, żieda:

(a)	ma għandhiex tiġi denotata bl-abbrevjazzjoni “+”;

(b)	għandha tiġi ddettaljata b’lista tal-komponenti kkonċernati kollha;

(c)	għandha tiġi deskritta fid-dettall fir-rapport taċ-ċertifikazzjoni.

Il-livell tal-assigurazzjoni kkonfermat f’ċertifikat tal-EUCC jista’ jiġi kumplimentat mil-livell tal-assigurazzjoni tal-evalwazzjoni kif speċifikat fl-Artikolu 3 ta’ dan ir-Regolament.

Jekk il-livell tal-assigurazzjoni kkonfermat f’ċertifikat tal-EUCC ma jkunx jirreferi għal żieda, iċ-ċertifikat tal-EUCC għandu jindika wieħed mill-pakketti li ġejjin:

(a)	“il-pakkett speċifiku tal-assigurazzjoni”;

(b)	“il-pakkett tal-assigurazzjoni konformi ma’ profil tal-protezzjoni” jekk issir referenza għal profil tal-protezzjoni mingħajr livell tal-assigurazzjoni tal-evalwazzjoni.

ANNESS IX

Marka u tikketta

Il-forma tal-marka u t-tikketta: