UITVOERINGSVERORDENING (EU) 2024/482 VAN DE COMMISSIE

van 31 januari 2024

houdende uitvoeringsbepalingen van Verordening (EU) 2019/881 van het Europees Parlement en de Raad wat betreft de vaststelling van de Europese op gemeenschappelijke criteria gebaseerde cyberbeveiligingscertificeringsregeling (EUCC)

(Voor de EER relevante tekst)

DE EUROPESE COMMISSIE,

Gezien het Verdrag betreffende de werking van de Europese Unie,

Gezien Verordening (EU) 2019/881 van het Europees Parlement en de Raad van 17 april 2019 inzake Enisa (het Agentschap van de Europese Unie voor cyberbeveiliging), en inzake de certificering van de cyberbeveiliging van informatie- en communicatietechnologie en tot intrekking van Verordening (EU) nr. 526/2013 (de cyberbeveiligingsverordening) (1), en met name artikel 49, lid 7,

Overwegende hetgeen volgt:

(1)

Deze verordening specificeert de rollen, regels en verplichtingen, alsook de structuur van de Europese op gemeenschappelijke criteria gebaseerde cyberbeveiligingscertificeringsregeling (EUCC) overeenkomstig het Europees kader voor cyberbeveiligingscertificering dat is vastgesteld in Verordening (EU) 2019/881. De EUCC bouwt voort op de overeenkomst inzake wederzijdse erkenning van IT-beveiligingscertificaten van de Groep van Hoge Ambtenaren voor de beveiliging van informatiesystemen (2) (“SOG-IS”), waarbij gebruik wordt gemaakt van de gemeenschappelijke criteria, met inbegrip van de procedures en documenten van de groep.

(2)

De regeling moet op gevestigde internationale normen gebaseerd zijn. Gemeenschappelijke criteria is een internationale norm voor de evaluatie van informatiebeveiliging die bijvoorbeeld wordt gepubliceerd als ISO/IEC 15408 Informatiebeveiliging, cyberbeveiliging en privacybescherming — Evaluatiecriteria voor IT-beveiliging. Deze norm is gebaseerd op toetsing door derde partijen en omvat zeven Evaluation Assurance Levels (EAL’s). De gemeenschappelijke criteria gaan vergezeld van de gemeenschappelijke evaluatiemethodologie die bijvoorbeeld wordt gepubliceerd als ISO/IEC 18045 — Informatiebeveiliging, cyberbeveiliging en privacybescherming — Evaluatiecriteria voor IT-beveiliging — Methodologie voor IT-beveiligingsevaluatie. Specificaties en documenten waarop deze verordening van toepassing is, kunnen betrekking hebben op een openbaar beschikbare norm die een afspiegeling is van de norm die in het kader van deze verordening voor certificering wordt gebruikt, zoals Gemeenschappelijke criteria voor IT-beveiligingsevaluatie en Gemeenschappelijke methodologie voor IT-beveiligingsevaluatie.

(3)

De EUCC maakt gebruik van de kwetsbaarheidsbeoordelingsfamilie (AVA_VAN) van de gemeenschappelijke criteria, componenten 1 tot en met 5. De vijf componenten bieden alle belangrijkste determinanten en afhankelijkheden voor het analyseren van kwetsbaarheden van ICT-producten. Aangezien de componenten overeenkomen met de zekerheidsniveaus in deze verordening, maken zij een weloverwogen keuze van zekerheid mogelijk op basis van de uitgevoerde evaluaties van de beveiligingsvereisten en het risico dat aan het beoogde gebruik van het ICT-product is verbonden. De aanvrager van een EUCC-certificaat moet de documentatie met betrekking tot het beoogde gebruik van het ICT-product en de analyse van de aan dat gebruik verbonden risiconiveaus verstrekken, zodat de conformiteitsbeoordelingsinstantie in staat is de geschiktheid van het gekozen zekerheidsniveau te beoordelen. Wanneer de evaluatie- en certificeringsactiviteiten door dezelfde conformiteitsbeoordelingsinstantie worden uitgevoerd, moet de aanvrager de gevraagde informatie slechts eenmaal indienen.

(4)

Een technisch domein is een referentiekader dat betrekking heeft op een groep ICT-producten met specifieke en soortgelijke beveiligingsfuncties die aanvallen beperken waarbij de kenmerken tot een bepaald zekerheidsniveau gemeenschappelijk zijn. Een technisch domein beschrijft in documenten over de huidige stand van de techniek de specifieke beveiligingsvereisten alsook aanvullende evaluatiemethoden, -technieken en -instrumenten die van toepassing zijn op de certificering van ICT-producten die onder dit technisch domein vallen. Een technisch domein bevordert daarom ook de harmonisatie van de evaluatie van ICT-producten die hieronder vallen. Twee technische domeinen worden momenteel op ruime schaal voor certificering op de niveaus AVA_VAN.4 en AVA_VAN.5 gebruikt. Het eerste technische domein is het technische domein “Smartcards en soortgelijke componenten”, waar aanzienlijke delen van de vereiste beveiligingsfunctie afhankelijk zijn van specifieke, op maat gemaakte en vaak scheidbare hardware-elementen (bv. hardware voor smartcards, geïntegreerde schakelingen, samengestelde producten voor smartcards, Trusted Platform Modules zoals gebruikt bij Trusted Computing of digitale tachograafkaarten). Het tweede technische domein is “Hardwarecomponenten met beveiligingsboxen”, waarbij aanzienlijke delen van de vereiste beveiligingsfunctie afhankelijk zijn van een fysieke hardware-enveloppe (hierna “beveiligingsbox” genoemd) die is ontworpen om bestand te zijn tegen directe aanvallen, bv. betaalterminals, tachografen voor voertuigen, slimme meters, terminals voor toegangscontrole en hardwarebeveiligingsmodules.

(5)

Wanneer de aanvrager certificering aanvraagt, moet hij zijn motivering voor de keuze van een zekerheidsniveau relateren aan de in artikel 51 van Verordening (EU) 2019/881 vastgestelde doelstellingen en aan de selectie van componenten uit de catalogus met vereisten inzake beveiligingsfunctie en beveiligingsborging die in de gemeenschappelijke criteria zijn opgenomen. Certificeringsinstanties moeten de geschiktheid van het gekozen zekerheidsniveau beoordelen en ervoor zorgen dat het gekozen niveau in verhouding staat tot het risiconiveau dat aan het beoogde gebruik van het ICT-product verbonden is.

(6)

In het kader van de gemeenschappelijke criteria wordt de certificering uitgevoerd op basis van een beveiligingsdoelstelling waarin het beveiligingsprobleem van het ICT-product wordt gedefinieerd, alsook de beveiligingsdoelstellingen waarmee het beveiligingsprobleem wordt aangepakt. Het beveiligingsprobleem geeft details over het beoogde gebruik van het ICT-product en de risico’s die aan dat gebruik verbonden zijn. Een selectie van beveiligingsvoorschriften beantwoordt aan zowel het beveiligingsprobleem als de beveiligingsdoelstellingen van een ICT-product.

(7)

Beveiligingsprofielen zijn een doeltreffend middel om vooraf de gemeenschappelijke criteria vast te stellen die van toepassing zijn op een bepaalde categorie ICT-producten en derhalve ook een essentieel onderdeel zijn van het certificeringsproces van ICT-producten die onder het beveiligingsprofiel vallen. Een beveiligingsprofiel wordt gebruikt voor de beoordeling van toekomstige beveiligingsdoelstellingen die onder de desbetreffende ICT-productcategorie vallen waarop dat beveiligingsprofiel betrekking heeft. Zij zorgen voor een verdere stroomlijning en verbetering van de efficiëntie van het certificeringsproces voor ICT-producten en helpen gebruikers de functionaliteit van een ICT-product correct en doeltreffend te bepalen. Beveiligingsprofielen moeten daarom worden beschouwd als een integraal onderdeel van het ICT-proces dat tot de certificering van ICT-producten leidt.

(8)

Om hun rol in het ICT-proces ter ondersteuning van de ontwikkeling en levering van een gecertificeerd ICT-product mogelijk te maken, moeten de beveiligingsprofielen zelf kunnen worden gecertificeerd, onafhankelijk van een certificering van het specifieke ICT-product dat onder het respectieve beveiligingsprofiel valt. Daarom is het van essentieel belang dat op beveiligingsprofielen ten minste dezelfde mate van controle wordt toegepast als op beveiligingsdoelstellingen, teneinde een hoog niveau van cyberbeveiliging te waarborgen. Beveiligingsprofielen moeten los van het desbetreffende ICT-product worden geëvalueerd en gecertificeerd, en uitsluitend door toepassing van de borgingsklasse van de gemeenschappelijke criteria en de gemeenschappelijke evaluatiemethodologie voor beveiligingsprofielen (APE) en, indien van toepassing, voor configuraties van beveiligingsprofielen (ACE). Vanwege hun belangrijke en gevoelige rol als benchmark voor de certificering van ICT-producten mogen zij alleen worden gecertificeerd door overheidsinstanties of door een certificeringsinstantie die voorafgaand door de nationale cyberbeveiligingscertificeringsautoriteit voor het specifieke beveiligingsprofiel is goedgekeurd Vanwege hun fundamentele rol voor de certificering op zekerheidsniveau “hoog”, met name buiten technische domeinen, moeten beveiligingsprofielen worden ontwikkeld als documenten over de huidige stand van de techniek, die door de Europese Groep voor cyberbeveiligingscertificering moeten worden onderschreven.

(9)

Gecertificeerde beveiligingsprofielen moeten worden opgenomen in het toezicht op de conformiteit en naleving van de EUCC door de nationale cyberbeveiligingscertificeringsautoriteiten. Wanneer voor specifieke gecertificeerde beveiligingsprofielen methodologie, instrumenten en vaardigheden beschikbaar zijn die worden toegepast op benaderingen voor de evaluatie van ICT-producten, kunnen technische domeinen op die specifieke beveiligingsprofielen gebaseerd zijn.

(10)	Om een hoge mate van vertrouwen en zekerheid in gecertificeerde ICT-producten te bereiken, mag zelfbeoordeling uit hoofde van deze verordening niet worden toegestaan. Alleen conformiteitsbeoordelingen van derden door ITSEF en certificeringsinstanties mogen worden toegestaan.

(11)

De SOG-IS-gemeenschap heeft gezamenlijke interpretaties en benaderingen voor de toepassing van de gemeenschappelijke criteria en de gemeenschappelijke evaluatiemethodologie op het gebied van certificering verstrekt, met name voor het zekerheidsniveau “hoog” dat door de technische domeinen “Smartcards en soortgelijke componenten” en “Hardwarecomponenten met beveiligingsboxen” wordt nagestreefd. Het hergebruik van dergelijke bewijsstukken in de EUCC-regeling zorgt voor een soepele overgang van de nationaal uitgevoerde SOG-IS-regelingen naar de geharmoniseerde EUCC-regeling. Daarom moeten geharmoniseerde evaluatiemethodologieën die voor alle certificeringsactiviteiten algemeen relevant zijn, in deze verordening worden opgenomen. Daarnaast moet de Commissie de Europese Groep voor cyberbeveiligingscertificering kunnen verzoeken een advies vast te stellen waarin de toepassing van de in documenten over de huidige stand van de techniek gespecificeerde evaluatiemethodologieën voor de certificering van het ICT-product of beveiligingsprofiel in het kader van de EUCC-regeling wordt onderschreven en aanbevolen. Daarom zijn in bijlage I bij deze verordening de documenten over de huidige stand van de techniek opgenomen voor de evaluatieactiviteiten die conformiteitsbeoordelingsinstanties hebben uitgevoerd. De Europese Groep voor cyberbeveiligingscertificering moet documenten over de huidige stand van de techniek onderschrijven en handhaven. Deze documenten over de huidige stand van de techniek moeten bij certificering worden gebruikt. Alleen in uitzonderlijke en naar behoren gerechtvaardigde gevallen is het een conformiteitsbeoordelingsinstantie toegestaan deze niet gebruiken onder specifieke voorwaarden, met name de goedkeuring door de nationale cyberbeveiligingscertificeringsautoriteit.

(12)

Certificering van ICT-producten op AVA_VAN-niveau 4 of 5 mag alleen mogelijk zijn onder specifieke voorwaarden en wanneer een specifieke evaluatiemethode beschikbaar is. De specifieke evaluatiemethodologie kan worden vastgelegd in documenten over de huidige stand van de techniek die relevant zijn voor het technisch domein, of in specifieke beveiligingsprofielen die als document over de huidige stand van de techniek zijn vastgesteld en voor de betrokken productcategorie relevant zijn. Alleen in uitzonderlijke en naar behoren gerechtvaardigde gevallen mag certificering op deze zekerheidsniveaus mogelijk zijn, onder specifieke voorwaarden, met name goedkeuring door de nationale cyberbeveiligingscertificeringsautoriteit, met inbegrip van de toepasselijke evaluatiemethodologie. Dergelijke uitzonderlijke en naar behoren gerechtvaardigde gevallen kunnen zich voordoen wanneer volgens de wetgeving van de Unie of de nationale wetgeving certificering van een ICT-product op AVA_VAN-niveau 4 of 5 vereist is. Op dezelfde manier kunnen beveiligingsprofielen in uitzonderlijke en naar behoren gerechtvaardigde gevallen zonder toepassing van de relevante documenten over de huidige stand van de techniek worden gecertificeerd, onder specifieke voorwaarden, met name de goedkeuring door de nationale cyberbeveiligingscertificeringsautoriteit, met inbegrip van de toepasselijke evaluatiemethodologie.

(13)

De merktekens en labels die in het kader van de EUCC worden gebruikt, zijn bedoeld om de betrouwbaarheid van het gecertificeerde ICT-product zichtbaar aan te tonen aan de gebruikers en hen in staat te stellen om bij de aankoop van ICT-producten met kennis van zaken een keuze te maken. Het gebruik van merktekens en labels is ook onderworpen aan de regels en voorwaarden die zijn vastgesteld in ISO/IEC 17065 en, indien van toepassing, ISO/IEC 17030 met de toepasselijke richtsnoeren.

(14)

Certificeringsinstanties moeten beslissen over de geldigheidsduur van certificaten, met inachtneming van de levenscyclus van het betrokken ICT-product. De geldigheidsduur mag niet meer dan vijf jaar bedragen. De nationale cyberbeveiligingscertificeringsautoriteiten moeten werken aan het harmoniseren van de geldigheidsduur in de Unie.

(15)

Wanneer het toepassingsgebied van een bestaand EUCC-certificaat wordt beperkt, wordt het certificaat ingetrokken en moet een nieuw certificaat met het nieuwe toepassingsgebied worden afgegeven zodat gebruikers duidelijk worden geïnformeerd over het huidige toepassingsgebied en zekerheidsniveau van het certificaat van een bepaald ICT-product.

(16)

De certificering van beveiligingsprofielen verschilt van die van ICT-producten omdat het een ICT-proces betreft. Aangezien een beveiligingsprofiel betrekking heeft op een categorie ICT-producten, kunnen de evaluatie en certificering ervan niet op basis van één enkel ICT-product worden uitgevoerd. Aangezien een beveiligingsprofiel de algemene beveiligingsvereisten voor een categorie ICT-producten bundelt, en los van de positionering van het ICT-product door de verkoper ervan, moet de geldigheidsduur van een EUCC-certificaat voor een beveiligingsprofiel in beginsel ten minste vijf jaar bedragen en kan deze tot de levensduur van het beveiligingsprofiel worden verlengd.

(17)

Een conformiteitsbeoordelingsinstantie wordt gedefinieerd als een instantie die conformiteitsbeoordelingen uitvoert, waaronder ijken, testen, certificeren en inspecteren. Om een hoge kwaliteit van de diensten te waarborgen, wordt in deze verordening gespecificeerd dat testactiviteiten enerzijds en certificerings- en inspectieactiviteiten anderzijds moeten worden uitgevoerd door entiteiten die onafhankelijk van elkaar actief zijn, d.w.z. respectievelijk faciliteiten voor de evaluatie van de beveiliging van informatietechnologie (ITSEF) en certificeringsinstanties. Beide soorten conformiteitsbeoordelingsinstanties moeten geaccrediteerd en, in bepaalde situaties, geautoriseerd zijn.

(18)

Een certificeringsinstantie moet door de nationale accreditatie-instantie overeenkomstig norm ISO/IEC 17065 voor de zekerheidsniveaus “substantieel” en “hoog” worden geaccrediteerd. Naast de accreditatie overeenkomstig Verordening (EU) 2019/881 in samenhang met Verordening (EG) nr. 765/2008 moeten conformiteitsbeoordelingsinstanties voldoen aan specifieke vereisten om te garanderen dat zij beschikken over de technische bekwaamheid om de cyberbeveiligingsvoorschriften onder zekerheidsniveau “hoog” van de EUCC te evalueren, hetgeen door een “autorisatie” wordt bevestigd. Ter ondersteuning van het autorisatieproces moeten relevante documenten over de huidige stand van de techniek worden ontwikkeld en na goedkeuring door de Europese Groep voor cyberbeveiligingscertificering door Enisa worden gepubliceerd.

(19)

De technische bekwaamheid van een ITSEF moet worden beoordeeld via de accreditatie van het testlaboratorium overeenkomstig ISO/IEC 17025 en aangevuld met ISO/IEC 23532-1 voor de volledige reeks evaluatiewerkzaamheden die voor het zekerheidsniveau relevant zijn en in ISO/IEC 18045 in samenhang met ISO/IEC 15408 worden gespecificeerd. Zowel de certificeringsinstantie als de ITSEF moeten een passend bekwaamheidsbeheerssysteem voor personeel opzetten en in stand houden dat is gebaseerd op ISO/IEC 19896-1 voor de elementen en niveaus van bekwaamheid alsook voor de beoordeling van de bekwaamheid. Voor het niveau van kennis, vaardigheden, ervaring en opleiding moeten de toepasselijke eisen voor de beoordelaars aan ISO/IEC 19896-3 worden ontleend. Gelijkwaardige bepalingen en maatregelen met betrekking tot afwijkingen van dergelijke bekwaamheidsbeheerssystemen moeten in overeenstemming met de doelstellingen van het systeem worden aangetoond.

(20)

Om te worden geautoriseerd, moet de ITSEF aantonen dat het in staat is vast te stellen dat er geen sprake is van bekende kwetsbaarheden, dat geavanceerde beveiligingsfuncties voor de specifieke technologie in kwestie correct en consistent worden toegepast en dat het beoogde ICT-product bestand is tegen ervaren aanvallers. Daarnaast moet de ITSEF voor autorisaties op het technische domein “Smartcards en soortgelijke componenten” ook de technische capaciteiten aantonen die nodig zijn voor de evaluatiewerkzaamheden en daarmee verband houdende taken, zoals gedefinieerd in het ondersteunende document “Minimum ITSEF requirements for security evaluations of smart cards and similar devices” (Minimale ITSEF-vereisten voor evaluatie van de beveiliging van smartcards en soortgelijke componenten) (3) in het kader van de gemeenschappelijke criteria. Voor autorisaties op het technische domein “Hardwarecomponenten met beveiligingsboxen” moet de ITSEF bovendien de technische minimumeisen aantonen die nodig zijn voor het uitvoeren van evaluatiewerkzaamheden en aanverwante taken op hardwarecomponenten met beveiligingsboxen, zoals door de EGC aanbevolen. In het kader van de minimumeisen moet de ITSEF de verschillende soorten aanvallen kunnen uitvoeren die worden beschreven in het ondersteunende document “Application of Attack Potential to Hardware Devices with Security Boxes” (Toepassing van aanvalspotentieel op hardwarecomponenten met beveiligingsboxen) in het kader van de gemeenschappelijke criteria. Deze capaciteiten omvatten de kennis en vaardigheden van de beoordelaar en de uitrusting en evaluatiemethoden die nodig zijn om de verschillende soorten aanvallen te bepalen en te beoordelen.

(21)

De nationale cyberbeveiligingscertificeringsautoriteit moet erop toezien dat de certificeringsinstanties, ITSEF en de houders van certificaten aan hun verplichtingen uit hoofde van deze verordening en van Verordening (EU) 2019/881 voldoen. De nationale cyberbeveiligingscertificeringsautoriteit moet daartoe gebruikmaken van alle passende informatiebronnen, met inbegrip van informatie ontvangen van deelnemers aan het certificeringsproces en uit eigen onderzoeken.

(22)

Certificeringsinstanties moeten met relevante markttoezichtautoriteiten samenwerken en rekening houden met alle informatie over kwetsbaarheden die relevant kan zijn voor ICT-producten waarvoor zij certificaten hebben afgegeven. Certificeringsinstanties moeten de door hen gecertificeerde beveiligingsprofielen monitoren om na te gaan of de beveiligingsvoorschriften voor een categorie ICT-producten de recentste ontwikkelingen in het dreigingslandschap blijven weerspiegelen.

(23)

Ter ondersteuning van het toezicht op de naleving moeten de nationale cyberbeveiligingscertificeringsautoriteiten met de relevante markttoezichtautoriteiten samenwerken in overeenstemming met artikel 58 van Verordening (EU) 2019/881 en Verordening (EU) 2019/1020 van het Europees Parlement en de Raad (4). Marktdeelnemers in de Unie zijn verplicht informatie uit te wisselen en samen te werken met markttoezichtautoriteiten, overeenkomstig artikel 4, lid 3, van Verordening (EU) 2019/1020.

(24)

De certificeringsinstanties moeten toezicht houden op de naleving door de houders van een certificaat en op de conformiteit van alle in het kader van de EUCC afgegeven certificaten. Via het toezicht moet worden verzekerd dat alle door een ITSEF verstrekte evaluatieverslagen en de daarin getrokken conclusies, alsmede de evaluatiecriteria en -methoden consequent en correct bij alle certificeringsactiviteiten worden toegepast.

(25)

Wanneer mogelijke gevallen van niet-naleving worden ontdekt die op een gecertificeerd ICT-product van invloed zijn, is het belangrijk om voor een evenredige respons te zorgen. De certificaten kunnen derhalve worden geschorst. De schorsing moet bepaalde beperkingen inhouden met betrekking tot de bevordering en het gebruik van het ICT-product in kwestie, maar mag geen impact hebben op de geldigheid van het certificaat. De houder van het EU-certificaat moet de kopers van de getroffen ICT-producten van de schorsing in kennis stellen, terwijl de relevante markttoezichtautoriteiten door de desbetreffende nationale cyberbeveiligingscertificeringsautoriteit in kennis moeten worden gesteld. Om het publiek op de hoogte te brengen, moet Enisa informatie over een schorsing op een speciale website publiceren.

(26)

De houder van een EUCC-certificaat moet de nodige procedures voor het beheer van de kwetsbaarheden invoeren en ervoor zorgen dat die procedures in hun organisatie zijn geïntegreerd. Wanneer de houder van het EUCC-certificaat zich van een potentiële kwetsbaarheid bewust wordt, moet hij een kwetsbaarheidseffectbeoordeling uitvoeren. Wanneer in de kwetsbaarheidseffectbeoordeling wordt bevestigd dat de kwetsbaarheid kan worden uitgebuit, moet de certificaathouder een verslag van de beoordeling aan de certificeringsinstantie toezenden, die op haar beurt de nationale cyberbeveiligingscertificeringsautoriteit op de hoogte moet brengen. In het verslag moet informatie worden verstrekt over de gevolgen van de kwetsbaarheid, de noodzakelijke wijzigingen of corrigerende oplossingen die vereist zijn, met inbegrip van mogelijke bredere implicaties van de kwetsbaarheid, evenals corrigerende oplossingen voor andere producten. Indien nodig moet norm EN ISO/IEC 29147 de procedure voor de bekendmaking van kwetsbaarheden aanvullen.

(27)

Met het oog op certificering verkrijgen conformiteitsbeoordelingsinstanties en nationale cyberbeveiligingscertificeringsautoriteiten vertrouwelijke en gevoelige gegevens en bedrijfsgeheimen, ook met betrekking tot intellectuele eigendom of toezicht op de naleving, die passende bescherming behoeven. Zij moeten daarom over de nodige technische vaardigheden en kennis beschikken en systemen voor de bescherming van informatie opzetten. Zowel voor accreditatie als voor autorisatie moet aan de eisen en voorwaarden voor de bescherming van informatie worden voldaan.

(28)	Enisa moet de lijst van gecertificeerde beveiligingsprofielen op zijn website voor cyberbeveiligingscertificering verstrekken en de status ervan aangeven, overeenkomstig Verordening (EU) 2019/881.

(29)

In deze verordening worden de voorwaarden vastgesteld voor overeenkomsten inzake wederzijdse erkenning met derde landen. Dergelijke overeenkomsten inzake wederzijdse erkenning kunnen bi- of multilateraal zijn en moeten in de plaats komen van soortgelijke overeenkomsten die momenteel bestaan. Om een soepele overgang naar dergelijke overeenkomsten inzake wederzijdse erkenning te vergemakkelijken, kunnen de lidstaten bestaande regelingen voor samenwerking met derde landen gedurende een beperkte periode voortzetten.

(30)

Certificeringsinstanties die EUCC-certificaten met zekerheidsniveau “hoog” afgeven, alsook de relevante bijbehorende ITSEF’s moeten collegiale toetsingen ondergaan. Collegiale toetsingen moeten bedoeld zijn om na te gaan of de statuten en procedures van een collegiaal getoetste certificeringsinstantie nog steeds in overeenstemming zijn met de vereisten van de EUCC-regeling. Collegiale toetsingen verschillen van collegiale toetsingen tussen nationale cyberbeveiligingscertificeringautoriteiten zoals bedoeld in artikel 59 van Verordening (EU) 2019/881. Via collegiale toetsingen moet worden nagegaan of certificeringsinstanties op geharmoniseerde wijze werken en dezelfde kwaliteit van certificaten produceren, en zij moeten potentiële sterke of zwakke punten in de prestaties van certificeringsinstanties in kaart brengen, ook met het oog op de uitwisseling van beste praktijken. Aangezien er verschillende soorten certificeringsinstanties zijn, moeten verschillende soorten collegiale toetsing worden toegestaan. In complexere gevallen zoals certificeringsinstanties die certificaten op verschillende AVA_VAN-niveaus afgeven, kunnen verschillende soorten collegiale toetsing worden gebruikt, op voorwaarde dat aan alle vereisten is voldaan.

(31)

De Europese Groep voor cyberbeveiligingscertificering moet een belangrijke rol spelen bij de handhaving van de regeling. Dit moet onder meer worden uitgevoerd door middel van samenwerking met de particuliere sector, de oprichting van gespecialiseerde subgroepen en relevante voorbereidende werkzaamheden en bijstand op verzoek van de Commissie. De Europese Groep voor cyberbeveiligingscertificering speelt een belangrijke rol bij de goedkeuring van documenten over de huidige stand van de techniek. Bij het goedkeuren en vaststellen van documenten over de huidige stand van de techniek moet terdege rekening worden gehouden met de in artikel 54, lid 1, punt c), van Verordening (EU) 2019/881 bedoelde elementen. Technische domeinen en documenten over de huidige stand van de techniek moeten in bijlage I bij deze verordening worden gepubliceerd. Beveiligingsprofielen die als documenten over de huidige stand van de techniek zijn vastgesteld, moeten in bijlage II worden gepubliceerd. Om te verzekeren dat deze bijlagen dynamisch zijn, kan de Commissie ze wijzigen in overeenstemming met de in artikel 66, lid 2, van Verordening (EU) 2019/881 bepaalde procedure en met inachtneming van het advies van de Europese Groep voor cyberbeveiligingscertificering. Bijlage III omvat aanbevolen beveiligingsprofielen die op de datum van inwerkingtreding van deze verordening geen documenten over de huidige stand van de techniek zijn. Zij moeten openbaar worden gemaakt op de in artikel 50, lid 1, van Verordening (EU) 2019/881 bedoelde website van Enisa.

(32)	Deze verordening moet twaalf maanden na de inwerkingtreding ervan van toepassing worden. Voor de voorschriften van hoofdstuk IV en bijlage V is geen overgangsperiode vereist en zij moeten daarom vanaf de inwerkingtreding van deze verordening van toepassing zijn.

(33)	De in deze verordening vervatte maatregelen zijn in overeenstemming met het advies van het bij artikel 66 van Verordening (EU) 2019/881 opgerichte Europese Comité voor cyberbeveiligingscertificering,

HEEFT DE VOLGENDE VERORDENING VASTGESTELD:

HOOFDSTUK I

ALGEMENE BEPALINGEN

Artikel 1

Onderwerp en toepassingsgebied

Bij deze verordening wordt de Europese op gemeenschappelijke criteria gebaseerde cyberbeveiligingscertificeringsregeling (EUCC) vastgesteld.

Deze verordening is van toepassing op alle producten op het gebied van informatie- en communicatietechnologie (“ICT”), met inbegrip van de bijbehorende documentatie, die in het kader van de EUCC ter certificering worden ingediend, en op alle beveiligingsprofielen die ter certificering worden ingediend in het kader van het ICT-proces dat tot de certificering van ICT-producten leidt.

Artikel 2

Definities

Voor de toepassing van deze verordening wordt verstaan onder:

1)	“gemeenschappelijke criteria”: de gemeenschappelijke criteria voor de evaluatie van de beveiliging van informatietechnologie, zoals in ISO-norm ISO/IEC 15408 is uiteengezet;

2)	“gemeenschappelijke evaluatiemethodologie”: de gemeenschappelijke methodologie voor de evaluatie van de beveiliging van informatietechnologie, zoals in ISO/IEC-norm ISO/IEC 18045 is uiteengezet;

3)	“onderwerp van evaluatie”: een ICT-product of deel daarvan, of een beveiligingsprofiel als onderdeel van een ICT-proces, dat aan een cyberbeveiligingsevaluatie wordt onderworpen om EUCC-certificering te ontvangen;

4)	“beveiligingsdoelstelling”: aanspraak op uitvoeringsafhankelijke beveiligingsvoorschriften voor een specifiek ICT-product;

“beveiligingsprofiel”: een ICT-proces dat de beveiligingsvoorschriften voor een specifieke categorie ICT-producten vaststelt en gericht is op uitvoeringsafhankelijke beveiligingsbehoeften, en dat kan worden gebruikt voor de beoordeling van ICT-producten die met het oog op hun certificering tot die specifieke categorie behoren;

6)	“technisch evaluatieverslag”: een door een ITSEF opgesteld document waarin de bevindingen, uitspraken en motiveringen die bij de evaluatie van een ICT-product of een beveiligingsprofiel zijn verkregen, overeenkomstig de regels en verplichtingen van deze verordening worden gepresenteerd;

7)	“ITSEF”: een faciliteit voor de evaluatie van de beveiliging van informatietechnologie, met name een conformiteitsbeoordelingsinstantie zoals gedefinieerd in artikel 2, punt 13, van Verordening (EG) nr. 765/2008 die evaluatietaken uitvoert;

“AVA_VAN-niveau”: een zekerheidsniveau in een kwetsbaarheidsanalyse dat aangeeft in welke mate evaluatiewerkzaamheden op het gebied van cyberbeveiliging zijn uitgevoerd om het weerstandsniveau tegen mogelijke exploiteerbaarheid van tekortkomingen of zwakke punten in het onderwerp van evaluatie in zijn operationele omgeving te bepalen, zoals in de gemeenschappelijke criteria uiteengezet;

9)	“EUCC-certificaat”: een in het kader van de EUCC afgegeven cyberbeveiligingscertificaat voor ICT-producten, of voor beveiligingsprofielen die uitsluitend in het ICT-certificeringsproces van ICT-producten kunnen worden gebruikt;

10)	“samengesteld product”: een ICT-product dat samen wordt beoordeeld met een ander onderliggend ICT-product waarvoor reeds een EUCC-certificaat werd afgegeven en waarvan de beveiligingsfunctie bepalend is voor het samengestelde ICT-product;

11)	“nationale cyberbeveiligingscertificeringsautoriteit”: een autoriteit die door een lidstaat is aangewezen overeenkomstig artikel 58, lid 1, van Verordening (EU) 2019/881;

12)	“certificeringsinstantie”: een conformiteitsbeoordelingsinstantie zoals in artikel 2, punt 13, van Verordening (EG) nr. 765/2008 gedefinieerd, die certificeringsactiviteiten verricht;

13)	“technisch domein”: een gemeenschappelijk technisch kader met betrekking tot een specifieke technologie voor de geharmoniseerde certificering met een reeks kenmerkende beveiligingsvoorschriften;

14)

“document over de huidige stand van de techniek”: een document waarin evaluatiemethoden, -technieken en -instrumenten worden gespecificeerd die van toepassing zijn op de certificering van ICT-producten of beveiligingsvoorschriften van een generieke ICT-productcategorie, of enige andere voor certificering benodigde vereisten, teneinde de evaluatie te harmoniseren, met name van technische domeinen of beveiligingsprofielen;

15)	“markttoezichtautoriteit”: een autoriteit zoals in artikel 3, lid 4, van Verordening (EU) 2019/1020 gedefinieerd.

Artikel 3

Evaluatienormen

De volgende normen zijn van toepassing op evaluaties die in het kader van de EUCC-regeling worden uitgevoerd:

a)	de gemeenschappelijke criteria;

b)	de gemeenschappelijke evaluatiemethodologie.

Artikel 4

Zekerheidsniveaus

1. Certificeringsinstanties geven EUCC-certificaten af op zekerheidsniveau “substantieel” of “hoog”.

2. EUCC-certificaten op zekerheidsniveau “substantieel” komen overeen met certificaten die AVA_VAN-niveau 1 of 2 bestrijken.

3. EUCC-certificaten op zekerheidsniveau “hoog” komen overeen met certificaten die AVA_VAN-niveau 3, 4 of 5 bestrijken.

4. Het zekerheidsniveau dat in een EUCC-certificaat wordt bevestigd, maakt een onderscheid tussen het conforme en het versterkte gebruik van de zekerheidscomponenten zoals in de gemeenschappelijke criteria overeenkomstig bijlage VIII is gespecificeerd.

5. Conformiteitsbeoordelingsinstanties passen de zekerheidscomponenten toe waarvan het geselecteerde AVA_VAN-niveau overeenkomstig de in artikel 3 bedoelde normen afhankelijk is.

Artikel 5

Methoden voor de certificering van ICT-producten

1. De certificering van een ICT-product wordt op basis van zijn beveiligingsdoelstelling uitgevoerd:

a)	zoals door de aanvrager is gedefinieerd, of

b)	met opname van een gecertificeerd beveiligingsprofiel als onderdeel van het ICT-proces, wanneer het ICT-product behoort tot de ICT-productcategorie die onder dat beveiligingsprofiel valt.

2. Beveiligingsprofielen worden uitsluitend gecertificeerd met het oog op de certificering van ICT-producten die behoren tot de specifieke categorie ICT-producten die onder het beveiligingsprofiel vallen.

Artikel 6

Conformiteitszelfbeoordeling

Een conformiteitszelfbeoordeling in de zin van artikel 53 van Verordening (EU) 2019/881 is niet toegestaan.

HOOFDSTUK II

CERTIFICERING VAN ICT-PRODUCTEN

AFDELING I

Specifieke normen en eisen voor evaluatie

Artikel 7

Evaluatiecriteria en -methoden voor ICT-producten

1. Een voor certificering ingediend ICT-product wordt ten minste beoordeeld in overeenstemming met het volgende:

a)	de toepasselijke elementen van de in artikel 3 bedoelde normen;

b)	de klassen van vereisten inzake beveiligingsborging voor kwetsbaarheidsbeoordeling en onafhankelijke functionele tests, zoals in de in artikel 3 bedoelde evaluatienormen uiteengezet;

c)	het risiconiveau dat verbonden is aan het beoogde gebruik van de betrokken ICT-producten overeenkomstig artikel 52 van Verordening (EU) 2019/881 en de beveiligingsfuncties ervan die de beveiligingsdoelstellingen van artikel 51 van Verordening (EU) 2019/881 ondersteunen;

d)	de in bijlage I vermelde toepasselijke documenten over de huidige stand van de techniek; alsmede

e)	de toepasselijke gecertificeerde beveiligingsprofielen opgenomen in bijlage II.

2. In uitzonderlijke en naar behoren gerechtvaardigde gevallen kan een conformiteitsbeoordelingsinstantie verzoeken het relevante document over de huidige stand van de techniek niet toe te passen. In dergelijke gevallen bezorgt de conformiteitsbeoordelingsinstantie de nationale cyberbeveiligingscertificeringsautoriteit een naar behoren gemotiveerde rechtvaardiging voor haar verzoek. De nationale cyberbeveiligingscertificeringsautoriteit beoordeelt de motivering voor een uitzondering en keurt deze, indien gerechtvaardigd, goed. In afwachting van het besluit van de nationale cyberbeveiligingscertificeringsautoriteit geeft de conformiteitsbeoordelingsinstantie nog geen certificaat af. De nationale cyberbeveiligingscertificeringsautoriteit stelt de Europese Groep voor cyberbeveiligingscertificering onverwijld in kennis van de goedgekeurde uitzondering, waarna deze laatste een advies kan uitbrengen. De nationale cyberbeveiligingscertificeringsautoriteit houdt zo veel mogelijk rekening met het advies van de Europese Groep voor cyberbeveiligingscertificering.

3. Certificering van ICT-producten op AVA_VAN-niveau 4 of 5 is alleen mogelijk in de volgende scenario’s:

a)	wanneer het ICT-product onder een van de in bijlage I opgenomen technisch domeinen valt, wordt het beoordeeld aan de hand van de documenten over de huidige stand van de techniek die op deze technische domeinen van toepassing zijn;

wanneer het ICT-product behoort tot een categorie ICT-producten die onder een gecertificeerd beveiligingsprofiel vallen dat AVA_VAN-niveaus 4 of 5 omvat en als een beveiligingsprofiel over de huidige stand van de techniek in bijlage II is opgenomen, wordt het beoordeeld aan de hand van de voor dat beveiligingsprofiel gespecificeerde evaluatiemethodologie;

wanneer de punten a) en b) van dit lid niet van toepassing zijn en de opname van een technisch domein in bijlage I of van een gecertificeerd beveiligingsprofiel in bijlage II in de nabije toekomst onwaarschijnlijk is, en alleen in uitzonderlijke en naar behoren gerechtvaardigde gevallen, onder de voorwaarden bepaald in lid 4.

4. Wanneer een conformiteitsbeoordelingsinstantie van oordeel is dat zij zich in een uitzonderlijk en naar behoren gerechtvaardigd geval bevindt als bedoeld in lid 3, punt c), stelt zij de nationale cyberbeveiligingscertificeringsautoriteit in kennis van de voorgenomen certificering met een motivering en een voorgestelde evaluatiemethodologie. De nationale cyberbeveiligingscertificeringsautoriteit beoordeelt de motivering voor een uitzondering en keurt de door de conformiteitsbeoordelingsinstantie toe te passen evaluatiemethodologie goed, indien gerechtvaardigd, of wijzigt deze. In afwachting van het besluit van de nationale cyberbeveiligingscertificeringsautoriteit geeft de conformiteitsbeoordelingsinstantie nog geen certificaat af. De nationale cyberbeveiligingscertificeringsautoriteit stelt de Europese Groep voor cyberbeveiligingscertificering onverwijld in kennis van de voorgenomen certificering, waarna deze laatste een advies kan uitbrengen. De nationale cyberbeveiligingscertificeringsautoriteit houdt zo veel mogelijk rekening met het advies van de Europese Groep voor cyberbeveiligingscertificering.

5. In het geval van een ICT-product dat een evaluatie als samengesteld product ondergaat aan de hand van de relevante documenten over de huidige stand van de techniek, deelt de ITSEF die de evaluatie van het onderliggende ICT-product heeft uitgevoerd, de relevante informatie met de ITSEF die de evaluatie van het samengestelde ICT-product uitvoert.

AFDELING II

Afgifte, verlenging en intrekking van EUCC-certificaten

Artikel 8

Voor de certificering benodigde gegevens

1. Een aanvrager van certificering in het kader van de EUCC verstrekt de certificeringsinstantie en de ITSEF alle informatie die nodig is voor de certificeringsactiviteiten, of stelt deze anderszins ter beschikking.

2. De in lid 1 bedoelde informatie omvat al het relevante bewijsmateriaal overeenkomstig de punten over “Actie-elementen van de ontwikkelaar” in het passende formaat, zoals uiteengezet in de punten over “Inhoud en presentatie van bewijsmateriaal” van de gemeenschappelijke criteria en gemeenschappelijke evaluatiemethodologie voor het gekozen zekerheidsniveau en de bijbehorende vereisten inzake beveiligingsborging. Het bewijsmateriaal omvat, indien nodig, bijzonderheden over het ICT-product en de broncode ervan overeenkomstig deze verordening, met inachtneming van waarborgen tegen ongeoorloofde openbaarmaking.

3. Aanvragers van certificering kunnen de certificeringsinstantie en de ITSEF de passende evaluatieresultaten van voorafgaande certificering verstrekken op grond van:

a)	deze verordening;

b)	een andere op grond van artikel 49 van Verordening (EU) 2019/881 vastgestelde Europese cyberbeveiligingscertificeringsregeling;

c)	een in artikel 49 van deze verordening bedoelde nationale regeling.

4. Indien de resultaten van de evaluatie relevant zijn voor haar taken, kan de ITSEF de evaluatieresultaten opnieuw gebruiken op voorwaarde dat dergelijke resultaten aan de toepasselijke vereisten voldoen en de authenticiteit ervan wordt bevestigd.

5. Indien de certificeringsinstantie toestaat dat het product aan een certificering als samengesteld product wordt onderworpen, stelt de aanvrager van certificering alle nodige elementen ter beschikking van de certificeringsinstantie en de ITSEF, indien van toepassing, overeenkomstig het document over de huidige stand van de techniek.

6. Aanvragers van certificering verstrekken de certificeringsinstantie en de ITSEF ook de volgende informatie:

a)	de link naar hun website met de in artikel 55 van Verordening (EU) 2019/881 bedoelde aanvullende cyberbeveiligingsinformatie;

b)	een beschrijving van de procedures van de aanvrager voor het beheer en de openbaarmaking van kwetsbaarheden.

7. Alle in dit artikel bedoelde relevante documentatie wordt door de certificeringsinstantie, de ITSEF en de aanvrager bewaard gedurende een periode van vijf jaar na het verstrijken van het certificaat.

Artikel 9

Voorwaarden voor afgifte van een EUCC-certificaat

1. De certificeringsinstanties geven een EUCC-certificaat af wanneer aan elk van de volgende voorwaarden is voldaan:

a)	de categorie ICT-producten valt binnen het toepassingsgebied van de accreditatie en, indien van toepassing, van de autorisatie van de certificeringsinstantie en de bij de certificering betrokken ITSEF;

b)	de aanvrager van certificering heeft een verklaring ondertekend waarin alle in lid 2 vermelde verbintenissen worden aangegaan;

c)	de ITSEF heeft de evaluatie zonder bezwaar afgesloten overeenkomstig de in de artikelen 3 en 7 bedoelde evaluatienormen, -criteria en -methoden;

d)	de certificeringsinstantie heeft de herziening van de resultaten van de evaluatie zonder bezwaar afgerond;

e)	de certificeringsinstantie heeft gecontroleerd dat de door de ITSEF verstrekte technische evaluatieverslagen in overeenstemming zijn met de verstrekte bewijsstukken en dat de in de artikelen 3 en 7 bedoelde evaluatienormen, -criteria en -methoden correct zijn toegepast.

2. De aanvrager van certificering gaat de volgende verbintenissen aan:

a)	de certificeringsinstantie en de ITSEF alle nodige volledige en correcte informatie te verstrekken en desgevraagd aanvullende informatie te verstrekken;

b)	het ICT-product niet als gecertificeerd in het kader van de EUCC te promoten voordat het EUCC-certificaat is afgegeven;

c)	het ICT-product uitsluitend als gecertificeerd te promoten met betrekking tot het in het EUCC-certificaat vermelde toepassingsgebied;

d)	onmiddellijk een einde te maken aan het promoten van het ICT-product als gecertificeerd in geval van schorsing, intrekking of verstrijken van het EUCC-certificaat;

e)	ervoor te zorgen dat de ICT-producten die onder verwijzing naar het EUCC-certificaat worden verkocht, strikt identiek zijn aan het ICT-product waarop de certificering betrekking heeft;

f)	de regels voor het gebruik van het merkteken en het label die overeenkomstig artikel 11 voor het EUCC-certificaat zijn vastgesteld, in acht te nemen.

3. In het geval van een ICT-product dat een certificering als samengesteld product ondergaat, aan de hand van de relevante documenten over de huidige stand van de techniek, deelt de certificeringsinstantie die de certificering van het onderliggende ICT-product heeft uitgevoerd, de relevante informatie met de certificeringsinstantie die de certificering van het samengestelde ICT-product uitvoert.

Artikel 10

Inhoud en formaat van een EUCC-certificaat

1. Een EUCC-certificaat bevat ten minste de in bijlage VII vermelde informatie.

2. Het toepassingsgebied en de grenzen van het gecertificeerde ICT-product worden ondubbelzinnig gespecificeerd in het EUCC-certificaat of het certificeringsverslag, waarbij wordt aangegeven of het volledige ICT-product is gecertificeerd of slechts delen ervan.

3. De certificeringsinstantie bezorgt de aanvrager het EUCC-certificaat ten minste in elektronische vorm.

4. De certificeringsinstantie stelt voor elk door haar afgegeven EUCC-certificaat een certificeringsverslag op overeenkomstig bijlage V. Het certificeringsverslag is gebaseerd op het technische evaluatieverslag van de ITSEF. In het technische evaluatieverslag en het certificeringsverslag worden de in artikel 7 bedoelde specifieke evaluatiecriteria en -methoden vermeld die voor de evaluatie zijn gebruikt.

5. De certificeringsinstantie verstrekt elk EUCC-certificaat en elk certificeringsverslag in elektronische vorm aan de nationale cyberbeveiligingscertificeringsautoriteit en aan Enisa.

Artikel 11

Merkteken en label

1. De houder van een certificaat kan een merkteken en label op een gecertificeerd ICT-product aanbrengen. Het merkteken en het label leveren het bewijs dat het ICT-product overeenkomstig deze verordening is gecertificeerd. Het merkteken en het label worden in overeenstemming met dit artikel en bijlage IX aangebracht.

2. Het merkteken en het label worden zichtbaar, leesbaar en onuitwisbaar aangebracht op het gecertificeerde ICT-product of op het respectieve typeplaatje. Wanneer dit gezien de aard van het product niet mogelijk of niet gerechtvaardigd is, worden ze aangebracht op de verpakking en op de begeleidende documenten. Wanneer het gecertificeerde ICT-product in de vorm van software wordt geleverd, worden het merkteken en het label zichtbaar, leesbaar en onuitwisbaar in de begeleidende documentatie vermeld of wordt deze documentatie via een website makkelijk en direct toegankelijk voor gebruikers beschikbaar gesteld.

3. Het merkteken en het label worden zoals in bijlage IX beschreven en bevatten:

a)	het zekerheidsniveau en het AVA_VAN-niveau van het gecertificeerde ICT-product;

de unieke identificatie van het certificaat, bestaande uit:

1)	de naam van de regeling;

2)	de naam en het referentienummer van de accreditatie van de certificeringsinstantie die het certificaat heeft afgegeven;

3)	jaar en maand van uitgifte;

4)	het identificatienummer dat is toegewezen door de certificeringsinstantie die het certificaat heeft afgegeven.

4. Het merkteken en het label gaan vergezeld van een QR-code met een link naar een website waar ten minste het volgende wordt vermeld:

a)	de informatie over de geldigheid van het certificaat;

b)	de nodige certificeringsinformatie zoals in de bijlagen V en VII beschreven;

c)	de informatie die de houder van het certificaat overeenkomstig artikel 55 van Verordening (EU) 2019/881 openbaar moet maken; alsmede

d)	in voorkomend geval, de historische informatie met betrekking tot de specifieke certificering of certificeringen van het ICT-product om traceerbaarheid mogelijk te maken.

Artikel 12

Geldigheidsduur van een EUCC-certificaat

1. De certificeringsinstantie stelt een geldigheidsduur vast voor elk afgegeven EUCC-certificaat, met inachtneming van de kenmerken van het gecertificeerde ICT-product.

2. De geldigheidsduur van het EUCC-certificaat bedraagt maximaal vijf jaar.

3. In afwijking van lid 2 kan die periode na voorafgaande goedkeuring door de nationale cyberbeveiligingscertificeringsautoriteit langer zijn dan vijf jaar. De nationale cyberbeveiligingscertificeringsautoriteit stelt de Europese Groep voor cyberbeveiligingscertificering onverwijld in kennis van de verleende goedkeuring.

Artikel 13

Herziening van een EUCC-certificaat

1. Op verzoek van de houder van het certificaat of om andere gerechtvaardigde redenen kan de certificeringsinstantie besluiten het EUCC-certificaat voor een ICT-product te herzien. De herziening wordt in overeenstemming met bijlage IV uitgevoerd. De certificeringsinstantie bepaalt de omvang van de herziening. Wanneer dat voor de herziening nodig is, verzoekt de certificeringsinstantie de ITSEF om het gecertificeerde ICT-product opnieuw te evalueren.

2. Naar aanleiding van de resultaten van de herziening en desgevallend van de herevaluatie moet de certificeringsinstantie:

a)	het EUCC-certificaat bevestigen;

b)	het EUCC-certificaat intrekken overeenkomstig artikel 14;

c)	het EUCC-certificaat intrekken overeenkomstig artikel 14 en een nieuw EUCC-certificaat met hetzelfde toepassingsgebied en een verlengde geldigheidsduur afgeven; of

d)	het EUCC-certificaat intrekken overeenkomstig artikel 14 en een nieuw EUCC-certificaat met een ander toepassingsgebied afgeven.

3. De certificeringsinstantie kan ertoe beslissen het EUCC-certificaat onverwijld te schorsen overeenkomstig artikel 30, in afwachting van corrigerende maatregelen van de houder van het EUCC-certificaat.

Artikel 14

Intrekking van een EUCC-certificaat

1. Onverminderd artikel 58, lid 8, punt e), van Verordening (EU) 2019/881 wordt een EUCC-certificaat ingetrokken door de certificeringsinstantie die dat certificaat heeft afgegeven.

2. De in lid 1 bedoelde certificeringsinstantie stelt de nationale cyberbeveiligingscertificeringsautoriteit in kennis van de intrekking van het certificaat. Verder stelt zij ook Enisa in kennis van een dergelijke intrekking om de uitvoering van haar taak uit hoofde van artikel 50 van Verordening (EU) 2019/881 te vergemakkelijken. De nationale cyberbeveiligingscertificeringsautoriteit stelt andere relevante markttoezichtautoriteiten daarvan in kennis.

3. De houder van een EUCC-certificaat kan om intrekking van het certificaat verzoeken.

HOOFDSTUK III

CERTIFICERING VAN BEVEILIGINGSPROFIELEN

AFDELING I

Specifieke normen en eisen voor evaluatie

Artikel 15

Evaluatiecriteria en -methoden

1. Een beveiligingsprofiel wordt ten minste beoordeeld aan de hand van het volgende:

a)	de toepasselijke elementen van de in artikel 3 bedoelde normen;

b)	het risiconiveau dat verbonden is aan het beoogde gebruik van de betrokken ICT-producten overeenkomstig artikel 52 van Verordening (EU) 2019/881 en de beveiligingsfuncties ervan die de beveiligingsdoelstellingen van artikel 51 daarvan ondersteunen; alsmede

c)	de in bijlage I vermelde toepasselijke documenten over de huidige stand van de techniek. Een beveiligingsprofiel dat onder een technisch domein valt, wordt gecertificeerd op basis van de in dat technische domein vastgestelde eisen.

2. In uitzonderlijke en naar behoren gerechtvaardigde gevallen kan een conformiteitsbeoordelingsinstantie een beveiligingsprofiel certificeren zonder toepassing van de relevante documenten over de huidige stand van de techniek. In dergelijke gevallen stelt zij de bevoegde nationale cyberbeveiligingscertificeringsautoriteit daarvan in kennis en bezorgt zij een motivering voor de voorgenomen certificering zonder toepassing van de relevante documenten over de huidige stand van de techniek alsook de voorgestelde evaluatiemethodologie. De nationale cyberbeveiligingscertificeringsautoriteit beoordeelt de motivering en keurt, indien gerechtvaardigd, de niet-toepassing van de relevante documenten over de huidige stand van de techniek goed en keurt de door de conformiteitsbeoordelingsinstantie toe te passen evaluatiemethodologie goed of wijzigt deze, in voorkomend geval. In afwachting van het besluit van de nationale cyberbeveiligingscertificeringsautoriteit geeft de conformiteitsbeoordelingsinstantie nog geen certificaat voor het beveiligingsprofiel af. De nationale cyberbeveiligingscertificeringsautoriteit stelt de Europese Groep voor cyberbeveiligingscertificering onverwijld in kennis van de goedgekeurde niet-toepassing van de relevante documenten over de huidige stand van de techniek, waarna deze laatste een advies kan uitbrengen. De nationale cyberbeveiligingscertificeringsautoriteit houdt zo veel mogelijk rekening met het advies van de Europese Groep voor cyberbeveiligingscertificering.

AFDELING II

Afgifte, verlenging en intrekking van EUCC-certificaten voor beveiligingsprofielen

Artikel 16

Informatie die nodig is voor de certificering van beveiligingsprofielen

Een aanvrager van certificering van een beveiligingsprofiel verstrekt de certificeringsinstantie en de ITSEF alle informatie die nodig is voor de certificeringsactiviteiten, of stelt deze anderszins ter beschikking. Artikel 8, leden 2, 3, 4 en 7, zijn van overeenkomstige toepassing.

Artikel 17

Afgifte van EUCC-certificaten voor beveiligingsprofielen

1. De aanvrager van certificering verstrekt de certificeringsinstantie en de ITSEF alle benodigde volledige en correcte informatie.

2. De artikelen 9 en 10 zijn van overeenkomstige toepassing.

3. De ITSEF beoordeelt of een beveiligingsprofiel volledig, consistent, technisch deugdelijk en doeltreffend is voor het beoogde gebruik en de beveiligingsdoelstellingen van de categorie van het ICT-product die onder dat beveiligingsprofiel valt.

4. Een beveiligingsprofiel wordt uitsluitend gecertificeerd door:

a)	een nationale cyberbeveiligingscertificeringsautoriteit of een andere overheidsinstantie die als certificeringsinstantie is geaccrediteerd, of

b)	een certificeringsinstantie, na voorafgaande goedkeuring door de nationale cyberbeveiligingscertificeringsautoriteit voor elk individueel beveiligingsprofiel.

Artikel 18

Geldigheidsduur van een EUCC-certificaat voor beveiligingsprofielen

1. De certificeringsinstantie stelt voor elk EUCC-certificaat een geldigheidsduur vast.

2. De geldigheidsduur kan oplopen tot de levensduur van het betrokken beveiligingsprofiel.

Artikel 19

Herziening van een EUCC-certificaat voor beveiligingsprofielen

1. Op verzoek van de houder van het certificaat of om andere gerechtvaardigde redenen kan de certificeringsinstantie besluiten het EUCC-certificaat voor een beveiligingsprofiel te herzien. De herziening wordt uitgevoerd door toepassing van de in artikel 15 vastgestelde voorwaarden. De certificeringsinstantie bepaalt de omvang van de herziening. Wanneer dat voor de herziening nodig is, verzoekt de certificeringsinstantie de ITSEF om het gecertificeerde beveiligingsprofiel opnieuw te evalueren.

2. Naar aanleiding van de resultaten van de herziening en desgevallend van de herevaluatie doet de certificeringsinstantie een van de volgende zaken:

a)	het EUCC-certificaat bevestigen;

b)	het EUCC-certificaat intrekken overeenkomstig artikel 20;

c)	het EUCC-certificaat intrekken overeenkomstig artikel 20 en een nieuw EUCC-certificaat met hetzelfde toepassingsgebied en een verlengde geldigheidsduur afgeven;

d)	het EUCC-certificaat intrekken overeenkomstig artikel 20 en een nieuw EUCC-certificaat met een ander toepassingsgebied afgeven.

Artikel 20

Intrekking van een EUCC-certificaat voor een beveiligingsprofiel

1. Onverminderd artikel 58, lid 8, punt e), van Verordening (EU) 2019/881 wordt een EUCC-certificaat voor een beveiligingsprofiel ingetrokken door de certificeringsinstantie die dat certificaat heeft afgegeven. Artikel 14 is van overeenkomstige toepassing.

2. Een certificaat voor een beveiligingsprofiel dat overeenkomstig artikel 17, lid 4, punt b), is afgegeven, wordt ingetrokken door de nationale cyberbeveiligingscertificeringsautoriteit die dat certificaat heeft goedgekeurd.

HOOFDSTUK IV

CONFORMITEITSBEOORDELINGSINSTANTIES

Artikel 21

Aanvullende of specifieke eisen voor een certificeringsinstantie

1. Een certificeringsinstantie wordt door de nationale cyberbeveiligingscertificeringsautoriteit geautoriseerd om EUCC-certificaten op zekerheidsniveau “hoog” af te geven indien die instantie niet alleen voldoet aan de vereisten van artikel 60, lid 1, van en de bijlage bij Verordening (EU) 2019/881 betreffende de accreditatie van conformiteitsbeoordelingsinstanties, maar ook het volgende aantoont:

a)	dat zij over de deskundigheid en competenties beschikt die vereist zijn om te beslissen tot certificering op zekerheidsniveau “hoog”;

b)	dat zij haar certificeringsactiviteiten uitvoert in samenwerking met een ITSEF die overeenkomstig artikel 22 is geautoriseerd, alsmede

c)	dat zij over de vereiste competenties beschikt en passende technische en operationele maatregelen heeft genomen om vertrouwelijke en gevoelige informatie doeltreffend te beschermen voor zekerheidsniveau “hoog”, in aanvulling op de vereisten van artikel 43.

2. De nationale cyberbeveiligingscertificeringsautoriteit beoordeelt of een certificeringsinstantie aan alle vereisten van lid 1 voldoet. Die beoordeling omvat ten minste gestructureerde interviews en een herziening van ten minste één proefcertificering die overeenkomstig deze verordening door de certificeringsinstantie wordt uitgevoerd.

Bij haar beoordeling kan de nationale cyberbeveiligingscertificeringsautoriteit opnieuw gebruikmaken van al het passende bewijs van voorafgaande autorisatie of gelijkaardige activiteiten dat werd verleend op grond van:

a)	deze verordening;

b)	een andere op grond van artikel 49 van Verordening (EU) 2019/881 vastgestelde Europese cyberbeveiligingscertificeringsregeling;

c)	een in artikel 49 van deze verordening bedoelde nationale regeling.

3. De nationale cyberbeveiligingscertificeringsautoriteit stelt een autorisatieverslag op dat overeenkomstig artikel 59, lid 3, punt d), van Verordening (EU) 2019/881 aan collegiale toetsing wordt onderworpen.

4. De nationale cyberbeveiligingscertificeringsautoriteit specificeert de ICT-productcategorieën en beveiligingsprofielen waarop de autorisatie betrekking heeft. De autorisatie is geldig voor een periode die niet langer is dan de geldigheidsduur van de accreditatie. Zij kan op verzoek worden verlengd, op voorwaarde dat de certificeringsinstantie nog steeds aan de eisen van dit artikel voldoet. Voor de verlenging van de autorisatie zijn geen proefevaluaties vereist.

5. De nationale cyberbeveiligingscertificeringsautoriteit trekt de autorisatie van de certificeringsinstantie in indien deze laatste niet langer aan de voorwaarden van dit artikel voldoet. Na intrekking van de autorisatie stopt de certificeringsinstantie onmiddellijk met het promoten van zichzelf als geautoriseerde certificeringsinstantie.

Artikel 22

Aanvullende of specifieke eisen voor een ITSEF

1. Een ITSEF wordt door de nationale cyberbeveiligingscertificeringsautoriteit geautoriseerd om de evaluatie uit te voeren van ICT-producten die onderworpen zijn aan certificering onder het zekerheidsniveau “hoog”, indien de ITSEF aantoont dat zij niet alleen voldoet aan de vereisten van artikel 60, lid 1, van en de bijlage bij Verordening (EU) 2019/881 betreffende de accreditatie van conformiteitsbeoordelingsinstanties, maar ook alle volgende voorwaarden naleeft:

a)	zij beschikt over de nodige deskundigheid om evaluatiewerkzaamheden uit te voeren teneinde te bepalen of er weerstand is tegen geavanceerde cyberaanvallen die worden uitgevoerd door partijen met aanzienlijke vaardigheden en middelen;

voor de technische domeinen en beveiligingsprofielen die van het ICT-proces voor die ICT-producten deel uitmaken, beschikt zij over:

de deskundigheid om de specifieke evaluatiewerkzaamheden uit te voeren die nodig zijn om op methodische wijze te bepalen of een onderwerp van evaluatie bekwame aanvallers in zijn operationele omgeving kan weerstaan, uitgaande van een “matig” of “hoog” aanvalspotentieel, zoals bepaald in de in artikel 3 bedoelde normen;

2)	de technische competenties zoals gespecificeerd in de documenten over de huidige stand van de techniek die in bijlage I zijn opgenomen;

c)	zij beschikt over de vereiste competenties en heeft passende technische en operationele maatregelen genomen om vertrouwelijke en gevoelige informatie doeltreffend te beschermen voor zekerheidsniveau “hoog” in aanvulling op de vereisten van artikel 43.

2. De nationale cyberbeveiligingscertificeringsautoriteit beoordeelt of een ITSEF aan alle vereisten van lid 1 voldoet. Die beoordeling omvat ten minste gestructureerde interviews en een herziening van ten minste één proefevaluatie, die overeenkomstig deze verordening door de ITSEF is uitgevoerd.

3. Bij haar beoordeling kan de nationale cyberbeveiligingscertificeringsautoriteit opnieuw gebruikmaken van al het passende bewijs van voorafgaande autorisatie of gelijkaardige activiteiten dat werd verleend op grond van:

a)	deze verordening;

b)	een andere op grond van artikel 49 van Verordening (EU) 2019/881 vastgestelde Europese cyberbeveiligingscertificeringsregeling;

c)	een in artikel 49 van deze verordening bedoelde nationale regeling.

4. De nationale cyberbeveiligingscertificeringsautoriteit stelt een autorisatieverslag op dat overeenkomstig artikel 59, lid 3, punt d), van Verordening (EU) 2019/881 aan collegiale toetsing wordt onderworpen.

5. De nationale cyberbeveiligingscertificeringsautoriteit specificeert de ICT-productcategorieën en beveiligingsprofielen waarop de autorisatie betrekking heeft. De autorisatie is geldig voor een periode die niet langer is dan de geldigheidsduur van de accreditatie. Zij kan op verzoek worden verlengd, op voorwaarde dat de ITSEF nog steeds aan de eisen van dit artikel voldoet. Voor de verlenging van de autorisatie mogen geen proefevaluaties vereist zijn.

6. De nationale cyberbeveiligingscertificeringsautoriteit trekt de autorisatie van de ITSEF in indien deze laatste niet langer aan de voorwaarden van dit artikel voldoet. Bij intrekking van de autorisatie stopt de ITSEF met het promoten van zichzelf als geautoriseerde ITSEF.

Artikel 23

Kennisgeving van certificeringsinstanties

1. De nationale cyberbeveiligingscertificeringsautoriteit stelt de Commissie in kennis van de certificeringsinstanties op haar grondgebied die bevoegd zijn om op basis van hun accreditatie op zekerheidsniveau “substantieel” te certificeren.

2. De nationale cyberbeveiligingscertificeringsautoriteit stelt de Commissie in kennis van de certificeringsinstanties op haar grondgebied die bevoegd zijn om op basis van hun accreditatie en de autorisatiebeslissing op zekerheidsniveau “hoog” te certificeren.

3. De nationale cyberbeveiligingscertificeringsautoriteit verstrekt ten minste de volgende informatie wanneer zij de Commissie in kennis stelt van de certificeringsinstanties:

a)	het zekerheidsniveau of de zekerheidsniveaus waarvoor de certificeringsinstantie bevoegd is om EUCC-certificaten af te geven;

de volgende informatie met betrekking tot accreditatie:

1)	datum van de accreditatie;

2)	naam en adres van de certificeringsinstantie;

3)	land van registratie van de certificeringsinstantie;

4)	referentienummer van de accreditatie;

5)	toepassingsgebied en geldigheidsduur van de accreditatie;

6)	het adres, de locatie en de link naar de relevante website van de nationale accreditatie-instantie; alsmede

de volgende informatie met betrekking tot autorisatie voor het niveau “hoog”:

1)	datum van de autorisatie;

2)	referentienummer van de autorisatie;

3)	geldigheidsduur van de autorisatie;

4)	toepassingsgebied van de autorisatie, met inbegrip van het hoogste AVA_VAN-niveau en, indien van toepassing, het bestreken technische domein.

4. De nationale cyberbeveiligingscertificeringsautoriteit stuurt een kopie van de in de leden 1 en 2 bedoelde kennisgeving naar Enisa met het oog op de publicatie van nauwkeurige informatie over de geschiktheid van certificeringsinstanties op de website voor cyberbeveiligingscertificering.

5. De nationale cyberbeveiligingscertificeringsautoriteit onderzoekt onverwijld alle door de nationale accreditatie-instantie verstrekte informatie over een wijziging in de accreditatiestatus. Indien de accreditatie of autorisatie is ingetrokken, stelt de nationale cyberbeveiligingscertificeringsautoriteit de Commissie daarvan in kennis en kan zij bij de Commissie een verzoek indienen overeenkomstig artikel 61, lid 4, van Verordening (EU) 2019/881.

Artikel 24

Kennisgeving van ITSEF

De in artikel 23 vastgestelde verplichtingen tot kennisgeving van de nationale cyberbeveiligingscertificeringsautoriteiten zijn ook van toepassing op ITSEF. De kennisgeving bevat het adres van de ITSEF, de geldige accreditatie en, in voorkomend geval, de geldige autorisatie van die ITSEF.

HOOFDSTUK V

MONITORING, NON-CONFORMITEIT EN NIET-NALEVING

AFDELING I

Toezicht op de naleving

Artikel 25

Monitoringactiviteiten van de nationale cyberbeveiligingscertificeringsautoriteiten

1. Onverminderd artikel 58, lid 7, van Verordening (EU) 2019/881 houdt de nationale cyberbeveiligingscertificeringsautoriteit toezicht op de naleving:

a)	door de certificeringsinstantie en de ITSEF van hun verplichtingen uit hoofde van deze verordening en Verordening (EU) 2019/881;

b)	door de houders van een EUCC-certificaat van hun verplichtingen uit hoofde van deze verordening en Verordening (EU) 2019/881;

c)	door de gecertificeerde ICT-producten van de in de EUCC vastgestelde vereisten;

d)	van de zekerheid die in het EUCC-certificaat wordt gegeven met betrekking tot het veranderende dreigingslandschap.

2. De nationale cyberbeveiligingscertificeringsautoriteit voert haar monitoringactiviteiten met name uit op basis van:

a)	informatie afkomstig van certificeringsinstanties, nationale accreditatie-instanties en relevante markttoezichtautoriteiten;

b)	informatie die voortvloeit uit audits en onderzoeken uitgevoerd door de eigen autoriteit of door een andere autoriteit;

c)	bemonstering, uitgevoerd overeenkomstig lid 3;

d)	ontvangen klachten.

3. De nationale cyberbeveiligingscertificeringsautoriteit neemt, in samenwerking met andere markttoezichtautoriteiten, jaarlijks een steekproef van ten minste 4 % van de EUCC-certificaten, zoals via een risicobeoordeling bepaald. Op verzoek en namens de bevoegde nationale cyberbeveiligingscertificeringsautoriteit staan certificeringsinstanties en, indien nodig, ITSEF die autoriteit bij het toezicht op de naleving bij.

4. De nationale cyberbeveiligingscertificeringsautoriteit selecteert de steekproef van gecertificeerde ICT-producten die moet worden gecontroleerd aan de hand van objectieve criteria, waaronder:

a)	productcategorie;

b)	zekerheidsniveaus van producten;

c)	houder van een certificaat;

d)	certificeringsinstantie en, indien van toepassing, de uitbestede ITSEF;

e)	alle andere informatie die ter kennis van de autoriteit wordt gebracht.

5. De nationale cyberbeveiligingscertificeringsautoriteit stelt de houders van het EUCC-certificaat in kennis van de geselecteerde ICT-producten en de selectiecriteria.

6. De certificeringsinstantie die het in de steekproef opgenomen ICT-product heeft gecertificeerd, voert op verzoek van de nationale cyberbeveiligingscertificeringsautoriteit, bijgestaan door de respectieve ITSEF, een aanvullende herziening uit overeenkomstig de procedure vastgesteld in afdeling IV.2 van bijlage IV en stelt de nationale cyberbeveiligingscertificeringsautoriteit in kennis van de resultaten.

7. Wanneer de nationale cyberbeveiligingscertificeringsautoriteit voldoende redenen heeft om aan te nemen dat een gecertificeerd ICT-product niet langer in overeenstemming is met deze verordening of met Verordening (EU) 2019/881, kan zij onderzoeken uitvoeren of van andere bevoegdheden op het gebied van monitoring gebruikmaken zoals bepaald in artikel 58, lid 8, van Verordening (EU) 2019/881.

8. De nationale cyberbeveiligingscertificeringsautoriteit stelt de betrokken certificeringsinstantie en ITSEF in kennis van lopende onderzoeken met betrekking tot geselecteerde ICT-producten.

9. Wanneer de nationale cyberbeveiligingscertificeringsautoriteit vaststelt dat een lopend onderzoek betrekking heeft op ICT-producten die werden gecertificeerd door in andere lidstaten gevestigde certificeringsinstanties, stelt zij de nationale cyberbeveiligingscertificeringsautoriteiten van de betrokken lidstaten daarvan in kennis om, in voorkomend geval, aan de onderzoeken mee te werken. Dergelijke nationale cyberbeveiligingscertificeringsautoriteit stelt ook de Europese Groep voor cyberbeveiligingscertificering in kennis van de grensoverschrijdende onderzoeken en de daaruit voortvloeiende resultaten.

Artikel 26

Monitoringactiviteiten door de certificeringsinstantie

1. De certificeringsinstantie houdt toezicht op:

a)	de naleving door de houders van een certificaat van hun verplichtingen uit hoofde van deze verordening en Verordening (EU) 2019/881 ten aanzien van het door de certificeringsinstantie afgegeven EUCC-certificaat;

b)	de naleving van de door haar gecertificeerde ICT-producten met hun respectieve beveiligingsvoorschriften;

c)	de zekerheid die in de gecertificeerde beveiligingsprofielen wordt vermeld.

2. De certificeringsinstantie voert haar monitoringactiviteiten uit op basis van:

a)	de informatie die is verstrekt op basis van de verbintenissen van de aanvrager van certificering als bedoeld in artikel 9, lid 2;

b)	informatie die voortvloeit uit activiteiten van andere relevante markttoezichtautoriteiten;

c)	ontvangen klachten;

d)	informatie over kwetsbaarheden die van invloed kan zijn op de ICT-producten die ze heeft gecertificeerd.

3. De nationale cyberbeveiligingscertificeringsautoriteit kan regels opstellen voor een periodieke dialoog tussen certificeringsinstanties en houders van EUCC-certificaten om de naleving van de krachtens artikel 9, lid 2, aangegane verbintenissen te verifiëren en er verslag over uit te brengen, onverminderd activiteiten die verband houden met andere relevante markttoezichtautoriteiten.

Artikel 27

Monitoringactiviteiten door de houder van het certificaat

1. De houder van een EUCC-certificaat voert de volgende taken uit om de conformiteit van het gecertificeerde ICT-product met de beveiligingsvoorschriften ervan te controleren:

informatie over kwetsbaarheden met betrekking tot het gecertificeerde ICT-product monitoren, met inbegrip van bekende afhankelijkheden via eigen middelen, maar ook met inachtneming van:

1)	een publicatie of een indiening met betrekking tot informatie over kwetsbaarheden door een gebruiker of beveiligingsonderzoeker als bedoeld in artikel 55, lid 1, punt c), van Verordening (EU) 2019/881;

2)	een indiening door een andere bron;

b)	de zekerheid monitoren die in het EUCC-certificaat wordt gegeven.

2. De houder van een EUCC-certificaat werkt samen met de certificeringsinstantie, de ITSEF en, indien van toepassing, de nationale cyberbeveiligingscertificeringsautoriteit ter ondersteuning van hun monitoringactiviteiten.

AFDELING II

Conformiteit en naleving

Artikel 28

Gevolgen van non-conformiteit van een gecertificeerd ICT-product of beveiligingsprofiel

1. Wanneer een gecertificeerd ICT-product of beveiligingsprofiel niet aan de vereisten van deze verordening en Verordening (EU) 2019/881 voldoet, stelt de certificeringsinstantie de houder van het EUCC-certificaat in kennis van de geconstateerde non-conformiteit en verzoekt zij om corrigerende maatregelen.

2. Wanneer een geval van non-conformiteit met de bepalingen van deze verordening gevolgen kan hebben voor de naleving van andere relevante wetgeving van de Unie, die voorziet in de mogelijkheid om het vermoeden van conformiteit met de vereisten van die rechtshandeling aan te tonen door gebruik te maken van het EUCC-certificaat, stelt de certificeringsinstantie de nationale cyberbeveiligingscertificeringsautoriteit daarvan onverwijld in kennis. De nationale cyberbeveiligingscertificeringsautoriteit stelt de markttoezichtautoriteit die voor dergelijke andere relevante wetgeving van de Unie verantwoordelijk is, onmiddellijk in kennis van het geconstateerde geval van non-conformiteit.

3. Na ontvangst van de in lid 1 bedoelde informatie stelt de houder van het EUCC-certificaat binnen de door de certificeringsinstantie vastgestelde termijn, die niet meer dan 30 dagen mag bedragen, aan de certificeringsinstantie de corrigerende maatregelen voor die nodig zijn om de non-conformiteit aan te pakken.

4. De certificeringsinstantie kan het EUCC-certificaat overeenkomstig artikel 30 onverwijld schorsen in noodgevallen of wanneer de houder van het EUCC-certificaat niet naar behoren met de certificeringsinstantie samenwerkt.

5. De certificeringsinstantie voert een herziening uit overeenkomstig de artikelen 13 en 19, waarbij wordt beoordeeld of de corrigerende maatregel de non-conformiteit al dan niet aanpakt.

6. Wanneer de houder van het EUCC-certificaat tijdens de in lid 3 bedoelde periode geen passende corrigerende maatregelen voorstelt, wordt het certificaat overeenkomstig artikel 30 geschorst of overeenkomstig de artikelen 14 of 20 ingetrokken.

7. Dit artikel is niet van toepassing op kwetsbaarheden die op een gecertificeerd ICT-product van invloed zijn en overeenkomstig hoofdstuk VI worden behandeld.

Artikel 29

Gevolgen van niet-naleving door de houder van het certificaat

1. Wanneer de certificeringsinstantie vaststelt dat:

a)	de houder van het EUCC-certificaat of de aanvrager van certificering niet voldoet aan zijn verbintenissen en verplichtingen zoals uiteengezet in artikel 9, lid 2, artikel 17, lid 2, artikel 27 en artikel 41, of

b)	de houder van het EUCC-certificaat niet voldoet aan artikel 56, lid 8, van Verordening (EU) 2019/881 of hoofdstuk VI van deze verordening; stelt zij een termijn van ten hoogste 30 dagen vast waarbinnen de houder van het EUCC-certificaat corrigerende maatregelen moet nemen.

2. Wanneer de houder van het EUCC-certificaat tijdens het in lid 1 bedoelde tijdsbestek geen passende corrigerende maatregelen voorstelt, wordt het certificaat overeenkomstig artikel 30 geschorst of overeenkomstig de artikelen 14 en 20 ingetrokken.

3. Aanhoudende of terugkerende inbreuk door de houder van het EUCC-certificaat op de in lid 1 bedoelde verplichtingen leidt tot intrekking van het EUCC-certificaat in overeenstemming met artikel 14 of artikel 20.

4. De certificeringsinstantie stelt de nationale cyberbeveiligingscertificeringsautoriteit in kennis van de in lid 1 bedoelde bevindingen. Wanneer het geval van niet-naleving gevolgen heeft voor de naleving van andere relevante wetgeving van de Unie, stelt de nationale cyberbeveiligingscertificeringsautoriteit de voor die andere relevante wetgeving van de Unie verantwoordelijke markttoezichtautoriteit onmiddellijk in kennis van het geconstateerde geval van niet-naleving.

Artikel 30

Schorsing van het EUCC-certificaat

1. Wanneer in deze verordening naar de schorsing van een EUCC-certificaat wordt verwezen, schorst de certificeringsinstantie een EUCC-certificaat voor een periode van maximaal 42 dagen die is afgestemd op de omstandigheden die tot de schorsing aanleiding geven. De schorsingsperiode gaat in op de dag na die waarop de certificeringsinstantie haar besluit heeft genomen. De schorsing laat de geldigheid van het certificaat onverlet.

2. De certificeringsinstantie stelt de houder van het certificaat en de nationale cyberbeveiligingscertificeringsautoriteit onverwijld van de schorsing in kennis en vermeldt de redenen voor de schorsing, de vereiste maatregelen en de schorsingsperiode.

3. Houders van certificaten stellen de kopers van de betrokken ICT-producten in kennis van de schorsing en van de door de certificeringsinstantie opgegeven redenen voor de schorsing met uitzondering van die delen van de redenen waarvan het delen een veiligheidsrisico zou vormen of die gevoelige informatie bevatten. Deze informatie wordt ook openbaar gemaakt door de houder van het certificaat.

4. Wanneer andere relevante wetgeving van de Unie voorziet in een vermoeden van conformiteit op basis van certificaten die op grond van de bepalingen van deze verordening zijn afgegeven, stelt de nationale cyberbeveiligingscertificeringsautoriteit de markttoezichtautoriteit die voor die andere relevante wetgeving van de Unie verantwoordelijk is, in kennis van de schorsing.

5. Overeenkomstig artikel 42, lid 3, wordt Enisa van de schorsing van een certificaat in kennis gesteld.

6. In naar behoren gemotiveerde gevallen kan de nationale cyberbeveiligingscertificeringsautoriteit een verlenging van de schorsingsperiode van een EUCC-certificaat toestaan. De totale duur van de schorsing mag niet meer dan één jaar bedragen.

Artikel 31

Gevolgen van niet-naleving door de conformiteitsbeoordelingsinstantie

1. In geval van niet-naleving door een certificeringsinstantie van haar verplichtingen, of door de betrokken certificeringsinstantie bij vaststelling van niet-naleving door een ITSEF, doet de nationale cyberbeveiligingscertificeringsautoriteit onverwijld het volgende:

a)	met de steun van de betrokken ITSEF de mogelijk getroffen EUCC-certificaten identificeren;

indien nodig, verzoeken om evaluatiewerkzaamheden met betrekking tot een of meer ICT-producten of beveiligingsprofielen uit te voeren hetzij door de ITSEF die de evaluatie heeft uitgevoerd, hetzij door een andere geaccrediteerde en, in voorkomend geval, geautoriseerde ITSEF die zich in een betere technische positie bevindt om die identificatie te ondersteunen;

c)	de gevolgen van niet-naleving analyseren;

d)	de houder van het door niet-naleving getroffen EUCC-certificaat in kennis stellen.

2. Op basis van de in lid 1 bedoelde maatregelen neemt de certificeringsinstantie een van de volgende besluiten met betrekking tot elk getroffen EUCC-certificaat:

a)	het EUCC-certificaat ongewijzigd behouden;

b)	het EUCC-certificaat overeenkomstig artikel 14 of artikel 20 intrekken en, in voorkomend geval, een nieuw EUCC-certificaat afgeven.

3. Op basis van de in lid 1 bedoelde maatregelen doet de nationale cyberbeveiligingscertificeringsautoriteit het volgende:

a)	indien nodig, de niet-naleving door de certificeringsinstantie of de desbetreffende ITSEF aan de nationale accreditatie-instantie melden;

b)	indien van toepassing, de mogelijke gevolgen voor de autorisatie beoordelen.

HOOFDSTUK VI

BEHEER EN OPENBAARMAKING VAN KWETSBAARHEDEN

Artikel 32

Toepassingsgebied van het beheer van kwetsbaarheden

Dit hoofdstuk is van toepassing op ICT-producten waarvoor een EUCC-certificaat werd afgegeven.

AFDELING I

Beheer van kwetsbaarheden

Artikel 33

Procedures voor beheer van kwetsbaarheden

1. De houder van een EUCC-certificaat stelt alle nodige procedures voor het beheer van kwetsbaarheden vast en handhaaft deze overeenkomstig de in deze afdeling vastgestelde regels en, indien nodig, aangevuld met de procedures vastgelegd in de norm EN ISO/IEC 30111.

2. De houder van een EUCC-certificaat handhaaft en publiceert passende methoden voor het ontvangen van informatie over kwetsbaarheden in verband met hun producten van externe bronnen, waaronder gebruikers, certificeringsinstanties en beveiligingsonderzoekers.

3. Wanneer een houder van een EUCC-certificaat informatie over een potentiële kwetsbaarheid van een gecertificeerd ICT-product ontdekt of ontvangt, moet hij deze informatie vastleggen en een kwetsbaarheidseffectbeoordeling uitvoeren.

4. Wanneer bij een samengesteld product een potentiële kwetsbaarheid wordt vastgesteld, moet de houder van het EUCC-certificaat de houder van hiervan afhankelijke EUCC-certificaten over de potentiële kwetsbaarheid informeren.

5. In antwoord op een redelijk verzoek van de certificeringsinstantie die het certificaat heeft afgegeven, stuurt de houder van een EUCC-certificaat alle relevante informatie over potentiële kwetsbaarheden naar die certificeringsinstantie.

Artikel 34

Kwetsbaarheidseffectbeoordeling

1. Een kwetsbaarheidseffectbeoordeling betreft het onderwerp van evaluatie en de verklaringen met betrekking tot de zekerheid in het certificaat. Een kwetsbaarheidseffectbeoordeling wordt uitgevoerd binnen een passend tijdsbestek met het oog op de exploiteerbaarheid en kriticiteit van de potentiële kwetsbaarheid van het gecertificeerde ICT-product.

2. In voorkomend geval wordt een berekening van het aanvalspotentieel uitgevoerd overeenkomstig de relevante methodologie die is opgenomen in de in artikel 3 bedoelde normen en de in bijlage I vermelde relevante documenten over de huidige stand van de techniek, om de exploiteerbaarheid van de kwetsbaarheid te bepalen. Er wordt rekening gehouden met het AVA_VAN-niveau van het EUCC-certificaat.

Artikel 35

Verslag over de kwetsbaarheidseffectbeoordeling

1. De houder stelt een verslag over de kwetsbaarheidseffectbeoordeling op wanneer uit de effectbeoordeling blijkt dat de kwetsbaarheid waarschijnlijk gevolgen heeft voor de conformiteit van het ICT-product met het respectieve certificaat.

2. Het verslag over de kwetsbaarheidseffectbeoordeling omvat een beoordeling van de volgende elementen:

a)	de gevolgen van de kwetsbaarheid voor het gecertificeerde ICT-product;

b)	mogelijke risico’s die verband houden met de nabijheid of beschikbaarheid van een aanval;

c)	of de kwetsbaarheid al dan niet kan worden verholpen;

d)	wanneer de kwetsbaarheid kan worden verholpen, mogelijke resoluties over de kwetsbaarheid.

3. Het verslag over de kwetsbaarheidseffectbeoordeling omvat, indien van toepassing, nadere gegevens over de mogelijke manieren waarop de kwetsbaarheid kan worden geëxploiteerd. Informatie over mogelijke vormen van exploitatie van de kwetsbaarheid wordt behandeld in overeenstemming met passende beveiligingsmaatregelen om de vertrouwelijkheid ervan te beschermen en, waar nodig, de beperkte verspreiding ervan te verzekeren.

4. De houder van een EUCC-certificaat bezorgt onverwijld een verslag over de kwetsbaarheidseffectbeoordeling aan de certificeringsinstantie of de nationale cyberbeveiligingscertificeringsautoriteit overeenkomstig artikel 56, lid 8, van Verordening (EU) 2019/881.

5. Indien uit het verslag over de kwetsbaarheidseffectbeoordeling blijkt dat het niet gaat om een resterende kwetsbaarheid zoals bedoeld in de in artikel 3 bedoelde normen, en dat de kwetsbaarheid kan worden verholpen, is artikel 36 van toepassing.

6. Indien uit het verslag over de kwetsbaarheidseffectbeoordeling blijkt dat het niet gaat om een resterende kwetsbaarheid en dat ze niet kan worden verholpen, wordt het EUCC-certificaat overeenkomstig artikel 14 ingetrokken.

7. De houder van het EUCC-certificaat monitort alle resterende kwetsbaarheden om te verzekeren dat deze niet kunnen worden geëxploiteerd bij wijzigingen in de operationele omgeving.

Artikel 36

Herstel van de kwetsbaarheid

De houder van een EUCC-certificaat dient bij de certificeringsinstantie een voorstel voor passende corrigerende maatregelen in. De certificeringsinstantie herziet het certificaat overeenkomstig artikel 13. Het toepassingsgebied van de herziening wordt bepaald door het voorgestelde herstel van de kwetsbaarheid.

AFDELING II

Bekendmaking van kwetsbaarheden

Artikel 37

Informatie die met de nationale cyberbeveiligingscertificeringsautoriteit wordt gedeeld

1. De door de certificeringsinstantie aan de nationale cyberbeveiligingscertificeringsautoriteit verstrekte informatie omvat alle elementen die de nationale cyberbeveiligingscertificeringsautoriteit nodig heeft om inzicht te krijgen in de gevolgen van de kwetsbaarheid, de wijzigingen die aan het ICT-product moeten worden aangebracht en, in voorkomend geval, alle informatie van de certificeringsinstantie over de ruimere implicaties van de kwetsbaarheid voor andere gecertificeerde ICT-producten.

2. De overeenkomstig lid 1 verstrekte informatie bevat geen bijzonderheden over de vormen van exploitatie van de kwetsbaarheid. Deze bepaling laat de onderzoeksbevoegdheden van de nationale cyberbeveiligingscertificeringsautoriteit onverlet.

Artikel 38

Samenwerking met andere nationale cyberbeveiligingscertificeringsautoriteiten

1. De nationale cyberbeveiligingscertificeringsautoriteit deelt de ontvangen relevante informatie overeenkomstig artikel 37 met andere nationale cyberbeveiligingscertificeringsautoriteiten en Enisa.

2. Andere nationale cyberbeveiligingscertificeringsautoriteiten kunnen besluiten de kwetsbaarheid verder te analyseren of, na de houder van het EUCC-certificaat daarvan in kennis te hebben gesteld, de betrokken certificeringsinstanties verzoeken te beoordelen of de kwetsbaarheid al dan niet gevolgen kan hebben voor andere gecertificeerde ICT-producten.

Artikel 39

Publicatie van de kwetsbaarheid

Na intrekking van een certificaat maakt de houder van het EUCC-certificaat alle openbaar bekende en herstelde kwetsbaarheden in het ICT-product bekend en registreert hij deze in de overeenkomstig artikel 12 van Richtlijn (EU) 2022/2555 van het Europees Parlement en de Raad (5) opgezette Europese databank van kwetsbaarheden of andere in artikel 55, lid 1, punt d), van Verordening (EU) 2019/881 bedoelde onlineregisters.

HOOFDSTUK VII

BEWARING, OPENBAARMAKING EN BESCHERMING VAN INFORMATIE

Artikel 40

Bewaren van gegevens door certificeringsinstanties en de ITSEF

1. De ITSEF en de certificeringsinstanties houden een registratiesysteem bij waarin alle documenten zitten die in het kader van elke door hen uitgevoerde evaluatie en certificering zijn overgelegd.

2. De certificeringsinstanties en de ITSEF slaan de gegevens veilig op en bewaren deze gegevens gedurende de periode die nodig is voor de toepassing van deze verordening en gedurende ten minste 5 jaar na de intrekking van het desbetreffende EUCC-certificaat. Indien de certificeringsinstantie overeenkomstig artikel 13, lid 2, punt c), een nieuw EUCC-certificaat heeft afgegeven, bewaart ze de documentatie over het ingetrokken EUCC-certificaat samen met en even lang als het nieuwe EUCC-certificaat.

Artikel 41

Door de houder van een certificaat beschikbaar gestelde informatie

1. De in artikel 55 van Verordening (EU) 2019/881 bedoelde informatie wordt beschikbaar gesteld in een taal die gemakkelijk toegankelijk is voor gebruikers.

2. De houder van een EUCC-certificaat dient het volgende veilig te bewaren gedurende de periode die nodig is voor de toepassing van deze verordening en gedurende ten minste 5 jaar na de intrekking van het desbetreffende EUCC-certificaat:

a)	gegevens over de informatie die tijdens het certificeringsproces aan de certificeringsinstantie en aan de ITSEF is verstrekt;

b)	specimen van het gecertificeerde ICT-product.

3. Indien de certificeringsinstantie overeenkomstig artikel 13, lid 2, punt c), een nieuw EUCC-certificaat heeft afgegeven, bewaart de houder de documentatie over het ingetrokken EUCC-certificaat samen met en even lang als het nieuwe EUCC-certificaat.

4. Op verzoek van de certificeringsinstantie of de nationale cyberbeveiligingscertificeringsautoriteit stelt de houder van een EUCC-certificaat de in lid 2 bedoelde gegevens en kopieën ter beschikking.

Artikel 42

Door Enisa beschikbaar te stellen informatie

1. Enisa publiceert de volgende informatie op de in artikel 50, lid 1, van Verordening (EU) 2019/881 bedoelde website:

a)	alle EUCC-certificaten;

b)	de informatie over de status van een EUCC-certificaat, met name of het van kracht, geschorst, ingetrokken of verlopen is;

c)	certificeringsverslagen voor elk EUCC-certificaat;

d)	een lijst van geaccrediteerde conformiteitsbeoordelingsinstanties;

e)	een lijst van geautoriseerde conformiteitsbeoordelingsinstanties;

f)	de in bijlage I vermelde documenten over de huidige stand van de techniek;

g)	de adviezen van de in artikel 62, lid 4, punt c), van Verordening (EU) 2019/881 bedoelde Europese Groep voor cyberbeveiligingscertificering;

h)	overeenkomstig artikel 47 afgegeven verslagen van collegiale toetsing.

2. De in lid 1 bedoelde informatie wordt ten minste in het Engels beschikbaar gesteld.

3. Certificeringsinstanties en, in voorkomend geval, nationale cyberbeveiligingscertificeringsautoriteiten stellen Enisa onverwijld in kennis van hun besluiten die van invloed zijn op de inhoud of de status van een EUCC-certificaat zoals bedoeld in lid 1, punt b).

4. Enisa zorgt ervoor dat de overeenkomstig lid 1, punten a), b) en c), gepubliceerde informatie duidelijk aangeeft welke versies van een gecertificeerd ICT-product onder een EUCC-certificaat vallen.

Artikel 43

Bescherming van informatie

Conformiteitsbeoordelingsinstanties, nationale cyberbeveiligingscertificeringsautoriteiten, EGC, Enisa, de Commissie en alle andere partijen verzekeren de beveiliging en bescherming van bedrijfsgeheimen en andere vertrouwelijke informatie, met inbegrip van handelsgeheimen, alsook het behoud van intellectuele-eigendomsrechten, en nemen de nodige en passende technische en organisatorische maatregelen.

HOOFDSTUK VIII

OVEREENKOMSTEN INZAKE WEDERZIJDSE ERKENNING MET DERDE LANDEN

Artikel 44

Voorwaarden

1. Derde landen die bereid zijn hun producten overeenkomstig deze verordening te certificeren en die een dergelijke certificering in de Unie willen laten erkennen, sluiten een overeenkomst inzake wederzijdse erkenning met de Unie.

2. De overeenkomst inzake wederzijdse erkenning heeft betrekking op de toepasselijke zekerheidsniveaus voor gecertificeerde ICT-producten en, indien van toepassing, beveiligingsprofielen.

3. De in lid 1 bedoelde overeenkomsten inzake wederzijdse erkenning mogen alleen worden afgesloten met derde landen die aan de volgende voorwaarden voldoen:

beschikken over een autoriteit die:

1)	een overheidsinstantie is die onafhankelijk is van de entiteiten die zij controleert en monitort op het gebied van organisatorische en juridische structuur, financiering en besluitvorming;

2)	over passende bevoegdheden inzake monitoring en toezicht beschikt om onderzoeken uit te voeren en bevoegd is om passende corrigerende maatregelen te nemen om naleving te verzekeren;

3)	over een doeltreffend, evenredig en afschrikkend sanctiesysteem beschikt om naleving te verzekeren;

overeenkomt om samen te werken met de Europese Groep voor cyberbeveiligingscertificering en Enisa om beste praktijken en relevante ontwikkelingen op het gebied van cyberbeveiligingscertificering uit te wisselen en te werken aan een uniforme interpretatie van de actueel geldende evaluatiecriteria en -methoden, onder meer door geharmoniseerde documentatie toe te passen die gelijkwaardig is aan de documenten over de huidige stand van de techniek die in bijlage I zijn opgenomen;

b)	beschikken over een onafhankelijke accreditatie-instantie die accreditaties uitvoert volgens normen die gelijkwaardig zijn aan die van Verordening (EG) nr. 765/2008;

c)	zich ertoe verbinden dat de evaluatie- en certificeringsprocessen en -procedures op een naar behoren professionele wijze worden uitgevoerd, met inachtneming van de naleving van de in deze verordening, met name in artikel 3, bedoelde internationale normen;

d)	beschikken over de capaciteit om eerder niet-ontdekte kwetsbaarheden te melden en een vastgestelde, adequate procedure voor beheer en openbaarmaking van kwetsbaarheden;

e)	procedures hebben vastgesteld die het mogelijk maken om klachten op doeltreffende wijze in te dienen en te behandelen en de klager een doeltreffend rechtsmiddel te bieden;

het opzetten van een mechanisme voor samenwerking met andere instanties van de Unie en de lidstaten die relevant zijn voor cyberbeveiligingscertificering in het kader van deze verordening, met inbegrip van het delen van informatie over de mogelijke niet-naleving van certificaten, het monitoren van relevante ontwikkelingen op het gebied van certificering en het waarborgen van een gezamenlijke aanpak inzake handhaving en herziening van certificering.

4. Naast de in lid 3 vastgestelde voorwaarden mag een in lid 1 bedoelde overeenkomst inzake wederzijdse erkenning die het zekerheidsniveau “hoog” bestrijkt, alleen met derde landen worden afgesloten indien ook aan de volgende voorwaarden is voldaan:

het derde land beschikt over een onafhankelijke en openbare cyberbeveiligingscertificeringsautoriteit die evaluatiewerkzaamheden verricht of delegeert die nodig zijn om certificering met zekerheidsniveau “hoog” mogelijk te maken en die gelijkwaardig zijn aan de vereisten en procedures die in deze verordening en in Verordening (EU) 2019/881 voor nationale cyberbeveiligingscertificeringsautoriteiten zijn vastgesteld;

b)	de overeenkomst inzake wederzijdse erkenning voorziet in een gezamenlijk mechanisme dat gelijkwaardig is aan de collegiale toetsing voor EUCC-certificering om de uitwisseling van praktijken te verbeteren en gezamenlijk problemen op het gebied van evaluatie en certificering op te lossen.

HOOFDSTUK IX

COLLEGIALE TOETSING VAN CERTIFICERINGSINSTANTIES

Artikel 45

Procedure voor collegiale toetsing

1. Een certificeringsinstantie die EUCC-certificaten met zekerheidsniveau “hoog” afgeeft, wordt regelmatig en ten minste om de 5 jaar aan een collegiale toetsing onderworpen. De verschillende soorten collegiale toetsing zijn opgenomen in bijlage VI.

2. De Europese Groep voor cyberbeveiligingscertificering stelt een planning van collegiale toetsingen op en houdt deze bij om ervoor te zorgen dat die frequentie wordt gerespecteerd. Behalve in naar behoren gemotiveerde gevallen worden collegiale toetsingen ter plaatse uitgevoerd.

3. De collegiale toetsing kan steunen op bewijsmateriaal dat is verzameld in de loop van eerdere collegiale toetsingen of gelijkwaardige procedures van de door collega’s getoetste certificeringsinstantie of nationale cyberbeveiligingscertificeringsautoriteit, op voorwaarde dat:

a)	de resultaten niet ouder zijn dan 5 jaar;

b)	de resultaten vergezeld zijn van een beschrijving van de voor die regeling vastgestelde procedures voor collegiale toetsing wanneer deze betrekking hebben op een collegiale toetsing die in het kader van een andere certificeringsregeling is uitgevoerd;

c)	in het in artikel 47 bedoelde verslag van de collegiale toetsing wordt gespecificeerd welke resultaten met of zonder verdere beoordeling zijn hergebruikt.

4. Wanneer een collegiale toetsing op een technisch domein betrekking heeft, wordt ook de betrokken ITSEF beoordeeld.

5. De certificeringsinstantie en, in voorkomend geval, de nationale cyberbeveiligingscertificeringsautoriteit die door collega’s zijn getoetst, zorgen ervoor dat alle relevante informatie aan het team voor collegiale toetsing beschikbaar wordt gesteld.

6. De collegiale toetsing wordt uitgevoerd door een overeenkomstig bijlage VI opgericht team voor collegiale toetsing.

Artikel 46

Fasen van de collegiale toetsing

1. Tijdens de voorbereidende fase herzien de leden van het team voor collegiale toetsing de documentatie van de certificeringsinstantie over haar beleidslijnen en procedures, met inbegrip van het gebruik van documenten over de huidige stand van de techniek.

2. Tijdens de fase van het bezoek ter plaatse beoordeelt het team voor collegiale toetsing de technische bekwaamheid van de instantie en, indien van toepassing, de bekwaamheid van een ITSEF die ten minste één ICT-productevaluatie heeft uitgevoerd die onder de collegiale toetsing valt.

3. De duur van de fase van het bezoek ter plaatse kan worden verlengd of verkort, afhankelijk van factoren zoals de mogelijkheid om bestaande bewijzen en resultaten van collegiale toetsing te hergebruiken of het aantal ITSEF’s en technische domeinen waarvoor de certificeringsinstantie certificaten afgeeft.

4. Indien van toepassing bepaalt het team voor collegiale toetsing de technische bekwaamheid van elke ITSEF door het technisch laboratorium of de technische laboratoria ervan te bezoeken en de beoordelaars ervan te interviewen over het technische domein en de daarmee verband houdende specifieke aanvalsmethoden.

5. In de rapportagefase documenteert het beoordelingsteam zijn bevindingen in een verslag van de collegiale toetsing, met inbegrip van een uitspraak en, indien van toepassing, een lijst van vastgestelde non-conformiteiten, die elk op basis van een kriticiteitsniveau zijn ingedeeld.

6. Het verslag van de collegiale toetsing moet eerst met de door collega’s getoetste certificeringsinstantie worden besproken. Naar aanleiding van die besprekingen legt de collegiaal getoetste certificeringsinstantie een planning vast voor de maatregelen die moeten worden genomen om de bevindingen aan te pakken.

Artikel 47

Verslag van de collegiale toetsing

1. Het team voor collegiale toetsing verstrekt de door collega’s getoetste certificeringsinstantie een ontwerp van het verslag van de collegiale toetsing.

2. De door collega’s getoetste certificeringsinstantie bezorgt het team voor collegiale toetsing opmerkingen over de bevindingen en een lijst van toezeggingen om de in het ontwerpverslag van de collegiale toetsing vastgestelde tekortkomingen aan te pakken.

3. Het team voor collegiale toetsing dient bij de Europese Groep voor cyberbeveiligingscertificering een eindverslag van de collegiale toetsing in, waarin ook de opmerkingen en de toezeggingen van de door collega’s getoetste certificeringsinstantie zijn opgenomen. Het team voor collegiale toetsing vermeldt ook hun standpunt over de opmerkingen en over de vraag of die toezeggingen toereikend zijn om de vastgestelde tekortkomingen aan te pakken.

4. Wanneer in het verslag van de collegiale toetsing non-conformiteiten worden vastgesteld, kan de Europese Groep voor cyberbeveiligingscertificering een passende termijn vaststellen waarbinnen de door collega’s getoetste certificeringsinstantie de non-conformiteiten moet aanpakken.

5. De Europese Groep voor cyberbeveiligingscertificering brengt advies uit over het verslag van de collegiale toetsing:

wanneer in het verslag van de collegiale toetsing geen non-conformiteiten worden vastgesteld of wanneer non-conformiteiten op passende wijze door de door collega’s getoetste certificeringsinstantie zijn aangepakt, kan de Europese Groep voor cyberbeveiligingscertificering een positief advies uitbrengen en worden alle relevante documenten op de certificeringswebsite van Enisa gepubliceerd;

wanneer de door collega’s getoetste certificeringsinstantie de non-conformiteiten niet naar behoren binnen de gestelde termijn aanpakt, kan de Europese Groep voor cyberbeveiligingscertificering een negatief advies uitbrengen dat op de certificeringswebsite van Enisa wordt gepubliceerd, met inbegrip van het verslag van de collegiale toetsing en alle relevante documenten.

6. Voordat het advies wordt gepubliceerd, wordt alle gevoelige, persoonlijke of door eigendomsrechten beschermde informatie uit de gepubliceerde documenten verwijderd.

HOOFDSTUK X

HANDHAVING VAN DE REGELING

Artikel 48

Handhaving van de EUCC

1. De Commissie kan de Europese Groep voor cyberbeveiligingscertificering verzoeken een advies uit te brengen met het oog op de handhaving van de EUCC en om de nodige voorbereidende werkzaamheden te verrichten.

2. De Europese Groep voor cyberbeveiligingscertificering kan een advies uitbrengen waarin hij de documenten over de huidige stand van de techniek onderschrijft.

3. De documenten over de huidige stand van de techniek die de Europese Groep voor cyberbeveiligingscertificering heeft onderschreven, worden door Enisa gepubliceerd.

HOOFDSTUK XI

SLOTBEPALINGEN

Artikel 49

Nationale regelingen die onder de EUCC vallen

1. Overeenkomstig artikel 57, lid 1, van Verordening (EU) 2019/881 en onverminderd artikel 57, lid 3, van die verordening hebben alle nationale cyberbeveiligingscertificeringsregelingen en de daarmee verband houdende procedures voor ICT-producten en ICT-processen die onder de EUCC vallen, vanaf 12 maanden na de inwerkingtreding van deze verordening geen effect meer.

2. In afwijking van artikel 50 kan in het kader van een nationale cyberbeveiligingscertificeringsregeling binnen twaalf maanden vanaf de inwerkingtreding van deze verordening een certificeringsproces worden geïnitieerd, op voorwaarde dat het certificeringsproces uiterlijk 24 maanden na de inwerkingtreding van deze verordening wordt voltooid.

3. Certificaten die in het kader van nationale cyberbeveiligingscertificeringsregelingen zijn afgegeven, kunnen worden herzien. Nieuwe certificaten ter vervanging van de herziene certificaten worden overeenkomstig deze verordening afgegeven.

Artikel 50

Inwerkingtreding

Deze verordening treedt in werking op de twintigste dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie.

Zij is van toepassing met ingang van 27 februari 2025.

Hoofdstuk IV en bijlage V zijn van toepassing met ingang van de datum van inwerkingtreding van deze verordening.

Deze verordening is verbindend in al haar onderdelen en is rechtstreeks toepasselijk in elke lidstaat.

Gedaan te Brussel, 31 januari 2024.

Voor de Commissie

De voorzitter

Ursula VON DER LEYEN

(1) PB L 151 van 7.6.2019, blz. 15.

(2) Overeenkomst inzake wederzijdse erkenning van certificaten voor de evaluatie van de beveiliging van informatietechnologie, versie 3.0 van januari 2010, beschikbaar op sogis.eu, goedgekeurd door de Groep van Hoge Ambtenaren voor de beveiliging van informatiesystemen van de Europese Commissie ingevolge punt 3 van Aanbeveling 95/144/EG van de Raad van 7 april 1995 inzake gemeenschappelijke veiligheidsbeoordelingscriteria voor informatietechnologie (PB L 93 van 26.4.1995, blz. 27).

(3) Joint Interpretation Library: Minimum ITSEF Requirements for Security Evaluations of Smart cards and similar devices, versie 2.1 van februari 2020, beschikbaar op sogis.eu.

(4) Verordening (EU) 2019/1020 van het Europees Parlement en de Raad van 20 juni 2019 betreffende markttoezicht en conformiteit van producten en tot wijziging van Richtlijn 2004/42/EG en de Verordeningen (EG) nr. 765/2008 en (EU) nr. 305/2011 (PB L 169 van 25.6.2019, blz. 1).

(5) Richtlijn (EU) 2022/2555 van het Europees Parlement en de Raad van 14 december 2022 betreffende maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de Unie, tot wijziging van Verordening (EU) nr. 910/2014 en Richtlijn (EU) 2018/1972 en tot intrekking van Richtlijn (EU) 2016/1148 (NIS 2-richtlijn) (PB L 333 van 27.12.2022, blz. 80).