This document is an excerpt from the EUR-Lex website
Document 02024R0482-20240207
Consolidated text: Vykonávacie nariadenie Komisie (EÚ) 2024/482 z 31. januára 2024, ktorým sa stanovujú pravidlá uplatňovania nariadenia Európskeho parlamentu a Rady (EÚ) 2019/881, pokiaľ ide o prijatie európskeho systému certifikácie kybernetickej bezpečnosti založeného na spoločných kritériách (EUCC) (Text s významom pre EHP)
Vykonávacie nariadenie Komisie (EÚ) 2024/482 z 31. januára 2024, ktorým sa stanovujú pravidlá uplatňovania nariadenia Európskeho parlamentu a Rady (EÚ) 2019/881, pokiaľ ide o prijatie európskeho systému certifikácie kybernetickej bezpečnosti založeného na spoločných kritériách (EUCC) (Text s významom pre EHP)
In force
)
02024R0482 — SK — 07.02.2024 — 000.001
Tento text slúži výlučne ako dokumentačný nástroj a nemá žiadny právny účinok. Inštitúcie Únie nenesú nijakú zodpovednosť za jeho obsah. Autentické verzie príslušných aktov vrátane ich preambúl sú tie, ktoré boli uverejnené v Úradnom vestníku Európskej únie a ktoré sú dostupné na portáli EUR-Lex. Tieto úradné znenia sú priamo dostupné prostredníctvom odkazov v tomto dokumente
VYKONÁVACIE NARIADENIE KOMISIE (EÚ) 2024/482 z 31. januára 2024, ktorým sa stanovujú pravidlá uplatňovania nariadenia Európskeho parlamentu a Rady (EÚ) 2019/881, pokiaľ ide o prijatie európskeho systému certifikácie kybernetickej bezpečnosti založeného na spoločných kritériách (EUCC) (Ú. v. ES L 482 7.2.2024, s. 1) |
Opravené a doplnené:
Korigendum, Ú. v. ES L 90338, 10.6.2024, s. 1 ((EÚ) 2024/4822024/482) |
VYKONÁVACIE NARIADENIE KOMISIE (EÚ) 2024/482
z 31. januára 2024,
ktorým sa stanovujú pravidlá uplatňovania nariadenia Európskeho parlamentu a Rady (EÚ) 2019/881, pokiaľ ide o prijatie európskeho systému certifikácie kybernetickej bezpečnosti založeného na spoločných kritériách (EUCC)
(Text s významom pre EHP)
KAPITOLA I
VŠEOBECNÉ USTANOVENIA
Článok 1
Predmet úpravy a rozsah pôsobnosti
Týmto nariadením sa stanovuje európsky systém certifikácie kybernetickej bezpečnosti založený na spoločných kritériách (ďalej len „EUCC“).
Toto nariadenie sa vzťahuje na všetky produkty informačných a komunikačných technológií (ďalej len „IKT“) vrátane ich dokumentácie, ktoré sa predkladajú na certifikáciu v rámci systému EUCC, a na všetky profily ochrany, ktoré sa predkladajú na certifikáciu ako súčasť procesu IKT, ktorý vedie k certifikácii produktov IKT.
Článok 2
Vymedzenie pojmov
Na účely tohto nariadenia sa uplatňuje toto vymedzenie pojmov:
„spoločné kritériá“ sú spoločné kritériá hodnotenia bezpečnosti informačných technológií stanovené v norme ISO/IEC 15408;
„spoločná metodika hodnotenia“ je spoločná metodika hodnotenia bezpečnosti informačných technológií stanovená v norme ISO/IEC 18045;
„objekt hodnotenia“ je produkt IKT alebo jeho časť alebo profil ochrany ako súčasť procesu IKT, ktoré sú predmetom hodnotenia kybernetickej bezpečnosti s cieľom získať certifikáciu EUCC;
„bezpečnostný zámer“ je tvrdenie o bezpečnostných požiadavkách pre konkrétny produkt IKT, ktoré závisia od implementácie;
„profil ochrany“ je proces IKT, v ktorom sú stanovené bezpečnostné požiadavky na konkrétnu kategóriu produktov IKT, ktorý opisuje bezpečnostné potreby nezávislé od implementácie a ktorý sa môže použiť na posudzovanie produktov IKT patriacich do tejto konkrétnej kategórie na účely ich certifikácie;
„technická správa hodnotenia“ je dokument vypracovaný zariadením ITSEF, v ktorom sa uvádzajú zistenia, závery a odôvodnenia získané počas hodnotenia produktu IKT alebo profilu ochrany v súlade s pravidlami a povinnosťami stanovenými v tomto nariadení;
„ITSEF“ je zariadenie na hodnotenie bezpečnosti informačných technológií, ktoré je orgánom posudzovania zhody podľa vymedzenia v článku 2 bode 13 nariadenia (ES) č. 765/2008, ktorý vykonáva hodnotiace úlohy;
„stupeň AVA_VAN“ je stupeň dôveryhodnosti analýzy zraniteľnosti, ktorý označuje stupeň činností hodnotenia kybernetickej bezpečnosti vykonávaných s cieľom určiť úroveň odolnosti voči potenciálnej zneužiteľnosti nedostatkov alebo slabých miest objektu hodnotenia v jeho operačnom prostredí, ako sa stanovuje v spoločných kritériách;
„certifikát EUCC“ je certifikát kybernetickej bezpečnosti vydaný v rámci EUCC pre produkty IKT alebo pre profily ochrany, ►C1 ktoré možno použiť ◄ výlučne v procese IKT certifikácie produktov IKT;
„zložený produkt“ je produkt IKT, ktorý sa hodnotí spolu s iným základným produktom IKT, ktorý už získal certifikát EUCC a od ktorého bezpečnostnej funkcie zložený produkt IKT závisí;
„vnútroštátny orgán pre certifikáciu kybernetickej bezpečnosti“ je orgán určený členským štátom podľa článku 58 ods. 1 nariadenia (EÚ) 2019/881;
„certifikačný orgán“ je orgán posudzovania zhody podľa vymedzenia v článku 2 bode 13 nariadenia (ES) č. 765/2008, ktorý vykonáva certifikačné činnosti;
„technická doména“ je spoločný technický rámec súvisiaci s konkrétnou technológiou pre harmonizovanú certifikáciu so súborom charakteristických bezpečnostných požiadaviek;
„dokument na základe aktuálneho stavu“ je dokument, v ktorom sa špecifikujú metódy, techniky a nástroje hodnotenia, ktoré sa uplatňujú na certifikáciu produktov IKT, alebo bezpečnostné požiadavky na všeobecnú kategóriu produktov IKT alebo akékoľvek iné požiadavky potrebné na certifikáciu, s cieľom harmonizovať hodnotenie, najmä technických domén alebo profilov ochrany;
„orgán dohľadu nad trhom“ je orgán podľa vymedzenia v článku 3 bode 4 nariadenia (EÚ) 2019/1020.
Článok 3
Normy hodnotenia
Na hodnotenia vykonávané v rámci systému EUCC sa vzťahujú tieto normy:
spoločné kritériá;
spoločná metodika hodnotenia.
Článok 4
Stupne dôveryhodnosti
Článok 5
Metódy certifikácie produktov IKT
Certifikácia produktu IKT sa vykonáva na základe jeho bezpečnostného zámeru:
podľa vymedzenia žiadateľa alebo
začlenením certifikovaného profilu ochrany ako súčasti procesu IKT, ak produkt IKT patrí do kategórie produktov IKT, na ktoré sa tento profil ochrany vzťahuje.
Článok 6
Vlastné posúdenie zhody
Vlastné posúdenie zhody v zmysle článku 53 nariadenia (EÚ) 2019/881 nie je dovolené.
KAPITOLA II
CERTIFIKÁCIA PRODUKTOV IKT
ODDIEL I
Osobitné normy a požiadavky na hodnotenie
Článok 7
Kritériá a metódy hodnotenia produktov IKT
Produkt IKT predložený na certifikáciu sa hodnotí minimálne v súlade s:
uplatniteľnými prvkami noriem uvedených v článku 3;
triedami požiadaviek na bezpečnostnú dôveryhodnosť pre posúdenie zraniteľností a nezávislé skúšky funkčnosti, ako sa stanovuje v normách hodnotenia uvedených v článku 3;
úrovňou rizika spojeného s plánovaným využívaním dotknutých produktov IKT podľa článku 52 nariadenia (EÚ) 2019/881 a ich bezpečnostnými funkciami, ktoré podporujú bezpečnostné ciele stanovené v článku 51 nariadenia (EÚ) 2019/881;
uplatniteľnými dokumentmi na základe aktuálneho stavu uvedenými v prílohe I, ako aj
uplatniteľnými certifikovanými profilmi ochrany uvedenými v prílohe II.
Certifikácia produktov IKT na stupni AVA_VAN 4 alebo 5 je možná len v týchto situáciách:
ak sa na produkt IKT vzťahuje niektorá z technických domén uvedených v prílohe I, vyhodnotí sa v súlade s uplatniteľnými dokumentmi na základe aktuálneho stavu týchto technických domén;
ak produkt IKT patrí do kategórie produktov IKT, na ktorú sa vzťahuje certifikovaný profil ochrany zahŕňajúci stupne AVA_VAN 4 alebo 5 a uvedený v prílohe II ako profil ochrany na základe aktuálneho stavu, vyhodnotí sa v súlade s metodikou hodnotenia špecifikovanou pre tento profil ochrany;
ak nemožno uplatniť písmená a) a b) tohto odseku a ak v dohľadnej budúcnosti nie je pravdepodobné, že by sa technická doména zahrnula do prílohy I alebo že by sa certifikovaný profil ochrany zahrnul do prílohy II, a len vo výnimočných a riadne odôvodnených prípadoch s výhradou splnenia podmienok stanovených v odseku 4.
ODDIEL II
Vydávanie, obnovovanie a odnímanie certifikátov EUCC
Článok 8
Informácie potrebné na certifikáciu
Žiadatelia o certifikáciu môžu certifikačnému orgánu a zariadeniu ITSEF poskytnúť príslušné výsledky hodnotení z predchádzajúcej certifikácie podľa:
tohto nariadenia;
iného európskeho systému certifikácie kybernetickej bezpečnosti prijatého podľa článku 49 nariadenia (EÚ) 2019/881;
vnútroštátneho systému uvedeného v článku 49 tohto nariadenia.
Žiadatelia o certifikáciu poskytnú certifikačnému orgánu a zariadeniu ITSEF aj tieto informácie:
odkaz na svoje webové sídlo, ktoré obsahuje doplňujúce informácie o kybernetickej bezpečnosti uvedené v článku 55 nariadenia (EÚ) 2019/881;
opis postupov žiadateľa na riadenie zraniteľností a zverejňovanie informácií o zraniteľnostiach.
Článok 9
Podmienky vydania certifikátu EUCC
Certifikačné orgány vydajú certifikát EUCC, ak sú splnené všetky tieto podmienky:
kategória produktu IKT patrí do rozsahu pôsobnosti akreditácie a prípadne splnomocnenia certifikačného orgánu a zariadenia ITSEF, ktoré sa podieľajú na certifikácii;
žiadateľ o certifikáciu podpísal vyhlásenie, ktorým prijíma všetky záväzky uvedené v odseku 2;
zariadenie ITSEF ukončilo hodnotenie v súlade s normami, kritériami a metódami hodnotenia uvedenými v článkoch 3 a 7 bez námietok;
certifikačný orgán ukončil preskúmanie výsledkov hodnotenia bez námietok;
certifikačný orgán overil, že technické správy hodnotenia predložené zariadením ITSEF sú v súlade s poskytnutými dôkazmi a že normy, kritériá a metódy hodnotenia uvedené v článkoch 3 a 7 boli uplatnené správne.
Žiadateľ o certifikáciu sa zaväzuje:
poskytnúť certifikačnému orgánu a zariadeniu ITSEF všetky potrebné úplné a správne informácie a na požiadanie poskytnúť ďalšie potrebné informácie;
nepropagovať produkt IKT ako produkt certifikovaný v rámci systému EUCC pred vydaním certifikátu EUCC;
propagovať produkt IKT ako certifikovaný len vzhľadom na rozsah stanovený v certifikáte EUCC;
okamžite zastaviť propagáciu produktu IKT ako certifikovaného produktu v prípade pozastavenia platnosti, odňatia alebo uplynutia platnosti certifikátu EUCC;
zabezpečiť, aby produkty IKT, ktoré sa predávajú s uvedením certifikátu EUCC, boli úplne zhodné s produktom IKT, ktorý je predmetom certifikácie;
dodržiavať pravidlá používania značky a označenia stanovené pre certifikát EUCC v súlade s článkom 11.
Článok 10
Obsah a formát certifikátu EUCC
Článok 11
Značka a označenie
Značka a označenie musia byť usporiadané podľa prílohy IX a musia obsahovať:
stupeň dôveryhodnosti a stupeň AVA_VAN certifikovaného produktu IKT;
jedinečnú identifikáciu certifikátu, ktorá pozostáva z:
názvu systému;
názvu a referenčného čísla akreditácie certifikačného orgánu, ktorý certifikát vydal;
roku a mesiaca vydania;
identifikačného čísla prideleného certifikačným orgánom, ktorý certifikát vydal.
Značku a označenie dopĺňa kód QR s odkazom na webové sídlo, ktoré obsahuje aspoň:
informácie o platnosti certifikátu;
nevyhnutné informácie o certifikácii uvedené v prílohách V a VII;
informácie, ktoré má držiteľ certifikátu zverejniť v súlade s článkom 55 nariadenia (EÚ) 2019/881, a
v prípade potreby historické informácie týkajúce sa konkrétnej certifikácie alebo certifikácií produktu IKT s cieľom zabezpečiť vysledovateľnosť.
Článok 12
Obdobie platnosti certifikátu EUCC
Článok 13
Preskúmanie certifikátu EUCC
Na základe výsledkov preskúmania a prípadne opätovného hodnotenia certifikačný orgán:
potvrdí certifikát EUCC;
odníme certifikát EUCC v súlade s článkom 14;
odníme certifikát EUCC v súlade s článkom 14 a vydá nový certifikát EUCC s rovnakým rozsahom a predĺženým obdobím platnosti alebo
odníme certifikát EUCC v súlade s článkom 14 a vydá nový certifikát EUCC s odlišným rozsahom.
Článok 14
Odňatie certifikátu EUCC
KAPITOLA III
CERTIFIKÁCIA PROFILOV OCHRANY
ODDIEL I
Osobitné normy a požiadavky na hodnotenie
Článok 15
Kritériá a metódy hodnotenia
Profil ochrany sa hodnotí minimálne v súlade s:
uplatniteľnými prvkami noriem uvedených v článku 3;
úrovňou rizika spojeného s plánovaným využívaním dotknutých produktov IKT podľa článku 52 nariadenia (EÚ) 2019/881 a ich bezpečnostnými funkciami, ktoré podporujú bezpečnostné ciele stanovené v článku 51 uvedeného nariadenia, ako aj
uplatniteľnými dokumentmi na základe aktuálneho stavu uvedenými v prílohe I. Profil ochrany, na ktorý sa vzťahuje technická doména, musí byť certifikovaný podľa požiadaviek stanovených v tejto technickej doméne.
ODDIEL II
Vydávanie, obnovovanie a odnímanie certifikátov EUCC pre profily ochrany
Článok 16
Informácie potrebné na certifikáciu profilov ochrany
Žiadateľ o certifikáciu profilu ochrany certifikačnému orgánu a zariadeniu ITSEF poskytne alebo inak sprístupní všetky informácie potrebné na certifikačné činnosti. Článok 8 ods. 2, 3, 4 a 7 sa uplatňuje mutatis mutandis.
Článok 17
Vydávanie certifikátov EUCC pre profily ochrany
Profily ochrany certifikuje výlučne:
vnútroštátny orgán pre certifikáciu kybernetickej bezpečnosti alebo iný verejný orgán akreditovaný ako certifikačný orgán, alebo
certifikačný orgán na základe predchádzajúceho schválenia vnútroštátnym orgánom pre certifikáciu kybernetickej bezpečnosti pre každý jednotlivý profil ochrany.
Článok 18
Obdobie platnosti certifikátu EUCC pre profily ochrany
Článok 19
Preskúmanie certifikátu EUCC pre profily ochrany
Na základe výsledkov preskúmania a prípadne opätovného hodnotenia certifikačný orgán vykoná jeden z týchto krokov:
potvrdí certifikát EUCC;
odníme certifikát EUCC v súlade s článkom 20;
odníme certifikát EUCC v súlade s článkom 20 a vydá nový certifikát EUCC s rovnakým rozsahom a predĺženým obdobím platnosti;
odníme certifikát EUCC v súlade s článkom 20 a vydá nový certifikát EUCC s odlišným rozsahom.
Článok 20
Odňatie certifikátu EUCC pre profil ochrany
KAPITOLA IV
ORGÁNY POSUDZOVANIA ZHODY
Článok 21
Dodatočné alebo špecifické požiadavky na certifikačný orgán
Vnútroštátny orgán pre certifikáciu kybernetickej bezpečnosti splnomocní certifikačný orgán na vydávanie certifikátov EUCC na stupni dôveryhodnosti „vysoký“, ak tento orgán okrem splnenia požiadaviek stanovených v článku 60 ods. 1 nariadenia (EÚ) 2019/881 a v prílohe k uvedenému nariadeniu týkajúcich sa akreditácie orgánov posudzovania zhody preukáže, že:
má odborné znalosti a spôsobilosti potrebné na prijatie rozhodnutia o certifikácii na stupni dôveryhodnosti „vysoký“;
vykonáva svoje certifikačné činnosti v spolupráci so zariadením ITSEF splnomocneným v súlade s článkom 22 a
má požadované spôsobilosti a okrem požiadaviek stanovených v článku 43 má zavedené primerané technické a prevádzkové opatrenia na účinnú ochranu dôverných a citlivých informácií pre stupeň dôveryhodnosti „vysoký“.
Vnútroštátny orgán pre certifikáciu kybernetickej bezpečnosti môže vo svojom posúdení opätovne použiť akékoľvek primerané dôkazy z predchádzajúceho splnomocnenia alebo podobných činností vykonaných podľa:
tohto nariadenia;
iného európskeho systému certifikácie kybernetickej bezpečnosti prijatého podľa článku 49 nariadenia (EÚ) 2019/881;
vnútroštátneho systému uvedeného v článku 49 tohto nariadenia.
Článok 22
Dodatočné alebo špecifické požiadavky na zariadenie ITSEF
Vnútroštátny orgán pre certifikáciu kybernetickej bezpečnosti splnomocní zariadenie ITSEF na vykonávanie hodnotenia produktov IKT, ktoré sú predmetom certifikácie na stupni dôveryhodnosti „vysoký“, ak zariadenie ITSEF okrem splnenia požiadaviek stanovených v článku 60 ods. 1 nariadenia (EÚ) 2019/881 a prílohy k uvedenému nariadeniu týkajúcich sa akreditácie orgánov posudzovania zhody, preukáže, že spĺňa všetky tieto podmienky:
má potrebné odborné znalosti na vykonávanie hodnotiacich činností na určenie odolnosti voči najpokročilejším kybernetickým útokom, ktoré uskutočňujú subjekty so značnými zručnosťami a zdrojmi;
pokiaľ ide o technické domény a profily ochrany, ktoré sú súčasťou procesu IKT pre uvedené produkty IKT, má:
odborné znalosti na vykonávanie konkrétnych hodnotiacich činností potrebných na metodické určenie odolnosti objektu hodnotenia voči zručným útočníkom v jeho operačnom prostredí, pričom sa predpokladá, že potenciál útoku je „stredný“ alebo „vysoký“, ako sa stanovuje v normách uvedených v článku 3;
technické spôsobilosti stanovené v dokumentoch na základe aktuálneho stavu uvedených v prílohe I;
má požadované spôsobilosti a okrem požiadaviek stanovených v článku 43 má zavedené primerané technické a prevádzkové opatrenia na účinnú ochranu dôverných a citlivých informácií pre stupeň dôveryhodnosti „vysoký“.
Vnútroštátny orgán pre certifikáciu kybernetickej bezpečnosti môže vo svojom posúdení opätovne použiť akékoľvek primerané dôkazy z predchádzajúceho splnomocnenia alebo podobných činností vykonaných podľa:
tohto nariadenia;
iného európskeho systému certifikácie kybernetickej bezpečnosti prijatého podľa článku 49 nariadenia (EÚ) 2019/881;
vnútroštátneho systému uvedeného v článku 49 tohto nariadenia.
Článok 23
Oznamovanie certifikačných orgánov
Vnútroštátny orgán pre certifikáciu kybernetickej bezpečnosti pri oznamovaní certifikačných orgánov poskytne Komisii aspoň tieto informácie:
stupeň alebo stupne dôveryhodnosti, pre ktoré je certifikačný orgán spôsobilý vydávať certifikáty EUCC;
tieto informácie týkajúce sa akreditácie:
dátum akreditácie;
názov a adresu certifikačného orgánu;
krajinu registrácie certifikačného orgánu;
referenčné číslo akreditácie;
rozsah a dĺžku platnosti akreditácie;
adresu, miesto a odkaz na príslušné webové sídlo vnútroštátneho akreditačného orgánu a
tieto informácie týkajúce sa splnomocnenia pre stupeň „vysoký“:
dátum splnomocnenia;
referenčné číslo splnomocnenia;
dĺžku platnosti splnomocnenia;
rozsah splnomocnenia vrátane najvyššieho stupňa AVA_VAN a prípadne zahrnutej technickej domény.
Článok 24
Oznamovanie zariadení ITSEF
Oznamovacie povinnosti vnútroštátnych orgánov pre certifikáciu kybernetickej bezpečnosti stanovené v článku 23 sa vzťahujú aj na zariadenia ITSEF. Oznámenie musí obsahovať adresu zariadenia ITSEF, platnú akreditáciu a prípadne platné splnomocnenie uvedeného zariadenia ITSEF.
KAPITOLA V
MONITOROVANIE, NEZHODA A NESÚLAD
ODDIEL I
Monitorovanie súladu
Článok 25
Monitorovacie činnosti vnútroštátneho orgánu pre certifikáciu kybernetickej bezpečnosti
Bez toho, aby bol dotknutý článok 58 ods. 7 nariadenia (EÚ) 2019/881, vnútroštátny orgán pre certifikáciu kybernetickej bezpečnosti monitoruje súlad:
certifikačného orgánu a zariadenia ITSEF s ich povinnosťami vyplývajúcimi z tohto nariadenia a z nariadenia (EÚ) 2019/881;
držiteľov certifikátu EUCC s ich povinnosťami vyplývajúcimi z tohto nariadenia a z nariadenia (EÚ) 2019/881;
certifikovaných produktov IKT s požiadavkami stanovenými v EUCC;
dôveryhodnosti vyjadrenej v certifikáte EUCC, ktorou sa rieši vyvíjajúca sa situácia v oblasti hrozieb.
Vnútroštátny orgán pre certifikáciu kybernetickej bezpečnosti vykonáva svoje monitorovacie činnosti najmä na základe:
informácií od certifikačných orgánov, vnútroštátnych akreditačných orgánov a príslušných orgánov dohľadu nad trhom;
informácií vyplývajúcich z vlastných auditov a vyšetrovaní alebo auditov a vyšetrovaní iného orgánu;
vzoriek odobratých v súlade s odsekom 3;
prijatých sťažností.
Vnútroštátny orgán pre certifikáciu kybernetickej bezpečnosti vyberie vzorku certifikovaných produktov IKT na kontrolu na základe objektívnych kritérií vrátane:
kategórie produktov;
stupňov dôveryhodnosti produktov;
držiteľa certifikátu;
certifikačného orgánu a prípadne subdodávateľského zariadenia ITSEF;
akýchkoľvek ďalších informácií, o ktorých bol orgán upovedomený.
Článok 26
Monitorovacie činnosti certifikačného orgánu
Certifikačný orgán monitoruje:
dodržiavanie povinností podľa tohto nariadenia a nariadenia (EÚ) 2019/881 držiteľmi certifikátu vo vzťahu k certifikátu EUCC, ktorý certifikačný orgán vydal;
súlad produktov IKT, ktoré certifikoval, s ich príslušnými bezpečnostnými požiadavkami;
dôveryhodnosť vyjadrenú v certifikovaných profiloch ochrany.
Certifikačný orgán vykonáva svoju monitorovaciu činnosť na základe:
informácií poskytnutých na základe záväzkov žiadateľa o certifikáciu uvedených v článku 9 ods. 2;
informácií vyplývajúcich z činností ostatných príslušných orgánov dohľadu nad trhom;
prijatých sťažností;
informácií o zraniteľnostiach, ktoré by mohli mať vplyv na produkty IKT, ktoré certifikoval.
Článok 27
Monitorovacie činnosti držiteľa certifikátu
Držiteľ certifikátu EUCC plní s cieľom monitorovať zhodu certifikovaného produktu IKT s jeho bezpečnostnými požiadavkami tieto úlohy:
monitoruje informácie o zraniteľnostiach týkajúce sa certifikovaného produktu IKT vrátane známych závislostí, a to vlastnými prostriedkami, ale aj s ohľadom na:
zverejnenie alebo predloženie informácií o zraniteľnostiach používateľom alebo výskumníkom v oblasti bezpečnosti uvedeným v článku 55 ods. 1 písm. c) nariadenia (EÚ) 2019/881;
podanie z akéhokoľvek iného zdroja;
monitoruje dôveryhodnosť vyjadrenú v certifikáte EUCC.
ODDIEL II
Zhoda a súlad
Článok 28
Dôsledky nezhody certifikovaného produktu IKT alebo profilu ochrany
Článok 29
Dôsledky nesúladu držiteľa certifikátu
Ak certifikačný orgán zistí, že:
držiteľ certifikátu EUCC alebo žiadateľ o certifikáciu neplní svoje záväzky a povinnosti stanovené v článku 9 ods. 2, článku 17 ods. 2 a v článkoch 27 a 41 alebo
držiteľ certifikátu EUCC nedodržiava článok 56 ods. 8 nariadenia (EÚ) 2019/881 alebo kapitolu VI tohto nariadenia,
stanoví lehotu najviac 30 dní, v rámci ktorej držiteľ certifikátu EUCC prijme nápravné opatrenie.
Článok 30
Pozastavenie platnosti certifikátu EUCC
Článok 31
Dôsledky nesúladu orgánu posudzovania zhody
Ak neplní svoje povinnosti certifikačný orgán alebo v prípade zistenia nesúladu zariadenia ITSEF príslušný certifikačný orgán, vnútroštátny orgán pre certifikáciu kybernetickej bezpečnosti bez zbytočného odkladu:
s podporou dotknutého zariadenia ITSEF identifikuje potenciálne dotknuté certifikáty EUCC;
v prípade potreby požiada, aby buď zariadenie ITSEF, ktoré vykonalo hodnotenie, alebo akékoľvek iné akreditované a prípadne splnomocnené zariadenie ITSEF, ktoré môže byť z technického hľadiska lepšie schopné pomôcť pri tejto identifikácii, vykonalo hodnotiace činnosti na jednom alebo viacerých produktoch IKT alebo profiloch ochrany;
analyzuje vplyvy nesúladu;
informuje držiteľa certifikátu EUCC, ktorého sa nesúlad týka.
Na základe opatrení uvedených v odseku 1 certifikačný orgán prijme v súvislosti s každým dotknutým certifikátom EUCC jedno z týchto rozhodnutí:
certifikát EUCC ponechá bez zmeny;
odníme certifikát EUCC v súlade s článkom 14 alebo článkom 20 a v prípade potreby vydá nový certifikát EUCC.
Na základe opatrení uvedených v odseku 1 vnútroštátny orgán pre certifikáciu kybernetickej bezpečnosti:
v prípade potreby nahlási nesúlad certifikačného orgánu alebo súvisiaceho zariadenia ITSEF vnútroštátnemu akreditačnému orgánu;
v prípade potreby posúdi potenciálny vplyv na splnomocnenie.
KAPITOLA VI
RIADENIE ZRANITEĽNOSTÍ A ZVEREJŇOVANIE INFORMÁCIÍ O ZRANITEĽNOSTIACH
Článok 32
Rozsah riadenia zraniteľností
Táto kapitola sa vzťahuje na produkty IKT, pre ktoré bol vydaný certifikát EUCC.
ODDIEL I
Riadenie zraniteľností
Článok 33
Postupy riadenia zraniteľností
Článok 34
Analýza vplyvu zraniteľností
Článok 35
Správa o analýze vplyvu zraniteľnosti
Správa o analýze vplyvu zraniteľnosti musí obsahovať posúdenie týchto prvkov:
vplyv zraniteľnosti na certifikovaný produkt IKT;
možné riziká spojené s blízkosťou alebo dostupnosťou útoku;
či možno zraniteľnosť napraviť;
ak možno zraniteľnosť napraviť, možné riešenia zraniteľnosti.
Článok 36
Náprava zraniteľností
Držiteľ certifikátu EUCC predloží certifikačnému orgánu návrh na vhodné nápravné opatrenie. Certifikačný orgán preskúma certifikát v súlade s článkom 13. Rozsah preskúmania závisí od navrhovanej nápravy zraniteľnosti.
ODDIEL II
Zverejňovanie informácií o zraniteľnostiach
Článok 37
Informácie poskytované vnútroštátnemu orgánu pre certifikáciu kybernetickej bezpečnosti
Článok 38
Spolupráca s ostatnými vnútroštátnymi orgánmi pre certifikáciu kybernetickej bezpečnosti
Článok 39
Zverejnenie zraniteľností
Po odňatí certifikátu držiteľ certifikátu EUCC zverejní a zaregistruje akúkoľvek verejne známu a napravenú zraniteľnosť v súvislosti s daným produktom IKT v európskej databáze zraniteľností zriadenej v súlade s článkom 12 smernice Európskeho parlamentu a Rady (EÚ) 2022/2555 ( 1 ) alebo v iných online registroch uvedených v článku 55 ods. 1 písm. d) nariadenia (EÚ) 2019/881.
KAPITOLA VII
UCHOVÁVANIE, ZVEREJŇOVANIE A OCHRANA INFORMÁCIÍ
Článok 40
Uchovávanie záznamov certifikačnými orgánmi a zariadeniami ITSEF
Článok 41
Informácie sprístupnené držiteľom certifikátu
Držiteľ certifikátu EUCC počas obdobia potrebného na účely tohto nariadenia a najmenej päť rokov po odňatí príslušného certifikátu EUCC bezpečne uchováva:
záznamy informácií poskytnutých certifikačnému orgánu a zariadeniu ITSEF počas procesu certifikácie
vzorový exemplár certifikovaného produktu IKT.
Článok 42
Informácie, ktoré má sprístupniť agentúra ENISA
Agentúra ENISA na webovom sídle uvedenom v článku 50 ods. 1 nariadenia (EÚ) 2019/881 uverejní tieto informácie:
všetky certifikáty EUCC;
informácie o stave certifikátu EUCC, najmä či je platný, či bola jeho platnosť pozastavená, či bol odňatý alebo jeho platnosť uplynula;
správy o certifikácii, ktoré zodpovedajú jednotlivým certifikátom EUCC;
zoznam akreditovaných orgánov posudzovania zhody;
zoznam splnomocnených orgánov posudzovania zhody;
dokumenty na základe aktuálneho stavu uvedené v prílohe I;
stanoviská európskej skupiny pre certifikáciu kybernetickej bezpečnosti uvedené v článku 62 ods. 4 písm. c) nariadenia (EÚ) 2019/881;
správy o partnerskom preskúmaní vydané v súlade s článkom 47.
Článok 43
Ochrana informácií
Orgány posudzovania zhody, vnútroštátne orgány pre certifikáciu kybernetickej bezpečnosti, európska skupina pre certifikáciu kybernetickej bezpečnosti, agentúra ENISA, Komisia a všetky ostatné strany zaistia bezpečnosť a ochranu podnikateľského tajomstva a ostatných dôverných informácií vrátane obchodného tajomstva, ako aj ochranu práv duševného vlastníctva, a prijmú potrebné a primerané technické a organizačné opatrenia.
KAPITOLA VIII
DOHODY O VZÁJOMNOM UZNÁVANÍ S TRETÍMI KRAJINAMI
Článok 44
Podmienky
Dohody o vzájomnom uznávaní uvedené v odseku 1 možno uzatvárať len s tretími krajinami, ktoré spĺňajú tieto podmienky:
majú orgán, ktorý:
je verejným orgánom z hľadiska organizačnej a právnej štruktúry, financovania a rozhodovania nezávislým od subjektov, nad ktorými vykonáva dohľad a ktoré monitoruje;
má primerané monitorovacie a dozorné právomoci na vykonávanie vyšetrovaní a je splnomocnený prijímať primerané nápravné opatrenia na zabezpečenie súladu;
má účinný, primeraný a odrádzajúci systém sankcií na zabezpečenie súladu;
súhlasí s tým, že bude spolupracovať s európskou skupinou pre certifikáciu kybernetickej bezpečnosti a agentúrou ENISA s cieľom vymieňať si najlepšie postupy a informácie o relevantnom vývoji v oblasti certifikácie kybernetickej bezpečnosti a pracovať na jednotnom výklade aktuálne platných kritérií a metód hodnotenia okrem iného uplatňovaním harmonizovanej dokumentácie, ktorá je rovnocenná s dokumentmi na základe aktuálneho stavu uvedenými v prílohe I;
majú nezávislý akreditačný orgán, ktorý vykonáva akreditácie s použitím rovnocenných noriem, ako sú normy uvedené v nariadení (ES) č. 765/2008;
zaviažu sa k tomu, že sa procesy a postupy hodnotenia a certifikácie budú vykonávať náležite profesionálne a že sa pritom zohľadní súlad s medzinárodnými normami uvedenými v tomto nariadení, najmä v článku 3;
majú kapacitu hlásiť predtým nezistené zraniteľnosti a majú zavedený primeraný postup riadenia zraniteľností a zverejňovania informácií o zraniteľnostiach;
zaviedli postupy, ktoré umožňujú účinne podávať a vybavovať sťažnosti a ktoré poskytujú sťažovateľovi účinný právny prostriedok nápravy;
ustanovia mechanizmus spolupráce s inými orgánmi Únie a členských štátov, ktoré sú relevantné pre certifikáciu kybernetickej bezpečnosti podľa tohto nariadenia, vrátane výmeny informácií o možnom nesúlade certifikátov, monitorovania príslušného vývoja v oblasti certifikácie a zabezpečenia spoločného prístupu k údržbe a preskúmaniu certifikácie.
Okrem podmienok stanovených v odseku 3 sa dohoda o vzájomnom uznávaní uvedená v odseku 1, ktorá sa vzťahuje na stupeň dôveryhodnosti „vysoký“, môže uzavrieť s tretími krajinami, len ak sú splnené aj tieto podmienky:
daná tretia krajina má nezávislý a verejný orgán pre certifikáciu kybernetickej bezpečnosti, ktorý vykonáva alebo deleguje hodnotiace činnosti potrebné na certifikáciu na stupni dôveryhodnosti „vysoký“, ktoré sú rovnocenné s požiadavkami a postupmi stanovenými pre vnútroštátne orgány pre kybernetickú bezpečnosť v tomto nariadení a v nariadení (EÚ) 2019/881;
dohodou o vzájomnom uznávaní sa s cieľom zlepšiť výmenu postupov a spoločne riešiť problémy v oblasti hodnotenia a certifikácie ustanovuje spoločný mechanizmus rovnocenný partnerskému preskúmaniu pri certifikácii EUCC.
KAPITOLA IX
PARTNERSKÉ PRESKÚMANIE CERTIFIKAČNÝCH ORGÁNOV
Článok 45
Postup partnerského preskúmania
Partnerské preskúmanie môže vychádzať z dôkazov získaných v priebehu predchádzajúcich partnerských preskúmaní alebo rovnocenných postupov partnersky skúmaného certifikačného orgánu alebo vnútroštátneho orgánu pre certifikáciu kybernetickej bezpečnosti za predpokladu, že:
výsledky nie sú staršie ako päť rokov;
ak sa výsledky týkajú partnerského preskúmania vykonaného v rámci iného systému certifikácie, sú doplnené opisom postupov partnerského preskúmania stanovených pre uvedený systém;
sa v správe o partnerskom preskúmaní uvedenej v článku 47 uvedie, ktoré výsledky sa opätovne použili s ďalším posúdením alebo bez neho.
Článok 46
Fázy partnerského preskúmania
Článok 47
Správa o partnerskom preskúmaní
Európska skupina pre certifikáciu kybernetickej bezpečnosti prijme k správe o partnerskom preskúmaní stanovisko:
ak sa v správe o partnerskom preskúmaní nezistia nezhody alebo ak partnersky skúmaný certifikačný orgán nezhody náležitým spôsobom vyriešil, európska skupina pre certifikáciu kybernetickej bezpečnosti môže vydať kladné stanovisko a všetky príslušné dokumenty sa uverejnia na webovom sídle agentúry ENISA pre certifikáciu;
ak partnersky skúmaný certifikačný orgán nevyrieši nezhody primerane a v stanovenej lehote, európska skupina pre certifikáciu kybernetickej bezpečnosti môže vydať negatívne stanovisko, ktoré sa uverejní na webovom sídle agentúry ENISA pre certifikáciu vrátane správy o partnerskom preskúmaní a všetkých príslušných dokumentov.
KAPITOLA X
UDRŽIAVANIE SYSTÉMU
Článok 48
Udržiavanie EUCC
KAPITOLA XI
ZÁVEREČNÉ USTANOVENIA
Článok 49
Vnútroštátne systémy, na ktoré sa vzťahuje EUCC
Článok 50
Nadobudnutie účinnosti
Toto nariadenie nadobúda účinnosť dvadsiatym dňom nasledujúcim po jeho uverejnení v Úradnom vestníku Európskej únie.
Uplatňuje sa od 27. februára 2025.
Kapitola IV a príloha V sa uplatňujú od dátumu nadobudnutia účinnosti tohto nariadenia.
Toto nariadenie je záväzné v celom rozsahu a priamo uplatniteľné vo všetkých členských štátoch.
PRÍLOHA I
Technické domény a dokumenty na základe aktuálneho stavu
1. Technické domény na stupni AVA_VAN 4 alebo 5:
dokumenty týkajúce sa harmonizovaného hodnotenia technickej domény „inteligentné karty a podobné zariadenia“, a najmä tieto dokumenty v príslušnom znení platnom k [dátum nadobudnutia účinnosti]:
Minimum ITSEF requirements for security evaluations of smart cards and similar devices (Minimálne požiadavky na zariadenia ITSEF na hodnotenie bezpečnosti inteligentných kariet a podobných zariadení), pôvodne schválené európskou skupinou pre certifikáciu kybernetickej bezpečnosti 20. októbra 2023;
Minimum Site Security Requirements (Minimálne požiadavky na bezpečnosť lokality), pôvodne schválené európskou skupinou pre certifikáciu kybernetickej bezpečnosti 20. októbra 2023;
Application of Common Criteria to integrated circuits (Uplatňovanie spoločných kritérií na integrované obvody), pôvodne schválené európskou skupinou pre certifikáciu kybernetickej bezpečnosti 20. októbra 2023;
Security Architecture requirements (ADV_ARC) for smart cards and similar devices [Požiadavky na bezpečnostnú architektúru (ADV_ARC) pre inteligentné karty a podobné zariadenia], pôvodne schválené európskou skupinou pre certifikáciu kybernetickej bezpečnosti 20. októbra 2023;
Certification of “open” smart card products (Certifikácia „otvorených“ inteligentných kariet), pôvodne schválené európskou skupinou pre certifikáciu kybernetickej bezpečnosti 20. októbra 2023;
Composite product evaluation for smart cards and similar devices (Hodnotenie zložených produktov pre inteligentné karty a podobné zariadenia), pôvodne schválené európskou skupinou pre certifikáciu kybernetickej bezpečnosti 20. októbra 2023;
Application of Attack Potential to Smartcards (Použitie potenciálu útoku na inteligentné karty), pôvodne schválené európskou skupinou pre certifikáciu kybernetickej bezpečnosti 20. októbra 2023;
dokumenty týkajúce sa harmonizovaného hodnotenia technickej domény „hardvérové zariadenia s bezpečnostnými skrinkami“, a najmä tieto dokumenty v príslušnom znení platnom k [dátum nadobudnutia účinnosti]:
Minimum ITSEF requirements for security evaluations of hardware devices with security boxes (Minimálne požiadavky na zariadenia ITSEF na hodnotenie bezpečnosti hardvérových zariadení s bezpečnostnými skrinkami), pôvodne schválené európskou skupinou pre certifikáciu kybernetickej bezpečnosti 20. októbra 2023;
Minimum Site Security Requirements (Minimálne požiadavky na bezpečnosť lokality), pôvodne schválené európskou skupinou pre certifikáciu kybernetickej bezpečnosti 20. októbra 2023;
Application of Attack Potential to hardware devices with security boxes (Použitie potenciálu útoku na hardvérové zariadenia s bezpečnostnými skrinkami), pôvodne schválené európskou skupinou pre certifikáciu kybernetickej bezpečnosti 20. októbra 2023.
2. Dokumenty na základe aktuálneho stavu v príslušnom znení platnom k [dátum nadobudnutia účinnosti]:
dokument týkajúci sa harmonizovanej akreditácie orgánov posudzovania zhody: Accreditation of ITSEFs for the EUCC (Akreditácia zariadení ITSEF pre EUCC), pôvodne schválené európskou skupinou pre certifikáciu kybernetickej bezpečnosti 20. októbra 2023.
PRÍLOHA II
Profily ochrany certifikované na stupni AVA_VAN 4 alebo 5
1. Pre kategóriu zariadení na vyhotovenie kvalifikovaného podpisu a pečate na diaľku:
EN 419241 – 2:2019 Dôveryhodné systémy podporujúce podpisovanie na strane servera. Časť 2: Profil ochrany pre QSCD pre podpisovanie na strane servera;
EN 419221 – 5:2018 Profily ochrany kryptografických modulov pre poskytovateľov dôveryhodných služieb. Časť 5: Kryptografický modul pre dôveryhodné služby.
2. Profily ochrany, ktoré boli prijaté ako dokumenty na základe aktuálneho stavu:
[PRÁZDNE]
PRÍLOHA III
Odporúčané profily ochrany (na ilustráciu technických domén z prílohy I)
Profily ochrany používané pri certifikácii produktov IKT patriacich do uvedenej kategórie produktov IKT:
pre kategóriu strojovo čitateľných cestovných dokladov:
PP Machine Readable Travel Document using Standard Inspection Procedure with PACE (Profil ochrany pre strojovo čitateľný cestovný doklad s použitím štandardného postupu inšpekcie s PACE), BSI-CC-PP-0068-V2-2011-MA-01;
PP for a Machine Readable Travel Document with "ICAO Application" Extended Access Control (Profil ochrany pre strojovo čitateľný cestovný doklad s rozšírenou kontrolou prístupu do „aplikácie ICAO“), BSI-CC-PP-0056-2009;
PP for a Machine Readable Travel Document with "ICAO Application" Extended Access Control with PACE (Profil ochrany pre strojovo čitateľný cestovný doklad s rozšírenou kontrolou prístupu do „aplikácie ICAO“ s PACE), BSI-CC-PP-0056-V2-2012-MA-02;
PP for a Machine Readable Travel Document with "ICAO Application" Basic Access Control (Profil ochrany pre strojovo čitateľný cestovný doklad so základnou kontrolou prístupu do „aplikácie ICAO“), BSI-CC-PP-0055-2009;
pre kategóriu zariadení na vyhotovenie bezpečného podpisu:
EN 419211 – 1:2014 Profily ochrany pre zariadenia na vyhotovenie bezpečného podpisu. Časť 1: Prehľad;
EN 419211 – 2:2013 Profily ochrany pre zariadenia na vyhotovenie bezpečného podpisu. Časť 2: Zariadenie s generovaním kľúča;
EN 419211 – 3:2013 Profily ochrany pre zariadenia na vyhotovenie bezpečného podpisu. Časť 3: Zariadenie s importovaním kľúča;
EN 419211 – 4:2013 Profily ochrany pre zariadenia na vyhotovenie bezpečného podpisu. Časť 4: Rozšírenie pre zariadenie s generovaním kľúča a dôveryhodným kanálom k aplikácii na generovanie certifikátov;
EN 419211 – 5:2013 Profily ochrany pre zariadenia na vyhotovenie bezpečného podpisu. Časť 5: Rozšírenie pre zariadenie s generovaním kľúča a dôveryhodným kanálom k aplikácii na vyhotovenie podpisu;
EN 419211 – 6:2014 Profily ochrany pre zariadenia na vyhotovenie bezpečného podpisu. Časť 6: Rozšírenie pre zariadenie s importovaním kľúča a dôveryhodným kanálom k aplikácii na vyhotovenie podpisu;
pre kategóriu digitálnych tachografov:
digitálny tachograf – tachografová karta, ako sa uvádza vo vykonávacom nariadení Komisie (EÚ) 2016/799 z 18. marca 2016, ktorým sa vykonáva nariadenie Európskeho parlamentu a Rady (EÚ) č. 165/2014 (príloha I C);
digitálny tachograf – jednotka vozidla, ako sa uvádza v prílohe I B k nariadeniu Komisie (ES) č. 1360/2002, ktorá je určená na inštalovanie vo vozidlách cestnej dopravy;
digitálny tachograf – externé zariadenie GNSS (EGF PP), ako sa uvádza v prílohe I C k vykonávaciemu nariadeniu Komisie (EÚ) 2016/799 z 18. marca 2016, ktorým sa vykonáva nariadenie Európskeho parlamentu a Rady (EÚ) č. 165/2014;
digitálny tachograf – snímač pohybu (MS PP), ako sa uvádza v prílohe I C k vykonávaciemu nariadeniu Komisie (EÚ) 2016/799 z 18. marca 2016, ktorým sa vykonáva nariadenie Európskeho parlamentu a Rady (EÚ) č. 165/2014;
pre kategóriu zabezpečených integrovaných obvodov, inteligentných kariet a súvisiacich zariadení:
Security IC Platform PP (Profil ochrany pre platformu zabezpečených integrovaných obvodov), BSI-CC-PP-0084-2014;
Java Card System - Open Configuration (Systém Java Card – otvorená konfigurácia), V3.0.5 BSI-CC-PP-0099-2017;
Java Card System - Closed Configuration (Systém Java Card – zatvorená konfigurácia), BSI-CC-PP-0101-2017;
PP for a PC Client Specific Trusted Platform Module Family 2.0 Level 0 Revision 1.16 (Profil ochrany pre rodinu 2.0 modulov dôveryhodnej platformy špecifickú pre klienta PC, úroveň 0, revízia 1.16), ANSSI-CC-PP-2015/07;
Universal SIM card (Profil ochrany pre univerzálnu SIM kartu), PU-2009-RT-79, ANSSI-CC-PP-2010/04;
Embedded UICC (eUICC) for Machine-to-Machine Devices [Zabudovaná karta UICC (eUICC) pre zariadenia stroj-stroj], BSI-CC-PP-0089-2015;
pre kategóriu miest (platobnej) interakcie a platobných terminálov:
Point of Interaction "POI-CHIP-ONLY" (Miesto interakcie „POI-CHIP-ONLY“), ANSSI-CC-PP-2015/01;
Point of Interaction "POI-CHIP-ONLY and Open Protocol Package" (Miesto interakcie „POI-CHIP-ONLY a balík otvorených protokolov“), ANSSI-CC-PP-2015/02;
Point of Interaction "POI-COMPREHENSIVE" (Miesto interakcie „POI-COMPREHENSIVE“), ANSSI-CC-PP-2015/03;
Point of Interaction "POI-COMPREHENSIVE and Open Protocol Package" (Miesto interakcie „POI-COMPREHENSIVE a balík otvorených protokolov“), ANSSI-CC-PP-2015/04;
Point of Interaction "POI-PED-ONLY" (Miesto interakcie „POI-PED-ONLY“), ANSSI-CC-PP-2015/05;
Point of Interaction "POI-PED-ONLY and Open Protocol Package" (Miesto interakcie „POI-PED-ONLY a balík otvorených protokolov“), ANSSI-CC-PP-2015/06;
pre kategóriu hardvérových zariadení s bezpečnostnými skrinkami:
Cryptographic Module for CSP Signing Operations with Backup - PP CMCSOB (Kryptografický modul pre operácie podpisovania CSP so zálohovaním – profil ochrany CMCSOB), PP HSM CMCSOB 14167-2, ANSSI-CC-PP-2015/08;
Cryptographic Module for CSP key generation services - PP CMCKG (Kryptografický modul pre služby generovania kľúčov CSP – profil ochrany CMCKG), PP HSM CMCKG 14167-3, ANSSI-CC-PP-2015/09;
Cryptographic Module for CSP Signing Operations without Backup - PP CMCSO (Kryptografický modul pre operácie podpisovania CSP bez zálohovania – profil ochrany CMCSO), PP HSM CMCKG 14167-4, ANSSI-CC-PP-2015/10.
PRÍLOHA IV
Kontinuita dôveryhodnosti a preskúmanie certifikátu
IV.1. Kontinuita dôveryhodnosti: rozsah pôsobnosti
1. Nasledujúce požiadavky na kontinuitu dôveryhodnosti sa vzťahujú na činnosti údržby, ktoré sa týkajú:
opätovného posúdenia toho, či nezmenený certifikovaný produkt IKT stále spĺňa svoje bezpečnostné požiadavky;
hodnotenia vplyvov zmien certifikovaného produktu IKT na jeho certifikáciu;
použitia bezpečnostných záplat v súlade s posúdeným procesom riadenia bezpečnostných záplat, ak je to súčasťou certifikácie;
preskúmania riadenia životného cyklu alebo výrobných procesov držiteľa certifikátu, ak je zahrnuté.
2. Držiteľ certifikátu EUCC môže požiadať o preskúmanie certifikátu v týchto prípadoch:
platnosť certifikátu EUCC sa skončí do deviatich mesiacov;
došlo k zmene buď v certifikovanom produkte IKT, alebo v inom faktore, ktorý by mohol ovplyvniť jeho bezpečnostnú funkciu;
držiteľ certifikátu požaduje, aby sa znovu vykonalo posúdenie zraniteľností s cieľom opätovne potvrdiť dôveryhodnosť certifikátu EUCC súvisiacu s odolnosťou produktu IKT voči súčasným kybernetickým útokom.
IV.2. Opätovné posúdenie
1. Ak je potrebné posúdiť vplyv zmien prostredia hrozieb nezmeneného certifikovaného produktu IKT, certifikačnému orgánu sa predloží žiadosť o opätovné posúdenie.
2. Opätovné posúdenie vykoná to isté zariadenie ITSEF, ktoré bolo zapojené do predchádzajúceho hodnotenia, a použije pri ňom všetky výsledky hodnotenia, ktoré ešte platia. Hodnotenie sa zameria na činnosti dôveryhodnosti, ktoré sú potenciálne ovplyvnené zmeneným prostredím hrozieb certifikovaného produktu IKT, najmä na relevantnú skupinu stupňov AVA_VAN a okrem toho na skupinu životného cyklu dôveryhodnosti (ALC), na čo sa musia opätovne zhromaždiť dostatočné dôkazy o udržiavaní vývojového prostredia.
3. Zariadenie ITSEF v aktualizáciou predchádzajúcej technickej správy hodnotenia opíše zmeny a podrobne uvedie výsledky opätovného posúdenia.
4. Certifikačný orgán preskúma túto aktualizovanú technickú správu hodnotenia a vypracuje správu o opätovnom posúdení. Stav počiatočného certifikátu sa následne upraví v súlade s článkom 13.
5. Správa o opätovnom posúdení a aktualizovaný certifikát sa predložia vnútroštátnemu orgánu pre certifikáciu kybernetickej bezpečnosti a agentúre ENISA, aby ich uverejnila na svojom webovom sídle pre certifikáciu kybernetickej bezpečnosti.
IV.3. Zmeny certifikovaného produktu IKT
1. Ak bol certifikovaný produkt IKT predmetom zmien, držiteľ certifikátu, ktorý si chce certifikát zachovať, predloží certifikačnému orgánu správu o analýze vplyvu.
2. V správe a analýze vplyvu sa uvedú tieto prvky:
úvod obsahujúci potrebné informácie na identifikovanie správy o analýze vplyvu a objektu hodnotenia, ktorý je predmetom zmien;
opis zmien produktu;
identifikácia dotknutých dôkazov vývojára;
opis úprav dôkazov vývojára;
zistenia a závery týkajúce sa vplyvu na dôveryhodnosť v prípade každej zmeny.
3. Certifikačný orgán preskúma zmeny opísané v správe o analýze vplyvu, aby overil ich vplyv na dôveryhodnosť certifikovaného objektu hodnotenia, ako sa navrhuje v záveroch správy o analýze vplyvu.
4. Po preskúmaní certifikačný orgán určí v súlade s vplyvom zmeny jej rozsah ako menej závažný alebo závažný.
5. Ak certifikačný orgán potvrdil, že zmeny sú menej závažné, vydá sa pre upravený produkt IKT nový certifikát a k pôvodnej správe o certifikácii sa vypracuje správa o údržbe za týchto podmienok:
správa o údržbe sa zahrnie ako podsúbor správy o analýze vplyvu, pričom bude obsahovať tieto oddiely:
úvod;
opis zmien;
dôkazy dotknutého vývojára;
obdobie platnosti nového certifikátu nesmie presiahnuť obdobie platnosti pôvodného certifikátu.
6. Nový certifikát vrátane správy o údržbe sa predloží agentúre ENISA, aby ho uverejnila na svojom webovom sídle pre certifikáciu kybernetickej bezpečnosti.
7. Ak bolo potvrdené, že zmeny sú závažné, vykoná sa v kontexte predchádzajúceho hodnotenia opätovné hodnotenie, pri ktorom sa znova použijú všetky výsledky z predchádzajúceho hodnotenia, ktoré stále platia.
8. Po dokončení hodnotenia zmeneného objektu hodnotenia zariadenie ITSEF vypracuje novú technickú správu hodnotenia. Certifikačný orgán preskúma túto aktualizovanú technickú správu hodnotenia a v prípade potreby vystaví nový certifikát s novou správou o certifikácii.
9. Nový certifikát a nová správa o certifikácii sa predložia agentúre ENISA na uverejnenie.
IV.4. Riadenie bezpečnostných záplat
1. Postupom riadenia bezpečnostných záplat sa zabezpečuje štruktúrovaný proces aktualizácie certifikovaného produktu IKT. Postup riadenia bezpečnostných záplat vrátane mechanizmu, ktorý žiadateľ o certifikáciu zaviedol do produktu IKT, sa môže použiť po certifikácii produktu IKT na zodpovednosť orgánu posudzovania zhody.
2. Žiadateľ o certifikáciu môže do certifikácie produktu IKT zahrnúť mechanizmus bezpečnostných záplat ako súčasť certifikovaného postupu riadenia implementovaného do produktu IKT, ak je splnená jedna z týchto podmienok:
funkcie dotknuté bezpečnostnou záplatou sú mimo objektu hodnotenia certifikovaného produktu IKT;
bezpečnostná záplata sa týka vopred určenej menej závažnej zmeny certifikovaného produktu IKT;
bezpečnostná záplata sa týka potvrdenej zraniteľnosti s kritickými účinkami na bezpečnosť certifikovaného produktu IKT.
3. Ak sa bezpečnostná záplata týka závažnej zmeny objektu hodnotenia certifikovaného produktu IKT vo vzťahu k doposiaľ nezistenej zraniteľnosti, ktorá nemá kritické účinky na bezpečnosť produktu IKT, uplatňujú sa ustanovenia článku 13.
4. Postup riadenia bezpečnostných záplat pre produkt IKT budú tvoriť tieto prvky:
proces vývoja a vydania bezpečnostnej záplaty pre produkt IKT;
technický mechanizmus a funkcie na prevzatie bezpečnostnej záplaty do produktu IKT;
súbor hodnotiacich činností týkajúcich sa účinnosti a výkonnosti technického mechanizmu.
5. Počas certifikácie produktu IKT:
žiadateľ o certifikáciu produktu IKT predloží opis postupu riadenia bezpečnostných záplat;
zariadenie ITSEF overí, či:
vývojár zaviedol mechanizmus bezpečnostných záplat do produktu IKT v súlade s postupom riadenia bezpečnostných záplat, ktorý bol predložený na certifikáciu;
sú hranice objektu hodnotenia oddelené tak, aby zmeny uskutočnené v oddelených procesoch neovplyvňovali bezpečnosť objektu hodnotenia;
technický mechanizmus bezpečnostných záplat funguje v súlade s ustanoveniami tohto oddielu a tvrdeniami žiadateľa;
Výsledok posúdenia postupu riadenia bezpečnostných záplat zahrnie certifikačný orgán do správy o certifikácii.
6. Držiteľ certifikátu môže použiť bezpečnostnú záplatu vytvorenú v súlade s certifikovaným postupom riadenia bezpečnostných záplat na dotknutý certifikovaný produkt IKT a v nasledujúcich prípadoch vykoná do piatich pracovných dní tieto kroky:
v prípade uvedenom v bode 2 písm. a) oznámi dotknutú bezpečnostnú záplatu certifikačnému orgánu, ktorý nezmení príslušný certifikát EUCC;
v prípade uvedenom v bode 2 písm. b) predloží dotknutú bezpečnostnú záplatu zariadeniu ITSEF na preskúmanie. Po prijatí bezpečnostnej záplaty informuje zariadenie ITSEF certifikačný orgán, po čom certifikačný orgán prijme primerané opatrenie na vydanie novej verzie príslušného certifikátu EUCC a aktualizáciu správy o certifikácii;
v prípade uvedenom v bode 2 písm. c) predloží dotknutú bezpečnostnú záplatu zariadeniu ITSEF na potrebné opätovné hodnotenie, ale súčasne môže bezpečnostnú záplatu zaviesť. Zariadenie ITSEF informuje certifikačný orgán, ktorý následne začne s príslušnými certifikačnými činnosťami.
PRÍLOHA V
OBSAH SPRÁVY O CERTIFIKÁCII
V.1. Správa o certifikácii
1. Certifikačný orgán na základe technických správ hodnotenia, ktoré poskytne zariadenie ITSEF, vypracuje správu o certifikácii, ktorá sa uverejní spolu s príslušným certifikátom EUCC.
2. Správa o certifikácii je zdrojom podrobných a praktických informácií o produkte IKT alebo kategórii produktov IKT a o bezpečnom nasadení produktu IKT, a preto musí obsahovať všetky verejne dostupné a zdieľateľné informácie dôležité pre používateľov a zainteresované strany. V správe o certifikácii možno odkazovať na verejne dostupné a zdieľateľné informácie.
3. Správa o certifikácii musí obsahovať prinajmenšom tieto oddiely:
zhrnutie;
identifikácia produktu IKT alebo kategórie produktov IKT pre profily ochrany;
bezpečnostné služby;
predpoklady a objasnenie rozsahu pôsobnosti;
informácie o architektúre;
prípadné doplnkové informácie o kybernetickej bezpečnosti;
skúšky produktu IKT, ak boli vykonané;
v prípade potreby identifikácia procesov riadenia životného cyklu a výrobných zariadení držiteľa certifikátu;
výsledky hodnotenia a informácie týkajúce sa certifikátu;
zhrnutie bezpečnostného zámeru produktu IKT predloženého na certifikáciu;
značka alebo označenie spojené so systémom, ak sú k dispozícii;
bibliografia.
4. Zhrnutie musí byť stručným zhrnutím celej správy o certifikácii. Zhrnutie musí poskytovať jasný a výstižný prehľad výsledkov hodnotenia a musí obsahovať tieto informácie:
názov hodnoteného produktu IKT, vymenovanie zložiek produktu, ktoré sú súčasťou hodnotenia, a verziu produktu IKT;
názov zariadenia ITSEF, ktoré vykonalo hodnotenie, a prípadne zoznam subdodávateľov;
dátum ukončenia hodnotenia;
odkaz na technickú správu hodnotenia vypracovanú zariadením ITSEF;
stručný opis výsledkov správy o certifikácii, a to aj:
verziu a prípadne vydanie spoločných kritérií použitých na hodnotenie;
balík dôveryhodnosti a zložky bezpečnostnej dôveryhodnosti spoločných kritérií vrátane stupňa AVA_VAN použitého počas hodnotenia a jeho zodpovedajúci stupeň dôveryhodnosti stanovený v článku 52 nariadenia (EÚ) 2019/881, na ktorý sa vzťahuje certifikát EUCC;
bezpečnostnú funkciu hodnoteného produktu IKT;
zhrnutie hrozieb a organizačných bezpečnostných politík, ktoré hodnotený produkt IKT rieši;
špecifické požiadavky na konfiguráciu;
predpoklady týkajúce sa operačného prostredia;
v prípade potreby existencia schváleného postupu riadenia bezpečnostných záplat v súlade s oddielom IV.4 prílohy IV;
vyhlásenia o odmietnutí zodpovednosti.
5. Hodnotený produkt IKT musí byť jasne identifikovaný vrátane týchto informácií:
názov hodnoteného produktu IKT;
vymenovanie zložiek produktu IKT, ktoré sú súčasťou hodnotenia;
číslo verzie zložiek produktu IKT;
identifikácia ďalších požiadaviek na operačné prostredie certifikovaného produktu IKT;
meno/názov a kontaktné údaje držiteľa certifikátu EUCC;
v prípade potreby postup riadenia bezpečnostných záplat zahrnutý do certifikátu;
odkaz na webové sídlo držiteľa certifikátu EUCC, kde sa uvádzajú doplňujúce informácie o kybernetickej bezpečnosti týkajúce sa certifikovaného produktu IKT v súlade s článkom 55 nariadenia (EÚ) 2019/881.
6. Informácie uvedené v tomto oddiele musia byť čo najpresnejšie, aby bolo zaistené úplné a presné zachytenie produktu IKT, ktoré možno opakovane použiť v budúcich hodnoteniach.
7. Oddiel týkajúci sa bezpečnostnej politiky musí obsahovať opis bezpečnostnej politiky produktu IKT a politiky a pravidlá, ktoré musí hodnotený produkt IKT presadzovať alebo dodržiavať. Musí obsahovať odkaz na tieto politiky a ich opis:
politika držiteľa certifikátu týkajúca sa riešenia zraniteľnosti;
politika držiteľa certifikátu týkajúca sa kontinuity dôveryhodnosti.
8. V prípade potreby môže politika zahŕňať podmienky týkajúce sa používania postupu riadenia bezpečnostných záplat počas platnosti certifikátu.
9. Oddiel týkajúci sa predpokladov a objasnenia rozsahu pôsobnosti musí obsahovať úplné informácie o okolnostiach a cieľoch súvisiacich s plánovaným využívaním produktu, ako sa uvádza v článku 7 ods. 1 písm. c). Informácie musia obsahovať tieto údaje:
predpoklady týkajúce sa používania a nasadenia produktu IKT vo forme minimálnych požiadaviek, ako je správna inštalácia a konfigurácia a splnenie hardvérových požiadaviek;
predpoklady týkajúce sa prostredia pre prevádzku produktu IKT v súlade s predpismi.
10. Informácie uvedené v bode 9 musia byť čo najzrozumiteľnejšie, aby používatelia certifikovaného produktu IKT mohli robiť informované rozhodnutia v súvislosti s rizikami spojenými s jeho používaním.
11. Oddiel s informáciami o architektúre musí zahŕňať všeobecný opis produktu IKT a jeho hlavných zložiek v súlade so štruktúrou subsystémov ADV_TDS podľa spoločných kritérií.
12. Musí sa uviesť úplný zoznam doplňujúcich informácií o kybernetickej bezpečnosti týkajúcich sa produktu IKT v súlade s článkom 55 nariadenia (EÚ) 2019/881. Celá príslušná dokumentácia sa označí číslami verzie.
13. Oddiel týkajúci sa skúšok produktu IKT musí obsahovať tieto informácie:
názov a kontaktné miesto orgánu alebo subjektu, ktorý vydal certifikát, vrátane zodpovedného vnútroštátneho orgánu pre certifikáciu kybernetickej bezpečnosti;
názov zariadenia ITSEF, ktoré vykonalo hodnotenie, ak sa líši od certifikačného orgánu;
identifikáciu použitých zložiek dôveryhodnosti z noriem uvedených v článku 3;
verziu dokumentu na základe aktuálneho stavu a ďalšie kritériá hodnotenia bezpečnosti použité v hodnotení;
úplné a presné nastavenia a konfiguráciu produktu IKT počas hodnotenia vrátane prípadných operačných poznámok a pozorovaní;
akýkoľvek profil ochrany, ktorý sa použil, vrátane týchto informácií:
autor profilu ochrany;
názov a identifikátor profilu ochrany;
identifikátor certifikátu profilu ochrany;
názov a kontaktné údaje certifikačného orgánu a zariadenia ITSEF zapojeného do hodnotenia profilu ochrany;
balíky dôveryhodnosti požadované pre produkt podľa profilu ochrany.
14. Oddiel týkajúci sa výsledkov hodnotenia a informácií o certifikáte musí obsahovať tieto informácie:
potvrdenie dosiahnutého stupňa dôveryhodnosti podľa článku 4 tohto nariadenia a článku 52 nariadenia (EÚ) 2019/881;
požiadavky na dôveryhodnosť z noriem uvedených v článku 3, ktoré produkt IKT alebo profil ochrany skutočne spĺňa, vrátane stupňa AVA_VAN;
podrobný opis požiadaviek na dôveryhodnosť, ako aj podrobnosti o tom, ako produkt každú z nich spĺňa;
dátum vydania a obdobie platnosti certifikátu;
jedinečný identifikátor certifikátu.
15. Bezpečnostný zámer sa musí do správy o certifikácii buď zahrnúť, alebo sa v nej naň musí uviesť odkaz a jeho zhrnutie a na účely uverejnenia sa musí predložiť spolu so správou o certifikácii.
16. Bezpečnostný zámer sa môže upraviť v súlade s oddielom VI.2.
17. Do správy o certifikácii sa môže vložiť značka alebo označenie spojené s EUCC, a to v súlade s pravidlami a postupmi stanovenými v článku 11.
18. Oddiel týkajúci sa bibliografie musí obsahovať odkazy na všetky dokumenty použité pri zostavovaní správy o certifikácii. Tieto informácie musia zahŕňať aspoň:
kritériá hodnotenia bezpečnosti, dokumenty na základe aktuálneho stavu a ďalšie použité relevantné špecifikácie a ich verziu;
technickú správu hodnotenia;
v prípade potreby technickú správu hodnotenia pre kompozitné hodnotenie;
technickú referenčnú dokumentáciu;
dokumentáciu vývojára použitú pri hodnotení.
19. S cieľom zaručiť reprodukovateľnosť hodnotenia musia byť všetky dokumenty, na ktoré sa odkazuje, jednoznačne identifikované správnym dátumom vydania a správnym číslom verzie.
V.2. Úprava bezpečnostného zámeru na účely uverejnenia
1. Bezpečnostný zámer, ktorý sa podľa oddielu VI.1 bodu 1 má zahrnúť do správy o certifikácii alebo sa v nej má naň odkázať, sa môže upraviť odstránením alebo parafrázovaním chránených technických informácií.
2. Výsledný upravený bezpečnostný zámer musí byť skutočným vyjadrením jeho úplnej pôvodnej verzie. To znamená, že v upravenom bezpečnostnom zámere sa nemôžu vynechať informácie, ktoré sú potrebné na pochopenie bezpečnostných vlastností objektu hodnotenia a rozsahu hodnotenia.
3. Obsah upraveného bezpečnostného zámeru musí spĺňať tieto minimálne požiadavky:
jeho úvod sa nesmie upravovať, keďže vo všeobecnosti neobsahuje chránené informácie;
upravený bezpečnostný zámer musí mať jedinečný identifikátor, ktorý je odlišný od jeho úplnej pôvodnej verzie;
opis objektu hodnotenia sa môže skrátiť, keďže môže obsahovať chránené a podrobné informácie o koncepcii objektu hodnotenia, ktoré by sa nemali zverejňovať;
opis bezpečnostného prostredia objektu hodnotenia (predpoklady, hrozby, organizačné bezpečnostné politiky) sa nesmie skracovať, pokiaľ sú tieto informácie potrebné na pochopenie rozsahu hodnotenia;
bezpečnostné ciele sa nesmú skracovať, keďže všetky informácie sa majú zverejniť na účely pochopenia bezpečnostného zámeru a objektu hodnotenia;
všetky bezpečnostné požiadavky sa musia zverejniť. Poznámky k aplikácii môžu poskytovať informácie o tom, ako sa funkčné požiadavky spoločných kritérií podľa článku 3 použili na pochopenie bezpečnostného zámeru;
súhrnná špecifikácia objektu hodnotenia musí obsahovať všetky bezpečnostné funkcie objektu hodnotenia, ale ďalšie chránené informácie sa môžu odstrániť;
odkazy na profily ochrany uplatnené na objekt hodnotenia musia byť zahrnuté;
odôvodnenie sa môže upraviť, aby sa odstránili chránené informácie.
4. Aj keď sa upravený bezpečnostný zámer formálne nehodnotí v súlade s normami hodnotenia uvedenými v článku 3, certifikačný orgán zaistí, aby bol v súlade s úplným a hodnoteným bezpečnostným zámerom, a v správe o certifikácii uvedie odkaz na úplný aj upravený bezpečnostný zámer.
PRÍLOHA VI
ROZSAH PARTNERSKÉHO PRESKÚMANIA A ZLOŽENIE TÍMU NA PARTNERSKÉ PRESKÚMANIE
VI.1. Rozsah partnerského preskúmania
1. Zahrnuté sú tieto typy partnerského preskúmania:
typ 1: keď certifikačný orgán vykonáva certifikačnú činnosť na stupni AVA_VAN.3;
typ 2: keď certifikačný orgán vykonáva certifikačnú činnosť súvisiacu s technickou doménou uvedenou v prílohe I ako dokumenty na základe aktuálneho stavu;
typ 3: keď certifikačný orgán vykonáva certifikačnú činnosť na stupni vyššom ako AVA_VAN.3, pričom využíva profil ochrany uvedený v prílohe II alebo III ako dokumenty na základe aktuálneho stavu.
2. Partnersky skúmaný certifikačný orgán predloží zoznam certifikovaných produktov IKT, ktoré môžu byť kandidátmi na preskúmanie tímom na partnerské preskúmanie, a to v súlade s týmito pravidlami:
na kandidátske produkty sa vzťahuje technický rozsah splnomocnenia certifikačného orgánu; prostredníctvom partnerského preskúmania sa budú analyzovať aspoň dve rôzne hodnotenia produktov na stupni dôveryhodnosti „vysoký“ a jeden profil ochrany, ak certifikačný orgán vydal certifikát na stupni dôveryhodnosti „vysoký“;
v prípade partnerského preskúmania typu 2 certifikačný orgán predloží aspoň jeden produkt za každú technickú doménu a za každé dotknuté zariadenie ITSEF;
v prípade partnerského preskúmania typu 3 sa v súlade s platným a relevantným profilom ochrany vyhodnotí aspoň jeden kandidátsky produkt.
VI.2. Tím na partnerské preskúmanie
1. Tím na partnerské preskúmanie pozostáva aspoň z dvoch expertov vybratých z rôznych certifikačných orgánov vydávajúcich certifikáty na stupni dôveryhodnosti „vysoký“ z rôznych členských štátov. Experti by mali preukázať relevantné odborné znalosti v oblasti noriem uvedených v článku 3 a dokumentov na základe aktuálneho stavu, ktoré patria do rozsahu partnerského preskúmania.
2. V prípade delegovania vydávania certifikátov alebo predchádzajúceho schvaľovania certifikátov, ako sa uvádza v článku 56 ods. 6 nariadenia (EÚ) 2019/881, musí byť členom tímu expertov vybratých v súlade s odsekom 1 tohto oddielu okrem toho expert z vnútroštátneho orgánu pre certifikáciu kybernetickej bezpečnosti príslušného pre dotknutý certifikačný orgán.
3. Členovia tímu na partnerské preskúmanie typu 2 sa vyberajú z certifikačných orgánov, ktoré sú splnomocnené pre príslušnú technickú doménu.
4. Každý člen tímu na partnerské preskúmanie musí mať aspoň dva roky skúseností s vykonávaním certifikačných činností v certifikačnom orgáne.
5. Pokiaľ ide o partnerské preskúmanie typu 2 alebo 3, každý člen tímu na partnerské preskúmanie musí mať aspoň dva roky skúseností s vykonávaním certifikačných činností v príslušnej technickej doméne alebo profile ochrany a preukázané odborné znalosti a účasť na autorizácii zariadenia ITSEF.
6. Vnútroštátny orgán pre certifikáciu kybernetickej bezpečnosti, ktorý monitoruje partnersky skúmaný certifikačný orgán a vykonáva nad ním dohľad, a aspoň jeden vnútroštátny orgán pre certifikáciu kybernetickej bezpečnosti, ktorého certifikačný orgán nie je predmetom partnerského preskúmania, sa zúčastňujú na partnerskom preskúmaní ako pozorovatelia. Na partnerskom preskúmaní sa ako pozorovateľ môže zúčastniť aj agentúra ENISA.
7. Zloženie tímu na partnerské preskúmanie sa oznámi partnersky skúmanému certifikačnému orgánu. V odôvodnených prípadoch môže tento certifikačný orgán vzniesť námietku proti zloženiu tímu na partnerské preskúmanie a požiadať o jeho prehodnotenie.
PRÍLOHA VII
Obsah certifikátu EUCC
Certifikát EUCC musí obsahovať aspoň:
jedinečný identifikátor udelený certifikačným orgánom, ktorý vydáva certifikát;
informácie týkajúce sa certifikovaného produktu IKT alebo profilu ochrany a držiteľa certifikátu vrátane:
názvu produktu IKT alebo profilu ochrany a podľa potreby objektu hodnotenia;
typu produktu IKT alebo profilu ochrany a podľa potreby objektu hodnotenia;
verzie produktu IKT alebo profilu ochrany;
mena/názvu, adresy a kontaktných údajov držiteľa certifikátu;
odkazu na webové sídlo držiteľa certifikátu, kde sa nachádzajú doplňujúce informácie o kybernetickej bezpečnosti uvedené v článku 55 nariadenia (EÚ) 2019/881;
informácie týkajúce sa hodnotenia a certifikácie produktu IKT alebo profilu ochrany vrátane:
názvu, adresy a kontaktných údajov certifikačného orgánu, ktorý vydal certifikát;
ak sa líši od certifikačného orgánu, názvu zariadenia ITSEF, ktoré vykonalo hodnotenie;
názvu zodpovedného vnútroštátneho orgánu pre certifikáciu kybernetickej bezpečnosti;
odkazu na toto nariadenie;
odkazu na správu o certifikácii patriacu k certifikátu uvedenú v prílohe V;
platného stupňa dôveryhodnosti v súlade s článkom 4;
odkazu na verziu noriem použitých na hodnotenie, ktoré sú uvedené v článku 3;
identifikácie stupňa dôveryhodnosti alebo balíka dôveryhodnosti podľa noriem uvedených v článku 3 a v súlade s prílohou VIII vrátane použitých zložiek dôveryhodnosti a pokrytého stupňa AVA_VAN;
podľa potreby odkazu na jeden alebo viac profilov ochrany, s ktorými je produkt IKT alebo profil ochrany v súlade;
dátumu vydania;
obdobia platnosti certifikátu;
značka a označenie spojené s certifikátom v súlade s článkom 11.
PRÍLOHA VIII
Vyhlásenie o balíku dôveryhodnosti
1. Na rozdiel od definícií v spoločných kritériách sa rozšírenie:
neoznačuje skratkou „+“;
podrobne uvedie ako zoznam všetkých príslušných zložiek;
podrobne uvedie v správe o certifikácii.
2. Stupeň dôveryhodnosti potvrdený v certifikáte EUCC sa môže doplniť stupňom dôveryhodnosti hodnotenia uvedeným v článku 3 tohto nariadenia.
3. Ak sa stupeň dôveryhodnosti potvrdený v certifikáte EUCC nevzťahuje na rozšírenie, v certifikáte EUCC sa uvedie jeden z týchto balíkov:
„špecifický balík dôveryhodnosti“;
„balík dôveryhodnosti zodpovedajúci profilu ochrany“ v prípade odkazu na profil ochrany bez stupňa dôveryhodnosti hodnotenia.
PRÍLOHA IX
Značka a označenie
1. Forma značky a označenia:
2. Ak sú značka a označenie zmenšené alebo zväčšené, musia sa dodržať proporcie stanovené na uvedenom výkrese.
3. Ak sú značka a označenie fyzicky prítomné, musia mať výšku aspoň 5 mm.
( 1 ) Smernica Európskeho parlamentu a Rady (EÚ) 2022/2555 zo 14. decembra 2022 o opatreniach na zabezpečenie vysokej spoločnej úrovne kybernetickej bezpečnosti v Únii, ktorou sa mení nariadenie (EÚ) č. 910/2014 a smernica (EÚ) 2018/1972 a zrušuje smernica (EÚ) 2016/1148 (smernica NIS 2) (Ú. v. EÚ L 333, 27.12.2022, s. 80).