02024R0482 — PL — 08.01.2025 — 001.001
Dokument ten służy wyłącznie do celów informacyjnych i nie ma mocy prawnej. Unijne instytucje nie ponoszą żadnej odpowiedzialności za jego treść. Autentyczne wersje odpowiednich aktów prawnych, włącznie z ich preambułami, zostały opublikowane w Dzienniku Urzędowym Unii Europejskiej i są dostępne na stronie EUR-Lex. Bezpośredni dostęp do tekstów urzędowych można uzyskać za pośrednictwem linków zawartych w dokumencie
|
ROZPORZĄDZENIE WYKONAWCZE KOMISJI (UE) 2024/482 z dnia 31 stycznia 2024 r. ustanawiające zasady stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2019/881 w odniesieniu do przyjęcia europejskiego programu certyfikacji cyberbezpieczeństwa opartego na wspólnych kryteriach (EUCC) (Tekst mający znaczenie dla EOG) (Dz.U. L 482 z 7.2.2024, s. 1) |
zmienione przez:
|
|
|
Dziennik Urzędowy |
||
|
nr |
strona |
data |
||
|
ROZPORZĄDZENIE WYKONAWCZE KOMISJI (UE) 2024/3144 z dnia 18 grudnia 2024 r. |
L 3144 |
1 |
19.12.2024 |
|
ROZPORZĄDZENIE WYKONAWCZE KOMISJI (UE) 2024/482
z dnia 31 stycznia 2024 r.
ustanawiające zasady stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2019/881 w odniesieniu do przyjęcia europejskiego programu certyfikacji cyberbezpieczeństwa opartego na wspólnych kryteriach (EUCC)
(Tekst mający znaczenie dla EOG)
ROZDZIAŁ I
PRZEPISY OGÓLNE
Artykuł 1
Przedmiot i zakres stosowania
Niniejszym rozporządzeniem ustanawia się europejski program certyfikacji cyberbezpieczeństwa oparty na wspólnych kryteriach (EUCC).
Niniejsze rozporządzenie ma zastosowanie do wszystkich produktów technologii informacyjno-komunikacyjnych („ICT”), w tym ich dokumentacji, które są przedkładane do certyfikacji w ramach EUCC, oraz do wszystkich profili zabezpieczeń, które są przedkładane do certyfikacji w ramach procesu ICT prowadzącego do certyfikacji produktów ICT.
Artykuł 2
Definicje
Do celów niniejszego rozporządzenia stosuje się następujące definicje:
„wspólne kryteria” oznaczają wspólne kryteria oceny bezpieczeństwa technologii informacyjnych określone w normach ISO/IEC 15408-1:2022, ISO/IEC 15408-2:2022, ISO/IEC 15408-3:2022, ISO/IEC 15408-4:2022 lub ISO/IEC 15408-5:2022 lub określone we wspólnych kryteriach oceny bezpieczeństwa technologii informacyjnych, wersja CC:2022, części 1–5, opublikowanych przez uczestników porozumienia w sprawie uznawania certyfikatów wspólnych kryteriów w dziedzinie bezpieczeństwa informatycznego;
„wspólna metodyka oceny” oznacza wspólną metodykę oceny bezpieczeństwa technologii informacyjnych określoną w normie ISO/IEC 18045:2022 lub wspólną metodykę oceny bezpieczeństwa technologii informacyjnych, wersja CEM:2022, opublikowaną przez uczestników porozumienia w sprawie uznawania certyfikatów wspólnych kryteriów w dziedzinie bezpieczeństwa informatycznego;
„cel oceny” oznacza produkt ICT lub jego część lub profil zabezpieczeń stanowiący część procesu ICT, który podlega ocenie cyberbezpieczeństwa w celu uzyskania certyfikacji EUCC;
„cel bezpieczeństwa” oznacza twierdzenie dotyczące wymogów bezpieczeństwa zależnych od wdrożenia w odniesieniu do konkretnego produktu ICT;
„profil zabezpieczeń” oznacza proces ICT, który określa wymogi bezpieczeństwa dla określonej kategorii produktów ICT, przy uwzględnieniu niezależnych od wdrożenia potrzeb bezpieczeństwa, i który może być wykorzystywany do oceny produktów ICT należących do tej konkretnej kategorii na potrzeby ich certyfikacji;
„sprawozdanie techniczne z oceny” oznacza dokument sporządzony przez ITSEF w celu przedstawienia ustaleń, opinii i uzasadnień uzyskanych podczas oceny produktu ICT lub profilu zabezpieczeń zgodnie z zasadami i obowiązkami określonymi w niniejszym rozporządzeniu;
„ITSEF” oznacza jednostkę oceniającą bezpieczeństwo technologii informacyjnych, która jest jednostką oceniającą zgodność w rozumieniu art. 2 pkt 13 rozporządzenia (WE) nr 765/2008, wykonującą zadania związane z oceną;
„poziom AVA_VAN” oznacza poziom analizy podatności uzasadnienia zaufania, który wskazuje stopień działań w zakresie oceny cyberbezpieczeństwa przeprowadzanych w celu określenia poziomu odporności na potencjalne wykorzystanie wad lub słabych stron celu oceny w jego środowisku operacyjnym, jak określono we wspólnych kryteriach;
„certyfikat EUCC” oznacza certyfikat cyberbezpieczeństwa wydany w ramach EUCC w odniesieniu do produktów ICT lub profili zabezpieczeń, które mogą być wykorzystywane wyłącznie w procesie ICT w zakresie certyfikacji produktów ICT;
„produkt złożony” oznacza produkt ICT oceniany wraz z innym bazowym produktem ICT, który otrzymał już certyfikat EUCC i na którego funkcji bezpieczeństwa polega złożony produkt ICT;
„krajowy organ ds. certyfikacji cyberbezpieczeństwa” oznacza organ wyznaczony przez państwo członkowskie zgodnie z art. 58 ust. 1 rozporządzenia (UE) 2019/881;
„jednostka certyfikująca” oznacza jednostkę oceniającą zgodność w rozumieniu art. 2 pkt 13 rozporządzenia (WE) nr 765/2008, która wykonuje działania w zakresie certyfikacji;
„domena techniczna” oznacza wspólne ramy techniczne związane z konkretną technologią na potrzeby zharmonizowanej certyfikacji wraz z zestawem charakterystycznych wymogów bezpieczeństwa;
„dokument odzwierciedlający stan wiedzy” oznacza dokument, który określa metody, techniki i narzędzia oceny mające zastosowanie do certyfikacji produktów ICT, lub wymogi bezpieczeństwa generycznej kategorii produktów ICT, lub jakiekolwiek inne wymogi niezbędne do certyfikacji, w celu harmonizacji oceny, w szczególności w odniesieniu do domen technicznych lub profili zabezpieczeń;
„organ nadzoru rynku” oznacza organ zdefiniowany w art. 3 pkt 4 rozporządzenia (UE) 2019/1020.
Artykuł 3
Normy dotyczące oceny
Do ocen przeprowadzanych w ramach programu EUCC zastosowanie mają następujące normy:
wspólne kryteria;
wspólna metodyka oceny.
Do dnia 31 grudnia 2027 r. certyfikat może być wydawany w ramach programu EUCC z zastosowaniem jednej z następujących norm:
ISO/IEC 15408-1:2009, ISO/IEC 15408-2:2008 lub ISO/IEC 15408-3:2008;
wspólnych kryteriów oceny bezpieczeństwa technologii informacyjnych, wersja 3.1, poprawka 5, opublikowanych przez uczestników porozumienia w sprawie uznawania certyfikatów wspólnych kryteriów w dziedzinie bezpieczeństwa informatycznego;
ISO/IEC 18045:2008;
wspólnej metodyki oceny bezpieczeństwa technologii informacyjnych, wersja 5, poprawka 3.1, opublikowanej przez uczestników porozumienia w sprawie uznawania certyfikatów wspólnych kryteriów w dziedzinie bezpieczeństwa informatycznego;
Certyfikat zgodny z normami, o których mowa w ust. 1, może być również wydawany w ramach programu EUCC potwierdzającego zgodność z profilem zabezpieczeń, w którym zastosowano którąkolwiek z poniższych norm, pod warunkiem że stosowanie takiego profilu zabezpieczeń jest wymagane na mocy rozporządzenia wykonawczego Komisji (UE) 2016/799 ( 1 ), rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 910/2014 ( 2 ) lub decyzji wykonawczej Komisji (UE) 2016/650 ( 3 ):
wspólne kryteria oceny bezpieczeństwa technologii informacyjnych, wersja 3.1, poprawka 1–4, opublikowane przez uczestników porozumienia w sprawie uznawania certyfikatów wspólnych kryteriów w dziedzinie bezpieczeństwa informatycznego;
wspólna metodyka oceny bezpieczeństwa technologii informacyjnych, wersja 3.1, poprawka 1–4, opublikowana przez uczestników porozumienia w sprawie uznawania certyfikatów wspólnych kryteriów w dziedzinie bezpieczeństwa informatycznego;
Artykuł 4
Poziomy uzasadnienia zaufania
Artykuł 5
Metody certyfikacji produktów ICT
Certyfikację produktu ICT przeprowadza się w odniesieniu do jego celu bezpieczeństwa:
określonego przez wnioskodawcę; lub
przez stwierdzenie zgodności z certyfikowanym profilem zabezpieczeń w ramach procesu ICT, w przypadku gdy produkt ICT należy do kategorii produktów ICT objętej tym profilem zabezpieczeń.
Artykuł 6
Ocena zgodności przez stronę pierwszą
Nie zezwala się na ocenę zgodności przez stronę pierwszą w rozumieniu art. 53 rozporządzenia (UE) 2019/881.
ROZDZIAŁ II
CERTYFIKACJA PRODUKTÓW ICT
SEKCJA I
SZCZEGÓŁOWE NORMY I WYMOGI DOTYCZĄCE OCENY
Artykuł 7
Kryteria i metody oceny produktów ICT
Produkt ICT przedłożony do certyfikacji ocenia się co najmniej zgodnie z następującymi zasadami:
mającymi zastosowanie elementami norm, o których mowa w art. 3;
klasami wymogów uzasadnienia zaufania do bezpieczeństwa na potrzeby oceny podatności oraz niezależnych badań funkcjonalnych, jak określono w normach oceny, o których mowa w art. 3;
poziomem ryzyka związanego z przewidzianym stosowaniem danych produktów ICT zgodnie z art. 52 rozporządzenia (UE) 2019/881 oraz ich funkcjami bezpieczeństwa wspierającymi cele bezpieczeństwa określone w art. 51 rozporządzenia (UE) 2019/881;
mającymi zastosowanie dokumentami odzwierciedlającymi stan wiedzy wymienionymi w załączniku I; oraz
mającymi zastosowanie certyfikowanymi profilami zabezpieczeń wymienionymi w załączniku II.
Certyfikacja produktów ICT na poziomie AVA_VAN 4 lub 5 jest możliwa wyłącznie w następujących scenariuszach:
w przypadku gdy produkt ICT jest objęty jakąkolwiek domeną techniczną wymienioną w załączniku I, ocenia się go zgodnie z mającymi zastosowanie dokumentami odzwierciedlającymi stan wiedzy właściwymi dla tych domen,
w przypadku gdy produkt ICT należy do kategorii produktów ICT objętych certyfikowanym profilem zabezpieczeń, który obejmuje poziom AVA_VAN 4 lub 5 i który wymieniono w załączniku II jako profil zabezpieczeń odzwierciedlającymi stan wiedzy, ocenia się go zgodnie z metodyką oceny określoną dla tego profilu zabezpieczeń,
w przypadku gdy lit. a) i b) niniejszego ustępu nie mają zastosowania, a włączenie domeny technicznej do załącznika I lub certyfikowanego profilu zabezpieczeń do załącznika II jest mało prawdopodobne w dającej się przewidzieć przyszłości, oraz wyłącznie w wyjątkowych i należycie uzasadnionych przypadkach, z zastrzeżeniem warunków określonych w ust. 4.
Sekcja II
Wydawanie, odnawianie i cofanie certyfikatów EUCC
Artykuł 8
Informacje niezbędne do certyfikacji i oceny
Wnioskodawcy ubiegający się o certyfikację mogą przedstawić jednostce certyfikującej i ITSEF odpowiednie wyniki oceny z wcześniejszej certyfikacji zgodnie z:
niniejszym rozporządzeniem;
innym europejskim programem certyfikacji cyberbezpieczeństwa przyjętym na podstawie art. 49 rozporządzenia (UE) 2019/881;
programem krajowym, o którym mowa w art. 49 niniejszego rozporządzenia.
Wnioskodawcy ubiegający się o certyfikację przekazują również jednostce certyfikującej i ITSEF następujące informacje:
link do swojej strony internetowej zawierającej dodatkowe informacje na temat cyberbezpieczeństwa, o których mowa w art. 55 rozporządzenia (UE) 2019/881;
opis stosowanych przez wnioskodawcę procedur zarządzania podatnościami i ujawniania podatności.
Artykuł 9
Warunki wydania certyfikatu EUCC
Jednostki certyfikujące wydają certyfikat EUCC, jeżeli spełnione są wszystkie następujące warunki:
kategoria produktu ICT wchodzi w zakres akredytacji, a w stosownych przypadkach zezwolenia, jednostki certyfikującej i ITSEF zaangażowanych w certyfikację;
wnioskodawca ubiegający się o certyfikację podpisał oświadczenie zawierające wszystkie zobowiązania wymienione w ust. 2;
ITSEF zakończyła ocenę bez zastrzeżeń zgodnie z normami, kryteriami i metodami oceny, o których mowa w art. 3 i 7;
jednostka certyfikująca zakończyła przegląd wyników oceny bez zastrzeżeń;
jednostka certyfikująca zweryfikowała, że sprawozdania techniczne z oceny przedstawione przez ITSEF są zgodne z przedstawionymi dowodami oraz że normy, kryteria i metody oceny, o których mowa w art. 3 i 7, zastosowano prawidłowo.
Wnioskodawca ubiegający się o certyfikację zobowiązuje się:
dostarczyć jednostce certyfikującej i ITSEF wszelkie niezbędne kompletne i prawidłowe informacje, a na żądanie dostarczyć dodatkowe niezbędne informacje;
nie promować produktu ICT jako certyfikowanego w ramach EUCC, zanim certyfikat EUCC nie zostanie wydany;
promować produkt ICT jako certyfikowany wyłącznie w odniesieniu do zakresu określonego w certyfikacie EUCC;
natychmiast zaprzestać promowania produktu ICT jako certyfikowanego w przypadku zawieszenia, cofnięcia lub wygaśnięcia certyfikatu EUCC;
zapewnić, aby produkty ICT sprzedawane z odniesieniem do certyfikatu EUCC były ściśle identyczne z produktem ICT poddanym certyfikacji;
przestrzegać zasad używania znaku i etykiety ustanowionych dla certyfikatu EUCC zgodnie z art. 11.
Artykuł 10
Treść i format certyfikatu EUCC
Artykuł 11
Znak i etykieta
Znak i etykieta są określone w załączniku IX i zawierają:
poziom uzasadnienia zaufania i poziom AVA_VAN certyfikowanego produktu ICT;
niepowtarzalny identyfikator certyfikatu, składający się z:
nazwy programu;
nazwy i numeru referencyjnego akredytacji jednostki certyfikującej, która wydała certyfikat;
roku i miesiąca wydania;
numeru identyfikacyjnego przydzielonego przez jednostkę certyfikującą, która wydała certyfikat.
Znakowi i etykiecie towarzyszy kod QR wraz z linkiem do strony internetowej zawierającej co najmniej:
informacje na temat ważności certyfikatu;
niezbędne informacje dotyczące certyfikacji określone w załącznikach V i VII;
informacje, które posiadacz certyfikatu ma udostępniać publicznie zgodnie z art. 55 rozporządzenia (UE) 2019/881; oraz
w stosownych przypadkach – informacje historyczne związane z konkretną certyfikacją lub konkretnymi certyfikacjami produktu ICT w celu umożliwienia identyfikowalności.
Artykuł 12
Okres ważności certyfikatu EUCC
Artykuł 13
Przegląd certyfikatu EUCC
Po uzyskaniu wyników przeglądu oraz, w stosownych przypadkach, ponownej oceny jednostka certyfikująca:
potwierdza certyfikat EUCC;
cofa certyfikat EUCC zgodnie z art. 14;
cofa certyfikat EUCC zgodnie z art. 14 i wydaje nowy certyfikat EUCC o identycznym zakresie i przedłużonym okresie ważności; albo
cofa certyfikat EUCC zgodnie z art. 14 i wydaje nowy certyfikat EUCC o innym zakresie.
Artykuł 14
Cofnięcie certyfikatu EUCC
ROZDZIAŁ III
CERTYFIKACJA PROFILI ZABEZPIECZEŃ
SEKCJA I
SZCZEGÓŁOWE NORMY I WYMOGI DOTYCZĄCE OCENY
Artykuł 15
Kryteria i metody oceny
Profil zabezpieczeń ocenia się co najmniej zgodnie z następującymi zasadami:
mającymi zastosowanie elementami norm, o których mowa w art. 3;
poziomem ryzyka związanego z przewidzianym stosowaniem danych produktów ICT zgodnie z art. 52 rozporządzenia (UE) 2019/881 oraz ich funkcjami bezpieczeństwa wspierającymi cele bezpieczeństwa określone w art. 51 tego rozporządzenia; oraz
mającymi zastosowanie dokumentami odzwierciedlającymi stan wiedzy wymienionymi w załączniku I. Profil zabezpieczeń objęty domeną techniczną certyfikuje się zgodnie z wymogami określonymi w tej domenie technicznej.
SEKCJA II
WYDAWANIE, ODNAWIANIE I COFANIE CERTYFIKATÓW EUCC DLA PROFILI ZABEZPIECZEŃ
Artykuł 16
Informacje niezbędne do certyfikacji i oceny profili zabezpieczeń
Wnioskodawca ubiegający się o certyfikację profilu zabezpieczeń dostarcza lub w inny sposób udostępnia jednostce certyfikującej i ITSEF wszelkie informacje niezbędne do działań w zakresie certyfikacji i oceny w pełnej i prawidłowej formie. Art. 8 ust. 2, 3, 4 i 7 stosuje się odpowiednio.
Artykuł 17
Wydawanie certyfikatów EUCC dla profili zabezpieczeń
▼M1 —————
Profil zabezpieczeń jest certyfikowany wyłącznie przez:
krajowy organ ds. certyfikacji cyberbezpieczeństwa lub inny podmiot publiczny akredytowany jako jednostka certyfikująca; lub
jednostkę certyfikującą, po uprzednim zatwierdzeniu przez krajowy organ ds. certyfikacji cyberbezpieczeństwa w odniesieniu do każdego indywidualnego profilu zabezpieczeń.
Artykuł 18
Okres ważności certyfikatu EUCC dla profili zabezpieczeń
Artykuł 19
Przegląd certyfikatu EUCC dla profili zabezpieczeń
Po uzyskaniu wyników przeglądu oraz, w stosownych przypadkach, ponownej oceny jednostka certyfikująca wykonuje jedną z następujących czynności:
potwierdza certyfikat EUCC;
cofa certyfikat EUCC zgodnie z art. 20;
cofa certyfikat EUCC zgodnie z art. 20 i wydaje nowy certyfikat EUCC o identycznym zakresie i przedłużonym okresie ważności;
cofa certyfikat EUCC zgodnie z art. 20 i wydaje nowy certyfikat EUCC o innym zakresie.
Artykuł 20
Cofnięcie certyfikatu EUCC dla profilu zabezpieczeń
ROZDZIAŁ IV
JEDNOSTKI OCENIAJĄCE ZGODNOŚĆ
Artykuł 20a
Specyfikacja wymagań w zakresie akredytacji jednostek oceniających zgodność
Akredytacja jednostek oceniających zgodność musi uwzględniać specyfikację wymogów dotyczących akredytacji jednostek certyfikujących oraz ITSEF, określonych w mających zastosowanie dokumentach odzwierciedlających aktualny stan wiedzy wymienionych w załączniku I pkt 2.
Artykuł 21
Dodatkowe lub szczególne wymogi obowiązujące jednostkę certyfikującą
Jednostka certyfikująca ma zezwolenie krajowego organu ds. certyfikacji cyberbezpieczeństwa na wydawanie certyfikatów EUCC o poziomie uzasadnienia zaufania „wysoki”, jeżeli oprócz spełnienia wymogów określonych w art. 60 ust. 1 rozporządzenia (UE) 2019/881 i w załączniku do tego rozporządzenia, dotyczących akredytacji jednostek oceniających zgodność, jednostka ta wykaże, że:
dysponuje wiedzą fachową i kompetencjami wymaganymi do podjęcia decyzji w sprawie certyfikacji o poziomie uzasadnienia zaufania „wysoki”;
prowadzi działania w zakresie certyfikacji we współpracy z ITSEF upoważnioną zgodnie z art. 22; oraz
dysponuje niezbędnymi kompetencjami i wprowadziła odpowiednie środki techniczne i operacyjne w celu skutecznej ochrony informacji poufnych i szczególnie chronionych na potrzeby poziomu uzasadnienia zaufania „wysoki”, oprócz wymogów określonych w art. 43.
W swojej ocenie krajowy organ ds. certyfikacji cyberbezpieczeństwa może ponownie wykorzystać wszelkie odpowiednie dowody pochodzące z uprzedniego zezwolenia, lub podobnych działań, udzielonego zgodnie z:
niniejszym rozporządzeniem;
innym europejskim programem certyfikacji cyberbezpieczeństwa przyjętym na podstawie art. 49 rozporządzenia (UE) 2019/881;
programem krajowym, o którym mowa w art. 49 niniejszego rozporządzenia.
Artykuł 22
Dodatkowe lub szczególne wymogi obowiązujące ITSEF
ITSEF ma zezwolenie krajowego organu ds. certyfikacji cyberbezpieczeństwa na przeprowadzanie oceny produktów ICT podlegających certyfikacji na poziomie uzasadnienia zaufania „wysoki”, jeżeli oprócz spełnienia wymogów określonych w art. 60 ust. 1 rozporządzenia (UE) 2019/881 i w załączniku do tego rozporządzenia, dotyczących akredytacji jednostek oceniających zgodność, ITSEF wykaże, że spełnia wszystkie następujące warunki:
dysponuje wiedzą fachową niezbędną do przeprowadzania działań w zakresie oceny w celu określenia odporności na zaawansowane cyberataki przeprowadzane przez podmioty o znacznych umiejętnościach i zasobach;
w odniesieniu do domen technicznych i profili zabezpieczeń, które są częścią procesu ICT dla tych produktów ICT, dysponuje:
wiedzą fachową umożliwiającą przeprowadzenie konkretnych działań w zakresie oceny niezbędnych do metodycznego określenia odporności celu oceny na zaawansowane ataki w jego środowisku operacyjnym, przy założeniu potencjału ataku „umiarkowany” lub „wysoki”, jak określono w normach, o których mowa w art. 3;
kompetencjami technicznymi określonymi w dokumentach odzwierciedlających stan wiedzy wymienionych w załączniku I;
dysponuje niezbędnymi kompetencjami i wprowadziła odpowiednie środki techniczne i operacyjne w celu skutecznej ochrony informacji poufnych i szczególnie chronionych na potrzeby poziomu uzasadnienia zaufania „wysoki”, oprócz wymogów określonych w art. 43.
W swojej ocenie krajowy organ ds. certyfikacji cyberbezpieczeństwa może ponownie wykorzystać wszelkie odpowiednie dowody pochodzące z uprzedniego zezwolenia, lub podobnych działań, udzielonego zgodnie z:
niniejszym rozporządzeniem;
innym europejskim programem certyfikacji cyberbezpieczeństwa przyjętym na podstawie art. 49 rozporządzenia (UE) 2019/881;
programem krajowym, o którym mowa w art. 49 niniejszego rozporządzenia.
▼M1 —————
ROZDZIAŁ V
MONITOROWANIE, NIEZGODNOŚĆ I NIEPRZESTRZEGANIE PRZEPISÓW
SEKCJA I
Monitorowanie zgodności
Artykuł 25
Działania monitorujące prowadzone przez krajowy organ ds. certyfikacji cyberbezpieczeństwa
Bez uszczerbku dla art. 58 ust. 7 rozporządzenia (UE) 2019/881 krajowy organ ds. certyfikacji cyberbezpieczeństwa monitoruje:
wykonywanie przez jednostkę certyfikującą i ITSEF obowiązków spoczywających na nich na podstawie niniejszego rozporządzenia i rozporządzenia (UE) 2019/881;
wykonywanie przez posiadaczy certyfikatu EUCC obowiązków spoczywających na nich na podstawie niniejszego rozporządzenia i rozporządzenia (UE) 2019/881;
zgodność certyfikowanych produktów ICT z wymogami określonymi w EUCC;
uzasadnienie zaufania wyrażone w certyfikacie EUCC dotyczące zmieniającego się krajobrazu zagrożeń.
Krajowy organ ds. certyfikacji cyberbezpieczeństwa wykonuje swoje działania monitorujące w szczególności na podstawie:
informacji pochodzących od jednostek certyfikujących, krajowych jednostek akredytujących i odpowiednich organów nadzoru rynku;
informacji wynikających z kontroli i dochodzeń przeprowadzonych przez siebie lub przez inny organ;
kontroli wyrywkowych przeprowadzanych zgodnie z ust. 3;
otrzymanych skarg.
Krajowy organ ds. certyfikacji cyberbezpieczeństwa wybiera próbę certyfikowanych produktów ICT, które mają zostać poddane kontroli, stosując obiektywne kryteria, w tym:
kategorię produktu;
poziomy uzasadnienia zaufania produktów;
posiadacza certyfikatu;
jednostkę certyfikującą oraz, w stosownych przypadkach, ITSEF będącą podwykonawcą;
wszelkie inne informacje przekazane organowi.
Artykuł 26
Działania monitorujące prowadzone przez jednostkę certyfikującą
Jednostka certyfikująca monitoruje:
wykonywanie przez posiadaczy certyfikatu obowiązków spoczywających na nich na podstawie niniejszego rozporządzenia i rozporządzenia (UE) 2019/881 w odniesieniu do certyfikatu EUCC wydanego przez jednostkę certyfikującą;
zgodność certyfikowanych przez nią produktów ICT z odpowiednimi wymogami bezpieczeństwa;
uzasadnienie zaufania wyrażone w certyfikowanych profilach zabezpieczeń.
Jednostka certyfikująca podejmuje działania monitorujące na podstawie:
informacji dostarczonych na podstawie zobowiązań wnioskodawcy ubiegającego się o certyfikację, o których mowa w art. 9 ust. 2;
informacji wynikających z działań innych właściwych organów nadzoru rynku;
otrzymanych skarg;
informacji o podatnościach, które mogą mieć wpływ na certyfikowane przez nią produkty ICT.
Artykuł 27
Działania monitorujące prowadzone przez posiadacza certyfikatu
Posiadacz certyfikatu EUCC wykonuje następujące zadania w celu monitorowania zgodności certyfikowanego produktu ICT z jego wymogami bezpieczeństwa:
monitoruje informacje o podatnościach w odniesieniu do certyfikowanego produktu ICT, w tym w odniesieniu do znanych zależności, za pomocą własnych środków, ale także z uwzględnieniem:
publikacji lub informacji o podatnościach pochodzących od użytkownika lub eksperta w obszarze bezpieczeństwa, o których mowa w art. 55 ust. 1 lit. c) rozporządzenia (UE) 2019/881;
informacji z jakiegokolwiek innego źródła;
monitoruje uzasadnienie zaufania wyrażone w certyfikacie EUCC.
SEKCJA II
Zgodność i przestrzeganie przepisów
Artykuł 28
Konsekwencje niezgodności certyfikowanego produktu ICT lub profilu zabezpieczeń
Artykuł 29
Konsekwencje nieprzestrzegania przepisów przez posiadacza certyfikatu
Jeżeli jednostka certyfikująca stwierdzi, że:
posiadacz certyfikatu EUCC lub wnioskodawca ubiegający się o certyfikację nie wykonuje swoich zobowiązań i obowiązków określonych w art. 9 ust. 2, art. 17 ust. 2, art. 27 i 41; lub
posiadacz certyfikatu EUCC nie spełnia wymogów art. 56 ust. 8 rozporządzenia (UE) 2019/881 lub rozdziału VI niniejszego rozporządzenia;
wyznacza okres nie dłuższy niż 30 dni, w którym posiadacz certyfikatu EUCC musi podjąć działania zaradcze.
Artykuł 30
Zawieszenie certyfikatu EUCC
Artykuł 31
Konsekwencje nieprzestrzegania przepisów przez jednostkę oceniającą zgodność
W przypadku niewywiązywania się z obowiązków przez jednostkę certyfikującą lub przez odpowiednią jednostkę certyfikującą w razie stwierdzenia niewywiązywania się z obowiązków przez ITSEF krajowy organ ds. certyfikacji cyberbezpieczeństwa bez zbędnej zwłoki:
identyfikuje, przy wsparciu zainteresowanej ITSEF, certyfikaty EUCC, na które może to mieć wpływ;
w razie potrzeby zwraca się o przeprowadzenie działań w zakresie oceny przez ITSEF, który przeprowadził ocenę, albo jakąkolwiek inną akredytowaną i, w stosownych przypadkach, posiadającą zezwolenie ITSEF, która może być w lepszej sytuacji technicznej, aby wesprzeć tę identyfikację, w odniesieniu do co najmniej jednego produktu ICT lub profilu zabezpieczeń;
analizuje skutki nieprzestrzegania przepisów;
powiadamia o nieprzestrzeganiu przepisów posiadacza certyfikatu EUCC, na który ma to wpływ.
Na podstawie środków, o których mowa w ust. 1, jednostka certyfikująca przyjmuje jedną z następujących decyzji w odniesieniu do każdego certyfikatu EUCC, na który ma to wpływ:
utrzymuje certyfikat EUCC w niezmienionej postaci;
cofa certyfikat EUCC zgodnie z art. 14 lub art. 20 i, w stosownych przypadkach, wydaje nowy certyfikat EUCC.
Na podstawie środków, o których mowa w ust. 1, krajowy organ ds. certyfikacji cyberbezpieczeństwa:
w razie potrzeby zgłasza nieprzestrzeganie przepisów przez jednostkę certyfikującą lub powiązaną z nią ITSEF krajowej jednostce akredytującej;
w stosownych przypadkach ocenia potencjalny wpływ na zezwolenie.
ROZDZIAŁ VI
ZARZĄDZANIE PODATNOŚCIAMI I UJAWNIANIE PODATNOŚCI
Artykuł 32
Zakres zarządzania podatnościami
Niniejszy rozdział ma zastosowanie do produktów ICT, w odniesieniu do których wydano certyfikat EUCC.
SEKCJA I
Zarządzanie podatnościami
Artykuł 33
Procedury zarządzania podatnościami
Artykuł 34
Analiza skutków podatności
Artykuł 35
Sprawozdanie z analizy skutków podatności
Sprawozdanie z analizy skutków podatności zawiera ocenę następujących elementów:
skutku podatności dla certyfikowanego produktu ICT;
możliwych zagrożeń związanych z bliskością lub dostępnością ataku;
tego, czy podatności można zaradzić;
w przypadku gdy podatności można zaradzić – możliwych sposobów usunięcia podatności.
Artykuł 36
Zaradzanie podatności
Posiadacz certyfikatu EUCC przedkłada jednostce certyfikującej propozycję odpowiedniego działania zaradczego. Jednostka certyfikująca przeprowadza przegląd certyfikatu zgodnie z art. 13. Zakres tego przeglądu określa się na podstawie propozycji zaradzenia podatności.
SEKCJA II
Ujawnianie podatności
Artykuł 37
Informacje udostępniane krajowemu organowi ds. certyfikacji cyberbezpieczeństwa
Artykuł 38
Współpraca z innymi krajowymi organami ds. certyfikacji cyberbezpieczeństwa
Artykuł 39
Podawanie do wiadomości publicznej informacji o podatności
Po cofnięciu certyfikatu posiadacz certyfikatu EUCC ujawnia i rejestruje wszelkie publicznie znane i wyeliminowane podatności w produkcie ICT w europejskiej bazie danych dotyczących podatności, utworzonej zgodnie z art. 12 dyrektywy Parlamentu Europejskiego i Rady (UE) 2022/2555 ( 4 ), lub w innych repozytoriach internetowych, o których mowa w art. 55 ust. 1 lit. d) rozporządzenia (UE) 2019/881.
ROZDZIAŁ VII
PRZECHOWYWANIE, UJAWNIANIE I OCHRONA INFORMACJI
Artykuł 40
Przechowywanie dokumentów przez jednostki certyfikujące i ITSEF
Artykuł 41
Informacje udostępniane przez posiadacza certyfikatu
Posiadacz certyfikatu EUCC przechowuje w bezpieczny sposób przez okres niezbędny do celów niniejszego rozporządzenia i przez co najmniej 5 lat po cofnięciu odpowiedniego certyfikatu EUCC:
dokumentację informacji przekazanych jednostce certyfikującej i ITSEF w trakcie procesu certyfikacji;
egzemplarz certyfikowanego produktu ICT.
Artykuł 42
Informacje udostępniane przez ENISA
ENISA publikuje na stronie internetowej, o której mowa w art. 50 ust. 1 rozporządzenia (UE) 2019/881, następujące informacje:
wszystkie certyfikaty EUCC;
informacje o statusie certyfikatu EUCC, w szczególności o tym, czy certyfikat ten jest w mocy, został zawieszony, został cofnięty lub wygasł;
sprawozdania z certyfikacji odpowiadające każdemu certyfikatowi EUCC;
wykaz akredytowanych jednostek oceniających zgodność;
wykaz jednostek oceniających zgodność posiadających zezwolenie;
dokumenty odzwierciedlające stan wiedzy wymienione w załączniku I;
opinie Europejskiej Grupy ds. Certyfikacji Cyberbezpieczeństwa, o których mowa w art. 62 ust. 4 lit. c) rozporządzenia (UE) 2019/881;
sprawozdania z wzajemnej oceny wydane zgodnie z art. 47.
Artykuł 43
Ochrona informacji
Jednostki oceniające zgodność, krajowe organy ds. certyfikacji cyberbezpieczeństwa, ECCG, ENISA, Komisja i wszystkie inne strony zapewniają bezpieczeństwo i ochronę tajemnic handlowych i innych informacji poufnych, w tym tajemnic przedsiębiorstwa, a także ochronę praw własności intelektualnej, oraz wprowadzają niezbędne i odpowiednie środki techniczne i organizacyjne.
ROZDZIAŁ VIII
UMOWY O WZAJEMNYM UZNAWANIU Z PAŃSTWAMI TRZECIMI
Artykuł 44
Warunki
Umowy o wzajemnym uznawaniu, o których mowa w ust. 1, można zawierać wyłącznie z państwami trzecimi, które spełniają następujące warunki:
mają organ, który:
jest podmiotem publicznym, niezależnym od podmiotów, które nadzoruje i monitoruje, pod względem struktury organizacyjnej i prawnej, finansowania i podejmowania decyzji;
dysponuje odpowiednimi uprawnieniami w zakresie monitorowania i nadzoru w celu prowadzenia dochodzeń oraz jest uprawniony do wprowadzania odpowiednich środków naprawczych w celu zapewnienia zgodności;
ma system skutecznych, proporcjonalnych i odstraszających kar w celu zapewnienia zgodności;
zgadza się na współpracę z Europejską Grupą ds. Certyfikacji Cyberbezpieczeństwa i ENISA w celu wymiany najlepszych praktyk i informacji na temat odpowiednich zmian w dziedzinie certyfikacji cyberbezpieczeństwa oraz na działanie na rzecz jednolitej interpretacji obecnie mających zastosowanie kryteriów i metod oceny, między innymi przez stosowanie zharmonizowanej dokumentacji równoważnej dokumentom odzwierciedlającym stan wiedzy wymienionym w załączniku I;
mają niezależną jednostkę akredytującą przeprowadzającą akredytacje przy użyciu norm równoważnych normom, o których mowa w rozporządzeniu (WE) nr 765/2008;
zobowiązują się, że procesy i procedury oceny i certyfikacji będą przeprowadzane w sposób należycie profesjonalny, z uwzględnieniem zgodności z normami międzynarodowymi, o których mowa w niniejszym rozporządzeniu, w szczególności w art. 3;
mają zdolność do zgłaszania wcześniej niewykrytych podatności oraz ustanowioną odpowiednią procedurę zarządzania podatnościami i ujawniania podatności;
ustanowiły procedury umożliwiające im skuteczne składanie i rozpatrywanie skarg oraz zapewnienie skarżącemu skutecznego środka ochrony prawnej;
ustanowiły mechanizm współpracy z innymi organami Unii i państw członkowskich istotnymi dla certyfikacji cyberbezpieczeństwa na podstawie niniejszego rozporządzenia, w tym w zakresie wymiany informacji na temat ewentualnej niezgodności certyfikatów, monitorowania odpowiednich zmian w dziedzinie certyfikacji oraz zapewnienia wspólnego podejścia do utrzymywania i przeglądu certyfikacji.
Oprócz warunków określonych w ust. 3 umowę o wzajemnym uznawaniu, o której mowa w ust. 1, obejmującą poziom uzasadnienia zaufania „wysoki” można zawrzeć z państwami trzecimi tylko wtedy, gdy spełnione są również następujące warunki:
państwo trzecie ma niezależny i publiczny organ ds. certyfikacji cyberbezpieczeństwa, który prowadzi lub deleguje działania w zakresie oceny niezbędne do umożliwienia certyfikacji na poziomie uzasadnienia zaufania „wysoki” równoważne wymogom i procedurom określonym dla krajowych organów ds. cyberbezpieczeństwa w niniejszym rozporządzeniu i w rozporządzeniu (UE) 2019/881;
umowa o wzajemnym uznawaniu ustanawia wspólny mechanizm równoważny wzajemnej ocenie na potrzeby certyfikacji EUCC, aby usprawnić wymianę praktyk i wspólnie rozwiązywać problemy w dziedzinie oceny i certyfikacji.
ROZDZIAŁ IX
WZAJEMNA OCENA JEDNOSTEK CERTYFIKUJĄCYCH
Artykuł 45
Procedura wzajemnej oceny
Wzajemna ocena może opierać się na dowodach zgromadzonych w trakcie poprzednich wzajemnych ocen lub równoważnych procedur jednostki certyfikującej poddanej wzajemnej ocenie lub krajowego organu ds. certyfikacji cyberbezpieczeństwa, pod warunkiem że:
wyniki nie są starsze niż 5 lat;
wynikom towarzyszy opis procedur wzajemnej oceny ustanowionych dla tego programu, jeżeli odnoszą się one do wzajemnej oceny przeprowadzonej w ramach innego programu certyfikacji;
w sprawozdaniu z wzajemnej oceny, o którym mowa w art. 47, określa się, które wyniki zostały ponownie wykorzystane z dalszą oceną lub bez takiej oceny.
Artykuł 46
Etapy wzajemnej oceny
Artykuł 47
Sprawozdanie z wzajemnej oceny
Europejska Grupa ds. Certyfikacji Cyberbezpieczeństwa przyjmuje opinię w sprawie sprawozdania z wzajemnej oceny:
w przypadku gdy w sprawozdaniu z wzajemnej oceny nie stwierdza się niezgodności lub gdy jednostka certyfikująca poddana wzajemnej ocenie odpowiednio wyeliminowała niezgodności, Europejska Grupa ds. Certyfikacji Cyberbezpieczeństwa może wydać opinię pozytywną, a wszystkie odpowiednie dokumenty publikuje się na stronie internetowej ENISA poświęconej certyfikacji;
w przypadku gdy jednostka certyfikująca poddana wzajemnej ocenie nie wyeliminuje niezgodności w odpowiedni sposób w wyznaczonym terminie, Europejska Grupa ds. Certyfikacji Cyberbezpieczeństwa może wydać opinię negatywną, którą publikuje się na stronie internetowej ENISA poświęconej certyfikacji, wraz ze sprawozdaniem z wzajemnej oceny i wszystkimi odpowiednimi dokumentami.
ROZDZIAŁ X
UTRZYMANIE PROGRAMU
Artykuł 48
Utrzymanie EUCC
ROZDZIAŁ XI
PRZEPISY KOŃCOWE
Artykuł 49
Programy krajowe objęte EUCC
Artykuł 50
Wejście w życie
Niniejsze rozporządzenie wchodzi w życie dwudziestego dnia po jego opublikowaniu w Dzienniku Urzędowym Unii Europejskiej.
Niniejsze rozporządzenie stosuje się od dnia 27 lutego 2025 r.
Rozdział IV i załącznik V stosuje się od dnia wejścia w życie niniejszego rozporządzenia.
Niniejsze rozporządzenie wiąże w całości i jest bezpośrednio stosowane we wszystkich państwach członkowskich.
ZAŁĄCZNIK I
Dokumenty odzwierciedlające stan wiedzy potwierdzające domeny techniczne i inne dokumenty odzwierciedlające stan wiedzy
1. Dokumenty odzwierciedlające stan wiedzy potwierdzające domeny techniczne na poziomie AVA_VAN 4 lub 5:
następujące dokumenty dotyczące zharmonizowanej oceny domeny technicznej „karty elektroniczne i podobne urządzenia”:
„Minimum ITSEF requirements for security evaluations of smart cards and similar devices” [„Minimalne wymogi ITSEF dotyczące oceny bezpieczeństwa kart elektronicznych i podobnych urządzeń”], wersja 1.1;
„Minimum Site Security Requirements” [„Minimalne wymogi bezpieczeństwa obiektu”], wersja 1.1;
„Application of Common Criteria to integrated circuits” [„Zastosowanie wspólnych kryteriów do układów scalonych”], wersja 1.1;
„Security Architecture requirements (ADV_ARC) for smart cards and similar devices” [„Wymogi architektury bezpieczeństwa (ADV_ARC) dotyczące kart elektronicznych i podobnych urządzeń”], wersja 1.1;
„Certification of »open« smart card products” [„Certyfikacja »otwartych« produktów kart elektronicznych”], wersja 1.1;
„Composite product evaluation for smart cards and similar devices” [„Ocena produktu złożonego w przypadku kart elektronicznych i podobnych urządzeń”], wersja 1.1;
„Application of Attack Potential to Smartcards and Similar Devices” [„Zastosowanie potencjału ataku do kart elektronicznych i podobnych urządzeń”], wersja 1.2.
następujące dokumenty dotyczące zharmonizowanej oceny domeny technicznej „urządzenia sprzętowe ze skrzynkami bezpieczeństwa”:
„Minimum ITSEF requirements for security evaluations of smart cards and similar devices” [„Minimalne wymogi ITSEF dotyczące oceny bezpieczeństwa urządzeń sprzętowych ze skrzynkami bezpieczeństwa”], wersja 1.1;
„Minimum Site Security Requirements” [„Minimalne wymogi bezpieczeństwa obiektu”], wersja 1.1;
„Application of Attack Potential to hardware devices with security boxes” [„Zastosowanie potencjału ataku do urządzeń sprzętowych ze skrzynkami bezpieczeństwa”], wersja 1.2.
2. Dokumenty odzwierciedlające stan wiedzy związane ze zharmonizowaną akredytacją jednostek oceniających zgodność:
„Accreditation of ITSEFs for the EUCC” [„Akredytacja ITSEF dla EUCC”], wersja 1.1 w odniesieniu do akredytacji wydanych przed dniem 8 lipca 2025 r.;
„Accreditation of ITSEFs for the EUCC” [„Akredytacja ITSEF dla EUCC”], wersja 1.6c w odniesieniu do nowo wydanych akredytacji lub akredytacji poddanych przeglądowi po dniu 8 lipca 2025 r.;
„Accreditation of CBs for the EUCC” [„Akredytacja jednostek certyfikujących dla EUCC”], wersja 1.6b.
ZAŁĄCZNIK II
Profile zabezpieczeń certyfikowane na poziomie AVA_VAN 4 lub 5
1. W przypadku kategorii kwalifikowanych urządzeń do składania podpisu i pieczęci na odległość:
EN 419241-2:2019 – Wiarygodne systemy serwerów obsługujących podpisy – Część 2: Profil zabezpieczeń dla QSCD dla serwerów obsługujących podpisy;
EN 419221-5: 2018 – Profile zabezpieczeń dla modułów kryptograficznych TSP – Część 5: moduł kryptograficzny dla usług zaufania;
2. Profile zabezpieczeń, które przyjęto jako dokumenty odzwierciedlające stan wiedzy:
[BRAK]
ZAŁĄCZNIK III
Zalecane profile zabezpieczeń (ilustrujące domeny techniczne z załącznika I)
Profile zabezpieczeń stosowane w certyfikacji produktów ICT należących do niżej wymienionych kategorii produktów ICT:
w przypadku kategorii dokumentów podróży odczytywanych maszynowo:
profil zabezpieczeń dokumentu podróży odczytywanego maszynowo z wykorzystaniem standardowej procedury inspekcji z protokołem PACE, BSI-CC-PP-0068-V2-2011-MA-01;
profil zabezpieczeń dokumentu podróży odczytywanego maszynowo z rozszerzoną kontrolą dostępu „aplikacji ICAO”, BSI-CC-PP-0056-2009;
profil zabezpieczeń dokumentu podróży odczytywanego maszynowo z rozszerzoną kontrolą dostępu „aplikacji ICAO” z protokołem PACE, BSI-CC-PP-0056-V2-2012-MA-02;
profil zabezpieczeń dokumentu podróży odczytywanego maszynowo z podstawową kontrolą dostępu „aplikacji ICAO”, BSI-CC-PP-0055-2009;
w przypadku kategorii urządzeń do składania podpisu elektronicznego:
EN 419211-1: 2014 – Profile zabezpieczeń dla bezpiecznego urządzenia do składania podpisu – Część 1: Przegląd
EN 419211-2:2013 – Profile zabezpieczeń dla bezpiecznego urządzenia do składania podpisu – Część 2: Urządzenie z generowaniem kluczy;
EN 419211-3:2013 – Profile zabezpieczeń dla bezpiecznego urządzenia do składania podpisu – Część 3: Urządzenie z importem kluczy;
EN 419211-4:2013 – Profile zabezpieczeń dla bezpiecznego urządzenia do składania podpisu – Część 4: Rozszerzenie dla urządzenia z generowaniem kluczy i zaufanym kanałem z aplikacją generującą certyfikaty
EN 419211-5:2013 – Profile zabezpieczeń dla bezpiecznego urządzenia do składania podpisu – Część 5: Rozszerzenie dla urządzenia z generowaniem kluczy i zaufanym kanałem z aplikacją do składania podpisu;
EN 419211-6:2014 – Profile zabezpieczeń dla bezpiecznego urządzenia do składania podpisu – Część 6: Rozszerzenie dla urządzenia z importem kluczy i zaufanym kanałem z aplikacją do składania podpisu;
w przypadku kategorii tachografów cyfrowych:
tachograf cyfrowy – karta do tachografu, o której mowa w rozporządzeniu wykonawczym Komisji (UE) 2016/799 z dnia 18 marca 2016 r. w sprawie wykonania rozporządzenia (UE) nr 165/2014 (załącznik I C);
tachograf cyfrowy – przyrząd rejestrujący, o którym mowa w załączniku I B do rozporządzenia Komisji (WE) nr 1360/2002, przeznaczony do instalowania w pojazdach transportu drogowego;
tachograf cyfrowy – urządzenie zewnętrzne GNSS (profil zabezpieczeń EGF), o którym mowa w załączniku I C do rozporządzenia wykonawczego Komisji (UE) 2016/799 z dnia 18 marca 2016 r. w sprawie wykonania rozporządzenia (UE) Parlamentu Europejskiego i Rady nr 165/2014;
tachograf cyfrowy – czujnik ruchu (profil zabezpieczeń czujnika ruchu), o którym mowa w załączniku I C do rozporządzenia wykonawczego Komisji (UE) 2016/799 z dnia 18 marca 2016 r. w sprawie wykonania rozporządzenia (UE) Parlamentu Europejskiego i Rady nr 165/2014;
w przypadku kategorii układów scalonych, kart elektronicznych i powiązanych urządzeń:
profil zabezpieczeń platformy bezpieczeństwa układów scalonych, BSI-CC-PP-0084-2014;
Java Card System – otwarta konfiguracja, V3.0.5 BSI-CC-PP-0099-2017;
Java Card System – zamknięta konfiguracja, BSI-CC-PP-0101-2017;
profil zabezpieczeń dla modułu zaufanej platformy dla komputerów PC rodziny 2.0, poziom 0, wersja 1.16, ANSSI-CC-PP-2015/07;
uniwersalna karta SIM, PU-2009-RT-79, ANSSI-CC-PP-2010/04;
wbudowana uniwersalna karta z układem scalonym (eUICC) do urządzeń komunikacji maszyna–maszyna, BSI-CC-PP-0089-2015;
w przypadku kategorii punktów interakcji (płatności) i terminali płatniczych:
punkt interakcji „POI-CHIP-ONLY”, ANSSI-CC-PP-2015/01;
punkt interakcji „POI-CHIP-ONLY and Open Protocol Package”, ANSSI-CC-PP-2015/02;
punkt interakcji „POI-COMPREHENSIVE”, ANSSI-CC-PP-2015/03;
punkt interakcji „POI-COMPREHENSIVE and Open Protocol Package”, ANSSI-CC-PP-2015/04;
punkt interakcji „POI-PED-ONLY”, ANSSI-CC-PP-2015/05;
punkt interakcji „POI-PED-ONLY and Open Protocol Package”, ANSSI-CC-PP-2015/06;
w przypadku kategorii urządzeń sprzętowych ze skrzynkami bezpieczeństwa:
moduł kryptograficzny dla dostawcy kryptograficznych usług operacji podpisu z kopią zapasową – PP CMCSOB, PP HSM CMCSOB 14167-2, ANSSI-CC-PP-2015/08;
moduł kryptograficzny dla dostawcy kryptograficznych usług generowania klucza – PP CMCKG, PP HSM CMCKG 14167-3, ANSSI-CC-PP-2015/09;
moduł kryptograficzny dla dostawcy kryptograficznych usług operacji podpisu bez kopii zapasowej – PP CMCSO, PP HSM CMCKG 14167-4, ANSSI-CC-PP-2015/10.
ZAŁĄCZNIK IV
Ciągłość uzasadnienia zaufania i przegląd certyfikatów
IV.1 Ciągłość uzasadnienia zaufania: zakres
1. Następujące wymogi dotyczące uzasadnienia zaufania mają zastosowanie do działań w zakresie utrzymania związanych z:
ponowną oceną, czy niezmieniony certyfikowany produkt ICT nadal spełnia wymogi bezpieczeństwa,
oceną skutków zmian w certyfikowanym produkcie ICT dla jego certyfikacji;
jeżeli uwzględniono w certyfikacie – stosowaniem poprawek zgodnie z ocenionym procesem zarządzania poprawkami;
jeżeli uwzględniono – przeglądem procesów zarządzania cyklem życia lub produkcji posiadacza certyfikatu.
2. Posiadacz certyfikatu EUCC może wystąpić o przegląd certyfikatu w następujących przypadkach:
certyfikat EUCC wygaśnie w ciągu dziewięciu miesięcy;
w certyfikowanym produkcie ICT albo w innym czynniku nastąpiła zmiana, która może mieć wpływ na jego funkcje bezpieczeństwa;
posiadacz certyfikatu domaga się ponownego przeprowadzenia oceny podatności w celu ponownego potwierdzenia uzasadnienia zaufania certyfikatu EUCC związanego z odpornością produktu ICT na obecne cyberataki.
IV.2 Ponowna ocena
1. W przypadku gdy zachodzi potrzeba oceny skutków zmian w środowisku zagrożeń niezmienionego certyfikowanego produktu ICT, jednostce certyfikującej przedkłada się wniosek o ponowną ocenę.
2. Ponowną ocenę przeprowadza ta sama ITSEF, która była zaangażowana w poprzednią ocenę, z ponownym wykorzystaniem wszystkich jej wyników, które nadal mają zastosowanie. Ocena skupia się na działaniach w zakresie uzasadnienia zaufania, na które może mieć wpływ zmienione środowisko zagrożeń certyfikowanego produktu ICT, w szczególności na odpowiedniej rodzinie AVA_VAN, a ponadto na rodzinie cyklu życia uzasadnienia zaufania (ALC), w ramach której ponownie gromadzi się wystarczające dowody na utrzymanie środowiska rozwojowego.
3. ITSEF opisuje zmiany i szczegółowo przedstawia wyniki ponownej oceny wraz z aktualizacją poprzedniego sprawozdania technicznego z oceny.
4. Jednostka certyfikująca dokonuje przeglądu zaktualizowanego sprawozdania technicznego z oceny i sporządza sprawozdanie z ponownej oceny. Status pierwotnego certyfikatu zostaje następnie zmieniony zgodnie z art. 13.
5. Sprawozdanie z ponownej oceny i zaktualizowany certyfikat przekazuje się krajowemu organowi ds. certyfikacji cyberbezpieczeństwa i ENISA do publikacji na jej stronie internetowej poświęconej certyfikacji cyberbezpieczeństwa.
IV.3 Zmiany w certyfikowanym produkcie ICT
1. W przypadku gdy certyfikowany produkt ICT został zmieniony, posiadacz certyfikatu, który chce utrzymać certyfikat, przedkłada jednostce certyfikującej sprawozdanie z analizy skutków.
2. Sprawozdanie z analizy skutków zawiera następujące elementy:
wprowadzenie zawierające informacje niezbędne do wskazania sprawozdania z analizy skutków oraz celu oceny podlegającego zmianom;
opis zmian w produkcie;
wskazanie dowodów twórcy, na które zmiany mają wpływ;
opis modyfikacji dowodów twórcy;
ustalenia i wnioski dotyczące skutków każdej zmiany dla uzasadnienia zaufania.
3. Jednostka certyfikująca bada zmiany opisane w sprawozdaniu z analizy skutków w celu potwierdzenia ich skutków dla uzasadnienia zaufania w odniesieniu do certyfikowanego celu oceny, jak zaproponowano we wnioskach ze sprawozdania z analizy skutków.
4. Po przeprowadzeniu badania jednostka certyfikująca określa skalę zmiany jako nieistotną lub istotną w zależności od jej skutków.
5. W przypadku gdy jednostka certyfikująca potwierdziła, że zmiany są nieistotne, wydaje się nowy certyfikat dla zmienionego produktu ICT oraz sporządza się sprawozdanie z utrzymania dotyczące pierwotnego sprawozdania z certyfikacji, na następujących warunkach:
sprawozdanie z utrzymania ujmuje się jako podzbiór sprawozdania z analizy skutków, zawierający następujące sekcje:
wprowadzenie;
opis zmian;
dowody twórcy, na które zmiany mają wpływ;
data ważności nowego certyfikatu nie może przekraczać daty pierwotnego certyfikatu.
6. Nowy certyfikat zawierający sprawozdanie z utrzymania przekazuje się ENISA do publikacji na jej stronie internetowej poświęconej certyfikacji cyberbezpieczeństwa.
7. W przypadku potwierdzenia, że zmiany są istotne, przeprowadza się ponowną ocenę w kontekście poprzedniej oceny i z ponownym wykorzystaniem wszelkich wyników poprzedniej oceny, które nadal mają zastosowanie.
8. Po zakończeniu oceny zmienionego celu oceny ITSEF sporządza nowe sprawozdanie techniczne z oceny. Jednostka certyfikująca dokonuje przeglądu zaktualizowanego sprawozdania technicznego z oceny i, w stosownych przypadkach, wydaje nowy certyfikat wraz z nowym sprawozdaniem z certyfikacji.
9. Nowy certyfikat i sprawozdanie z certyfikacji przekazuje się ENISA do publikacji.
IV.4 Zarządzanie poprawkami
1. Procedura zarządzania poprawkami przewiduje ustrukturyzowany proces aktualizacji certyfikowanego produktu ICT. Procedurę zarządzania poprawkami, w tym mechanizm wprowadzony w produkcie ICT przez wnioskodawcę ubiegającego się o certyfikację, można stosować po certyfikacji produktu ICT na odpowiedzialność jednostki oceniającej zgodność.
2. Wnioskodawca ubiegający się o certyfikację może włączyć do certyfikacji produktu ICT mechanizm poprawek jako część certyfikowanej procedury zarządzania wprowadzonej w produkcie ICT pod jednym z następujących warunków:
funkcje, na które poprawka ma wpływ, znajdują się poza celem oceny certyfikowanego produktu ICT;
poprawka odnosi się do wcześniej określonej nieistotnej zmiany certyfikowanego produktu ICT;
poprawka dotyczy potwierdzonej podatności mającej krytyczny wpływ na bezpieczeństwo certyfikowanego produktu ICT.
3. Jeżeli poprawka dotyczy istotnej zmiany celu oceny certyfikowanego produktu ICT w odniesieniu do wcześniej niewykrytej podatności, która nie ma krytycznego wpływu na bezpieczeństwo produktu ICT, zastosowanie mają przepisy art. 13.
4. Procedura zarządzania poprawkami do produktu ICT będzie składała się z następujących elementów:
procesu opracowania i publikacji poprawek dla produktu ICT;
mechanizmu technicznego i funkcji służących do wprowadzenia poprawek do produktu ICT;
zestawu działań w zakresie oceny związanych ze skutecznością i działaniem mechanizmu technicznego.
5. Podczas certyfikacji produktu ICT:
wnioskodawca ubiegający się o certyfikację produktu ICT przedstawia opis procedury zarządzania poprawkami;
ITSEF weryfikuje następujące elementy:
czy twórca wdrożył mechanizmy poprawek w produkcie ICT zgodnie z procedurą zarządzania poprawkami, którą przedłożono do certyfikacji;
czy granice celu oceny są rozdzielone w taki sposób, by zmiany wprowadzone w rozdzielonych procesach nie miały wpływu na bezpieczeństwo celu oceny;
czy techniczny mechanizm poprawek działa zgodnie z przepisami niniejszej sekcji i twierdzeniami wnioskodawcy;
jednostka certyfikująca uwzględnia w sprawozdaniu z certyfikacji wynik ocenionej procedury zarządzania poprawkami.
6. Posiadacz certyfikatu może przystąpić do stosowania opracowanej poprawki zgodnie z certyfikowaną procedurą zarządzania poprawkami do danego certyfikowanego produktu ICT i w ciągu pięciu dni roboczych podejmuje następujące kroki w następujących przypadkach:
w przypadku, o którym mowa w pkt 2 lit. a), zgłasza daną poprawkę jednostce certyfikującej, która nie zmienia odpowiedniego certyfikatu EUCC;
w przypadku, o którym mowa w pkt 2 lit. b), przedkłada daną poprawkę ITSEF do przeglądu. ITSEF informuje jednostkę certyfikującą po otrzymaniu poprawki, po czym jednostka certyfikująca podejmuje odpowiednie działanie w celu wydania nowej wersji odpowiedniego certyfikatu EUCC i aktualizacji sprawozdania z certyfikacji;
w przypadku, o którym mowa w pkt 2 lit. c), przedkłada daną poprawkę ITSEF w celu dokonania koniecznej ponownej oceny, ale równolegle może udostępnić poprawkę. ITSEF informuje o tym jednostkę certyfikującą, po czym jednostka certyfikująca rozpoczyna powiązane działania związane z certyfikacją.
ZAŁĄCZNIK V
Treść sprawozdania z certyfikacji
V.1 Sprawozdanie z certyfikacji
1. Na podstawie sprawozdań technicznych z oceny przedstawionych przez ITSEF jednostka certyfikująca sporządza sprawozdanie z certyfikacji, które ma być opublikowane wraz z odpowiednim certyfikatem EUCC.
2. Sprawozdanie z certyfikacji jest źródłem szczegółowych i praktycznych informacji na temat produktu ICT lub kategorii produktów ICT oraz na temat bezpiecznego wdrożenia produktu ICT, a zatem musi zawierać wszystkie publicznie dostępne i możliwe do udostępnienia informacje istotne dla użytkowników i zainteresowanych stron. W sprawozdaniu z certyfikacji można przywoływać publicznie dostępne i możliwe do udostępnienia informacje.
3. Sprawozdanie z certyfikacji zawiera co najmniej następujące sekcje:
streszczenie;
identyfikację produktu ICT lub kategorii produktów ICT w odniesieniu do profili zabezpieczeń;
usługi w zakresie bezpieczeństwa;
założenia i sprecyzowanie zakresu;
informacje dotyczące architektury;
w stosownych przypadkach – dodatkowe informacje na temat cyberbezpieczeństwa;
badanie produktów ICT, jeżeli zostało przeprowadzone;
w stosownych przypadkach – dane identyfikacyjne procesów zarządzania cyklem życia oraz obiektów produkcyjnych posiadacza certyfikatu;
wyniki oceny i informacje dotyczące certyfikatu;
podsumowanie celu bezpieczeństwa produktu ICT przedłożonego do certyfikacji;
znak lub etykietę związane z programem, o ile są dostępne;
bibliografię.
4. Streszczenie jest krótkim streszczeniem całego sprawozdania z certyfikacji. Streszczenie zawiera jasny i zwięzły przegląd wyników oceny oraz następujące informacje:
nazwę ocenionego produktu ICT, wyliczenie komponentów produktu stanowiących część oceny, oraz wersję produktu ICT;
nazwę ITSEF, która przeprowadziła ocenę, oraz, w stosownych przypadkach, wykaz podwykonawców;
datę zakończenia oceny;
odniesienie do sprawozdania technicznego z oceny sporządzonego przez ITSEF;
krótki opis wyników sprawozdania z certyfikacji, w tym:
wersję i, w stosownych przypadkach, wydanie wspólnych kryteriów zastosowanych do oceny;
pakiet dotyczący uzasadnienia zaufania zawarty we wspólnych kryteriach i komponenty uzasadnienia zaufania do bezpieczeństwa, w tym poziom AVA_VAN stosowany podczas oceny oraz odpowiadający mu poziom uzasadnienia zaufania określony w art. 52 rozporządzenia (UE) 2019/881, do którego to poziomu odnosi się certyfikat EUCC;
funkcje bezpieczeństwa ocenionego produktu ICT;
podsumowanie zagrożeń i organizacyjnej polityki bezpieczeństwa, do których odnosi się oceniony produkt ICT;
specjalne wymogi dotyczące konfiguracji;
założenia dotyczące środowiska operacyjnego;
w stosownych przypadkach – obecność zatwierdzonej procedury zarządzania poprawkami zgodnie z sekcją IV.4 załącznika IV;
zastrzeżenia prawne.
5. Oceniony produkt ICT musi być jasno wskazany, łącznie z następującymi informacjami:
nazwą ocenionego produktu ICT;
wyliczeniem komponentów produktu ICT stanowiących część oceny;
numerem wersji komponentów produktu ICT;
określeniem dodatkowych wymogów środowiska operacyjnego certyfikowanego produktu ICT;
imieniem i nazwiskiem lub nazwą oraz danymi kontaktowymi posiadacza certyfikatu EUCC;
w stosownych przypadkach – procedurą zarządzania poprawkami ujętą w certyfikacie;
linkiem do strony internetowej posiadacza certyfikatu EUCC, która zawiera dodatkowe informacje na temat cyberbezpieczeństwa certyfikowanego produktu ICT zgodnie z art. 55 rozporządzenia (UE) 2019/881.
6. Informacje zawarte w tej sekcji muszą być możliwie dokładne, aby zapewnić pełne i dokładne przedstawienie produktu ICT, które można będzie ponownie wykorzystać w przyszłych ocenach.
7. Sekcja dotycząca polityki bezpieczeństwa zawiera opis polityki bezpieczeństwa produktu ICT oraz polityk lub zasad, których egzekwowaniu oceniony produkt ICT ma służyć lub z którymi musi być zgodny. Sekcja ta zawiera odniesienie do następujących polityk i ich opis:
polityki postępowania posiadacza certyfikatu w przypadku wykrycia podatności;
polityki ciągłości uzasadnienia zaufania posiadacza certyfikatu.
8. W stosownych przypadkach polityka może obejmować warunki związane ze stosowaniem procedury zarządzania poprawkami w okresie ważności certyfikatu.
9. Sekcja dotycząca założeń i sprecyzowanie zakresu zawiera wyczerpujące informacje dotyczące okoliczności i celów związanych z przewidzianym stosowaniem produktu, o którym to stosowaniu mowa w art. 7 ust. 1 lit. c). Informacje te obejmują:
założenia dotyczące stosowania i wdrażania produktu ICT w formie minimalnych wymogów, takich jak spełnienie wymogów dotyczących właściwej instalacji i konfiguracji oraz wymogów sprzętowych;
założenia dotyczące środowiska w odniesieniu do zgodnego z wymogami funkcjonowania produktu ICT.
10. Informacje wymienione w pkt 9 muszą być jak najbardziej zrozumiałe, aby umożliwić użytkownikom certyfikowanego produktu ICT podejmowanie świadomych decyzji dotyczących ryzyka związanego z jego stosowaniem.
11. Sekcja informacji dotyczących architektury zawiera szczegółowy opis produktu ICT i jego głównych komponentów zgodnie z projektem podsystemów ADV_TDS w ramach wspólnych kryteriów.
12. Pełny wykaz dodatkowych informacji na temat cyberbezpieczeństwa produktu ICT przedstawia się zgodnie z art. 55 rozporządzenia (UE) 2019/881. Całą odpowiednią dokumentację należy oznaczyć numerami wersji.
13. Sekcja dotycząca badania produktu ICT zawiera następujące informacje:
nazwę i punkt kontaktowy organu lub jednostki, które wydały certyfikat, w tym odpowiedzialnego krajowego organu ds. certyfikacji cyberbezpieczeństwa;
nazwę ITSEF, która przeprowadziła ocenę, jeżeli nie jest to jednostka certyfikująca;
wskazanie wykorzystanych komponentów uzasadnienia zaufania pochodzących z norm, o których mowa w art. 3;
wersję dokumentu odzwierciedlającego stan wiedzy i dalsze kryteria oceny bezpieczeństwa zastosowane w ocenie;
kompletne i precyzyjne ustawienia i konfigurację produktu ICT podczas oceny, w tym uwagi operacyjne i obserwacje, jeżeli są dostępne;
wszelkie zastosowane profile zabezpieczeń, w tym następujące informacje:
autor profilu zabezpieczeń;
nazwa i identyfikator profilu zabezpieczeń;
identyfikator certyfikatu profilu zabezpieczeń;
nazwa i dane kontaktowe jednostki certyfikującej i ITSEF zaangażowanych w ocenę profilu zabezpieczeń;
pakiety dotyczące uzasadnienia zaufania wymagane w przypadku produktu zgodnego z profilem zabezpieczeń.
14. W sekcji zawierającej wyniki oceny i informacje dotyczące certyfikatu znajdują się następujące informacje:
potwierdzenie osiągniętego poziomu uzasadnienia zaufania, o którym mowa w art. 4 niniejszego rozporządzenia oraz w art. 52 rozporządzenia (UE) 2019/881;
wymogi dotyczące uzasadnienia zaufania wynikające z norm, o których mowa w art. 3, faktycznie spełniane przez produkt ICT lub profil zabezpieczeń, w tym poziom AVA_VAN;
szczegółowy opis wymogów dotyczących uzasadnienia zaufania, jak również szczegółowe informacje na temat sposobu, w jaki produkt spełnia każdy z tych wymogów;
data wydania i okres ważności certyfikatu;
niepowtarzalny identyfikator certyfikatu.
15. Cel bezpieczeństwa ujmuje się w sprawozdaniu z certyfikacji lub przywołuje i streszcza w sprawozdaniu z certyfikacji i podaje wraz z powiązanym z nim sprawozdaniem z certyfikacji do celów publikacji.
16. Cel bezpieczeństwa można poddać sanityzacji zgodnie z sekcją VI.2.
17. Znak lub etykieta związane z EUCC można umieścić w sprawozdaniu z certyfikacji zgodnie z zasadami i procedurami określonymi w art. 11.
18. Sekcja poświęcona bibliografii zawiera odniesienia do wszystkich dokumentów wykorzystanych przy sporządzaniu sprawozdania z certyfikacji. Informacje te obejmują co najmniej następujące elementy:
kryteria oceny bezpieczeństwa, dokumenty odzwierciedlające stan wiedzy i inne wykorzystane odpowiednie specyfikacje oraz ich wersję;
sprawozdanie techniczne z oceny;
w stosownych przypadkach – sprawozdanie techniczne z oceny na potrzeby oceny złożonej;
referencyjną dokumentację techniczną;
dokumentację twórcy wykorzystaną w procesie oceny.
19. Aby zagwarantować odtwarzalność oceny, cała przywołana dokumentacja musi być jednoznacznie zidentyfikowana za pomocą właściwej daty wydania i właściwego numeru wersji.
V.2 Sanityzacja celu bezpieczeństwa na potrzeby publikacji
1. Cel bezpieczeństwa, który ujmuje lub przywołuje się w sprawozdaniu z certyfikacji zgodnie z sekcją VI.1 pkt 1, można poddać sanityzacji przez usunięcie lub sparafrazowanie zastrzeżonych informacji technicznych.
2. Otrzymany w ten sposób cel bezpieczeństwa poddany sanityzacji musi być rzeczywistym odzwierciedleniem jego pełnej wersji oryginalnej. Oznacza to, że w celu bezpieczeństwa poddanym sanityzacji nie można pomijać informacji, które są niezbędne do zrozumienia cech bezpieczeństwa celu oceny i zakresu oceny.
3. Treść celu bezpieczeństwa poddanego sanityzacji musi być zgodna z następującymi wymogami minimalnymi:
jego wprowadzenia nie można poddać sanityzacji, ponieważ nie zawiera ono zasadniczo żadnych informacji zastrzeżonych;
cel bezpieczeństwa poddany sanityzacji musi posiadać niepowtarzalny identyfikator, który różni się od identyfikatora jego pełnej wersji oryginalnej;
opis celu oceny można ograniczyć, ponieważ może zawierać on zastrzeżone i szczegółowe informacje na temat projektu celu oceny, które nie powinny być publikowane;
nie można ograniczyć opisu środowiska bezpieczeństwa celu oceny (założeń, zagrożeń, organizacyjnej polityki bezpieczeństwa), o ile informacje te są niezbędne do zrozumienia zakresu oceny;
nie można ograniczyć opisu celów bezpieczeństwa, ponieważ wszystkie informacje mają być podane do wiadomości publicznej na potrzeby zrozumienia intencji celu bezpieczeństwa i celu oceny;
wszystkie wymogi bezpieczeństwa podaje się do wiadomości publicznej. Uwagi dotyczące stosowania mogą zawierać informacje na temat sposobu, w jaki wymogi funkcjonalne wspólnych kryteriów, o których mowa w art. 3, wykorzystano do zrozumienia celu bezpieczeństwa;
streszczenie specyfikacji celu oceny obejmuje wszystkie funkcje bezpieczeństwa celu oceny, ale dodatkowe informacje zastrzeżone można poddać sanityzacji;
podaje się odniesienia do profili zabezpieczeń zastosowanych wobec celu oceny;
uzasadnienie można poddać sanityzacji w celu usunięcia informacji zastrzeżonych.
4. Nawet jeżeli cel bezpieczeństwa poddany sanityzacji nie jest formalnie oceniony zgodnie z normami oceny, o których mowa w art. 3, jednostka certyfikująca zapewnia jego zgodność z pełnym i ocenionym celem bezpieczeństwa oraz przywołuje w sprawozdaniu z certyfikacji zarówno pełny, jak i poddany sanityzacji cel ochrony.
ZAŁĄCZNIK VI
Zakres wzajemnej oceny i skład zespołu na potrzeby wzajemnych ocen
VI.1 Zakres wzajemnej oceny
1. Uwzględnia się następujące typy wzajemnych ocen:
typ 1: gdy jednostka certyfikująca wykonuje działania w zakresie certyfikacji na poziomie AVA_VAN.3;
typ 2: gdy jednostka certyfikująca wykonuje działania w zakresie certyfikacji związane z domeną techniczną wymienioną w załączniku I jako dokumenty odzwierciedlające stan wiedzy;
typ 3: gdy jednostka certyfikująca wykonuje działania w zakresie certyfikacji powyżej poziomu AVA_VAN.3 z wykorzystaniem profilu zabezpieczeń wymienionego w załączniku II lub III jako dokumenty odzwierciedlające stan wiedzy.
2. Jednostka certyfikująca poddana wzajemnej ocenie przedkłada wykaz certyfikowanych produktów ICT, które mogą być kandydatami do przeprowadzenia przeglądu przez zespół ds. wzajemnej oceny, zgodnie z następującymi zasadami:
produkty będące kandydatami obejmują zakres techniczny zezwolenia jednostki certyfikującej, z czego oceny co najmniej dwóch różnych produktów o poziomie uzasadnienia zaufania „wysoki” zostaną poddane analizie w ramach wzajemnej oceny, oraz jeden profil zabezpieczeń, jeżeli jednostka certyfikująca wydała certyfikat o poziomie uzasadnienia zaufania „wysoki”;
w przypadku wzajemnej oceny typu 2 jednostka certyfikująca przedkłada co najmniej jeden produkt dla każdej domeny technicznej i dla każdej zainteresowanej ITSEF;
w przypadku wzajemnej oceny typu 3 co najmniej jeden produkt będący kandydatem ocenia się zgodnie z mającymi zastosowanie i odpowiednimi profilami zabezpieczeń.
VI.2 Zespół ds. wzajemnej oceny
1. Zespół ds. oceny składa się z co najmniej dwóch ekspertów wybranych z różnych jednostek certyfikujących z różnych państw członkowskich, które to jednostki wydają certyfikaty o poziomie uzasadnienia zaufania „wysoki”. Eksperci powinni wykazać się odpowiednią wiedzą fachową w zakresie norm, o których mowa w art. 3, oraz dokumentów odzwierciedlających stan wiedzy wchodzących w zakres wzajemnej oceny.
2. W przypadku powierzenia zadania polegającego na wydawaniu certyfikatów lub uprzednim zatwierdzaniu certyfikatów, o czym mowa w art. 56 ust. 6 rozporządzenia (UE) 2019/881, w zespole ekspertów wybranych zgodnie z pkt 1 niniejszej sekcji ponadto uczestniczy ekspert z krajowego organu ds. certyfikacji cyberbezpieczeństwa związany z daną jednostką certyfikującą.
3. Do celów wzajemnej oceny typu 2 członkowie zespołu wybierani są z jednostek certyfikujących posiadających zezwolenie w odniesieniu do danej domeny technicznej.
4. Każdy członek zespołu ds. oceny musi mieć co najmniej dwuletnie doświadczenie w prowadzeniu działań w zakresie certyfikacji w jednostce certyfikującej;
5. W przypadku wzajemnej oceny typu 2 lub 3 każdy członek zespołu ds. oceny musi mieć co najmniej dwuletnie doświadczenie w prowadzeniu działań w zakresie certyfikacji w tej odpowiedniej domenie technicznej lub profilu zabezpieczeń oraz potwierdzoną wiedzę fachową i doświadczenie związane z uczestnictwem w udzieleniu zezwolenia ITSEF.
6. Krajowy organ ds. certyfikacji cyberbezpieczeństwa monitoruje i nadzoruje jednostkę certyfikującą poddaną wzajemnej ocenie, a co najmniej jeden krajowy organ ds. certyfikacji cyberbezpieczeństwa, którego jednostka certyfikująca nie podlega wzajemnej ocenie, uczestniczy we wzajemnej ocenie w charakterze obserwatora. Również ENISA może uczestniczyć we wzajemnej ocenie w charakterze obserwatora.
7. Jednostce certyfikującej poddanej wzajemnej ocenie przedstawia się skład zespołu ds. wzajemnej oceny. W uzasadnionych przypadkach może ona zakwestionować skład zespołu ds. wzajemnej oceny i poprosić o jego przegląd.
ZAŁĄCZNIK VII
Treść certyfikatu EUCC
Certyfikat EUCC zawiera co najmniej:
niepowtarzalny identyfikator nadany przez jednostkę certyfikującą wydającą certyfikat;
informacje dotyczące certyfikowanego produktu ICT lub profilu zabezpieczeń oraz posiadacza certyfikatu, w tym:
nazwa produktu ICT lub profilu zabezpieczeń oraz, w stosownych przypadkach, cel oceny;
rodzaj produktu ICT lub profilu zabezpieczeń oraz, w stosownych przypadkach, cel oceny;
wersja produktu ICT lub profilu zabezpieczeń;
imię i nazwisko lub nazwa, adres i dane kontaktowe posiadacza certyfikatu;
link do strony internetowej posiadacza certyfikatu zawierającej dodatkowe informacje na temat cyberbezpieczeństwa, o których mowa w art. 55 rozporządzenia (UE) 2019/881;
informacje dotyczące oceny i certyfikacji produktu ICT lub profilu zabezpieczeń, w tym:
nazwa, adres i dane kontaktowe jednostki certyfikującej, która wydała certyfikat;
nazwa ITSEF, która przeprowadziła ocenę, jeżeli nie jest to jednostka certyfikująca;
nazwa odpowiedzialnego krajowego organu ds. certyfikacji cyberbezpieczeństwa;
odniesienie do niniejszego rozporządzenia;
odniesienie do dołączonego do certyfikatu sprawozdania z certyfikacji, o którym mowa w załączniku V;
mający zastosowanie poziom uzasadnienia zaufania zgodnie z art. 4;
odniesienie do wersji norm, o których mowa w art. 3, zastosowanych na potrzeby oceny;
wskazanie pakietu lub poziomu uzasadnienia zaufania określonego w normach, o których mowa w art. 3, oraz zgodnie z załącznikiem VIII, w tym stosowanych komponentów uzasadnienia zaufania i uwzględnionych poziomów AVA_VAN;
w stosownych przypadkach – odniesienie do co najmniej jednego profilu zabezpieczeń, z którym produkt ICT lub profil zabezpieczeń jest zgodny;
data wydania;
okres ważności certyfikatu;
znak i etykieta powiązane z certyfikatem zgodnie z art. 11.
ZAŁĄCZNIK VIII
Oświadczenie o pakiecie dotyczącym uzasadnienia zaufania
1. W przeciwieństwie do definicji zawartych we wspólnych kryteriach rozszerzenie:
nie może być oznaczone skrótem „+”;
musi być szczegółowo opisane w wykazie wszystkich odnośnych komponentów;
musi być szczegółowo opisane w sprawozdaniu z certyfikacji.
2. Poziom uzasadnienia zaufania potwierdzony w certyfikacie EUCC można uzupełnić oceną poziomu uzasadnienia zaufania określoną w art. 3 niniejszego rozporządzenia.
3. Jeżeli poziom uzasadnienia zaufania potwierdzony w certyfikacie EUCC nie zawiera odniesienia do rozszerzenia, w certyfikacie EUCC wskazuje się jeden z następujących pakietów:
„specjalny pakiet dotyczący uzasadnienia zaufania”;
„pakiet dotyczący uzasadnienia zaufania zgodny z profilem zabezpieczeń” w przypadku odniesienia do profilu zabezpieczeń bez oceny poziomu uzasadnienia zaufania.
ZAŁĄCZNIK IX
Znak i etykieta
1. Forma znaku i etykiety:
2. przypadku zmniejszenia lub powiększenia znaku i etykiety zachowuje się proporcje przedstawione na powyższym rysunku.
3. W przypadku fizycznej obecności znak i etykieta muszą mieć co najmniej 5 mm wysokości.
( 1 ) Rozporządzenie wykonawcze Komisji (UE) 2016/799 z dnia 18 marca 2016 r. w sprawie wykonania rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 165/2014 ustanawiającego wymogi dotyczące budowy, sprawdzania, instalacji, użytkowania i naprawy tachografów oraz ich elementów składowych (Dz.U. L 139 z 26.5.2016, s. 1, ELI: http://data.europa.eu/eli/reg_impl/2016/799/oj).
( 2 ) Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 910/2014 z dnia 23 lipca 2014 r. w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym oraz uchylające dyrektywę 1999/93/WE (Dz.U. L 257 z 28.8.2014, s. 73, ELI: http://data.europa.eu/eli/reg/2014/910/oj).
( 3 ) Decyzja wykonawcza Komisji (UE) 2016/650 z dnia 25 kwietnia 2016 r. ustanawiająca normy dotyczące oceny bezpieczeństwa kwalifikowanych urządzeń do składania podpisu i pieczęci na podstawie art. 30 ust. 3 i art. 39 ust. 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 910/2014 w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym (Dz.U. L 109 z 26.4.2016, s. 40, ELI: http://data.europa.eu/eli/dec_impl/2016/650/oj).
( 4 ) Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148 (dyrektywa NIS 2) (Dz.U. L 333 z 27.12.2022, s. 80).