Jornal Oficial
da União Europeia
PT
Série L
|
|
Jornal Oficial |
PT Série L |
|
2024/3143 |
19.12.2024 |
REGULAMENTO DE EXECUÇÃO (UE) 2024/3143 DA COMISSÃO
de 18 de dezembro de 2024
que estabelece as circunstâncias, os formatos e os procedimentos das notificações nos termos do artigo 61.o, n.o 5, do Regulamento (UE) 2019/881 do Parlamento Europeu e do Conselho relativo à ENISA (Agência da União Europeia para a Cibersegurança) e à certificação da cibersegurança das tecnologias da informação e comunicação
(Texto relevante para efeitos do EEE)
A COMISSÃO EUROPEIA,
Tendo em conta o Tratado sobre o Funcionamento da União Europeia,
Tendo em conta o Regulamento (UE) 2019/881 do Parlamento Europeu e do Conselho, de 17 de abril de 2019, relativo à ENISA (Agência da União Europeia para a Cibersegurança) e à certificação da cibersegurança das tecnologias da informação e comunicação e que revoga o Regulamento (UE) n.o 526/2013 (Regulamento Cibersegurança) (1), nomeadamente o artigo 61.o, n.o 5,
Considerando o seguinte:
|
(1) |
Nos termos do artigo 61.o, n.o 1, do Regulamento (UE) 2019/881 (Regulamento Cibersegurança), as autoridades nacionais de certificação da cibersegurança (ANCC) são responsáveis por notificar a Comissão dos organismos de avaliação da conformidade que tenham sido acreditados e, se for o caso, autorizados a emitir certificados europeus de cibersegurança atestando os níveis de garantia especificados, devendo atualizar a notificação. Além disso, nos termos do artigo 61.o, n.o 2, do Regulamento (UE) 2019/881, a Comissão deve publicar no Jornal Oficial da União Europeia uma lista dos organismos de avaliação da conformidade notificados no âmbito de um sistema europeu de certificação da cibersegurança um ano após a entrada em vigor do sistema. A fim de assegurar uma abordagem harmonizada para as notificações e facilitar o processo de notificação das ANCC, o presente regulamento deve especificar mais pormenorizadamente as circunstâncias, os formatos e os procedimentos para as notificações. É importante clarificar estes aspetos tendo em vista a aplicação do primeiro sistema europeu de certificação da cibersegurança baseado nos Critérios Comuns (EUCC) estabelecido pelo Regulamento de Execução (UE) 2024/482 da Comissão (2). |
|
(2) |
O presente regulamento reconhece as sinergias entre o Regulamento (UE) 2019/881 e a legislação de harmonização pertinente da União, incluindo o Regulamento (UE) 2024/2847 do Parlamento Europeu e do Conselho (Regulamento de Ciber-Resiliência) (3). Propõe-se, por conseguinte, que as ANCC notifiquem a Comissão através do instrumento de notificação eletrónica, desenvolvido e gerido pela Comissão, referido na Decisão n.o 768/2008/CE do Parlamento Europeu e do Conselho (4). Sem prejuízo da obrigação da Comissão de publicar a lista dos organismos de avaliação da conformidade notificados no Jornal Oficial da União Europeia, é conveniente que a referida lista seja igualmente disponibilizada ao público no instrumento de notificação eletrónica desenvolvido e gerido pela Comissão. |
|
(3) |
A notificação de organismos de avaliação da conformidade acreditados e, se for o caso, autorizados significa que se pode confiar nesses organismos para a realização de atividades de avaliação e certificação em conformidade com o Regulamento (UE) 2019/881, contribuindo para a reputação global dos sistemas europeus de certificação da cibersegurança. Desta forma, é essencial assegurar que os organismos de avaliação da conformidade notificados cumprem os seus requisitos e obrigações ao longo do tempo. É importante que a lista publicada de organismos de avaliação da conformidade notificados seja exata e atualizada, refletindo a conformidade daqueles com os requisitos estabelecidos no Regulamento (UE) 2019/881 e, se for o caso, com os requisitos específicos ou adicionais previstos por um sistema europeu de certificação da cibersegurança. Para o efeito, é necessário que as ANCC notifiquem a Comissão, sem demora injustificada, de quaisquer alterações da notificação, em conformidade com o artigo 61.o, n.o 1, do Regulamento (UE) 2019/881. |
|
(4) |
As ANCC são responsáveis por assegurar que os organismos de avaliação da conformidade respeitam o Regulamento (UE) 2019/881 e os sistemas europeus de certificação da cibersegurança e garantem, neste contexto, a exatidão das notificações. Estas atividades estão sujeitas a avaliação pelos pares, cujos resultados deverão ajudar a determinar eventuais alterações necessárias para aumentar a sua eficácia. As ANCC podem determinar que um organismo de avaliação da conformidade deixou de cumprir certos requisitos aplicáveis na sequência de preocupações que lhe tenham sido comunicadas em circunstâncias diferentes. Se for caso disso, as constatações dos mecanismos de avaliação pelos pares devem apoiar as ANCC no controlo da manutenção da competência dos organismos de avaliação da conformidade notificados. Além disso, outras ANCC, a Comissão ou as partes interessadas podem comunicar à ANCC notificante eventuais preocupações relativas à manutenção da competência de um organismo de avaliação da conformidade notificado. |
|
(5) |
Ao decidir suspender, restringir ou retirar a notificação de um organismo de avaliação da conformidade, a ANCC notificante deve cooperar com o organismo nacional de acreditação designado nos termos do Regulamento (CE) n.o 765/2008 do Parlamento Europeu e do Conselho (5). Tal está em conformidade com o Regulamento (UE) 2019/881, que estabelece que as ANCC devem prestar assistência, apoiar e cooperar ativamente com os organismos nacionais de acreditação nas suas atividades de controlo e supervisão. A restrição da notificação deve referir-se a um caso em que o âmbito da acreditação, ou, se for caso disso, o âmbito da autorização, e por conseguinte o âmbito da notificação, é reduzido. |
|
(6) |
Nos termos do artigo 54.o, n.o 1, alínea n), do Regulamento (UE) 2019/881, cada sistema europeu de certificação da cibersegurança deve incluir, se for caso disso, regras relativas à conservação de registos por parte dos organismos de avaliação da conformidade. É, pois, necessário que, em caso de restrição, suspensão ou retirada da notificação, ou caso o organismo de avaliação da conformidade notificado tenha cessado a sua atividade, a ANCC notificante assegure que os registos desse organismo de avaliação da conformidade sejam armazenados de forma segura e conservados durante o período necessário, conforme previsto num sistema europeu de certificação da cibersegurança. |
|
(7) |
As medidas previstas no presente regulamento estão em conformidade com o parecer do comité criado pelo artigo 66.o do Regulamento (UE) 2019/881, |
ADOTARAM O PRESENTE REGULAMENTO:
Artigo 1.o
Objeto
O presente regulamento estabelece as circunstâncias, os formatos e os procedimentos das notificações de organismos de avaliação da conformidade por parte de autoridades nacionais de certificação da cibersegurança (ANCC) nos termos do artigo 61.o, n.o 1, do Regulamento (UE) 2019/881.
Artigo 2.o
Procedimentos de notificação
1. Em conformidade com o artigo 61.o, n.o 1, do Regulamento (UE) 2019/881, as ANCC notificam a Comissão dos organismos de avaliação da conformidade que cumpram os requisitos estabelecidos no Regulamento (UE) 2019/881 e, se for caso disso, os requisitos específicos ou adicionais previstos por um sistema europeu de certificação da cibersegurança.
2. A ANCC deve notificar a Comissão através do instrumento de notificação eletrónica desenvolvido e gerido pela Comissão, referido na Decisão n.o 768/2008/CE.
3. A notificação deve incluir a informação estabelecida no anexo.
Artigo 3.o
Números de identificação e lista dos organismos de avaliação da conformidade
1. A Comissão atribui um número de identificação a cada organismo de avaliação da conformidade notificado. Atribui um número de identificação único, mesmo que o organismo seja notificado no âmbito de vários sistemas europeus de certificação da cibersegurança ou atos da União.
2. Ao disponibilizar a lista dos organismos de avaliação da conformidade notificados no instrumento de notificação eletrónica desenvolvido e gerido pela Comissão, a Comissão inclui os números de identificação atribuídos aos organismos de avaliação da conformidade notificados e as atividades para as quais foram notificados.
3. A ENISA deve disponibilizar as informações relativas aos organismos de avaliação da conformidade notificados no seu sítio Web dedicado aos sistemas europeus de certificação da cibersegurança a que se refere o artigo 50.o, n.o 1, do Regulamento (UE) 2019/881.
Artigo 4.o
Alterações das notificações
1. Em conformidade com o artigo 61.o, n.o 1, do Regulamento (UE) 2019/881, as ANCC devem notificar a Comissão, sem demora injustificada, de quaisquer alterações posteriores da notificação referida no artigo 2.o através do instrumento de notificação eletrónica desenvolvido e gerido pela Comissão.
2. Se uma ANCC determinar, em cooperação com o organismo nacional de acreditação, tal como previsto no Regulamento (UE) 2019/881, que um organismo de avaliação da conformidade notificado deixou de cumprir os requisitos ou obrigações a que está sujeito, a ANCC deve restringir, suspender ou retirar a notificação, consoante o caso, em função da gravidade do incumprimento desses requisitos ou obrigações. Deve informar a Comissão desse facto, sem demora injustificada, através do instrumento de notificação eletrónica desenvolvido e gerido pela Comissão.
3. Em caso de restrição, suspensão ou retirada da notificação, ou caso o organismo de avaliação da conformidade notificado tenha cessado a sua atividade, a ANCC notificante deve tomar as medidas adequadas para assegurar que os registos desse organismo de avaliação da conformidade sejam armazenados de forma segura e conservados durante o período necessário, conforme previsto num sistema europeu de certificação da cibersegurança.
Artigo 5.o
Entrada em vigor
O presente regulamento entra em vigor no vigésimo dia seguinte ao da sua publicação no Jornal Oficial da União Europeia.
O presente regulamento é obrigatório em todos os seus elementos e diretamente aplicável em todos os Estados-Membros.
Feito em Bruxelas, em 18 de dezembro de 2024.
Pela Comissão
A Presidente
Ursula VON DER LEYEN
(1) JO L 151 de 7.6.2019, p. 15, ELI: http://data.europa.eu/eli/reg/2019/881/oj.
(2) Regulamento de Execução (UE) 2024/482 da Comissão, de 31 de janeiro de 2024, que estabelece regras de execução do Regulamento (UE) 2019/881 do Parlamento Europeu e do Conselho no respeitante à adoção do sistema europeu de certificação da cibersegurança baseado nos Critérios Comuns (EUCC) (JO L, 2024/482, 7.2.2024, ELI: http://data.europa.eu/eli/reg_impl/2024/482/oj).
(3) Regulamento (UE) 2024/2847 do Parlamento Europeu e do Conselho, de 23 de outubro de 2024, relativo aos requisitos horizontais de cibersegurança dos produtos com elementos digitais e que altera os Regulamentos (UE) n.o 168/2013 e (UE) 2019/1020 e a Diretiva (UE) 2020/1828 (Regulamento de Ciber-Resiliência) (JO L, 2024/2847, 20.11.2024, ELI: http://data.europa.eu/eli/reg/2024/2847/oj).
(4) Decisão n.o 768/2008/CE do Parlamento Europeu e do Conselho, de 9 de julho de 2008, relativa a um quadro comum para a comercialização de produtos, e que revoga a Decisão 93/465/CEE (JO L 218 de 13.8.2008, p. 82, ELI: http://data.europa.eu/eli/dec/2008/768(1)/oj).
(5) Regulamento (CE) n.o 765/2008 do Parlamento Europeu e do Conselho, de 9 de julho de 2008, que estabelece os requisitos de acreditação e fiscalização do mercado relativos à comercialização de produtos, e que revoga o Regulamento (CEE) n.o 339/93 (JO L 218 de 13.8.2008, p. 30, ELI: http://data.europa.eu/eli/reg/2008/765/oj).
ANEXO
Informações a incluir na notificação de um organismo de avaliação da conformidade no âmbito de um sistema europeu de certificação da cibersegurança nos termos do artigo 61.o, n.o 1, do Regulamento (UE) 2019/881, tal como referido no artigo 2.o, n.o 3, do presente regulamento
1.
Informações gerais:|
(1) |
Designação do sistema de certificação da cibersegurança |
|
(2) |
Nível(is) de garantia, se aplicável, e procedimentos de avaliação da conformidade conexos (por exemplo, básico, substancial ou elevado) |
|
(3) |
Âmbito (por exemplo, âmbito da acreditação, categorias ou tipos de produtos, serviços ou processos) |
2.
Informações sobre a autoridade nacional de certificação da cibersegurança notificante:|
(1) |
Nome |
|
(2) |
País |
|
(3) |
Endereço postal |
|
(4) |
Endereço(s) eletrónico(s) |
|
(5) |
Número(s) de telefone |
|
(6) |
Sítio Web |
3.
Informações sobre o organismo de avaliação da conformidade notificado:|
(1) |
Nome |
|
(2) |
País |
|
(3) |
Endereço postal |
|
(4) |
Endereço(s) eletrónico(s) |
|
(5) |
Número(s) de telefone |
|
(6) |
Sítio Web |
4.
Informações sobre a acreditação:|
(1) |
Acreditação:
|
|
(2) |
Organismo nacional de acreditação:
|
5.
Informações sobre a autorização (se aplicável):|
(1) |
Autorização:
|
|
(2) |
Autoridade nacional de cibersegurança responsável pela autorização (se diferente da autoridade nacional de certificação da cibersegurança notificante):
|
6.
Informações adicionais:|
(1) |
Informações adicionais exigidas num sistema europeu específico de certificação da cibersegurança |
|
(2) |
Documentos comprovativos |
ELI: http://data.europa.eu/eli/reg_impl/2024/3143/oj
ISSN 1977-0774 (electronic edition)