32024R0482

Language
- My EUR-Lex
- Sign in
- Register
- My recent searches (0)

This document is an excerpt from the EUR-Lex website

Search tips

Need more search options? Use the Advanced search

EUROPA
EUR-Lex home
Regulamento de execução - UE - 2024/482 - EN - EUR-Lex

Document 32024R0482

Help

Regulamento de Execução (UE) 2024/482 da Comissão, de 31 de janeiro de 2024, que estabelece regras de execução do Regulamento (UE) 2019/881 do Parlamento Europeu e do Conselho no respeitante à adoção do sistema europeu de certificação da cibersegurança baseado nos Critérios Comuns (EUCC)

C/2024/560

JO L, 2024/482, 7.2.2024, ELI: http://data.europa.eu/eli/reg_impl/2024/482/oj (BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

Legal status of the document In force

ELI: http://data.europa.eu/eli/reg_impl/2024/482/oj

HTML

PDF - authentic OJ

e-signature

How to verify the authenticity of the Official Journal

Jornal Oficial
da União Europeia

Série L

2024/482

7.2.2024

REGULAMENTO DE EXECUÇÃO (UE) 2024/482 DA COMISSÃO

de 31 de janeiro de 2024

que estabelece regras de execução do Regulamento (UE) 2019/881 do Parlamento Europeu e do Conselho no respeitante à adoção do sistema europeu de certificação da cibersegurança baseado nos Critérios Comuns (EUCC)

(Texto relevante para efeitos do EEE)

A COMISSÃO EUROPEIA,

Tendo em conta o Tratado sobre o Funcionamento da União Europeia,

Tendo em conta o Regulamento (UE) 2019/881 do Parlamento Europeu e do Conselho, de 17 de abril de 2019, relativo à ENISA (Agência da União Europeia para a Cibersegurança) e à certificação da cibersegurança das tecnologias da informação e comunicação e que revoga o Regulamento (UE) n.o 526/2013 (Regulamento Cibersegurança) (1), nomeadamente o artigo 49.o, n.o 7,

Considerando o seguinte:

(1)

O presente regulamento especifica as funções, regras e obrigações, bem como a estrutura do sistema europeu de certificação da cibersegurança baseado nos Critérios Comuns (EUCC), em conformidade com o enquadramento europeu para a certificação da cibersegurança estabelecido no Regulamento (UE) 2019/881. O EUCC baseia-se no Acordo de Reconhecimento Mútuo («ARM») de Certificados de Avaliação da Segurança das Tecnologias da Informação do Grupo de Altos Funcionários para a Segurança dos Sistemas de Informação (2) («SOG-IS»), utilizando os Critérios Comuns, nomeadamente os procedimentos e documentos do grupo.

(2)

O sistema deve basear-se em normas internacionais estabelecidas. Os Critérios Comuns são uma norma internacional de avaliação da segurança da informação publicada, por exemplo, como «ISO/IEC 15408 — Information security, cybersecurity and privacy protection — Evaluation criteria for IT security» (ISO/IEC 15408 — Segurança da informação, cibersegurança e proteção da privacidade — Critérios de avaliação da segurança informática). Baseia-se na avaliação por parte de um terceiro e prevê sete níveis de garantia da avaliação (Evaluation Assurance Levels, «EAL»). Os Critérios Comuns são acompanhados da Metodologia Comum de Avaliação, publicada, por exemplo, como «ISO/IEC 18045 — Information security, cybersecurity and privacy protection — Evaluation criteria for IT security — Methodology for IT security evaluation» (ISO/IEC 18045 — Segurança da informação, cibersegurança e proteção da privacidade — Critérios de avaliação da segurança informática — Metodologia de avaliação da segurança informática). As especificações e os documentos que aplicam as disposições do presente regulamento podem referir-se a uma norma acessível ao público que reflita a norma utilizada na certificação ao abrigo do presente regulamento, como os Critérios Comuns para a Avaliação da Segurança das Tecnologias da Informação («Common Criteria for Information Technology Security Evaluation») e a Metodologia Comum para a Avaliação da Segurança das Tecnologias da Informação («Common Methodology for Information Technology Security Evaluation»).

(3)

O EUCC utiliza a família de avaliação de vulnerabilidades dos Critérios Comuns (AVA_VAN), componentes 1 a 5. Os cinco componentes fornecem os principais fatores determinantes e dependências para a análise das vulnerabilidades dos produtos de TIC. Uma vez que os componentes correspondem aos níveis de garantia previstos no presente regulamento, permitem uma escolha de garantia bem informada, com base nas avaliações efetuadas dos requisitos de segurança e do risco associado à utilização prevista do produto de TIC. O requerente de um certificado EUCC deve apresentar a documentação relativa à utilização prevista do produto de TIC e a análise dos níveis de risco associados a essa utilização, para que o organismo de avaliação da conformidade possa avaliar a adequação do nível de garantia selecionado. Se as atividades de avaliação e certificação forem realizadas pelo mesmo organismo de avaliação da conformidade, o requerente deve apresentar as informações solicitadas apenas uma vez.

(4)

Um domínio técnico é um quadro de referência que abrange um grupo de produtos de TIC com uma funcionalidade de segurança específica e semelhante que atenua os ataques, cujas características são comuns até um determinado nível de garantia. Um domínio técnico descreve, nos documentos sobre o estado da arte, os requisitos de segurança específicos, bem como os métodos, técnicas e ferramentas de avaliação adicionais aplicáveis à certificação de produtos de TIC por si abrangidos. Por conseguinte, um domínio técnico promove também a harmonização da avaliação dos produtos de TIC abrangidos. Dois domínios técnicos são atualmente muito utilizados para a certificação nos níveis AVA_VAN.4 e AVA_VAN.5. O primeiro domínio técnico é o dos «cartões inteligentes e dispositivos similares», em que partes significativas da funcionalidade de segurança exigida dependem de elementos de hardware específicos, adaptados e frequentemente separáveis (por exemplo, hardware para cartões inteligentes, circuitos integrados, produtos compostos para cartões inteligentes, módulos de plataformas de confiança utilizados na computação de confiança ou cartões tacográficos digitais). O segundo domínio técnico é o dos «dispositivos de hardware com caixas de segurança», em que partes significativas da funcionalidade de segurança exigida dependem de um invólucro físico de hardware (designado por «caixa de segurança») concebido para resistir a ataques diretos, por exemplo, terminais de pagamento, unidades-veículo de tacógrafos, contadores inteligentes, terminais de controlo de acesso e módulos de segurança de hardware).

(5)

Ao apresentar um pedido de certificação, o requerente deve relacionar as razões subjacentes à escolha de um nível de garantia com os objetivos estabelecidos no artigo 51.o do Regulamento (UE) 2019/881 e com a seleção de componentes do catálogo de requisitos funcionais de segurança e requisitos de garantia de segurança contidos nos Critérios Comuns. Os organismos de certificação devem avaliar a adequação do nível de garantia escolhido e assegurar que este é proporcional ao nível de risco associado à utilização prevista do produto de TIC.

(6)

De acordo com os Critérios Comuns, a certificação é efetuada em relação a uma meta de segurança que inclui uma definição do problema de segurança do produto de TIC, bem como os objetivos de segurança que abordam o problema de segurança. O problema de segurança fornece informações pormenorizadas sobre a utilização prevista do produto de TIC e os riscos associados a essa utilização. Um conjunto restrito de requisitos de segurança responde tanto ao problema de segurança como aos objetivos de segurança de um produto de TIC.

(7)

Os perfis de proteção são um meio eficaz para predeterminar os critérios comuns aplicáveis a uma determinada categoria de produtos de TIC e, por conseguinte, são também um elemento essencial do processo de certificação dos produtos de TIC por si abrangidos. O perfil de proteção é utilizado para avaliar futuras metas de segurança que se enquadrem numa determinada categoria de produtos de TIC abrangidos pelo mesmo. Além disso, simplifica e melhora a eficiência do processo de certificação dos produtos de TIC e ajuda os utilizadores a especificar correta e eficazmente a funcionalidade de um produto de TIC. Os perfis de proteção devem, por conseguinte, ser considerados parte integrante do processo de TIC conducente à certificação de produtos de TIC.

(8)

Para que possam desempenhar o seu papel no processo de TIC de apoio ao desenvolvimento e fornecimento de um produto de TIC certificado, os próprios perfis de proteção devem poder ser certificados independentemente da certificação do produto de TIC específico abrangido pelo perfil de proteção em causa. Por conseguinte, é essencial aplicar aos perfis de proteção pelo menos o mesmo nível de controlo que às metas de segurança, a fim de garantir um elevado nível de cibersegurança. Os perfis de proteção devem ser avaliados e certificados separadamente do produto de TIC conexo e apenas através da aplicação da classe de garantia dos Critérios Comuns e da Metodologia Comum de Avaliação para perfis de proteção (APE) e, quando aplicável, para configurações dos perfis de proteção (ACE). Devido ao seu papel importante e sensível como referência na certificação de produtos de TIC, os perfis de proteção só devem ser certificados por organismos públicos ou por um organismo de certificação que tenha recebido da autoridade nacional de certificação da cibersegurança aprovação prévia para o perfil de proteção em causa. Atendendo ao seu papel fundamental na certificação do nível de garantia «elevado», em especial fora dos domínios técnicos, os perfis de proteção devem ser desenvolvidos como documentos sobre o estado da arte, que devem ser aprovados pelo Grupo Europeu para a Certificação da Cibersegurança («GECC»).

(9)

É importante que os perfis de proteção certificados sejam incluídos no controlo da conformidade e do cumprimento do EUCC realizado pelas autoridades nacionais de certificação da cibersegurança. Caso estejam disponíveis metodologias, ferramentas e competências aplicadas às abordagens para a avaliação de produtos TIC para perfis de proteção certificados específicos, os domínios técnicos podem basear-se nesses perfis de proteção específicos.

(10)	A fim de alcançar um elevado nível de confiança e de garantia nos produtos de TIC certificados, não deve ser permitida a autoavaliação ao abrigo do presente regulamento. Só deve ser permitida a avaliação da conformidade por terceiros, efetuada pelos ITSEF e organismos de certificação.

(11)

A comunidade SOG-IS forneceu interpretações e abordagens comuns para a aplicação dos Critérios Comuns e da Metodologia Comum de Avaliação na certificação, em especial para o nível de garantia «elevado» visado pelos domínios técnicos «cartões inteligentes e dispositivos similares» e «dispositivos de hardware com caixas de segurança». A reutilização desses documentos de apoio no sistema EUCC assegura uma transição harmoniosa dos sistemas SOG-IS aplicados a nível nacional para o sistema EUCC harmonizado. Por conseguinte, o presente regulamento deve incluir metodologias de avaliação harmonizadas de relevância geral para todas as atividades de certificação. Além disso, a Comissão deve poder solicitar ao Grupo Europeu para a Certificação da Cibersegurança que adote um parecer que aprove e recomende a aplicação das metodologias de avaliação especificadas em documentos sobre o estado da arte para a certificação do produto de TIC ou do perfil de proteção no âmbito do sistema EUCC. Assim, o presente regulamento enumera no anexo I os documentos sobre o estado da arte para as atividades de avaliação realizadas pelos organismos de avaliação da conformidade. Cabe ao Grupo Europeu para a Certificação da Cibersegurança aprovar e manter os documentos sobre o estado da arte. Os documentos sobre o estado da arte que devem ser utilizados na certificação. Só em casos excecionais e devidamente justificados é que um organismo de avaliação da conformidade pode não os utilizar, sob reserva de condições específicas, nomeadamente a aprovação da autoridade nacional de certificação da cibersegurança.

(12)

A certificação de produtos de TIC nos níveis AVA_VAN 4 ou 5 só deve ser possível em condições específicas e se estiver disponível uma metodologia de avaliação específica. A metodologia de avaliação específica pode estar consagrada em documentos sobre o estado da arte pertinentes para o domínio técnico ou em perfis de proteção específicos adotados como documentos sobre o estado da arte que sejam relevantes para a categoria de produtos em causa. Só em casos excecionais e devidamente justificados é que a certificação nesses níveis de garantia deve ser possível, sob reserva de condições específicas, nomeadamente a aprovação, incluindo da metodologia de avaliação aplicável, por parte da autoridade nacional de certificação da cibersegurança. Esses casos excecionais e devidamente justificados podem verificar-se quando a legislação nacional ou da União exigir a certificação de um produto de TIC nos níveis AVA_VAN 4 ou 5. Do mesmo modo, em casos excecionais e devidamente justificados, é possível certificar perfis de proteção sem aplicar os documentos sobre o estado da arte pertinentes, sob reserva de condições específicas, nomeadamente a aprovação, incluindo da metodologia de avaliação aplicável, por parte da autoridade nacional de certificação da cibersegurança.

(13)

As marcas e os rótulos utilizados no âmbito do EUCC destinam-se a demonstrar de forma visível aos utilizadores a fiabilidade do produto de TIC certificado e a permitir-lhes fazer uma escolha informada ao adquirirem produtos de TIC. A utilização de marcas e rótulos deve também estar sujeita às regras e condições estabelecidas na norma ISO/IEC 17065 e, quando aplicável, na norma ISO/IEC 17030, com as orientações aplicáveis.

(14)

Os organismos de certificação devem decidir sobre o período de validade dos certificados, tendo em conta o ciclo de vida do produto de TIC em causa. O período de validade não deve exceder cinco anos. As autoridades nacionais de certificação da cibersegurança devem trabalhar na harmonização do período de validade na União.

(15)

Se o âmbito de aplicação de um certificado EUCC for reduzido, o certificado deve ser retirado e deve ser emitido um novo certificado com o novo âmbito, a fim de assegurar que os utilizadores sejam claramente informados sobre o atual âmbito e nível de garantia do certificado de um determinado produto de TIC.

(16)

A certificação dos perfis de proteção difere da certificação dos produtos de TIC, pois diz respeito a um processo de TIC. Uma vez que o perfil de proteção abrange uma categoria de produtos de TIC, a sua avaliação e certificação não pode ser efetuada com base num único produto de TIC. Tendo em conta que um perfil de proteção unifica os requisitos gerais de segurança relativos a uma categoria de produtos de TIC, independentemente da apresentação do produto de TIC pelo seu vendedor, o período de validade de um certificado EUCC para um perfil de proteção deve, em princípio, abranger, no mínimo, cinco anos e pode prolongar-se até ao fim da duração do perfil de proteção.

(17)

Por organismo de avaliação da conformidade entende-se um organismo que efetua atividades de avaliação da conformidade, nomeadamente calibração, ensaio, certificação e inspeção. A fim de assegurar uma elevada qualidade dos serviços, o presente regulamento especifica que as atividades de ensaio, por um lado, e as atividades de certificação e inspeção, por outro, devem ser realizadas por entidades que operem de forma independente umas das outras, a saber, os centros de avaliação da segurança das tecnologias da informação («ITSEF») e os organismos de certificação, respetivamente. Ambos os tipos de organismos de avaliação da conformidade devem ser acreditados e, em determinadas situações, autorizados.

(18)

Um organismo de certificação deve ser acreditado em conformidade com a norma ISO/IEC 17065 pelo organismo nacional de acreditação para os níveis de garantia «substancial» e «elevado». Para além da acreditação nos termos do Regulamento (UE) 2019/881, em conjugação com o Regulamento (CE) n.o 765/2008, os organismos de avaliação da conformidade devem cumprir requisitos específicos a fim de garantir a sua competência técnica para avaliar os requisitos de cibersegurança no nível de garantia «elevado» do EUCC, a qual é confirmada por uma «autorização». Para apoiar o processo de autorização, importa elaborar documentos pertinentes sobre o estado da arte, que a ENISA deve publicar após aprovação pelo Grupo Europeu para a Certificação da Cibersegurança.

(19)

A competência técnica de um ITSEF deve ser avaliada através da acreditação do laboratório de ensaios em conformidade com a norma ISO/IEC 17025 e complementada pela norma ISO/IEC 23532-1 relativamente a todo o conjunto de atividades de avaliação pertinentes para o nível de garantia e especificadas na norma ISO/IEC 18045, em conjugação com a norma ISO/IEC 15408. Tanto o organismo de certificação como o ITSEF devem estabelecer e manter um sistema adequado de gestão de competências para o pessoal, que se baseie na norma ISO/IEC 19896-1, para os elementos e níveis de competência e para a avaliação da competência. Em relação ao nível de conhecimentos, competências, experiência e habilitações, os requisitos aplicáveis aos avaliadores devem ser extraídos da norma ISO/IEC 19896-3. A equivalência das disposições e medidas para lidar com os desvios a esses sistemas de gestão de competências deve ser demonstrada, em conformidade com os objetivos do sistema.

(20)

Para que possa ser autorizado, o ITSEF deve demonstrar a sua capacidade para determinar a ausência de vulnerabilidades conhecidas, a aplicação correta e coerente das funcionalidades de segurança mais avançadas para a tecnologia específica em causa e a resistência do produto de TIC visado a atacantes competentes. Além disso, no que se refere às autorizações no domínio técnico «cartões inteligentes e dispositivos similares», o ITSEF deve também demonstrar as capacidades técnicas necessárias para as atividades de avaliação e tarefas conexas, conforme definidas no documento de apoio «Minimum ITSEF requirements for security evaluations of smart cards and similar devices» (3) (Requisitos mínimos dos ITSEF para as avaliações de segurança de cartões inteligentes e dispositivos similares) ao abrigo dos Critérios Comuns. No que diz respeito à autorização no domínio técnico «dispositivos de hardware com caixas de segurança», o ITSEF deve também demonstrar os requisitos técnicos mínimos necessários para a realização de atividades de avaliação e tarefas conexas em dispositivos de hardware com caixas de segurança, conforme recomendado pelo Grupo Europeu para a Certificação da Cibersegurança. No contexto dos requisitos mínimos, o ITSEF deve ser capaz de conduzir os diferentes tipos de ataques estabelecidos no documento de apoio «Application of Attack Potential to Hardware Devices with Security Boxes» (Aplicação do potencial de ataque a dispositivos de hardware com caixas de segurança) de acordo com os Critérios Comuns. Essas capacidades englobam os conhecimentos e as competências do avaliador, bem como o equipamento e os métodos de avaliação necessários para determinar e avaliar os diferentes tipos de ataques.

(21)

A autoridade nacional de certificação da cibersegurança deve controlar se os organismos de certificação, os ITSEF e os titulares de certificados cumprem as obrigações que lhes incumbem por força do presente regulamento e do Regulamento (UE) 2019/881. Para o efeito, deve utilizar todas as fontes de informação apropriadas, incluindo as informações recebidas dos participantes no processo de certificação e as suas próprias investigações.

(22)

É conveniente que os organismos de certificação cooperem com as autoridades de fiscalização do mercado competentes e tenham em conta quaisquer informações sobre vulnerabilidades que possam ser relevantes para os produtos de TIC para os quais tenham emitido certificados. Os organismos de certificação devem controlar os perfis de proteção que certificaram para determinar se os requisitos de segurança estabelecidos para uma categoria de produtos de TIC continuam a refletir a evolução mais recente do cenário de ameaças.

(23)

Para apoiar o controlo do cumprimento, as autoridades nacionais de certificação da cibersegurança devem cooperar com as autoridades de fiscalização do mercado competentes, em conformidade com o artigo 58.o do Regulamento (UE) 2019/881 e com o Regulamento (UE) 2019/1020 do Parlamento Europeu e do Conselho (4). Os operadores económicos na União são obrigados a partilhar informações e a cooperar com as autoridades de fiscalização do mercado, nos termos do artigo 4.o, n.o 3, do Regulamento (UE) 2019/1020.

(24)

Os organismos de certificação devem controlar o cumprimento dos titulares de um certificado e a conformidade de todos os certificados emitidos ao abrigo do EUCC. O controlo deve assegurar que todos os relatórios de avaliação apresentados por um ITSEF e as respetivas conclusões, bem como os critérios e métodos de avaliação, sejam aplicados de forma coerente e correta em todas as atividades de certificação.

(25)

Sempre que sejam detetados potenciais problemas de incumprimento que afetem um produto de TIC certificado, é importante assegurar uma resposta proporcionada. Assim sendo, é possível suspender os certificados. A suspensão deve implicar certas limitações no que diz respeito à promoção e utilização do produto de TIC em questão, mas não deve afetar a validade do certificado. O titular do certificado da UE deve comunicar a suspensão aos compradores dos produtos de TIC afetados, cabendo à autoridade nacional de certificação da cibersegurança competente notificar as autoridades de fiscalização do mercado competentes. Para informar o público, a ENISA deve publicar as informações referentes às suspensões num sítio Web específico.

(26)

O titular de um certificado EUCC deve aplicar os procedimentos necessários de gestão de vulnerabilidades e assegurar que esses procedimentos estão integrados na sua organização. Ao tomar conhecimento de uma potencial vulnerabilidade, o titular do certificado EUCC deve realizar uma análise de impacto da vulnerabilidade. Se a análise de impacto da vulnerabilidade confirmar que a vulnerabilidade pode ser explorada, o titular do certificado deve enviar um relatório da avaliação ao organismo de certificação que, por sua vez, deve informar a autoridade nacional de certificação da cibersegurança. O relatório deve informar sobre o impacto da vulnerabilidade, as alterações necessárias ou as soluções corretivas exigidas, incluindo possíveis implicações mais vastas da vulnerabilidade, bem como soluções corretivas para outros produtos. Se necessário, a norma EN ISO/IEC 29147 deve complementar o procedimento de divulgação da vulnerabilidade.

(27)

Para efeitos de certificação, os organismos de avaliação da conformidade e as autoridades nacionais de certificação da cibersegurança obtêm dados confidenciais e sensíveis e segredos empresariais, também relacionados com a propriedade intelectual ou o controlo do cumprimento, que exigem uma proteção adequada. Devem, por conseguinte, possuir as competências e os conhecimentos técnicos necessários e estabelecer sistemas para a proteção da informação. Os requisitos e as condições de proteção da informação devem ser cumpridos tanto para a acreditação como para a autorização.

(28)	A ENISA deve fornecer a lista de perfis de proteção certificados no seu sítio Web de certificação da cibersegurança e indicar o seu estado, em conformidade com o Regulamento (UE) 2019/881.

(29)

O presente regulamento estabelece as condições para a celebração de acordos de reconhecimento mútuo com países terceiros. Estes podem ser bilaterais ou multilaterais e devem substituir acordos semelhantes atualmente em vigor. A fim de facilitar uma transição harmoniosa para esses acordos de reconhecimento mútuo, os Estados-Membros podem manter, por um período limitado, os acordos de cooperação existentes com países terceiros.

(30)

Os organismos de certificação que emitem certificados EUCC do nível de garantia «elevado», bem como os ITSEF associados, devem ser sujeitos a avaliações pelos pares. O objetivo das avaliações pelos pares deve ser determinar se os estatutos e procedimentos de um organismo de certificação avaliado pelos pares continuam a cumprir os requisitos do sistema EUCC. As avaliações pelos pares são diferentes das análises pelos pares entre autoridades nacionais de certificação da cibersegurança, previstas no artigo 59.o do Regulamento (UE) 2019/881. As avaliações pelos pares devem verificar se os organismos de certificação trabalham de forma harmonizada e produzem certificados da mesma qualidade, e identificar os eventuais pontos fortes ou fracos de desempenho destes organismos, tendo igualmente em vista a partilha de boas práticas. Uma vez que existem diferentes tipos de organismos de certificação, devem ser permitidos diferentes tipos de avaliação pelos pares. Em casos mais complexos, como no caso dos organismos de certificação que emitem certificados em diferentes níveis AVA_VAN, é possível recorrer a diferentes tipos de avaliação pelos pares, desde que sejam cumpridos todos os requisitos.

(31)

O Grupo Europeu para a Certificação da Cibersegurança deve desempenhar um papel importante na manutenção do sistema, que deve ser efetuada, nomeadamente, através da cooperação com o setor privado, da criação de subgrupos especializados, bem como dos trabalhos preparatórios pertinentes e da assistência solicitada pela Comissão. O Grupo Europeu para a Certificação da Cibersegurança desempenha um papel importante na aprovação de documentos sobre o estado da arte. Na aprovação e adoção de documentos sobre o estado da arte, devem ser tidos em devida conta os elementos referidos no artigo 54.o, n.o 1, alínea c), do Regulamento (UE) 2019/881. Os domínios técnicos e os documentos sobre o estado da arte devem ser publicados no anexo I do presente regulamento. Os perfis de proteção adotados como documentos sobre o estado da arte devem ser publicados no anexo II. A fim de assegurar o dinamismo desses anexos, a Comissão pode alterá-los, em conformidade com o procedimento previsto no artigo 66.o, n.o 2, do Regulamento (UE) 2019/881 e tendo em conta o parecer do Grupo Europeu para a Certificação da Cibersegurança. O anexo III inclui perfis de proteção recomendados que, no momento da entrada em vigor do presente regulamento, não são documentos sobre o estado da arte. Estes devem ser publicados no sítio Web da ENISA referido no artigo 50.o, n.o 1, do Regulamento (UE) 2019/881.

(32)	O presente regulamento deve começar a ser aplicável 12 meses após a sua entrada em vigor. Os requisitos do capítulo IV e do anexo V não exigem um período de transição, pelo que devem ser aplicáveis a partir da data de entrada em vigor do presente regulamento.

(33)	As medidas previstas no presente regulamento estão em consonância com o parecer do Comité Europeu de Certificação da Cibersegurança, criado pelo artigo 66.o do Regulamento (UE) 2019/881,

ADOTOU O PRESENTE REGULAMENTO:

CAPÍTULO I

DISPOSIÇÕES GERAIS

Artigo 1.o

Objeto e âmbito de aplicação

O presente regulamento estabelece o sistema europeu de certificação da cibersegurança baseado nos Critérios Comuns (EUCC).

O presente regulamento aplica-se a todos os produtos de tecnologias da informação e comunicação («TIC»), incluindo a respetiva documentação, que são submetidos a certificação ao abrigo do EUCC, e a todos os perfis de proteção submetidos a certificação no âmbito do processo de TIC conducente à certificação de produtos de TIC.

Artigo 2.o

Definições

Para efeitos do presente regulamento, entende-se por:

(1)	«Critérios Comuns», os Critérios Comuns para a Avaliação da Segurança das Tecnologias da Informação, estabelecidos na norma ISO/IEC 15408;

(2)	«Metodologia Comum de Avaliação», a Metodologia Comum para a Avaliação da Segurança das Tecnologias da Informação, estabelecida na norma ISO/IEC 18045;

(3)	«Alvo de avaliação», um produto ou parte de um produto de TIC, ou um perfil de proteção no âmbito de um processo de TIC, que é submetido a uma avaliação da cibersegurança para receber a certificação EUCC;

(4)	«Meta de segurança», uma declaração de requisitos de segurança dependentes da implementação para um produto de TIC específico;

(5)

«Perfil de proteção», um processo de TIC que estabelece os requisitos de segurança para uma categoria específica de produtos de TIC, respondendo a imperativos de segurança independentes da implementação, e que pode ser utilizado para avaliar produtos de TIC abrangidos por essa categoria específica para efeitos de certificação;

(6)	«Relatório técnico de avaliação», um documento elaborado por um ITSEF para apresentar as conclusões, decisões e justificações obtidas durante a avaliação de um produto de TIC ou de um perfil de proteção em conformidade com as regras e obrigações estabelecidas no presente regulamento;

(7)	«ITSEF», um centro de avaliação da segurança das tecnologias da informação, que é um organismo de avaliação da conformidade, na aceção do artigo 2.o, ponto 13, do Regulamento (CE) n.o 765/2008, que realiza atividades avaliação;

(8)

«Nível AVA_VAN», um nível de análise da vulnerabilidade da garantia, que indica o grau das atividades de avaliação da cibersegurança realizadas para determinar o nível de resistência contra a potencial exploração de falhas ou pontos fracos do alvo de avaliação no seu ambiente operacional, conforme estabelecido nos Critérios Comuns;

(9)	«Certificado EUCC», um certificado de cibersegurança emitido ao abrigo do EUCC para produtos de TIC ou para perfis de proteção que podem ser utilizados exclusivamente no processo de TIC de certificação de produtos de TIC;

(10)	«Produto composto», um produto de TIC que é avaliado juntamente com outro produto de TIC subjacente que já recebeu um certificado EUCC e de cuja funcionalidade de segurança depende o produto de TIC composto;

(11)	«Autoridade nacional de certificação da cibersegurança», uma autoridade designada por um Estado-Membro nos termos do artigo 58.o, n.o 1, do Regulamento (UE) 2019/881;

(12)	«Organismo de certificação», um organismo de avaliação da conformidade, na aceção do artigo 2.o, ponto 13, do Regulamento (CE) n.o 765/2008, que realiza atividades de certificação;

(13)	«Domínio técnico», um quadro técnico comum relacionado com uma tecnologia específica para a certificação harmonizada com um conjunto de requisitos de segurança característicos;

(14)

«Documento sobre o estado da arte», um documento que especifica os métodos, técnicas e ferramentas de avaliação aplicáveis à certificação de produtos de TIC, aos requisitos de segurança de uma categoria genérica de produtos de TIC ou a outros requisitos necessários para a certificação, a fim de harmonizar a avaliação, nomeadamente de domínios técnicos ou perfis de proteção;

(15)	«Autoridade de fiscalização do mercado», uma autoridade na aceção do artigo 3.o, ponto 4, do Regulamento (UE) 2019/1020.

Artigo 3.o

Normas de avaliação

Às avaliações efetuadas no âmbito do sistema EUCC aplicam-se as seguintes normas:

(a)	Os Critérios Comuns;

(b)	A Metodologia Comum de Avaliação.

Artigo 4.o

Níveis de garantia

1. Os organismos de certificação emitem certificados EUCC de nível de garantia «substancial» ou «elevado».

2. Os certificados EUCC de nível de garantia «substancial» correspondem aos certificados que abrangem os níveis AVA_VAN 1 ou 2.

3. Os certificados EUCC de nível de garantia «elevado» correspondem aos certificados que abrangem os níveis AVA_VAN 3, 4 ou 5.

4. O nível de garantia confirmado num certificado EUCC distingue entre a utilização conforme e a utilização aumentada dos componentes de garantia, especificada nos Critérios Comuns, nos termos do anexo VIII.

5. Os organismos de avaliação da conformidade devem aplicar os componentes de garantia dos quais depende o nível AVA_VAN selecionado, de acordo com as normas referidas no artigo 3.o.

Artigo 5.o

Métodos de certificação de produtos de TIC

1. A certificação de um produto de TIC é efetuada em relação à sua meta de segurança:

(a)	Conforme definida pelo requerente; ou

(b)	Incorporando um perfil de proteção certificado como parte do processo de TIC, se o produto de TIC pertencer à categoria de produtos de TIC abrangida por esse perfil de proteção.

2. Os perfis de proteção devem ser certificados exclusivamente para efeitos da certificação de produtos de TIC pertencentes à categoria específica de produtos de TIC abrangida pelo perfil de proteção.

Artigo 6.o

Autoavaliação da conformidade

Não é permitida a autoavaliação da conformidade, na aceção do artigo 53.o do Regulamento (UE) 2019/881.

CAPÍTULO II

CERTIFICAÇÃO DE PRODUTOS DE TIC

SECÇÃO I

Normas e requisitos de avaliação específicos

Artigo 7.o

Critérios e métodos de avaliação aplicáveis aos produtos de TIC

1. Um produto de TIC submetido a certificação deve, no mínimo, ser avaliado de acordo com os seguintes critérios:

(a)	Os elementos aplicáveis das normas a que se refere o artigo 3.o;

(b)	As classes de requisitos de garantia de segurança para a avaliação da vulnerabilidade e o teste funcional independente, conforme estabelecido nas normas de avaliação a que se refere o artigo 3.o;

(c)	O nível de risco associado à utilização prevista dos produtos de TIC em causa, nos termos do artigo 52.o do Regulamento (UE) 2019/881, e as suas funções de segurança que apoiam os objetivos de segurança estabelecidos no artigo 51.o do Regulamento (UE) 2019/881;

(d)	Os documentos sobre o estado da arte aplicáveis enumerados no anexo I; e

(e)	Os perfis de proteção certificados aplicáveis enumerados no anexo II.

2. Em casos excecionais e devidamente justificados, um organismo de avaliação da conformidade pode solicitar a não aplicação do documento sobre o estado da arte pertinente. Nesses casos, informa a autoridade nacional de certificação da cibersegurança, fornecendo uma justificação devidamente fundamentada para o seu pedido. A autoridade nacional de certificação da cibersegurança avalia a justificação da exceção e, se fundada, aprova-a. Na pendência da decisão da autoridade nacional de certificação da cibersegurança, o organismo de avaliação da conformidade não emite qualquer certificado. A autoridade nacional de certificação da cibersegurança notifica, sem demora injustificada, a exceção aprovada ao Grupo Europeu para a Certificação da Cibersegurança, que pode emitir um parecer. A autoridade nacional de certificação da cibersegurança deve ter na máxima conta o parecer do Grupo Europeu para a Certificação da Cibersegurança.

3. A certificação de produtos de TIC nos níveis AVA_VAN 4 ou 5 só é possível nos seguintes cenários:

(a)	Se o produto de TIC estiver abrangido por um domínio técnico enumerado no anexo I, deve ser avaliado em conformidade com os documentos sobre o estado da arte aplicáveis desses domínios técnicos;

(b)

Se o produto de TIC pertencer a uma categoria de produtos de TIC abrangida por um perfil de proteção certificado que inclua os níveis AVA_VAN 4 ou 5 e figure como perfil de proteção adotado como documento sobre o estado da arte no anexo II, deve ser avaliado de acordo com a metodologia de avaliação especificada para esse perfil de proteção;

(c)

Se as alíneas a) e b) do presente número não forem aplicáveis e a inclusão de um domínio técnico no anexo I ou de um perfil de proteção certificado no anexo II for improvável num futuro próximo, e apenas em casos excecionais e devidamente justificados, sob reserva das condições estabelecidas no n.o 4.

4. Sempre que um organismo de avaliação da conformidade considere estar perante um caso excecional e devidamente justificado a que se refere o n.o 3, alínea c), deve notificar a certificação pretendida à autoridade nacional de certificação da cibersegurança, fornecendo-lhe uma justificação e uma proposta de metodologia de avaliação. A autoridade nacional de certificação da cibersegurança avalia a justificação da exceção e, se fundada, aprova ou altera a metodologia de avaliação a aplicar pelo organismo de avaliação da conformidade. Na pendência da decisão da autoridade nacional de certificação da cibersegurança, o organismo de avaliação da conformidade não emite qualquer certificado. A autoridade nacional de certificação da cibersegurança comunica, sem demora injustificada, a certificação pretendida ao Grupo Europeu para a Certificação da Cibersegurança, que pode emitir um parecer. A autoridade nacional de certificação da cibersegurança deve ter na máxima conta o parecer do Grupo Europeu para a Certificação da Cibersegurança.

5. No caso de um produto de TIC sujeito a uma avaliação de produto composto, em conformidade com os documentos sobre o estado da arte pertinentes, o ITSEF que efetuou a avaliação do produto de TIC subjacente deve partilhar as informações relevantes com o ITSEF que efetua a avaliação do produto de TIC composto.

SECÇÃO II

Emissão, renovação e retirada de certificados EUCC

Artigo 8.o

Informações necessárias para a certificação

1. O requerente da certificação no âmbito do EUCC deve fornecer ou de outro modo disponibilizar ao organismo de certificação e ao ITSEF todas as informações necessárias para as atividades de certificação.

2. As informações referidas no n.o 1 devem incluir todas as provas pertinentes, de acordo com as secções «Elementos de ação do criador» (Developer action elements), no formato adequado, conforme estabelecido nas secções «Conteúdo e apresentação dos elementos de prova» (Content and presentation of evidence element) dos Critérios Comuns e da Metodologia Comum de Avaliação para o nível de garantia selecionado e os requisitos de garantia de segurança associados. As provas devem incluir, se necessário, pormenores sobre o produto de TIC e o seu código-fonte, em conformidade com o presente regulamento, sob reserva de salvaguardas contra a divulgação não autorizada.

3. Os requerentes da certificação podem fornecer ao organismo de certificação e ao ITSEF resultados de avaliação adequados de certificações anteriores efetuadas ao abrigo:

(a)	Do presente regulamento;

(b)	De outro sistema europeu de certificação da cibersegurança adotado nos termos do artigo 49.o do Regulamento (UE) 2019/881;

(c)	De um sistema nacional a que se refere o artigo 49.o do presente regulamento.

4. Sempre que os resultados da avaliação sejam pertinentes para as suas funções, o ITSEF pode reutilizar os resultados de avaliação fornecidos, desde que os mesmos estejam em conformidade com os requisitos aplicáveis e a sua autenticidade seja confirmada.

5. Se o organismo de certificação permitir que o produto seja objeto de uma certificação de produto composto, o requerente da certificação deve disponibilizar ao organismo de certificação e ao ITSEF todos os elementos necessários, se for caso disso, de acordo com o documento sobre o estado da arte.

6. O requerente da certificação também deve fornecer ao organismo de certificação e ao ITSEF as seguintes informações:

(a)	A hiperligação para o seu sítio Web onde constam as informações complementares de cibersegurança referidas no artigo 55.o do Regulamento (UE) 2019/881;

(b)	Uma descrição dos procedimentos de gestão das vulnerabilidades e de divulgação das vulnerabilidades do requerente.

7. Toda a documentação pertinente referida no presente artigo deve ser conservada pelo organismo de certificação, pelo ITSEF e pelo requerente durante um período de cinco anos após a caducidade do certificado.

Artigo 9.o

Condições aplicáveis à emissão de um certificado EUCC

1. Os organismos de certificação emitem um certificado EUCC quando estiverem preenchidas todas as seguintes condições:

(a)	A categoria do produto de TIC é abrangida pelo âmbito da acreditação e, se for caso disso, da autorização do organismo de certificação e do ITSEF envolvido na certificação;

(b)	O requerente da certificação assinou uma declaração em que assume todos os compromissos enumerados no n.o 2;

(c)	O ITSEF concluiu a avaliação sem objeções, de acordo com as normas, os critérios e os métodos de avaliação a que se referem os artigos 3.o e 7.o;

(d)	O organismo de certificação concluiu a análise dos resultados da avaliação sem objeções;

(e)	O organismo de certificação verificou que os relatórios técnicos de avaliação fornecidos pelo ITSEF são coerentes com as provas apresentadas e que as normas, os critérios e os métodos de avaliação a que se referem os artigos 3.o e 7.o foram corretamente aplicados.

2. O requerente da certificação deve assumir os seguintes compromissos:

(a)	Fornecer ao organismo de certificação e ao ITSEF todas as informações necessárias, completas e corretas, bem como as informações adicionais necessárias, se solicitadas;

(b)	Não promover o produto de TIC como estando certificado ao abrigo do EUCC antes de o certificado EUCC ser emitido;

(c)	Promover o produto de TIC como estando certificado apenas no que diz respeito ao âmbito definido no certificado EUCC;

(d)	Cessar imediatamente a promoção do produto de TIC como estando certificado em caso de suspensão, retirada ou caducidade do certificado EUCC;

(e)	Assegurar que os produtos de TIC vendidos com referência ao certificado EUCC são estritamente idênticos ao produto de TIC sujeito ao processo de certificação;

(f)	Respeitar as regras de utilização da marca e do rótulo estabelecidas para o certificado EUCC, em conformidade com o artigo 11.o.

3. No caso de um produto de TIC sujeito a uma certificação de produto composto, em conformidade com os documentos sobre o estado da arte pertinentes, o organismo de certificação que efetuou a certificação do produto de TIC subjacente deve partilhar as informações relevantes com o organismo de certificação que efetua a certificação do produto de TIC composto.

Artigo 10.o

Conteúdo e formato de um certificado EUCC

1. O certificado EUCC deve incluir, no mínimo, as informações constantes do anexo VII.

2. O certificado EUCC ou o relatório de certificação devem especificar de forma inequívoca o âmbito e os limites do produto de TIC certificado, indicando se todo o produto de TIC foi certificado ou apenas partes do mesmo.

3. O organismo de certificação deve fornecer ao requerente o certificado EUCC pelo menos em formato eletrónico.

4. O organismo de certificação deve elaborar um relatório de certificação, em conformidade com o anexo V, para cada certificado EUCC que emitir. O relatório de certificação deve basear-se no relatório técnico de avaliação emitido pelo ITSEF. O relatório técnico de avaliação e o relatório de certificação devem indicar os critérios e os métodos específicos de avaliação a que se refere o artigo 7.o utilizados na avaliação.

5. O organismo de certificação deve fornecer à autoridade nacional de certificação da cibersegurança e à ENISA todos os certificados EUCC e todos os relatórios de certificação em formato eletrónico.

Artigo 11.o

Marca e rótulo

1. O titular de um certificado pode apor uma marca e um rótulo num produto de TIC certificado. A marca e o rótulo demonstram que o produto de TIC foi certificado em conformidade com o presente regulamento. A marca e o rótulo devem ser apostos em conformidade com o presente artigo e com o anexo IX.

2. A marca e o rótulo devem ser apostos de forma visível, legível e indelével no produto de TIC certificado ou na respetiva placa de identificação. Sempre que tal não seja possível ou não se justifique devido à natureza do produto, devem ser apostos na embalagem e nos documentos que o acompanham. Se o produto de TIC certificado for fornecido sob a forma de software, a marca e o rótulo devem figurar de forma visível, legível e indelével na documentação que o acompanha, ou esta documentação deve ser fácil e diretamente acessível aos utilizadores através de um sítio Web.

3. A marca e o rótulo devem ser conformes com o anexo IX e incluir:

(a)	O nível de garantia e o nível AVA_VAN do produto de TIC certificado;

(b)

A identificação única do certificado, constituída pelos seguintes elementos:

(1)	O nome do sistema;

(2)	O nome e o número de referência da acreditação do organismo de certificação que emitiu o certificado;

(3)	O ano e o mês de emissão;

(4)	O número de identificação atribuído pelo organismo de certificação que emitiu o certificado.

4. A marca e o rótulo devem ser acompanhados de um código QR com uma hiperligação para um sítio Web em que figurem, pelo menos:

(a)	As informações sobre a validade do certificado;

(b)	As informações necessárias sobre a certificação, previstas nos anexos V e VII;

(c)	As informações a disponibilizar publicamente pelo titular do certificado, em conformidade com o artigo 55.o do Regulamento (UE) 2019/881; e

(d)	Quando aplicável, as informações históricas relacionadas com a certificação ou certificações específicas do produto de TIC para permitir a rastreabilidade.

Artigo 12.o

Período de validade de um certificado EUCC

1. O organismo de certificação deve fixar um período de validade para cada certificado EUCC emitido, tendo em conta as características do produto de TIC certificado.

2. O período de validade do certificado EUCC não pode exceder cinco anos.

3. Em derrogação do disposto no n.o 2, esse período pode ser superior a cinco anos, sob reserva de aprovação prévia pela autoridade nacional de certificação da cibersegurança. A autoridade nacional de certificação da cibersegurança deve notificar sem demora o Grupo Europeu para a Certificação da Cibersegurança da aprovação concedida.

Artigo 13.o

Revisão de um certificado EUCC

1. A pedido do titular do certificado ou por outras razões justificadas, o organismo de certificação pode decidir rever o certificado EUCC de um produto de TIC. A revisão é efetuada em conformidade com o anexo IV. O organismo de certificação determina o âmbito da revisão. Se necessário para a revisão, o organismo de certificação solicita ao ITSEF que efetue uma reavaliação do produto de TIC certificado.

2. Na sequência dos resultados da revisão e, se for caso disso, da reavaliação, o organismo de certificação:

(a)	Confirma o certificado EUCC;

(b)	Retira o certificado EUCC em conformidade com o artigo 14.o;

(c)	Retira o certificado EUCC em conformidade com o artigo 14.o e emite um novo certificado EUCC com um âmbito idêntico e um período de validade alargado; ou

(d)	Retira o certificado EUCC em conformidade com o artigo 14.o e emite um novo certificado EUCC com um âmbito diferente.

3. O organismo de certificação pode decidir suspender, sem demora injustificada, o certificado EUCC em conformidade com o artigo 30.o, até que o titular do certificado EUCC aplique medidas corretivas.

Artigo 14.o

Retirada de um certificado EUCC

1. Sem prejuízo do disposto no artigo 58.o, n.o 8, alínea e), do Regulamento (UE) 2019/881, um certificado EUCC é retirado pelo organismo de certificação que o emitiu.

2. O organismo de certificação a que se refere o n.o 1 deve notificar a autoridade nacional de certificação da cibersegurança da retirada do certificado. Deve também notificar a ENISA dessa retirada, a fim de facilitar o desempenho das funções previstas no artigo 50.o do Regulamento (UE) 2019/881. A autoridade nacional de certificação da cibersegurança deve notificar as outras autoridades de fiscalização do mercado competentes.

3. O titular de um certificado EUCC pode solicitar a retirada do certificado.

CAPÍTULO III

CERTIFICAÇÃO DE PERFIS DE PROTEÇÃO

SECÇÃO I

Normas e requisitos de avaliação específicos

Artigo 15.o

Critérios e métodos de avaliação

1. Um perfil de proteção deve ser avaliado, no mínimo, de acordo com os seguintes critérios:

(a)	Os elementos aplicáveis das normas a que se refere o artigo 3.o;

(b)	O nível de risco associado à utilização prevista dos produtos de TIC em causa, nos termos do artigo 52.o do Regulamento (UE) 2019/881, e as suas funções de segurança que apoiam os objetivos de segurança estabelecidos no artigo 51.o do mesmo regulamento; e

(c)	Os documentos sobre o estado da arte aplicáveis enumerados no anexo I. Um perfil de proteção abrangido por um domínio técnico deve ser certificado em relação aos requisitos estabelecidos nesse domínio técnico.

2. Em casos excecionais e devidamente justificados, um organismo de avaliação da conformidade pode certificar um perfil de proteção sem aplicar os documentos sobre o estado da arte pertinentes. Nesses casos, deve informar a autoridade nacional de certificação da cibersegurança competente, fornecendo uma justificação para a certificação sem aplicação dos documentos sobre o estado da arte pertinentes pretendida e a proposta de metodologia de avaliação. A autoridade nacional de certificação da cibersegurança avalia a justificação e, se fundada, aprova a não aplicação dos documentos sobre o estado da arte pertinentes, aprovando ou alterando ainda, se for caso disso, a metodologia de avaliação a aplicar pelo organismo de avaliação da conformidade. Na pendência da decisão da autoridade nacional de certificação da cibersegurança, o organismo de avaliação da conformidade não emite qualquer certificado para o perfil de proteção. A autoridade nacional de certificação da cibersegurança notifica, sem demora injustificada, a autorização de não aplicação dos documentos sobre o estado da arte pertinentes ao Grupo Europeu para a Certificação da Cibersegurança, que pode emitir um parecer. A autoridade nacional de certificação da cibersegurança deve ter na máxima conta o parecer do Grupo Europeu para a Certificação da Cibersegurança.

SECÇÃO II

Emissão, renovação e retirada de certificados EUCC para perfis de proteção

Artigo 16.o

Informações necessárias para a certificação de perfis de proteção

O requerente da certificação de um perfil de proteção deve fornecer ou de outro modo disponibilizar ao organismo de certificação e ao ITSEF todas as informações necessárias para as atividades de certificação. É aplicável, mutatis mutandis, o artigo 8.o, n.os 2, 3, 4 e 7.

Artigo 17.o

Emissão de certificados EUCC para perfis de proteção

1. O requerente da certificação deve fornecer ao organismo de certificação e ao ITSEF todas as informações necessárias, completas e corretas.

2. São aplicáveis, mutatis mutandis, os artigos 9.o e 10.o.

3. Cabe ao ITSEF avaliar se um perfil de proteção é completo, coerente, tecnicamente sólido e eficaz para a utilização prevista e os objetivos de segurança da categoria de produtos de TIC abrangida por esse perfil de proteção.

4. O perfil de proteção deve ser certificado exclusivamente por:

(a)	Uma autoridade nacional de certificação da cibersegurança ou outro organismo público acreditado como organismo de certificação;

(b)	Um organismo de certificação, mediante aprovação prévia da autoridade nacional de certificação da cibersegurança para cada perfil de proteção individual.

Artigo 18.o

Período de validade de um certificado EUCC para perfis de proteção

1. O organismo de certificação deve fixar um período de validade para cada certificado EUCC.

2. O período de validade pode prolongar-se até ao fim da duração do perfil de proteção em causa.

Artigo 19.o

Revisão de um certificado EUCC para perfis de proteção

1. A pedido do titular do certificado ou por outras razões justificadas, o organismo de certificação pode decidir rever um certificado EUCC para um perfil de proteção. A revisão deve ser efetuada mediante a aplicação das condições previstas no artigo 15.o. O organismo de certificação determina o âmbito da revisão. Se necessário para a revisão, o organismo de certificação solicita ao ITSEF que efetue uma reavaliação do perfil de proteção certificado.

2. Na sequência dos resultados da revisão e, se for caso disso, da reavaliação, o organismo de certificação procede de uma das seguintes formas:

(a)	Confirma o certificado EUCC;

(b)	Retira o certificado EUCC em conformidade com o artigo 20.o;

(c)	Retira o certificado EUCC em conformidade com o artigo 20.o e emite um novo certificado EUCC com um âmbito idêntico e um período de validade alargado;

(d)	Retira o certificado EUCC em conformidade com o artigo 20.o e emite um novo certificado EUCC com um âmbito diferente.

Artigo 20.o

Retirada de um certificado EUCC de um perfil de proteção

1. Sem prejuízo do disposto no artigo 58.o, n.o 8, alínea e), do Regulamento (UE) 2019/881, o certificado EUCC de um perfil de proteção é retirado pelo organismo de certificação que o emitiu. É aplicável, mutatis mutandis, o artigo 14.o.

2. Um certificado de um perfil de proteção emitido em conformidade com o artigo 17.o, n.o 4, alínea b), é retirado pela autoridade nacional de certificação da cibersegurança que o aprovou.

CAPÍTULO IV

ORGANISMOS DE AVALIAÇÃO DA CONFORMIDADE

Artigo 21.o

Requisitos adicionais ou específicos aplicáveis a um organismo de certificação

1. Um organismo de certificação é autorizado pela autoridade nacional de certificação da cibersegurança a emitir certificados EUCC de nível de garantia «elevado» sempre que demonstre que, para além de preencher os requisitos estabelecidos no artigo 60.o, n.o 1, e no anexo do Regulamento (UE) 2019/881 relativo à acreditação de organismos de avaliação da conformidade, cumpre as seguintes condições:

(a)	Possui os conhecimentos especializados e as competências necessárias para a decisão sobre a certificação de nível de garantia «elevado»;

(b)	Exerce as suas atividades de certificação em cooperação com um ITSEF autorizado, em conformidade com o artigo 22.o; e

(c)	Possui as competências necessárias e aplica as medidas técnicas e operacionais adequadas para proteger eficazmente as informações confidenciais e sensíveis no nível de garantia «elevado», para além dos requisitos estabelecidos no artigo 43.o.

2. A autoridade nacional de certificação da cibersegurança avalia se o organismo de certificação preenche todos os requisitos previstos no n.o 1. Essa avaliação deve incluir, pelo menos, entrevistas estruturadas e uma análise de uma certificação piloto efetuada pelo organismo de certificação em conformidade com o presente regulamento.

Na sua avaliação, a autoridade nacional de certificação da cibersegurança pode reutilizar quaisquer elementos de prova adequados de autorizações prévias ou atividades similares aprovadas nos termos:

(a)	Do presente regulamento;

(b)	De outro sistema europeu de certificação da cibersegurança adotado nos termos do artigo 49.o do Regulamento (UE) 2019/881;

(c)	De um sistema nacional a que se refere o artigo 49.o do presente regulamento.

3. A autoridade nacional de certificação da cibersegurança elabora um relatório de autorização sujeito a uma análise pelos pares, em conformidade com o artigo 59.o, n.o 3, alínea d), do Regulamento (UE) 2019/881.

4. A autoridade nacional de certificação da cibersegurança especifica as categorias de produtos de TIC e os perfis de proteção a que a autorização se aplica. A autorização é válida por um período não superior à validade da acreditação. Pode ser renovada mediante pedido, desde que o organismo de certificação continue a cumprir os requisitos estabelecidos no presente artigo. Para a renovação da autorização, não são exigidas avaliações piloto.

5. A autoridade nacional de certificação da cibersegurança retira a autorização ao organismo de certificação se este deixar de preencher as condições estabelecidas no presente artigo. Após a retirada da autorização, o organismo de certificação deve deixar imediatamente de se promover como organismo de certificação autorizado.

Artigo 22.o

Requisitos adicionais ou específicos aplicáveis a um ITSEF

1. Um ITSEF é autorizado pela autoridade nacional de certificação da cibersegurança a efetuar a avaliação de produtos de TIC sujeitos a certificação no nível de garantia «elevado» sempre que demonstre que, para além de preencher os requisitos estabelecidos no artigo 60.o, n.o 1, e no anexo do Regulamento (UE) 2019/881 relativo à acreditação de organismos de avaliação da conformidade, cumpre todas as seguintes condições:

(a)	Possui os conhecimentos especializados necessários para realizar as atividades de avaliação que visam determinar a resistência a ciberataques sofisticados levados a cabo por autores com competências e recursos significativos;

(b)

Para os domínios técnicos e perfis de proteção, que fazem parte do processo de TIC para esses produtos de TIC, possui:

(1)

Os conhecimentos especializados para realizar as atividades de avaliação específicas necessárias para determinar metodicamente a resistência de um alvo de avaliação contra atacantes competentes no seu ambiente operacional, assumindo um potencial de ataque «moderado» ou «elevado», conforme estabelecido nas normas a que se refere o artigo 3.o;

(2)	As competências técnicas especificadas nos documentos sobre o estado da arte enumerados no anexo I;

(c)	Possui as competências necessárias e aplica as medidas técnicas e operacionais adequadas para proteger eficazmente as informações confidenciais e sensíveis no nível de garantia «elevado», para além dos requisitos estabelecidos no artigo 43.o.

2. A autoridade nacional de certificação da cibersegurança avalia se o ITSEF preenche todos os requisitos previstos no n.o 1. Essa avaliação deve incluir, pelo menos, entrevistas estruturadas e uma análise de uma avaliação piloto efetuada pelo ITSEF em conformidade com o presente regulamento.

3. Na sua avaliação, a autoridade nacional de certificação da cibersegurança pode reutilizar quaisquer elementos de prova adequados de autorizações prévias ou atividades similares aprovadas nos termos:

(a)	Do presente regulamento;

(b)	De outro sistema europeu de certificação da cibersegurança adotado nos termos do artigo 49.o do Regulamento (UE) 2019/881;

(c)	De um sistema nacional a que se refere o artigo 49.o do presente regulamento.

4. A autoridade nacional de certificação da cibersegurança elabora um relatório de autorização sujeito a uma análise pelos pares, em conformidade com o artigo 59.o, n.o 3, alínea d), do Regulamento (UE) 2019/881.

5. A autoridade nacional de certificação da cibersegurança especifica as categorias de produtos de TIC e os perfis de proteção a que a autorização se aplica. A autorização é válida por um período não superior à validade da acreditação. Pode ser renovada mediante pedido, desde que o ITSEF continue a cumprir os requisitos estabelecidos no presente artigo. Para a renovação da autorização, não devem ser exigidas avaliações piloto.

6. A autoridade nacional de certificação da cibersegurança retira a autorização ao ITSEF se este deixar de preencher as condições estabelecidas no presente artigo. Após a retirada da autorização, o ITSEF deve deixar de se promover como ITSEF autorizado.

Artigo 23.o

Notificação dos organismos de certificação

1. A autoridade nacional de certificação da cibersegurança deve notificar a Comissão dos organismos de certificação existentes no seu território competentes para certificar no nível de garantia «substancial» com base na sua acreditação.

2. A autoridade nacional de certificação da cibersegurança deve notificar a Comissão dos organismos de certificação existentes no seu território competentes para certificar no nível de garantia «elevado» com base na sua acreditação e na decisão sobre a autorização.

3. Ao notificar a Comissão relativamente aos organismos de certificação, a autoridade nacional de certificação da cibersegurança deve fornecer, pelo menos, as seguintes informações:

(a)	O nível ou níveis de garantia para os quais o organismo de certificação tem competência para emitir certificados EUCC;

(b)

As seguintes informações relacionadas com a acreditação:

(1)	Data da acreditação;

(2)	Nome e endereço do organismo de certificação;

(3)	País de registo do organismo de certificação;

(4)	Número de referência da acreditação;

(5)	Âmbito e período de validade da acreditação;

(6)	Endereço, localização e hiperligação para o sítio Web pertinente do organismo de avaliação da conformidade; e

(c)

As seguintes informações relativas à autorização para o nível «elevado»:

(1)	Data da autorização;

(2)	Número de referência da autorização;

(3)	Período de validade da autorização;

(4)	Âmbito da autorização, incluindo o nível AVA_VAN mais elevado e, se for caso disso, o domínio técnico abrangido.

4. A autoridade nacional de certificação da cibersegurança deve enviar uma cópia da notificação a que se referem os n.os 1 e 2 à ENISA para que esta publique no sítio Web dedicado à certificação da cibersegurança informações exatas sobre a elegibilidade dos organismos de certificação.

5. A autoridade nacional de certificação da cibersegurança deve analisar, sem demora injustificada, qualquer informação relativa a uma alteração do estado da acreditação apresentada pelo organismo nacional de acreditação. Se a acreditação ou a autorização tiverem sido retiradas, a autoridade nacional de certificação da cibersegurança deve informar a Comissão desse facto e pode apresentar-lhe um pedido em conformidade com o artigo 61.o, n.o 4, do Regulamento (UE) 2019/881.

Artigo 24.o

Notificação do ITSEF

As obrigações de notificação das autoridades nacionais de certificação da cibersegurança previstas no artigo 23.o são igualmente aplicáveis ao ITSEF. A notificação deve incluir o endereço do ITSEF, a acreditação válida e, se for caso disso, a autorização válida desse ITSEF.

CAPÍTULO V

CONTROLO, NÃO CONFORMIDADE E INCUMPRIMENTO

SECÇÃO I

Controlo do cumprimento

Artigo 25.o

Atividades de controlo pela autoridade nacional de certificação da cibersegurança

1. Sem prejuízo do disposto no artigo 58.o, n.o 7, do Regulamento (UE) 2019/881, a autoridade nacional de certificação da cibersegurança controla:

(a)	Se o organismo de certificação e o ITSEF cumprem as obrigações que lhes incumbem por força do presente regulamento e do Regulamento (UE) 2019/881;

(b)	Se os titulares de um certificado EUCC cumprem as obrigações que lhes incumbem por força do presente regulamento e do Regulamento (UE) 2019/881;

(c)	Se os produtos de TIC certificados cumprem os requisitos estabelecidos no EUCC;

(d)	A adequação da garantia indicada no certificado EUCC para fazer face à evolução do cenário de ameaças.

2. A autoridade nacional de certificação da cibersegurança efetua as suas atividades de controlo, nomeadamente com base:

(a)	Nas informações provenientes dos organismos de certificação, dos organismos nacionais de acreditação e das autoridades de fiscalização do mercado competentes;

(b)	Nas informações resultantes de auditorias e de investigações efetuadas pela própria autoridade ou por outra autoridade;

(c)	Na amostragem efetuada em conformidade com o n.o 3;

(d)	Nas reclamações recebidas.

3. A autoridade nacional de certificação da cibersegurança, em cooperação com outras autoridades de fiscalização do mercado, recolhe anualmente amostras de, pelo menos, 4 % dos certificados EUCC, conforme determinado por uma avaliação dos riscos. A pedido da autoridade nacional de certificação da cibersegurança competente e agindo em nome da mesma, os organismos de certificação e, se necessário, o ITSEF assistem essa autoridade no controlo da conformidade.

4. A autoridade nacional de certificação da cibersegurança seleciona a amostra de produtos de TIC certificados a verificar com base em critérios objetivos, nomeadamente:

(a)	A categoria do produto;

(b)	Os níveis de garantia dos produtos;

(c)	O titular de um certificado;

(d)	O organismo de certificação e, se for caso disso, o ITSEF subcontratado;

(e)	Quaisquer outras informações levadas ao conhecimento da autoridade.

5. A autoridade nacional de certificação da cibersegurança deve informar os titulares do certificado EUCC sobre os produtos de TIC selecionados e os critérios de seleção.

6. A pedido da autoridade nacional de certificação da cibersegurança, o organismo de certificação que certificou o produto de TIC incluído na amostra, com a assistência do respetivo ITSEF, deve efetuar uma análise adicional de acordo com o procedimento previsto no anexo IV, secção IV.2, e informar a referida autoridade nacional dos resultados.

7. Se a autoridade nacional de certificação da cibersegurança tiver razões suficientes para crer que um produto de TIC certificado deixou de estar em conformidade com o presente regulamento ou com o Regulamento (UE) 2019/881, pode realizar investigações ou recorrer a quaisquer outras competências de controlo previstas no artigo 58.o, n.o 8, do Regulamento (UE) 2019/881.

8. A autoridade nacional de certificação da cibersegurança deve informar o organismo de certificação e o ITSEF em causa sobre as investigações em curso relativas aos produtos de TIC selecionados.

9. Sempre que a autoridade nacional de certificação da cibersegurança identificar que uma investigação em curso diz respeito a produtos de TIC certificados por organismos de certificação estabelecidos noutros Estados-Membros, deve informar desse facto as autoridades nacionais de certificação da cibersegurança dos Estados-Membros em causa, para que colaborem nas investigações, quando pertinente. Essa autoridade nacional de certificação da cibersegurança também deve notificar o Grupo Europeu para a Certificação da Cibersegurança das investigações transfronteiriças e dos resultados subsequentes.

Artigo 26.o

Atividades de controlo pelo organismo de certificação

1. O organismo de certificação controla:

(a)	Se os titulares de um certificado cumprem as obrigações que lhes incumbem por força do presente regulamento e do Regulamento (UE) 2019/881 relativamente ao certificado EUCC emitido pelo organismo de certificação;

(b)	Se os produtos de TIC que certificou cumprem os respetivos requisitos de segurança;

(c)	A adequação da garantia indicada nos perfis de proteção certificados.

2. O organismo de certificação desempenha as suas atividades de controlo com base:

(a)	Nas informações fornecidas em conformidade com os compromissos do requerente da certificação referidos no artigo 9.o, n.o 2;

(b)	Nas informações resultantes das atividades de outras autoridades de fiscalização do mercado competentes;

(c)	Nas reclamações recebidas;

(d)	Nas informações sobre as vulnerabilidades passíveis de afetar os produtos de TIC que certificou.

3. A autoridade nacional de certificação da cibersegurança pode elaborar regras para um diálogo periódico entre os organismos de certificação e os titulares de certificados EUCC, a fim de verificar e comunicar o cumprimento dos compromissos assumidos nos termos do artigo 9.o, n.o 2, sem prejuízo das atividades relacionadas com outras autoridades de fiscalização do mercado competentes.

Artigo 27.o

Atividades de controlo pelo titular do certificado

1. O titular de um certificado EUCC deve executar as seguintes tarefas para controlar a conformidade do produto de TIC certificado com os seus requisitos de segurança:

(a)

Controlar as informações sobre as vulnerabilidades relativas ao produto de TIC certificado, incluindo as dependências conhecidas, pelos seus próprios meios, mas também tendo em conta:

(1)	A publicação ou apresentação de informações sobre vulnerabilidades por um utilizador ou por um investigador em matéria de segurança a que se refere o artigo 55.o, n.o 1, alínea c), do Regulamento (UE) 2019/881;

(2)	Informações apresentadas por qualquer outra fonte;

(b)	Controlar a garantia indicada no certificado EUCC.

2. O titular de um certificado EUCC deve trabalhar em cooperação com o organismo de certificação, com o ITSEF e, se for caso disso, com a autoridade nacional de certificação da cibersegurança a fim de apoiar as suas atividades de controlo.

SECÇÃO II

Conformidade e cumprimento

Artigo 28.o

Consequências da não conformidade de um produto de TIC certificado ou de um perfil de proteção certificado

1. Se um produto de TIC certificado ou um perfil de proteção certificado não estiver em conformidade com os requisitos estabelecidos no presente regulamento e no Regulamento (UE) 2019/881, o organismo de certificação deve informar o titular do certificado EUCC sobre a não conformidade identificada e solicitar a adoção de medidas corretivas.

2. Sempre que um caso de não conformidade com as disposições do presente regulamento possa afetar o cumprimento de outra legislação aplicável da União, que preveja a possibilidade de demonstrar a presunção de conformidade com os requisitos desse ato jurídico utilizando o certificado EUCC, o organismo de certificação deve informar sem demora a autoridade nacional de certificação da cibersegurança. A autoridade nacional de certificação da cibersegurança deve notificar imediatamente o caso de não conformidade identificado à autoridade de fiscalização do mercado responsável por esse outro ato legislativo da União aplicável.

3. Após a receção das informações referidas no n.o 1, o titular do certificado EUCC deve propor ao organismo de certificação, no prazo por este fixado, que não pode ser superior a 30 dias, as medidas corretivas necessárias para corrigir a não conformidade.

4. O organismo de certificação pode suspender, sem demora injustificada, o certificado EUCC em conformidade com o artigo 30.o em caso de emergência ou se o titular do certificado EUCC não cooperar devidamente com o organismo de certificação.

5. O organismo de certificação deve efetuar uma revisão em conformidade com os artigos 13.o e 19.o, avaliando se as medidas corretivas corrigem a não conformidade.

6. Se o titular do certificado EUCC não propuser medidas corretivas adequadas no prazo referido no n.o 3, o certificado é suspenso, em conformidade com o artigo 30.o, ou retirado, em conformidade com os artigos 14.o ou 20.o.

7. O presente artigo não é aplicável aos casos de vulnerabilidades que afetem um produto de TIC certificado, que devem ser tratados em conformidade com o capítulo VI.

Artigo 29.o

Consequências do incumprimento pelo titular do certificado

1. Se o organismo de certificação constatar que:

(a)	O titular do certificado EUCC ou o requerente da certificação não cumpre os seus compromissos e obrigações estabelecidos no artigo 9.o, n.o 2, no artigo 17.o, n.o 2, e nos artigos 27.o e 41.o; ou

(b)	O titular do certificado EUCC não cumpre o disposto no artigo 56.o, n.o 8, do Regulamento (UE) 2019/881 ou o capítulo VI do presente regulamento; deve fixar um prazo não superior a 30 dias para que o titular do certificado EUCC adote medidas corretivas.

2. Se o titular do certificado EUCC não propuser medidas corretivas adequadas no prazo referido no n.o 1, o certificado é suspenso, em conformidade com o artigo 30.o, ou retirado, em conformidade com os artigos 14.o e 20.o.

3. A violação continuada ou recorrente das obrigações a que se refere o n.o 1 por parte do titular do certificado EUCC resulta na retirada do certificado EUCC, em conformidade com o artigo 14.o ou o artigo 20.o.

4. O organismo de certificação deve informar a autoridade nacional de certificação da cibersegurança das conclusões a que se refere o n.o 1. Se o caso de incumprimento afetar o cumprimento de outra legislação aplicável da União, a autoridade nacional de certificação da cibersegurança deve notificar imediatamente a autoridade de fiscalização do mercado responsável por essa outra legislação aplicável da União do caso de incumprimento identificado.

Artigo 30.o

Suspensão do certificado EUCC

1. Sempre que o presente regulamento se refira à suspensão de um certificado EUCC, o organismo de certificação suspende o certificado EUCC em causa por um período adequado às circunstâncias que desencadearam a suspensão, que não pode exceder 42 dias. O período de suspensão começa a decorrer no dia seguinte ao dia da decisão do organismo de certificação. A suspensão não afeta a validade do certificado.

2. O organismo de certificação deve notificar o titular do certificado e a autoridade nacional de certificação da cibersegurança da suspensão, sem demora injustificada, e indicar os motivos da suspensão, as medidas solicitadas a adotar e o período de suspensão.

3. Os titulares de certificados devem notificar os adquirentes dos produtos de TIC em causa da suspensão e dos motivos subjacentes apresentados pelo organismo de certificação, exceto as partes dos motivos cuja partilha possa constituir um risco de segurança ou que contenham informações sensíveis. O titular do certificado deve igualmente disponibilizar estas informações ao público.

4. Sempre que outra legislação aplicável da União preveja uma presunção de conformidade baseada em certificados emitidos ao abrigo das disposições do presente regulamento, a autoridade nacional de certificação da cibersegurança deve informar a autoridade de fiscalização do mercado responsável por essa outra legislação aplicável da União sobre a suspensão.

5. A suspensão de um certificado deve ser notificada à ENISA nos termos do artigo 42.o, n.o 3.

6. Em casos devidamente justificados, a autoridade nacional de certificação da cibersegurança pode autorizar a prorrogação do período de suspensão de um certificado EUCC. O período total de suspensão não pode exceder um ano.

Artigo 31.o

Consequências do incumprimento pelo organismo de avaliação da conformidade

1. Caso um organismo de certificação não cumpra as suas obrigações, ou caso se veja em situação de incumprimento na sequência da identificação do incumprimento de um ITSEF, a autoridade nacional de certificação da cibersegurança deve, sem demora injustificada:

(a)	Identificar, com o apoio do ITSEF em causa, os certificados EUCC potencialmente afetados;

(b)

Sempre que necessário, solicitar a realização de atividades de avaliação de um ou mais produtos de TIC ou perfis de proteção, quer ao ITSEF que realizou a avaliação quer a qualquer outro ITSEF acreditado e, se for caso disso, autorizado, que possa estar em melhor posição do ponto de vista técnico para apoiar essa identificação;

(c)	Analisar os impactos do incumprimento;

(d)	Notificar o titular do certificado EUCC afetado pelo incumprimento.

2. Com base nas medidas referidas no n.o 1, o organismo de certificação deve adotar uma das seguintes decisões relativas a cada certificado EUCC afetado:

(a)	Manter o certificado EUCC inalterado;

(b)	Retirar o certificado EUCC em conformidade com o artigo 14.o ou o artigo 20.o e, sempre que adequado, emitir um novo certificado EUCC.

3. Com base nas medidas referidas no n.o 1, a autoridade nacional de certificação da cibersegurança deve:

(a)	Sempre que necessário, comunicar o incumprimento do organismo de certificação ou do ITSEF conexo ao organismo de acreditação nacional;

(b)	Quando pertinente, avaliar o potencial impacto na autorização.

CAPÍTULO VI

GESTÃO E DIVULGAÇÃO DAS VULNERABILIDADES

Artigo 32.o

Âmbito da gestão das vulnerabilidades

O presente capítulo é aplicável aos produtos de TIC para os quais foi emitido um certificado EUCC.

SECÇÃO I

Gestão das vulnerabilidades

Artigo 33.o

Procedimentos de gestão das vulnerabilidades

1. O titular de um certificado EUCC deve estabelecer e manter todos os procedimentos de gestão das vulnerabilidades necessários, em conformidade com as regras estabelecidas na presente secção e, sempre que necessário, complementadas pelos procedimentos definidos na norma EN ISO/IEC 30111.

2. O titular de um certificado EUCC deve manter e publicar os métodos adequados para receber informações sobre as vulnerabilidades relacionadas com os seus produtos provenientes de fontes externas, designadamente utilizadores, organismos de certificação e investigadores em matéria de segurança.

3. Sempre que um titular de um certificado EUCC detete ou receba informações sobre uma potencial vulnerabilidade que afete um produto de TIC certificado, deve registá-lo e efetuar uma análise do impacto da vulnerabilidade.

4. Sempre que uma potencial vulnerabilidade afete um produto composto, o titular do certificado EUCC deve informar o titular de certificados de EUCC dependentes sobre a mesma.

5. Em resposta a um pedido razoável do organismo de certificação que emitiu o certificado, o titular de um certificado EUCC deve transmitir-lhe todas as informações pertinentes sobre potenciais vulnerabilidades.

Artigo 34.o

Análise do impacto das vulnerabilidades

1. A análise do impacto das vulnerabilidades deve referir-se ao alvo da avaliação e às declarações de fiabilidade constantes do certificado. A análise do impacto das vulnerabilidades deve ser realizada num prazo adequado tendo em conta a explorabilidade e a criticidade da potencial vulnerabilidade do produto de TIC certificado.

2. Se for caso disso, deve ser efetuado um cálculo do potencial de ataque de acordo com a metodologia pertinente constante das normas a que se refere o artigo 3.o e com os documentos sobre o estado da arte pertinentes enumerados no anexo I, a fim de determinar a explorabilidade da vulnerabilidade. Deve ser tido em conta o nível AVA_VAN do certificado EUCC.

Artigo 35.o

Relatório de análise do impacto das vulnerabilidades

1. Se a análise do impacto mostrar que a vulnerabilidade tem um impacto provável na conformidade do produto de TIC com o seu certificado, o titular deve elaborar um relatório de análise do impacto da mesma.

2. O relatório de análise do impacto da vulnerabilidade deve conter uma avaliação dos seguintes elementos:

(a)	O impacto da vulnerabilidade no produto de TIC certificado;

(b)	Os possíveis riscos associados à proximidade ou exequibilidade de um ataque;

(c)	Se a vulnerabilidade pode ou não ser corrigida;

(d)	Caso a vulnerabilidade seja suscetível de ser corrigida, possíveis soluções para a vulnerabilidade.

3. O relatório de análise do impacto da vulnerabilidade deve, se for caso disso, conter pormenores sobre os possíveis meios de exploração da vulnerabilidade. As informações relativas aos possíveis meios de exploração da vulnerabilidade devem ser tratadas de acordo com as medidas de segurança aplicáveis a fim de proteger a sua confidencialidade e assegurar, sempre que necessário, a sua distribuição limitada.

4. O titular de um certificado EUCC transmite, sem demora injustificada, o relatório de análise do impacto da vulnerabilidade ao organismo de certificação ou à autoridade nacional de certificação da cibersegurança, em conformidade com o artigo 56.o, n.o 8, do Regulamento (UE) 2019/881.

5. Se o relatório de análise do impacto da vulnerabilidade determinar que a vulnerabilidade não é residual, na aceção das normas referidas no artigo 3.o, e que pode ser corrigida, aplica-se o artigo 36.o.

6. Se o relatório de análise do impacto da vulnerabilidade determinar que a vulnerabilidade não é residual e que não pode ser corrigida, o certificado EUCC deve ser retirado em conformidade com o artigo 14.o.

7. O titular do certificado EUCC deve controlar as vulnerabilidades residuais para garantir que não possam ser exploradas em caso de alterações no ambiente operacional.

Artigo 36.o

Correção da vulnerabilidade

O titular de um certificado EUCC deve apresentar ao organismo de certificação uma proposta de medidas corretivas adequadas. O organismo de certificação revê o certificado, em conformidade com o artigo 13.o. O âmbito da revisão é determinado pela proposta de correção da vulnerabilidade.

SECÇÃO II

Divulgação das vulnerabilidades

Artigo 37.o

Informações partilhadas com a autoridade nacional de certificação da cibersegurança

1. As informações fornecidas pelo organismo de certificação à autoridade nacional de certificação da cibersegurança devem incluir todos os elementos necessários para que esta autoridade compreenda o impacto da vulnerabilidade, as alterações a introduzir no produto de TIC e, se disponíveis, quaisquer informações do organismo de certificação sobre as implicações mais vastas da vulnerabilidade para outros produtos de TIC certificados.

2. As informações fornecidas em conformidade com o n.o 1 não podem conter pormenores sobre os meios de exploração da vulnerabilidade. Esta disposição não prejudica os poderes de investigação da autoridade nacional de certificação da cibersegurança.

Artigo 38.o

Cooperação com outras autoridades nacionais de certificação da cibersegurança

1. A autoridade nacional de certificação da cibersegurança deve partilhar as informações pertinentes recebidas nos termos do artigo 37.o com outras autoridades nacionais de certificação da cibersegurança e com a ENISA.

2. Outras autoridades nacionais de certificação da cibersegurança podem decidir aprofundar a análise da vulnerabilidade ou, depois de informarem o titular do certificado EUCC, solicitar aos organismos de certificação competentes que avaliem se a vulnerabilidade é suscetível de afetar outros produtos de TIC certificados.

Artigo 39.o

Publicação da vulnerabilidade

Após a retirada de um certificado, o titular do certificado EUCC deve divulgar e inscrever qualquer vulnerabilidade publicamente conhecida e corrigida no produto de TIC na base de dados europeia de vulnerabilidades, criada em conformidade com o artigo 12.o da Diretiva (UE) 2022/2555 do Parlamento Europeu e do Conselho (5), ou noutros repositórios em linha referidos no artigo 55.o, n.o 1, alínea d), do Regulamento (UE) 2019/881.

CAPÍTULO VII

CONSERVAÇÃO, DIVULGAÇÃO E PROTEÇÃO DAS INFORMAÇÕES

Artigo 40.o

Conservação de registos pelos organismos de certificação e pelo ITSEF

1. O ITSEF e os organismos de certificação devem manter um sistema de registos, que contenha todos os documentos produzidos no âmbito de cada avaliação e certificação que realizam.

2. Os organismos de certificação e o ITSEF devem conservar os registos de forma segura e mantê-los durante o período necessário para efeitos do presente regulamento e durante, pelo menos, cinco anos após a retirada do certificado EUCC em causa. Quando o organismo de certificação emitir um novo certificado EUCC em conformidade com o artigo 13.o, n.o 2, alínea c), deve conservar a documentação do certificado EUCC retirado, juntamente com a documentação do novo certificado EUCC e por igual período de tempo.

Artigo 41.o

Informações disponibilizadas pelo titular de um certificado

1. As informações a que se refere o artigo 55.o do Regulamento (UE) 2019/881 devem estar disponíveis numa língua que possa ser facilmente compreendida pelos utilizadores.

2. O titular de um certificado EUCC deve conservar, de forma segura, as seguintes informações durante o período necessário para efeitos do presente regulamento e durante, pelo menos, cinco anos após a retirada do certificado EUCC em causa:

(a)	Registos das informações fornecidas ao organismo de certificação e ao ITSEF durante o processo de certificação;

(b)	Exemplar do produto de TIC certificado.

3. Quando o organismo de certificação emitir um novo certificado EUCC em conformidade com o artigo 13.o, n.o 2, alínea c), o titular deve conservar a documentação do certificado EUCC retirado, juntamente com a documentação do novo certificado EUCC e por igual período de tempo.

4. A pedido do organismo de certificação ou da autoridade nacional de certificação da cibersegurança, o titular de um certificado EUCC deve disponibilizar os registos e as cópias a que se refere o n.o 2.

Artigo 42.o

Informações a disponibilizar pela ENISA

1. A ENISA publica as seguintes informações no sítio Web referido no artigo 50.o, n.o 1, do Regulamento (UE) 2019/881:

(a)	Todos os certificados EUCC;

(b)	As informações sobre o estado de um certificado EUCC, nomeadamente se está em vigor, suspenso, se foi retirado ou se caducou;

(c)	Relatórios de certificação correspondentes a cada certificado EUCC;

(d)	Lista dos organismos de avaliação da conformidade acreditados;

(e)	Lista dos organismos de avaliação da conformidade autorizados;

(f)	Documentos sobre o estado da arte enumerados no anexo I;

(g)	Pareceres do Grupo Europeu para a Certificação da Cibersegurança referidos no artigo 62.o, n.o 4, alínea c), do Regulamento (UE) 2019/881;

(h)	Relatórios de avaliação pelos pares emitidos em conformidade com o artigo 47.o.

2. As informações a que se refere o n.o 1 são disponibilizadas, pelo menos, em inglês.

3. Os organismos de certificação e, se for caso disso, as autoridades nacionais de certificação da cibersegurança devem informar sem demora a ENISA das suas decisões que afetem o conteúdo ou o estado de um certificado EUCC a que se refere o n.o 1, alínea b).

4. A ENISA assegura que as informações publicadas em conformidade com o n.o 1, alíneas a), b) e c), identificam claramente as versões de um produto de TIC certificado abrangidas por um certificado EUCC.

Artigo 43.o

Proteção da informação

Os organismos de avaliação da conformidade, as autoridades nacionais de certificação da cibersegurança, o Grupo Europeu para a Certificação da Cibersegurança, a ENISA, a Comissão e todas as outras partes devem garantir a segurança e a proteção dos segredos empresariais e de outras informações confidenciais, incluindo os segredos comerciais, bem como a preservação dos direitos de propriedade intelectual, e adotar as medidas técnicas e organizativas necessárias e adequadas.

CAPÍTULO VIII

ACORDOS DE RECONHECIMENTO MÚTUO COM PAÍSES TERCEIROS

Artigo 44.o

Condições

1. Os países terceiros que pretendam certificar os seus produtos em conformidade com o presente regulamento e que desejem que essa certificação seja reconhecida na União devem celebrar um acordo de reconhecimento mútuo com a União.

2. O acordo de reconhecimento mútuo deve abranger os níveis de garantia aplicáveis aos produtos de TIC certificados e, se for caso disso, aos perfis de proteção.

3. Os acordos de reconhecimento mútuo a que se refere o n.o 1 só podem ser celebrados com países terceiros que satisfaçam as seguintes condições:

(a)

Tenham uma autoridade que:

(1)	Seja um organismo público, independente das entidades que supervisiona e controla em termos de estrutura organizativa e jurídica, financiamento e tomada de decisões;

(2)	Tenha competências de controlo e supervisão adequadas para realizar investigações e esteja habilitada a adotar medidas corretivas adequadas para assegurar o cumprimento;

(3)	Tenha um sistema de sanções eficaz, proporcionado e dissuasivo para assegurar o cumprimento;

(4)

Concorde em colaborar com o Grupo Europeu para a Certificação da Cibersegurança e com a ENISA no intercâmbio de boas práticas e de desenvolvimentos relevantes no domínio da certificação da cibersegurança e em trabalhar no sentido de uma interpretação uniforme dos critérios e métodos de avaliação atualmente aplicáveis, em especial, entre outros, através da aplicação de documentação harmonizada equivalente aos documentos sobre o estado da arte enumerados no anexo I;

(b)	Tenham um organismo de acreditação independente que efetue acreditações utilizando normas equivalentes às referidas no Regulamento (CE) n.o 765/2008;

(c)	Assumam o compromisso de que os processos e procedimentos de avaliação e certificação serão levados a cabo com o devido profissionalismo, tendo em conta o cumprimento das normas internacionais referidas no presente regulamento, em especial no artigo 3.o;

(d)	Tenham a capacidade de comunicar vulnerabilidades não detetadas anteriormente e um procedimento estabelecido e adequado de gestão e divulgação de vulnerabilidades;

(e)	Tenham procedimentos estabelecidos que lhes permitam apresentar e tratar eficazmente reclamações e proporcionar um recurso judicial efetivo aos autores das reclamações;

(f)

Criem um mecanismo de cooperação com outros organismos da União e dos Estados-Membros pertinentes para a certificação da cibersegurança nos termos do presente regulamento, designadamente a partilha de informações sobre o eventual incumprimento dos certificados, o acompanhamento dos desenvolvimentos relevantes no domínio da certificação e a garantia de uma abordagem conjunta em matéria de manutenção e revisão da certificação.

4. Para além das condições estabelecidas no n.o 3, um acordo de reconhecimento mútuo a que se refere o n.o 1 que abranja o nível de garantia «elevado» só pode ser celebrado com países terceiros se também forem satisfeitas as seguintes condições:

(a)

O país terceiro tem uma autoridade de certificação da cibersegurança independente e pública que realiza ou delega as atividades de avaliação necessárias para permitir a certificação no nível de garantia «elevado» equivalentes aos requisitos e procedimentos estabelecidos para as autoridades nacionais da cibersegurança no presente regulamento e no Regulamento (UE) 2019/881;

(b)	O acordo de reconhecimento mútuo cria um mecanismo conjunto equivalente à avaliação pelos pares para a certificação EUCC, a fim de reforçar o intercâmbio de práticas e resolver conjuntamente questões no domínio da avaliação e da certificação.

CAPÍTULO IX

AVALIAÇÃO PELOS PARES DOS ORGANISMOS DE CERTIFICAÇÃO

Artigo 45.o

Procedimento de avaliação pelos pares

1. Um organismo de certificação que emita certificados EUCC de nível de garantia «elevado» deve ser sujeito a uma avaliação pelos pares regularmente e, pelo menos, de cinco em cinco anos. Os diferentes tipos de avaliação pelos pares são enumerados no anexo VI.

2. O Grupo Europeu para a Certificação da Cibersegurança fixa e mantém um calendário de avaliações pelos pares com vista a assegurar o cumprimento dessa periodicidade. Exceto em casos devidamente justificados, as avaliações pelos pares são realizadas no local.

3. A avaliação pelos pares pode basear-se em provas recolhidas no decurso de avaliações pelos pares realizadas anteriormente ou em procedimentos equivalentes do organismo de certificação avaliado pelos pares ou da autoridade nacional de certificação da cibersegurança, desde que:

(a)	Os resultados não tenham mais de cinco anos;

(b)	Os resultados sejam acompanhados de uma descrição dos procedimentos de avaliação pelos pares estabelecidos para esse sistema, caso estejam relacionados com uma avaliação pelos pares efetuada ao abrigo de um sistema de certificação diferente;

(c)	O relatório de avaliação pelos pares a que se refere o artigo 47.o especifique quais os resultados que foram reutilizados com ou sem uma nova avaliação.

4. Sempre que uma avaliação pelos pares abranja um domínio técnico, o ITSEF em causa também deve ser avaliado.

5. O organismo de certificação avaliado pelos pares e, sempre que necessário, a autoridade nacional de certificação da cibersegurança devem assegurar que todas as informações pertinentes sejam disponibilizadas à equipa de avaliação pelos pares.

6. A avaliação pelos pares deve ser efetuada por uma equipa de avaliação pelos pares constituída em conformidade com o anexo VI.

Artigo 46.o

Fases da avaliação pelos pares

1. Durante a fase preparatória, os membros da equipa de avaliação pelos pares analisam a documentação do organismo de certificação, que abrange as suas políticas e os seus procedimentos, incluindo a utilização de documentos sobre o estado da arte.

2. Durante a fase da visita ao local, a equipa de avaliação pelos pares avalia a competência técnica do organismo e, se for caso disso, a competência de um ITSEF que tenha efetuado, pelo menos, uma avaliação de um produto de TIC abrangida pela avaliação pelos pares.

3. A duração da fase da visita ao local pode ser prolongada ou reduzida em função de fatores como a possibilidade de reutilizar provas e resultados de avaliações pelos pares existentes ou do número de ITSEF e domínios técnicos para os quais o organismo de certificação emite certificados.

4. Se pertinente, a equipa de avaliação pelos pares determina a competência técnica de cada ITSEF visitando o seu laboratório ou laboratórios técnicos e entrevistando os seus avaliadores relativamente ao domínio técnico e aos métodos de ataque específicos conexos.

5. Na fase de elaboração do relatório, a equipa de avaliação documenta as suas conclusões num relatório de avaliação pelos pares, que inclui uma decisão e, se for caso disso, uma lista de não conformidades identificadas, cada uma delas classificada por nível de criticidade.

6. O relatório de avaliação pelos pares deve ser primeiramente debatido com o organismo de certificação avaliado pelos pares. Na sequência desses debates, o organismo de certificação avaliado pelos pares fixa um calendário das medidas a adotar para dar resposta às conclusões.

Artigo 47.o

Relatório de avaliação pelos pares

1. A equipa de avaliação pelos pares fornece ao organismo de certificação avaliado pelos pares um projeto de relatório de avaliação pelos pares.

2. O organismo de certificação avaliado pelos pares deve apresentar à equipa de avaliação pelos pares observações relativas às conclusões e uma lista de compromissos para corrigir as deficiências identificadas no projeto de relatório de avaliação pelos pares.

3. A equipa de avaliação pelos pares apresenta ao Grupo Europeu para a Certificação da Cibersegurança um relatório final de avaliação pelos pares, que também inclui as observações e os compromissos assumidos pelo organismo de certificação avaliado pelos pares. A equipa de avaliação pelos pares inclui igualmente a sua posição sobre as observações e sobre se os compromissos assumidos são suficientes para corrigir as deficiências identificadas.

4. Caso sejam identificadas não conformidades no relatório de avaliação pelos pares, o Grupo Europeu para a Certificação da Cibersegurança pode fixar um prazo adequado para que o organismo de certificação avaliado pelos pares as corrija.

5. O Grupo Europeu para a Certificação da Cibersegurança adota um parecer sobre o relatório de avaliação pelos pares:

(a)

Se o relatório de avaliação pelos pares não identificar não conformidades ou se as não conformidades tiverem sido corrigidas adequadamente pelo organismo de certificação avaliado pelos pares, o Grupo Europeu para a Certificação da Cibersegurança pode emitir um parecer positivo e todos os documentos pertinentes são publicados no sítio Web da ENISA dedicado à certificação;

(b)

Se o organismo de certificação avaliado pelos pares não corrigir adequadamente as não conformidades dentro do prazo fixado, o Grupo Europeu para a Certificação da Cibersegurança pode emitir um parecer negativo, que é publicado no sítio Web da ENISA dedicado à certificação, incluindo o relatório de avaliação pelos pares e todos os documentos pertinentes.

6. Antes da publicação do parecer, todas as informações sensíveis, pessoais ou confidenciais são retiradas dos documentos publicados.

CAPÍTULO X

MANUTENÇÃO DO SISTEMA

Artigo 48.o

Manutenção do EUCC

1. A Comissão pode solicitar ao Grupo Europeu para a Certificação da Cibersegurança que adote um parecer com vista à manutenção do EUCC e que realize os trabalhos preparatórios necessários.

2. O Grupo Europeu para a Certificação da Cibersegurança pode adotar um parecer para aprovar documentos sobre o estado da arte.

3. Os documentos sobre o estado da arte aprovados pelo Grupo Europeu para a Certificação da Cibersegurança são publicados pela ENISA.

CAPÍTULO XI

DISPOSIÇÕES FINAIS

Artigo 49.o

Sistemas nacionais abrangidos pelo EUCC

1. Em conformidade com o artigo 57.o, n.o 1, do Regulamento (UE) 2019/881, e sem prejuízo do disposto no artigo 57.o, n.o 3, desse regulamento, todos os sistemas nacionais de certificação da cibersegurança e os procedimentos conexos relativos aos produtos e processos de TIC abrangidos pelo EUCC deixam de produzir efeitos 12 meses após a entrada em vigor do presente regulamento.

2. Em derrogação do artigo 50.o, é possível iniciar um processo de certificação ao abrigo de um sistema nacional de certificação da cibersegurança no prazo de 12 meses a contar da entrada em vigor do presente regulamento desde que esse processo esteja concluído, o mais tardar, 24 meses após a entrada em vigor do presente regulamento.

3. Os certificados emitidos ao abrigo de sistemas nacionais de certificação da cibersegurança podem ser sujeitos a revisão. Os novos certificados que substituam os certificados revistos são emitidos em conformidade com o presente regulamento.

Artigo 50.o

Entrada em vigor

O presente regulamento entra em vigor no vigésimo dia seguinte ao da sua publicação no Jornal Oficial da União Europeia.

O presente regulamento é aplicável a partir de 27 de fevereiro de 2025.

O capítulo IV e o anexo V são aplicáveis a partir da data de entrada em vigor do presente regulamento.

O presente regulamento é obrigatório em todos os seus elementos e diretamente aplicável em todos os Estados-Membros.

Feito em Bruxelas, em 31 de janeiro de 2024.

Pela Comissão

A Presidente

Ursula VON DER LEYEN

(1) JO L 151 de 7.6.2019, p. 15.

(2) Mutual Recognition Agreement of Information Technology Security Evaluation Certificates, versão 3.0 de janeiro de 2010, disponível em sogis.eu, aprovado pelo Grupo de Altos Funcionários para a Segurança dos Sistemas de Informação da Comissão Europeia, em resposta ao ponto 3 da Recomendação 95/144/CE do Conselho, de 7 de abril de 1995, relativa a critérios comuns de avaliação da segurança nas tecnologias da informação (JO L 93 de 26.4.1995, p. 27).

(3) Joint Interpretation Library: Minimum ITSEF Requirements for Security Evaluations of Smart cards and similar devices (não traduzido para português), versão 2.1 de fevereiro de 2020, disponível em sogis.eu.

(4) Regulamento (UE) 2019/1020 do Parlamento Europeu e do Conselho, de 20 de junho de 2019, relativo à fiscalização do mercado e à conformidade dos produtos e que altera a Diretiva 2004/42/CE e os Regulamentos (CE) n.o 765/2008 e (UE) n.o 305/2011 (JO L 169 de 25.6.2019, p. 1).

(5) Diretiva (UE) 2022/2555 do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022, relativa a medidas destinadas a garantir um elevado nível comum de cibersegurança na União que altera o Regulamento (UE) n.o 910/2014 e a Diretiva (UE) 2018/1972 e revoga a Diretiva (UE) 2016/1148 (Diretiva SRI 2) (JO L 333 de 27.12.2022, p. 80).

ANEXO I

Domínios técnicos e documentos sobre o estado da arte

Domínios técnicos nos níveis AVA_VAN 4 ou 5:

(a)

Documentos relacionados com a avaliação harmonizada do domínio técnico «cartões inteligentes e dispositivos similares» e, em especial, os seguintes documentos, nas respetivas versões em vigor em [data de entrada em vigor]:

(1)	«Minimum ITSEF requirements for security evaluations of smart cards and similar devices» (Requisitos mínimos dos ITSEF para as avaliações de segurança de cartões inteligentes e dispositivos similares), inicialmente aprovado pelo GECC em 20 de outubro de 2023;

(2)	«Minimum Site Security Requirements» (Requisitos mínimos de segurança dos sítios), inicialmente aprovado pelo GECC em 20 de outubro de 2023;

(3)	«Application of Common Criteria to integrated circuits» (Aplicação dos Critérios Comuns aos circuitos integrados), inicialmente aprovado pelo GECC em 20 de outubro de 2023;

(4)	«Security Architecture requirements (ADV_ARC) for smart cards and similar devices» [Requisitos de arquitetura de segurança (ADV_ARC) para cartões inteligentes e dispositivos similares], inicialmente aprovado pelo GECC em 20 de outubro de 2023;

(5)	«Certification of “open” smart card products» (Certificação de produtos de cartões inteligentes «abertos»), inicialmente aprovado pelo GECC em 20 de outubro de 2023;

(6)	«Composite product evaluation for smart cards and similar devices» (Avaliação de produtos compostos para cartões inteligentes e dispositivos similares), inicialmente aprovado pelo GECC em 20 de outubro de 2023;

(7)	«Application of Attack Potential to Smartcards» (Aplicação do potencial de ataque aos cartões inteligentes), inicialmente aprovado pelo GECC em 20 de outubro de 2023;

(b)

Documentos relacionados com a avaliação harmonizada do domínio técnico «dispositivos de hardware com caixas de segurança» e, em especial, os seguintes documentos, nas respetivas versões em vigor em [data de entrada em vigor]:

(1)	«Minimum ITSEF requirements for security evaluations of hardware devices with security boxes» (Requisitos mínimos dos ITSEF para as avaliações de segurança de dispositivos de hardware com caixas de segurança), inicialmente aprovado pelo GECC em 20 de outubro de 2023;

(2)	«Minimum Site Security Requirements» (Requisitos mínimos de segurança dos sítios), inicialmente aprovado pelo GECC em 20 de outubro de 2023;

(3)	«Application of Attack Potential to hardware devices with security boxes» (Aplicação do potencial de ataque a dispositivos de hardware com caixas de segurança), inicialmente aprovado pelo GECC em 20 de outubro de 2023;

Documentos sobre o estado da arte, na respetiva versão em vigor em [data de entrada em vigor]:

(a)	Documento relativo à acreditação harmonizada dos organismos de avaliação da conformidade: «Accreditation of ITSEFs for the EUCC» (Acreditação dos ITSEF para o EUCC), inicialmente aprovado pelo GECC em 20 de outubro de 2023.

ANEXO II

Perfis de proteção certificados nos níveis AVA_VAN 4 ou 5

Para a categoria de dispositivos qualificados de criação de assinaturas e selos à distância:

(1)	EN 419241-2:2019 — «Trustworthy Systems Supporting Server Signing – Part 2: Protection Profile for QSCD for Server Signing» (Sistemas de confiança que suportam assinatura em servidor – Parte 2: Perfil de proteção para QSCD para assinatura em servidor);

(2)	EN 419221-5:2018 — «Protection profiles for Trust Service Provider Cryptographic modules – Part 5: Cryptographic Module for Trust Services» (Perfis de proteção para módulos criptográficos de prestadores de serviços de confiança – Parte 5: Módulo criptográfico para serviços de confiança);

Perfis de proteção adotados como documentos sobre o estado da arte:

[EM BRANCO]

ANEXO III

Perfis de proteção recomendados (que ilustram os domínios técnicos do anexo I)

Perfis de proteção (PP) utilizados na certificação de produtos de TIC abrangidos pelas categorias de produtos de TIC a seguir indicadas:

(a)

Para a categoria de documentos de viagem de leitura ótica:

(1)	«PP Machine Readable Travel Document using Standard Inspection Procedure with PACE» (PP para documentos de viagem de leitura ótica utilizando o procedimento de inspeção normalizado com PACE), BSI-CC-PP-0068-V2-2011-MA-01;

(2)	«PP for a Machine Readable Travel Document with "ICAO Application" Extended Access Control» (PP para documentos de viagem de leitura ótica no âmbito da «aplicação OACI», Controlo de acesso alargado), BSI-CC-PP-0056-2009;

(3)	«PP for a Machine Readable Travel Document with "ICAO Application" Extended Access Control with PACE» (PP para documentos de viagem de leitura ótica no âmbito da «aplicação OACI», Controlo de acesso alargado com PACE), BSI-CC-PP-0056-V2-2012-MA-02;

(4)	«PP for a Machine Readable Travel Document with "ICAO Application" Basic Access Control» (PP para documentos de viagem de leitura ótica no âmbito da «aplicação OACI», Controlo de acesso básico), BSI-CC-PP-0055-2009;

(b)

Para a categoria de dispositivos seguros de criação de assinaturas:

(1)	EN 419211-1:2014 — «Protection profiles for secure signature creation device – Part 1: Overview» (Perfis de proteção para dispositivos seguros de criação de assinaturas – Parte 1: Panorâmica);

(2)	EN 419211-2:2013 — «Protection profiles for secure signature creation device – Part 2: Device with key generation» (Perfis de proteção para dispositivos seguros de criação de assinaturas – Parte 2: Dispositivos com geração de chaves);

(3)	EN 419211-3:2013 — «Protection profiles for secure signature creation device – Part 3: Device with key import» (Perfis de proteção para dispositivos seguros de criação de assinaturas – Parte 3: Dispositivos com importação de chaves);

(4)

EN 419211-4:2013 — «Protection profiles for secure signature creation device – Part 4: Extension for device with key generation and trusted channel to certificate generation application» (Perfis de proteção para dispositivos seguros de criação de assinaturas – Parte 4: Extensão para dispositivos com geração de chaves e canal de confiança para aplicação de geração de certificados);

(5)

EN 419211-5:2013 — «Protection profiles for secure signature creation device – Part 5: Extension for device with key generation and trusted channel to signature creation application» (Perfis de proteção para dispositivos seguros de criação de assinaturas – Parte 5: Extensão para dispositivos com geração de chaves e canal de confiança para aplicação de criação de assinaturas);

(6)

EN 419211-6:2014 — «Protection profiles for secure signature creation device – Part 6: Extension for device with key import and trusted channel to signature creation application» (Perfis de proteção para dispositivos seguros de criação de assinaturas – Parte 6: Extensão para dispositivos com importação de chaves e canal de confiança para aplicação de criação de assinaturas);

(c)

Para a categoria de tacógrafos digitais:

(1)	Tacógrafo digital — Cartão tacográfico, conforme referido no Regulamento de Execução (UE) 2016/799 da Comissão, de 18 de março de 2016, que dá execução ao Regulamento de Execução (UE) n.o 165/2014 do Parlamento Europeu e do Conselho (anexo 1C);

(2)	Tacógrafo digital — Unidade-veículo, conforme referida no anexo IB do Regulamento (CE) n.o 1360/2002 da Comissão, destinada a ser instalada em veículos de transporte rodoviário;

(3)	Tacógrafo digital — Módulo GNSS externo ou EGF (PP para EGF), conforme referido no anexo 1C do Regulamento de Execução (UE) 2016/799 da Comissão, de 18 de março de 2016, que dá execução ao Regulamento de Execução (UE) n.o 165/2014 do Parlamento Europeu e do Conselho;

(4)	Tacógrafo digital — Sensor de movimentos ou MS (PP para MS), conforme referido no anexo 1C do Regulamento de Execução (UE) 2016/799 da Comissão, de 18 de março de 2016, que dá execução ao Regulamento de Execução (UE) n.o 165/2014 do Parlamento Europeu e do Conselho;

(d)

Para a categoria de circuitos integrados seguros, cartões inteligentes e dispositivos conexos:

(1)	«Security IC Platform PP» (PP para plataformas de circuitos integrados de segurança), BSI-CC-PP-0084-2014;

(2)	«Java Card System — Open Configuration» (Sistema Java Card — Configuração aberta), V3.0.5 BSI-CC-PP-0099-2017;

(3)	«Java Card System — Closed Configuration» (Sistema Java Card — Configuração fechada), BSI-CC-PP-0101-2017;

(4)	«PP for a PC Client Specific Trusted Platform Module Family 2.0 Level 0 Revision 1.16» (PP para módulo de plataforma de confiança específico de PC cliente, família 2.0, nível 0, revisão 1.16), ANSSI-CC-PP-2015/07;

(5)	«Universal SIM card» (Cartão SIM universal), PU-2009-RT-79, ANSSI-CC-PP-2010/04;

(6)	«Embedded UICC (eUICC) for Machine-to-Machine Devices» (Cartão de circuito integrado universal embutido (eUICC) para dispositivos do tipo máquina-máquina), BSI-CC-PP-0089-2015;

(e)

Para a categoria de pontos de interação (de pagamento) e terminais de pagamento:

(1)	«Point of Interaction "POI-CHIP-ONLY"» (Ponto de interação «POI-CHIP-ONLY»), ANSSI-CC-PP-2015/01;

(2)	«Point of Interaction "POI-CHIP-ONLY and Open Protocol Package"» (Ponto de interação «Pacote POI-CHIP-ONLY e protocolo aberto»), ANSSI-CC-PP-2015/02;

(3)	«Point of Interaction "POI-COMPREHENSIVE"» (Ponto de interação «POI-COMPREHENSIVE»), ANSSI-CC-PP-2015/03;

(4)	«Point of Interaction "POI-COMPREHENSIVE and Open Protocol Package"» (Ponto de interação «Pacote POI-COMPREHENSIVE e protocolo aberto»), ANSSI-CC-PP-2015/04;

(5)	«Point of Interaction "POI-PED-ONLY"» (Ponto de interação «POI-PED-ONLY»), ANSSI-CC-PP-2015/05;

(6)	«Point of Interaction "POI-PED-ONLY and Open Protocol Package"» (Ponto de interação «Pacote POI-PED-ONLY e protocolo aberto»), ANSSI-CC-PP-2015/06;

(f)

Para a categoria de dispositivos de hardware com caixas de segurança:

(1)	«Cryptographic Module for CSP Signing Operations with Backup — PP CMCSOB, PP HSM CMCSOB 14167-2» (Módulo criptográfico para operações de assinatura de prestadores de serviços criptográficos (PSC) com salvaguarda — PP CMCSOB, PP HSM CMCSOB 14167-2), ANSSI-CC-PP-2015/08;

(2)	«Cryptographic Module for CSP key generation services — PP CMCKG, PP HSM CMCKG 14167-3» (Módulo criptográfico para serviços de geração de chaves de PSC — PP CMCKG, PP HSM CMCKG 14167-3), ANSSI-CC-PP-2015/09;

(3)	«Cryptographic Module for CSP Signing Operations without Backup — PP CMCSO, PP HSM CMCKG 14167-4» (Módulo criptográfico para operações de assinatura de PSC com salvaguarda — PP CMCSO, PP HSM CMCKG 14167-4), ANSSI-CC-PP-2015/10.

ANEXO IV

Continuidade da garantia e revisão do certificado

IV.1 Continuidade da garantia: âmbito

Os seguintes requisitos para a continuidade da garantia aplicam-se às atividades de manutenção relacionadas com o seguinte:

(a)	Uma reavaliação de se um produto de TIC certificado inalterado continua a cumprir os seus requisitos de segurança;

(b)	Uma avaliação dos impactos das alterações de um produto de TIC certificado na sua certificação;

(c)	Se incluída na certificação, a aplicação de atualizações corretivas em conformidade com um processo de gestão de atualizações corretivas avaliado;

(d)	Se incluída, a revisão dos processos de produção ou de gestão do ciclo de vida do titular do certificado.

O titular de um certificado EUCC pode solicitar a revisão do certificado nos seguintes casos:

(a)	Se o certificado EUCC expirar no prazo de nove meses;

(b)	Se tiver ocorrido uma alteração no produto de TIC certificado ou noutro fator que possa afetar a sua funcionalidade de segurança;

(c)	Se o titular do certificado exigir que a avaliação da vulnerabilidade seja novamente efetuada, a fim de reconfirmar a garantia do certificado EUCC associada à resistência do produto de TIC a atuais ciberataques.

IV.2 Reavaliação

Caso seja necessário avaliar o impacto de alterações no ambiente de ameaças de um produto de TIC certificado inalterado, deve ser apresentado um pedido de reavaliação ao organismo de certificação.

A reavaliação deve ser efetuada pelo mesmo ITSEF que esteve envolvido na avaliação anterior, que reutiliza todos os resultados ainda aplicáveis. A avaliação deve centrar-se nas atividades de garantia que sejam potencialmente afetadas pelas alterações no ambiente de ameaças do produto de TIC certificado, em especial a família AVA_VAN pertinente, e também a família do ciclo de vida da garantia (ALC), caso em que se devem recolher novamente elementos de prova suficientes sobre a manutenção do ambiente de desenvolvimento.

O ITSEF deve descrever as alterações e especificar os resultados da reavaliação com uma atualização do anterior relatório técnico de avaliação.

O organismo de certificação deve rever o relatório técnico de avaliação atualizado e elaborar um relatório de reavaliação. O estado do certificado inicial é então alterado em conformidade com o artigo 13.o.

O relatório de reavaliação e o certificado atualizado devem ser fornecidos à autoridade nacional de certificação da cibersegurança e à ENISA para publicação no seu sítio Web dedicado à certificação da cibersegurança.

IV.3 Alterações de um produto de TIC certificado

Se um produto de TIC certificado tiver sido objeto de alterações, o titular do certificado que pretenda manter o certificado deve apresentar ao organismo de certificação um relatório de análise de impacto.

O relatório de análise de impacto deve incluir os seguintes elementos:

(a)	Uma introdução que contenha as informações necessárias para identificar o relatório de análise de impacto e o alvo de avaliação sujeito a alterações;

(b)	Uma descrição das alterações introduzidas no produto;

(c)	A identificação dos elementos de prova do criador afetados;

(d)	Uma descrição das alterações dos elementos de prova do criador;

(e)	Os resultados e as conclusões sobre o impacto de cada alteração na garantia.

O organismo de certificação deve examinar as alterações descritas no relatório de análise de impacto, a fim de validar o seu impacto na garantia do alvo de avaliação certificado, conforme proposto nas conclusões do relatório de análise de impacto.

Após o exame, o organismo de certificação determina a amplitude de uma alteração como menor ou importante de acordo com o seu impacto.

Se o organismo de certificação confirmar as alterações como menores, deve ser emitido um novo certificado para o produto de TIC modificado e elaborado um relatório de manutenção para o relatório de certificação inicial, nas seguintes condições:

(a)

O relatório de manutenção deve ser incluído como um subconjunto do relatório de análise de impacto, contendo as seguintes secções:

(1)	Introdução;

(2)	Descrição das alterações;

(3)	Elementos de prova do criador afetados;

(b)	A data de validade do novo certificado não pode exceder a data do certificado inicial.

O novo certificado, incluindo o relatório de manutenção, deve ser fornecido à ENISA para publicação no seu sítio Web dedicado à certificação da cibersegurança.

Caso se confirme que as alterações são importantes, deve ser efetuada uma reavaliação no contexto da avaliação anterior, reutilizando quaisquer resultados da avaliação anterior que ainda se apliquem.

Após a conclusão da avaliação do alvo de avaliação alterado, o ITSEF deve elaborar um novo relatório técnico de avaliação. O organismo de certificação deve rever o relatório técnico de avaliação atualizado e, se for caso disso, elaborar um novo certificado com um novo relatório de certificação.

O novo certificado e o novo relatório de certificação devem ser fornecidos à ENISA para publicação.

IV.4 Gestão de atualizações corretivas

O procedimento de gestão de atualizações corretivas prevê um processo estruturado de atualização de um produto de TIC certificado. O procedimento de gestão de atualizações corretivas, incluindo o mecanismo aplicado no produto de TIC pelo requerente da certificação, pode ser utilizado após a certificação do produto de TIC sob a responsabilidade do organismo de avaliação da conformidade.

O requerente da certificação pode incluir na certificação do produto de TIC um mecanismo de atualizações corretivas como parte de um procedimento de gestão certificado aplicado no produto de TIC, numa das seguintes condições:

(a)	As funcionalidades afetadas pela atualização corretiva situam-se fora do alvo de avaliação do produto de TIC certificado;

(b)	A atualização corretiva diz respeito a uma alteração menor predeterminada do produto de TIC certificado;

(c)	A atualização corretiva diz respeito a uma vulnerabilidade confirmada com efeitos críticos na segurança do produto de TIC certificado.

Se a atualização corretiva disser respeito a uma alteração importante do alvo de avaliação do produto de TIC certificado em relação a uma vulnerabilidade anteriormente não detetada que não tenha efeitos críticos na segurança do produto de TIC, aplicam-se as disposições do artigo 13.o.

O procedimento de gestão de atualizações corretivas para um produto de TIC será composto pelos seguintes elementos:

(a)	O processo de desenvolvimento e lançamento da atualização corretiva para o produto de TIC;

(b)	O mecanismo técnico e as funções para a adoção da atualização corretiva no produto de TIC;

(c)	Um conjunto de atividades de avaliação relacionadas com a eficácia e o desempenho do mecanismo técnico.

Durante a certificação do produto de TIC:

(a)	O requerente da certificação do produto de TIC deve apresentar a descrição do procedimento de gestão de atualizações corretivas;

(b)

O ITSEF deve verificar os seguintes elementos:

(1)	O criador implementou os mecanismos de atualização corretiva no produto de TIC em conformidade com o procedimento de gestão de atualizações corretivas submetido a certificação;

(2)	Os limites do alvo de avaliação são separados, de modo que as alterações introduzidas nos processos separados não afetem a segurança do alvo de avaliação;

(3)	O mecanismo técnico de atualizações corretivas funciona em conformidade com as disposições da presente secção e com as alegações do requerente;

(c)	O organismo de certificação deve incluir no relatório de certificação o resultado da avaliação do procedimento de gestão de atualizações corretivas.

O titular do certificado pode proceder à aplicação da atualização corretiva produzida no respeito do procedimento certificado de gestão de atualizações corretivas ao produto de TIC certificado em causa e deve tomar as seguintes medidas no prazo de cinco dias úteis nos casos a seguir indicados:

(a)	No caso referido no ponto 2, alínea a), comunicar ao organismo de certificação a atualização corretiva em causa que não altera o certificado EUCC correspondente;

(b)

No caso referido no ponto 2, alínea b), submeter a atualização corretiva em causa ao ITSEF para revisão. O ITSEF deve informar o organismo de certificação após a receção da atualização corretiva e, subsequentemente, o organismo de certificação toma as medidas adequadas para a emissão de uma nova versão do certificado EUCC correspondente e para a atualização do relatório de certificação;

(c)	No caso referido no ponto 2, alínea c), apresentar a atualização corretiva em causa ao ITSEF para a necessária reavaliação, podendo, no entanto, implementá-la em paralelo. O ITSEF deve informar o organismo de certificação e, subsequentemente, este inicia as atividades de certificação conexas.

ANEXO V

CONTEÚDO DO RELATÓRIO DE CERTIFICAÇÃO

V.1 Relatório de certificação

Com base nos relatórios técnicos de avaliação fornecidos pelo ITSEF, o organismo de certificação elabora um relatório de certificação, que deve ser publicado juntamente com o certificado EUCC correspondente.

O relatório de certificação é a fonte de informações pormenorizadas e práticas sobre o produto de TIC ou a categoria de produtos de TIC, bem como sobre a implantação segura do produto de TIC, pelo que deve incluir todas as informações acessíveis ao público e partilháveis que sejam pertinentes para os utilizadores e as partes interessadas. O relatório de certificação pode fazer referência a informações acessíveis ao público e partilháveis.

O relatório de certificação deve incluir, pelo menos, as seguintes secções:

(a)

Síntese;

(b)	Identificação do produto de TIC ou da categoria de produtos de TIC para os perfis de proteção;

(c)	Serviços de segurança;

(d)	Pressupostos e clarificação do âmbito;

(e)	Informações arquitetónicas;

(f)	Informações suplementares de cibersegurança, se aplicável;

(g)	Ensaios do produto de TIC, caso tenham sido realizados;

(h)	Se for caso disso, a identificação dos processos de gestão do ciclo de vida e das instalações de produção do titular do certificado;

(i)	Resultados da avaliação e informações relativas ao certificado;

(j)	Resumo da meta de segurança do produto de TIC submetido a certificação;

(k)	Quando disponível, a marca ou o rótulo associado ao sistema;

(l)	Bibliografia.

A síntese é um resumo sucinto de todo o relatório de certificação. A síntese deve fornecer uma panorâmica clara e concisa dos resultados da avaliação e incluir as seguintes informações:

(a)	Nome do produto de TIC avaliado, enumeração dos componentes do produto que fazem parte da avaliação e versão do produto de TIC;

(b)	Nome do ITSEF que efetuou a avaliação e, se for caso disso, lista de subcontratantes;

(c)	Data de conclusão da avaliação;

(d)	Referência ao relatório técnico de avaliação elaborado pelo ITSEF;

(e)

Breve descrição dos resultados do relatório de certificação, incluindo:

(1)	A versão e, se for caso disso, a publicação dos Critérios Comuns aplicados à avaliação;

(2)	O pacote de garantia dos Critérios Comuns e os componentes de garantia de segurança, incluindo o nível AVA_VAN aplicado durante a avaliação e o nível de garantia correspondente, conforme estabelecido no artigo 52.o do Regulamento (UE) 2019/881, a que o certificado EUCC se refere;

(3)	A funcionalidade de segurança do produto de TIC avaliado;

(4)	Um resumo das ameaças e das políticas de segurança organizacional abordadas pelo produto de TIC avaliado;

(5)	Requisitos especiais de configuração;

(6)	Pressupostos sobre o ambiente operacional;

(7)	Se for caso disso, a existência de um procedimento de gestão de atualizações corretivas aprovado em conformidade com o anexo IV, secção IV.4;

(8)	Declaração(ões) de exoneração de responsabilidade.

O produto de TIC avaliado deve ser claramente identificado, incluindo as seguintes informações:

(a)	O nome do produto de TIC avaliado;

(b)	Uma enumeração dos componentes do produto de TIC que fazem parte da avaliação;

(c)	O número da versão dos componentes do produto de TIC;

(d)	Identificação de outros requisitos para o ambiente operacional do produto de TIC certificado;

(e)	O nome e os dados de contacto do titular do certificado EUCC;

(f)	Se for caso disso, o procedimento de gestão de atualizações corretivas incluído no certificado;

(g)	Hiperligação para o sítio Web do titular do certificado EUCC onde constam as informações complementares de cibersegurança relativas ao produto de TIC certificado, em conformidade com o artigo 55.o do Regulamento (UE) 2019/881.

As informações incluídas na presente secção devem ser tão precisas quanto possível, a fim de assegurar uma representação completa e exata do produto de TIC, que possa ser reutilizada em futuras avaliações.

A secção relativa à política de segurança deve conter a descrição da política de segurança do produto de TIC e as políticas ou regras que o produto de TIC avaliado deve aplicar ou cumprir. Deve incluir uma referência e uma descrição das seguintes políticas:

(a)	A política de tratamento de vulnerabilidades do titular do certificado;

(b)	A política de continuidade da garantia do titular do certificado.

Se for caso disso, a política pode incluir as condições relacionadas com a utilização de um procedimento de gestão de atualizações corretivas durante a validade do certificado.

A secção relativa aos pressupostos e à clarificação do âmbito de aplicação deve conter informações exaustivas sobre as circunstâncias e os objetivos relacionados com a utilização prevista do produto, conforme referido no artigo 7.o, n.o 1, alínea c). Essas informações devem incluir:

(a)	Pressupostos sobre a utilização e implantação do produto de TIC sob a forma de requisitos mínimos, tais como o cumprimento de requisitos adequados de instalação, configuração e hardware;

(b)	Pressupostos sobre o ambiente para o funcionamento conforme do produto de TIC.

10.

As informações enumeradas no ponto 9 devem ser tão compreensíveis quanto possível, a fim de permitir que os utilizadores do produto de TIC certificado tomem decisões informadas sobre os riscos associados à sua utilização.

11.

A secção relativa às informações arquitetónicas deve incluir uma descrição de alto nível do produto de TIC e dos seus principais componentes, em conformidade com a conceção dos subsistemas ADV_TDS dos Critérios Comuns.

12.

Deve ser fornecida uma lista completa das informações complementares de cibersegurança do produto de TIC, em conformidade com o artigo 55.o do Regulamento (UE) 2019/881. Toda a documentação pertinente deve ser identificada pelos números de versão.

13.

A secção sobre os ensaios de produtos de TIC deve incluir as seguintes informações:

(a)	O nome e ponto de contacto da autoridade ou organismo que emitiu o certificado, incluindo a autoridade nacional responsável pela certificação da cibersegurança;

(b)	O nome do ITSEF que efetuou a avaliação, quando diferente do organismo de certificação;

(c)	Uma identificação dos componentes de garantia utilizados com base nas normas referidas no artigo 3.o;

(d)	A versão do documento sobre o estado da arte e outros critérios de avaliação da segurança utilizados na avaliação;

(e)	As definições e configuração completas e precisas do produto de TIC durante a avaliação, incluindo notas operacionais e observações, se disponíveis;

(f)

Qualquer perfil de proteção que tenha sido utilizado, incluindo as seguintes informações:

(1)	O autor do perfil de proteção;

(2)	O nome e identificador do perfil de proteção;

(3)	O identificador do certificado do perfil de proteção;

(4)	O nome e dados de contacto do organismo de certificação e do ITSEF envolvido na avaliação do perfil de proteção;

(5)	O(s) pacote(s) de garantia exigido(s) para um produto conforme com o perfil de proteção.

14.

Os resultados da avaliação e as informações relativas à secção do certificado devem incluir as seguintes informações:

(a)	Confirmação do nível de garantia alcançado, conforme referido no artigo 4.o do presente regulamento e no artigo 52.o do Regulamento (UE) 2019/881;

(b)	Os requisitos de garantia das normas referidas no artigo 3.o que o produto de TIC ou o perfil de proteção efetivamente cumprem, incluindo o nível AVA_VAN;

(c)	Descrição pormenorizada dos requisitos de garantia, bem como os pormenores sobre a forma como o produto satisfaz cada um deles;

(d)	Data de emissão e período de validade do certificado;

(e)	Identificador único do certificado.

15.

A meta de segurança deve ser incluída no relatório de certificação, ou referenciada e resumida no relatório de certificação e fornecida juntamente com este para efeitos de publicação.

16.

A meta de segurança pode ser sanitizada em conformidade com a secção VI.2.

17.

A marca ou o rótulo associado ao EUCC pode ser inserido no relatório de certificação em conformidade com as regras e os procedimentos estabelecidos no artigo 11.o.

18.

A secção relativa à bibliografia deve incluir referências a todos os documentos utilizados na elaboração do relatório de certificação. Essas informações devem incluir, no mínimo, os seguintes elementos:

(a)	Os critérios de avaliação da segurança, os documentos sobre o estado da arte e outras especificações pertinentes utilizadas e a sua versão;

(b)	O relatório técnico de avaliação;

(c)	O relatório técnico de avaliação para a avaliação de produtos compostos, se for caso disso;

(d)	A documentação técnica de referência;

(e)	A documentação do criador utilizada no exercício de avaliação.

19.

A fim de garantir a reprodutibilidade da avaliação, toda a documentação referida tem de ser identificada de forma inequívoca com a respetiva data de publicação e o respetivo número de versão.

V.2 Sanitização de uma meta de segurança para publicação

A meta de segurança a incluir ou a referenciar no relatório de certificação nos termos da secção VI.1, ponto 1, pode ser sanitizada pela remoção ou parafraseamento de informações técnicas confidenciais.

A meta de segurança sanitizada daí resultante deve ser uma representação real da sua versão original completa. Tal significa que a meta de segurança sanitizada não pode omitir as informações necessárias para compreender as propriedades de segurança do alvo de avaliação e o âmbito da avaliação.

O conteúdo da meta de segurança sanitizada deve cumprir os seguintes requisitos mínimos:

(a)	A sua introdução não deve ser sanitizada, uma vez que geralmente não inclui informações confidenciais;

(b)	A meta de segurança sanitizada tem de ter um identificador único, distinto da sua versão original completa;

(c)	A descrição do alvo de avaliação pode ser encurtada, uma vez que pode incluir informações confidenciais e pormenorizadas sobre a conceção do alvo de avaliação, que não devem ser publicadas;

(d)	A descrição do ambiente de segurança do alvo de avaliação (pressupostos, ameaças, políticas de segurança organizacional) não pode ser encurtada, na medida em que essas informações sejam necessárias para compreender o âmbito da avaliação;

(e)	Os objetivos de segurança não podem ser encurtados, uma vez que todas as informações devem ser tornadas públicas para se compreender a intenção da meta de segurança e do alvo de avaliação;

(f)	Todos os requisitos de segurança devem ser tornados públicos. As notas de aplicação podem fornecer informações sobre a forma como os requisitos funcionais dos Critérios Comuns a que se refere o artigo 3.o foram utilizados para compreender a meta de segurança;

(g)	A especificação sumária do alvo de avaliação deve incluir todas as funções de segurança do alvo de avaliação, mas as informações confidenciais adicionais podem ser sanitizadas;

(h)	Devem ser incluídas referências aos perfis de proteção aplicados ao alvo de avaliação;

(i)	A justificação pode ser sanitizada para eliminar informações confidenciais.

Mesmo que a meta de segurança sanitizada não seja formalmente avaliada em conformidade com as normas de avaliação referidas no artigo 3.o, o organismo de certificação deve assegurar que cumpre a meta de segurança completa e avaliada e referir no relatório de certificação tanto a meta de segurança completa como a meta de segurança sanitizada.

ANEXO VI

ÂMBITO E COMPOSIÇÃO DA EQUIPA DAS AVALIAÇÕES PELOS PARES

VI.1 Âmbito da avaliação pelos pares

São abrangidos os seguintes tipos de avaliações pelos pares:

(a)	Tipo 1: quando um organismo de certificação realiza atividades de certificação no nível AVA_VAN.3;

(b)	Tipo 2: quando um organismo de certificação realiza atividades de certificação relacionadas com um domínio técnico enumerado como documento sobre o estado da arte no anexo I;

(c)	Tipo 3: quando um organismo de certificação realiza atividades de certificação acima do nível AVA_VAN.3 utilizando um perfil de proteção enumerado como documento sobre o estado da arte no anexo II ou III.

O organismo de certificação avaliado pelos pares deve submeter a lista de produtos de TIC certificados que podem ser candidatos à análise pela equipa de avaliação pelos pares, em conformidade com as seguintes regras:

(a)

Os produtos candidatos devem abranger o âmbito técnico da autorização do organismo de certificação, de que pelo menos duas avaliações diferentes de produtos com o nível de garantia «elevado» serão analisadas através da avaliação pelos pares, e um perfil de proteção se o organismo de certificação tiver emitido um certificado com o nível de garantia «elevado»;

(b)	Para uma avaliação pelos pares de tipo 2, o organismo de certificação deve submeter, pelo menos, um produto por domínio técnico e por ITSEF em causa;

(c)	Para uma avaliação pelos pares de tipo 3, pelo menos um produto candidato deve ser avaliado em conformidade com um perfil de proteção aplicável e pertinente.

VI.2 Equipa de avaliação pelos pares

A equipa de avaliação deve ser composta por, pelo menos, dois peritos, cada um deles selecionado de um organismo de certificação diferente de Estados-Membros distintos que emite certificados com o nível de garantia «elevado». Os peritos devem demonstrar os conhecimentos técnicos necessários quanto às normas a que se refere o artigo 3.o e aos documentos sobre o estado da arte abrangidos pela avaliação pelos pares.

No caso de uma delegação da emissão de certificados ou da aprovação prévia de certificados a que se refere o artigo 56.o, n.o 6, do Regulamento (UE) 2019/881, um perito da autoridade nacional de certificação da cibersegurança relacionado com o organismo de certificação em causa deve também participar na equipa de peritos selecionada em conformidade com o n.o 1 da presente secção.

Para uma avaliação pelos pares de tipo 2, os membros da equipa devem ser selecionados de entre os organismos de certificação autorizados para o domínio técnico em causa.

Cada membro da equipa de avaliação deve ter, pelo menos, dois anos de experiência na realização de atividades de certificação num organismo de certificação.

Para uma avaliação pelos pares de tipo 2 ou 3, cada membro da equipa de avaliação deve ter, pelo menos, dois anos de experiência na realização de atividades de certificação nesse domínio técnico ou perfil de proteção pertinente, bem como experiência e participação comprovadas na autorização de um ITSEF.

A autoridade nacional de certificação da cibersegurança que controla e supervisiona o organismo de certificação avaliado pelos pares e, pelo menos, uma autoridade nacional de certificação da cibersegurança cujo organismo de certificação não esteja sujeito à avaliação pelos pares devem participar na avaliação pelos pares na qualidade de observadores. A ENISA pode também participar na avaliação pelos pares na qualidade de observador.

O organismo de certificação avaliado pelos pares é informado da composição da equipa de avaliação pelos pares. Em casos justificados, pode contestar a composição da equipa de avaliação pelos pares e solicitar a sua revisão.

ANEXO VII

Conteúdo de um certificado EUCC

O certificado EUCC deve incluir, pelo menos:

(a)	Um identificador único estabelecido pelo organismo de certificação que emite o certificado;

(b)

Informações relativas ao produto de TIC ou perfil de proteção certificados e ao titular do certificado, incluindo:

(1)	Nome do produto de TIC ou perfil de proteção e, se for caso disso, do alvo de avaliação;

(2)	Tipo de produto de TIC ou perfil de proteção e, se for caso disso, do alvo de avaliação;

(3)	Versão do produto de TIC ou do perfil de proteção;

(4)	Nome, endereço e dados de contacto do titular do certificado;

(5)	Hiperligação para o sítio Web do titular do certificado onde constam as informações complementares de cibersegurança a que se refere o artigo 55.o do Regulamento (UE) 2019/881;

(c)

Informações relacionadas com a avaliação e certificação do produto de TIC ou do perfil de proteção, incluindo:

(1)	Nome, endereço e dados de contacto do organismo de certificação que emitiu o certificado;

(2)	Se for diferente do organismo de certificação, nome do ITSEF que efetuou a avaliação;

(3)	Nome da autoridade nacional responsável pela certificação da cibersegurança;

(4)	Uma referência ao presente regulamento;

(5)	Uma referência ao relatório de certificação associado ao certificado referido no anexo V;

(6)	O nível de garantia aplicável em conformidade com o artigo 4.o;

(7)	Uma referência à versão das normas utilizadas para a avaliação a que se refere o artigo 3.o;

(8)	Identificação do nível ou do pacote de garantia especificado nas normas a que se refere o artigo 3.o e em conformidade com o anexo VIII, incluindo os componentes de garantia utilizados e o nível AVA_VAN abrangido;

(9)	Se for caso disso, referência a um ou mais perfis de proteção com os quais o produto de TIC ou perfil de proteção está em conformidade;

(10)	Data de emissão;

(11)	Período de validade do certificado;

(d)	A marca e o rótulo associados ao certificado, em conformidade com o artigo 11.o.

ANEXO VIII

Declaração do pacote de garantia

Contrariamente às definições constantes dos Critérios Comuns, um aumento:

(a)	Não deve ser indicado pela abreviatura «+»;

(b)	Deve ser pormenorizado através de uma lista de todos os componentes em causa;

(c)	Deve ser descrito em pormenor no relatório de certificação.

O nível de garantia confirmado num certificado EUCC pode ser complementado pelo nível de garantia da avaliação tal como especificado no artigo 3.o do presente regulamento.

Se o nível de garantia confirmado num certificado EUCC não se referir a um aumento, o certificado EUCC deve indicar um dos seguintes pacotes:

(a)	«O pacote de garantia específico»;

(b)	«O pacote de garantia conforme com um perfil de proteção» em caso de referência a um perfil de proteção sem um nível de garantia da avaliação.

ANEXO IX

Marca e rótulo

Formato da marca e do rótulo:

Se a marca e o rótulo forem reduzidos ou ampliados, devem ser respeitadas as proporções indicadas na figura acima.

Quando fisicamente presentes, a marca e o rótulo devem ter, pelo menos, 5 mm de altura.

ELI: http://data.europa.eu/eli/reg_impl/2024/482/oj

ISSN 1977-0774 (electronic edition)

Top