Úradný vestník
Európskej únie
SK
Séria L
|
|
Úradný vestník |
SK Séria L |
|
2024/482 |
7.2.2024 |
VYKONÁVACIE NARIADENIE KOMISIE (EÚ) 2024/482
z 31. januára 2024,
ktorým sa stanovujú pravidlá uplatňovania nariadenia Európskeho parlamentu a Rady (EÚ) 2019/881, pokiaľ ide o prijatie európskeho systému certifikácie kybernetickej bezpečnosti založeného na spoločných kritériách (EUCC)
(Text s významom pre EHP)
EURÓPSKA KOMISIA,
so zreteľom na Zmluvu o fungovaní Európskej únie,
so zreteľom na nariadenie Európskeho parlamentu a Rady (EÚ) 2019/881 zo 17. apríla 2019 o agentúre ENISA (Agentúra Európskej únie pre kybernetickú bezpečnosť) a o certifikácii kybernetickej bezpečnosti informačných a komunikačných technológií a o zrušení nariadenia (EÚ) č. 526/2013 (akt o kybernetickej bezpečnosti) (1), a najmä na jeho článok 49 ods. 7,
keďže:
|
(1) |
V tomto nariadení sa v súlade s európskym rámcom certifikácie kybernetickej bezpečnosti stanoveným v nariadení (EÚ) 2019/881 špecifikujú úlohy, pravidlá a povinnosti, ako aj štruktúra európskeho systému certifikácie kybernetickej bezpečnosti založeného na spoločných kritériách (ďalej len „EUCC“). Systém EUCC vychádza z Dohody skupiny vysokých úradníkov pre bezpečnosť informačných systémov (ďalej len „SOG-IS“) o vzájomnom uznávaní certifikátov hodnotenia bezpečnosti informačných technológií (ďalej len „dohoda o vzájomnom uznávaní“) (2) a používa spoločné kritériá vrátane postupov a dokumentov skupiny. |
|
(2) |
Systém by mal vychádzať zo zavedených medzinárodných noriem. Spoločné kritériá sú medzinárodnou normou pre hodnotenie informačnej bezpečnosti, ktorá bola uverejnená napríklad ako ISO/IEC 15408 Informačná bezpečnosť, kybernetická bezpečnosť a ochrana súkromia. Kritériá na hodnotenie bezpečnosti IT. Spočívajú v hodnotení treťou stranou a počítajú so siedmimi stupňami dôveryhodnosti hodnotenia. Spoločné kritériá dopĺňa spoločná metodika hodnotenia, ktorá bola uverejnená napríklad ako ISO/IEC 18045 Informačná bezpečnosť, kybernetická bezpečnosť a ochrana súkromia. Kritériá na hodnotenie bezpečnosti IT. Metodika hodnotenia bezpečnosti IT. Špecifikácie a dokumenty, ktorými sa uplatňujú ustanovenia tohto nariadenia, sa môžu vzťahovať na verejne dostupnú normu, ktorá obsahovo zodpovedá norme používanej pri certifikácii podľa tohto nariadenia, ako sú spoločné kritériá hodnotenia bezpečnosti informačných technológií a spoločná metodika hodnotenia bezpečnosti informačných technológií. |
|
(3) |
Systém EUCC používa komponenty 1 až 5 skupiny posúdenia zraniteľností spoločných kritérií (AVA_VAN). Týchto päť komponentov obsahuje všetky hlavné determinanty a závislosti pre analýzu zraniteľností produktov IKT. Keďže komponenty zodpovedajú stupňom dôveryhodnosti v tomto nariadení, umožňujú dobre informovaný výber dôveryhodnosti na základe vykonaných hodnotení bezpečnostných požiadaviek a rizika spojeného s plánovaným využívaním produktu IKT. Žiadateľ o certifikát EUCC by mal poskytnúť dokumentáciu týkajúcu sa plánovaného využívania produktu IKT a analýzu úrovní rizík spojených s takýmto využívaním, aby orgán posudzovania zhody mohol vyhodnotiť vhodnosť zvoleného stupňa dôveryhodnosti. Ak hodnotiace a certifikačné činnosti vykonáva ten istý orgán posudzovania zhody, žiadateľ by mal predložiť požadované informácie len raz. |
|
(4) |
Technická doména je referenčný rámec, ktorý sa vzťahuje na skupinu produktov IKT, ktoré majú špecifické a podobné bezpečnostné funkcie, ktoré zmierňujú útoky, a ktoré majú spoločné charakteristiky pre daný stupeň dôveryhodnosti. Technickou doménou sa v dokumentoch na základe aktuálneho stavu opisujú špecifické bezpečnostné požiadavky, ako aj ďalšie metódy, techniky a nástroje hodnotenia, ktoré sa uplatňujú na certifikáciu produktov IKT, na ktoré sa vzťahuje uvedená technická oblasť. Technická doména preto podporuje aj harmonizáciu hodnotenia zahrnutých produktov IKT. V súčasnosti sa na certifikáciu na stupňoch AVA_VAN.4 a AVA_VAN.5 bežne používajú dve technické domény. Prvou technickou doménou je technická doména „inteligentné karty a podobné zariadenia“, v rámci ktorej významné časti požadovaných bezpečnostných funkcií závisia od špecifických, prispôsobených a často oddeliteľných hardvérových prvkov (napr. hardvér inteligentných kariet, integrované obvody, zložené produkty inteligentných kariet, moduly dôveryhodných platforiem používané v dôveryhodných počítačových systémoch alebo digitálne tachografové karty). Druhou technickou doménou sú „hardvérové zariadenia s bezpečnostnými skrinkami“, v ktorej významné časti požadovanej bezpečnostnej funkcie závisia od hardvérového fyzického obalu (označovaného ako „bezpečnostná skrinka“), ktorý je navrhnutý tak, aby odolával priamym útokom, napr. platobné terminály, tachografová jednotka vozidla, inteligentné meradlá, terminály kontroly prístupu a hardvérové bezpečnostné moduly). |
|
(5) |
Pri podávaní žiadosti o certifikáciu by mal žiadateľ svoje odôvodnenie výberu stupňa dôveryhodnosti zosúladiť s cieľmi stanovenými v článku 51 nariadenia (EÚ) 2019/881 a s výberom komponentov z katalógu požiadaviek bezpečnostných funkcionalít a požiadaviek na bezpečnostnú dôveryhodnosť obsiahnutých v spoločných kritériách. Certifikačné orgány by mali posúdiť vhodnosť zvoleného stupňa dôveryhodnosti a zabezpečiť, aby zvolený stupeň zodpovedal úrovni rizika spojeného s plánovaným využívaním produktu IKT. |
|
(6) |
Podľa spoločných kritérií sa certifikácia vykonáva na základe bezpečnostného zámeru, ktorý zahŕňa vymedzenie bezpečnostného problému produktu IKT, ako aj bezpečnostné ciele, ktoré riešia bezpečnostný problém. Bezpečnostný problém poskytuje podrobnosti o plánovanom využívaní produktu IKT a rizikách spojených s takýmto použitím. Vybraný súbor bezpečnostných požiadaviek reaguje na bezpečnostný problém, ako aj na bezpečnostné ciele produktu IKT. |
|
(7) |
Profily ochrany sú účinným prostriedkom, ako vopred určiť spoločné kritériá, ktoré platia pre určitú kategóriu produktov IKT, a preto sú aj základným prvkom v procese certifikácie produktov IKT, na ktoré sa profil ochrany vzťahuje. Profil ochrany sa používa na posúdenie budúcich bezpečnostných zámerov patriacich do danej kategórie produktov IKT, na ktorú sa tento profil ochrany vzťahuje. Ďalej racionalizujú a zvyšujú efektívnosť procesu certifikácie produktu IKT a pomáhajú používateľom správne a efektívne špecifikovať funkciu produktu IKT. Profily ochrany by sa preto mali považovať za neoddeliteľnú súčasť procesu IKT vedúceho k certifikácii produktov IKT. |
|
(8) |
Aby profily ochrany mohli plniť svoju úlohu v procese IKT a podporovať vývoj a poskytovanie certifikovaného produktu IKT, malo by byť možné ich certifikovať, a to nezávisle od certifikácie konkrétneho produktu IKT, ktorý patrí do príslušného profilu ochrany. Preto je nevyhnutné uplatňovať na profily ochrany prinajmenšom rovnakú úroveň kontroly ako na bezpečnostné zámery, aby sa zabezpečila vysoká úroveň kybernetickej bezpečnosti. Profily ochrany by sa mali hodnotiť a certifikovať oddelene od súvisiaceho produktu IKT a výlučne na základe triedy dôveryhodnosti pre profily ochrany (APE) a prípadne pre konfigurácie profilov ochrany (ACE) spoločných kritérií a spoločnej metodiky hodnotenia. Vzhľadom na ich dôležitú a citlivú úlohu kritéria pri certifikácii produktov IKT by ich mali certifikovať len verejné orgány alebo certifikačný orgán, ktorý pre konkrétny profil ochrany vopred schválil vnútroštátny orgán pre certifikáciu kybernetickej bezpečnosti. Vzhľadom na zásadnú úlohu profilov ochrany pri certifikácii na stupni dôveryhodnosti „vysoký“, najmä mimo technických domén, by sa tieto profily mali vypracúvať ako dokumenty na základe aktuálneho stavu, ktoré by mala schvaľovať európska skupina pre certifikáciu kybernetickej bezpečnosti. |
|
(9) |
Vnútroštátne orgány pre certifikáciu kybernetickej bezpečnosti by mali certifikované profily ochrany zahrnúť do monitorovania zhody a súladu v rámci EUCC. Ak sú pre konkrétne certifikované profily ochrany k dispozícii metodika, nástroje a zručnosti, ktoré sa uplatňujú na prístupy k hodnoteniu produktov IKT, môžu byť na týchto konkrétnych profiloch ochrany založené technické domény. |
|
(10) |
Na dosiahnutie vysokej úrovne dôvery a dôveryhodnosti, pokiaľ ide o certifikované produkty IKT, by sa podľa tohto nariadenia nemalo povoliť vlastné posúdenie. Povolené by malo byť len posudzovanie zhody treťou stranou, a to zariadeniami ITSEF a certifikačnými orgánmi. |
|
(11) |
Komunita SOG-IS predložila spoločný výklad a spoločné prístupy pre uplatňovanie spoločných kritérií a spoločnej metodiky hodnotenia pri certifikácii, najmä pre stupeň dôveryhodnosti „vysoký“, na ktorý sa zameriava úsilie v technických doménach „inteligentné karty a podobné zariadenia“ a „hardvérové zariadenia s bezpečnostnými skrinkami“. Opätovným použitím takýchto podporných dokumentov v systéme EUCC sa zabezpečuje plynulý prechod zo systémov SOG-IS, ktoré sa uplatňujú na vnútroštátnej úrovni, na harmonizovaný systém EUCC. Preto by sa do tohto nariadenia mali zahrnúť harmonizované metodiky hodnotenia, ktoré majú všeobecný význam pre všetky certifikačné činnosti. Okrem toho by Komisia mala mať možnosť požiadať európsku skupinu pre certifikáciu kybernetickej bezpečnosti o prijatie stanoviska, ktorým by sa schválilo a odporučilo uplatňovanie metodík hodnotenia uvedených v dokumentoch na základe aktuálneho stavu na certifikáciu produktu IKT alebo profilu ochrany v rámci systému EUCC. V tomto nariadení sa preto v prílohe I uvádzajú dokumenty na základe aktuálneho stavu pre hodnotiace činnosti vykonávané orgánmi posudzovania zhody. Dokumenty na základe aktuálneho stavu by mala schvaľovať a udržiavať európska skupina pre certifikáciu kybernetickej bezpečnosti. Dokumenty na základe aktuálneho stavu by sa mali používať pri certifikácii. Orgán posudzovania zhody ich nemusí používať len vo výnimočných a riadne odôvodnených prípadoch, ak sú splnené osobitné podmienky, najmä pod podmienkou schválenia vnútroštátnym orgánom pre certifikáciu kybernetickej bezpečnosti. |
|
(12) |
Certifikácia produktov IKT na stupni AVA_VAN 4 alebo 5 by mala byť možná len za osobitných podmienok a ak je k dispozícii osobitná metodika hodnotenia. Táto osobitná metodika hodnotenia môže byť zakotvená v dokumentoch na základe aktuálneho stavu relevantných pre danú technickú doménu alebo v špecifických profiloch ochrany prijatých ako dokumenty na základe aktuálneho stavu, ktoré sú relevantné pre príslušnú kategóriu produktov. Certifikácia na týchto stupňoch dôveryhodnosti by mala byť možná len vo výnimočných a riadne odôvodnených prípadoch, ak sú splnené osobitné podmienky, najmä pod podmienkou schválenia vnútroštátnym orgánom pre certifikáciu kybernetickej bezpečnosti vrátane schválenia platnej metodiky hodnotenia. Takéto výnimočné a riadne odôvodnené prípady môžu nastať, keď sa certifikácia produktu IKT na stupni AVA_VAN 4 alebo 5 vyžaduje v právnych predpisoch Únie alebo vo vnútroštátnych právnych predpisoch. Podobne sa aj profily ochrany môžu vo výnimočných a riadne odôvodnených prípadoch, ak sú splnené osobitné podmienky, certifikovať bez uplatnenia relevantných dokumentov na základe aktuálneho stavu, a to najmä pod podmienkou schválenia vnútroštátnym orgánom pre certifikáciu kybernetickej bezpečnosti vrátane schválenia platnej metodiky hodnotenia. |
|
(13) |
Cieľom značiek a označení používaných v rámci EUCC je viditeľne preukázať používateľom dôveryhodnosť certifikovaného produktu IKT a umožniť im, aby pri nákupe produktov IKT mohli prijať informované rozhodnutie. Používanie značiek a označení by malo podliehať aj pravidlám a podmienkam stanoveným v norme ISO/IEC 17065 a prípadne v norme ISO/IEC 17030 s príslušnými usmerneniami. |
|
(14) |
Certifikačné orgány by mali rozhodnúť o dĺžke platnosti certifikátov s prihliadnutím na životný cyklus dotknutého produktu IKT. Dĺžka platnosti by nemala byť viac ako päť rokov. Vnútroštátne orgány pre certifikáciu kybernetickej bezpečnosti by mali pracovať na harmonizácii dĺžky platnosti v Únii. |
|
(15) |
Ak sa rozsah existujúceho certifikátu EUCC zúži, certifikát sa odoberie a mal by sa vydať nový certifikát s novým rozsahom pôsobnosti, aby sa zabezpečilo, že používatelia budú jasne informovaní o aktuálnom rozsahu pôsobnosti a stupni dôveryhodnosti certifikátu daného produktu IKT. |
|
(16) |
Certifikácia profilov ochrany sa líši od certifikácie produktov IKT, pretože sa týka procesu IKT. Keďže sa profil ochrany vzťahuje na kategóriu produktov IKT, jeho hodnotenie a certifikáciu nemožno vykonať na základe jediného produktu IKT. Keďže profil ochrany zjednocuje všeobecné bezpečnostné požiadavky týkajúce sa kategórie produktov IKT, a nezávisle od toho, ako produkt IKT prezentuje jeho predajca, malo by obdobie platnosti certifikátu EUCC pre profil ochrany v zásade byť minimálne päť rokov a malo by byť možné ho predĺžiť na obdobie životnosti profilu ochrany. |
|
(17) |
Orgán posudzovania zhody sa vymedzuje ako subjekt vykonávajúci činnosti posudzovania zhody vrátane kalibrácie, skúšania, osvedčovania a inšpekcie. S cieľom zabezpečiť vysokú kvalitu služieb sa v tomto nariadení stanovuje, že činnosti skúšania na jednej strane a certifikačné a inšpekčné činnosti na strane druhej by mali vykonávať subjekty, ktoré fungujú navzájom nezávisle, a to zariadenia na hodnotenie bezpečnosti informačných technológií („ITEF“) a certifikačné orgány. Oba typy orgánov posudzovania zhody by mali byť akreditované a v určitých situáciách splnomocnené. |
|
(18) |
Certifikačný orgán by mal byť akreditovaný pre stupeň dôveryhodnosti „pokročilý“ a „vysoký“ vnútroštátnym akreditačným orgánom v súlade s normou ISO/IEC 17065. Okrem akreditácie v súlade s nariadením (EÚ) 2019/881 v spojení s nariadením (ES) č. 765/2008 by orgány posudzovania zhody mali spĺňať osobitné požiadavky, aby sa zaručila ich technická spôsobilosť na hodnotenie požiadaviek kybernetickej bezpečnosti na stupni dôveryhodnosti EUCC „vysoký“, čo sa potvrdzuje „splnomocnením“. Na podporu procesu splnomocňovania by sa mali vypracovať príslušné dokumenty na základe aktuálneho stavu, ktoré by mala uverejniť agentúra ENISA po schválení európskou skupinou pre certifikáciu kybernetickej bezpečnosti. |
|
(19) |
Technická spôsobilosť zariadenia ITSEF by sa mala posudzovať prostredníctvom akreditácie skúšobného laboratória v súlade s normou ISO/IEC 17025 v spojení s normou ISO/IEC 23532-1 pre celý súbor hodnotiacich činností, ktoré sú relevantné pre stupeň dôveryhodnosti a špecifikované v norme ISO/IEC 18045 v spojení s normou ISO/IEC 15408. Certifikačný orgán aj zariadenie ITSEF by mali zaviesť a udržiavať vhodný systém riadenia spôsobilosti pre zamestnancov, ktorý vzhľadom na prvky a úrovne spôsobilosti a hodnotenie spôsobilosti vychádza z normy ISO/IEC 19896-1. Pokiaľ ide o úroveň vedomostí, zručností, skúseností a vzdelania, uplatniteľné požiadavky na hodnotiteľov by mali vychádzať z normy ISO/IEC 19896-3. Rovnocennosť ustanovení a opatrení na riešenie odchýliek od takýchto systémov riadenia spôsobilostí by sa mala preukázať v súlade s cieľmi systému. |
|
(20) |
Aby mohlo zariadenie ITSEF získať splnomocnenie, malo by preukázať svoju schopnosť určiť neexistenciu známych zraniteľností, správne a jednotné vykonávanie najpokročilejších bezpečnostných funkcií pre dotknutú konkrétnu technológiu a odolnosť predmetného produktu IKT proti zručným útočníkom. Pokiaľ ide o splnomocnenia v technickej doméne „inteligentných kariet a podobných zariadení“, zariadenie ITSEF by malo takisto preukázať technické schopnosti potrebné na hodnotiace činnosti a súvisiace úlohy, ako sú v rámci spoločných kritérií vymedzené v podpornom dokumente Minimálne požiadavky na zariadenia ITSEF na hodnotenie bezpečnosti inteligentných kariet a podobných zariadení (3). Na účely splnomocnenia v technickej doméne „hardvérové zariadenia s bezpečnostnými skrinkami“ by zariadenie ITSEF malo navyše preukázať minimálne technické požiadavky potrebné na vykonávanie hodnotiacich činností a súvisiacich úloh týkajúcich sa „hardvérových zariadení s bezpečnostnými skrinkami“ podľa odporúčania európskej skupiny pre certifikáciu kybernetickej bezpečnosti. V súvislosti s minimálnymi požiadavkami by zariadenie ITSEF malo byť schopné vykonávať rôzne typy útokov uvedené v rámci spoločných kritérií v podpornom dokumente Application of Attack Potential to Hardware Devices with Security Boxes (Použitie potenciálu útoku na hardvérové zariadenia s bezpečnostnými skrinkami). Tieto schopnosti zahŕňajú znalosti a zručnosti hodnotiteľa, ako aj vybavenie a metódy hodnotenia potrebné na určenie a posúdenie rôznych typov útokov. |
|
(21) |
Vnútroštátny orgán pre certifikáciu kybernetickej bezpečnosti by mal monitorovať súlad certifikačných orgánov, zariadenia ITSEF a držiteľov certifikátov s ich povinnosťami vyplývajúcimi z tohto nariadenia a nariadenia (EÚ) 2019/881. Vnútroštátny orgán pre certifikáciu kybernetickej bezpečnosti by mal na tento účel využívať všetky vhodné zdroje informácií vrátane informácií získaných od účastníkov procesu certifikácie a z vlastných vyšetrovaní. |
|
(22) |
Certifikačné orgány by mali spolupracovať s príslušnými orgánmi dohľadu nad trhom a zohľadňovať všetky informácie o zraniteľnostiach, ktoré by mohli byť relevantné pre produkty IKT, pre ktoré vydali certifikáty. Certifikačné orgány by mali monitorovať profily ochrany, ktoré certifikovali, s cieľom zistiť, či bezpečnostné požiadavky stanovené pre kategóriu produktov IKT naďalej zohľadňujú najnovší vývoj situácie v oblasti hrozieb. |
|
(23) |
Na podporu monitorovania súladu by vnútroštátne orgány pre certifikáciu kybernetickej bezpečnosti mali v súlade s článkom 58 nariadenia (EÚ) 2019/881 a s nariadením Európskeho parlamentu a Rady (EÚ) 2019/1020 (4) spolupracovať s príslušnými orgánmi dohľadu nad trhom. Hospodárske subjekty v Únii sú podľa článku 4 ods. 3 nariadenia (EÚ) 2019/1020 povinné poskytovať orgánom dohľadu nad trhom informácie a spolupracovať s nimi. |
|
(24) |
Certifikačné orgány by mali monitorovať súlad držiteľov certifikátu a zhodu všetkých certifikátov vydaných v rámci systému EUCC. Monitorovaním by sa malo zabezpečiť, aby sa pri všetkých certifikačných činnostiach dôsledne a správne uplatňovali všetky hodnotiace správy predložené zariadením ITSEF a závery v nich prijaté, ako aj kritériá a metódy hodnotenia. |
|
(25) |
Ak sa zistia potenciálne problémy s nesúladom, ktoré ovplyvňujú certifikovaný produkt IKT, je dôležité zabezpečiť primeranú reakciu. Platnosť certifikátov preto možno pozastaviť. Pozastavenie platnosti by malo zahŕňať určité obmedzenia týkajúce sa propagácie a používania príslušného produktu IKT, ale nemalo by mať vplyv na platnosť certifikátu. Nákupcom dotknutých produktov IKT by pozastavenie platnosti mal oznámiť držiteľ certifikátu EÚ, zatiaľ čo príslušným orgánom dohľadu nad trhom by informácie o pozastavení platnosti mali poskytovať príslušné vnútroštátne orgány pre certifikáciu kybernetickej bezpečnosti. V záujme informovania verejnosti by agentúra ENISA mala zverejňovať informácie o pozastavení platnosti na osobitnom webovom sídle. |
|
(26) |
Držiteľ certifikátu EUCC by mal zaviesť potrebné postupy riadenia zraniteľností a zabezpečiť, aby boli tieto postupy začlenené do jeho organizácie. Keď sa držiteľ certifikátu EUCC dozvie o potenciálnej zraniteľnosti, mal by vykonať analýzu vplyvu zraniteľnosti. Ak sa analýzou vplyvu zraniteľnosti potvrdí, že zraniteľnosť môže byť zneužitá, držiteľ certifikátu by mal poslať správu o posúdení certifikačnému orgánu, ktorý by mal následne informovať vnútroštátny orgán pre certifikáciu kybernetickej bezpečnosti. Správa by mala obsahovať informácie o vplyve zraniteľnosti, potrebných zmenách alebo potrebných nápravných riešeniach vrátane možných širších dôsledkov zraniteľnosti, ako aj nápravných riešení pre iné produkty. V prípade potreby by sa mal postup zverejňovania informácií o zraniteľnostiach doplniť predpismi normy EN ISO/IEC 29147. |
|
(27) |
Na účely certifikácie získavajú orgány posudzovania zhody a vnútroštátne orgány pre certifikáciu kybernetickej bezpečnosti dôverné a citlivé údaje a obchodné tajomstvá, ktoré sa týkajú aj duševného vlastníctva alebo monitorovania súladu a ktoré si vyžadujú primeranú ochranu. Mali by mať preto potrebné technické spôsobilosti a znalosti a mali by zaviesť systémy na ochranu informácií. Požiadavky a podmienky na ochranu informácií by sa mali splniť tak v prípade akreditácie, ako aj v prípade splnomocnenia. |
|
(28) |
Agentúra ENISA by v súlade s nariadením (EÚ) 2019/881 mala na svojom webovom sídle pre certifikáciu kybernetickej bezpečnosti poskytnúť zoznam certifikovaných profilov ochrany a uviesť ich stav. |
|
(29) |
V tomto nariadení sa stanovujú podmienky dohôd o vzájomnom uznávaní s tretími krajinami. Takéto dohody o vzájomnom uznávaní môžu byť dvojstranné alebo mnohostranné a mali by nahradiť podobné dohody platné v súčasnosti. S cieľom uľahčiť hladký prechod na takéto dohody o vzájomnom uznávaní môžu členské štáty počas obmedzeného obdobia pokračovať v existujúcich dohodách o spolupráci s tretími krajinami. |
|
(30) |
Certifikačné orgány, ktoré vydávajú certifikáty EUCC na stupni dôveryhodnosti „vysoký“, ako aj príslušné zúčastnené zariadenia ITSEF by sa mali podrobovať partnerským preskúmaniam. Cieľom partnerských preskúmaní by malo byť určiť, či sú stanovy a postupy partnersky skúmaného certifikačného orgánu v neprestajnom súlade s požiadavkami systému EUCC. Partnerské preskúmania sa líšia od partnerských preskúmaní medzi vnútroštátnymi orgánmi pre certifikáciu kybernetickej bezpečnosti podľa článku 59 nariadenia (EÚ) 2019/881. Partnerskými preskúmaniami by sa malo zabezpečiť, aby certifikačné orgány pracovali harmonizovaným spôsobom a vydávali certifikáty rovnakej kvality, a mali by sa nimi identifikovať akékoľvek potenciálne silné alebo slabé stránky, pokiaľ ide o výkonnosť certifikačných orgánov, a to aj s ohľadom na výmenu najlepších postupov. Keďže existujú rôzne typy certifikačných orgánov, mali by sa povoliť rôzne druhy partnerského preskúmania. V zložitejších prípadoch, napr. ak certifikačné orgány vydávajú certifikáty na rôznych stupňoch AVA_VAN, sa môžu použiť rôzne druhy partnerského preskúmania za predpokladu, že sú splnené všetky požiadavky. |
|
(31) |
Európska skupina pre certifikáciu kybernetickej bezpečnosti by mala zohrávať dôležitú úlohu pri udržiavaní systému. Na tento účel by mala okrem iného spolupracovať so súkromným sektorom, vytvárať špecializované podskupiny a na požiadanie Komisie vykonávať príslušné prípravné práce a poskytovať Komisii pomoc. Európska skupina pre certifikáciu kybernetickej bezpečnosti zohráva dôležitú úlohu pri schvaľovaní dokumentov na základe aktuálneho stavu. Pri schvaľovaní a prijímaní dokumentov na základe aktuálneho stavu by sa mali náležite zohľadniť prvky uvedené v článku 54 ods. 1 písm. c) nariadenia (EÚ) 2019/881. Technické domény a dokumenty na základe aktuálneho stavu by sa mali uverejniť v prílohe I k tomuto nariadeniu. Profily ochrany, ktoré boli prijaté ako dokumenty na základe aktuálneho stavu, by sa mali uverejniť v prílohe II. S cieľom zabezpečiť dynamiku týchto príloh ich Komisia môže meniť v súlade s postupom stanoveným v článku 66 ods. 2 nariadenia (EÚ) 2019/881 a s prihliadnutím na stanovisko európskej skupiny pre certifikáciu kybernetickej bezpečnosti. Príloha III obsahuje odporúčané profily ochrany, ktoré v čase nadobudnutia účinnosti tohto nariadenia nie sú dokumentmi na základe aktuálneho stavu. Mali by sa uverejniť na webovom sídle agentúry ENISA uvedenom v článku 50 ods. 1 nariadenia (EÚ) 2019/881. |
|
(32) |
Toto nariadenie by sa malo začať uplatňovať 12 mesiacov po nadobudnutí účinnosti. Požiadavky uvedené v kapitole IV a prílohe V si nevyžadujú prechodné obdobie, a preto by sa mali začať uplatňovať od dátumu nadobudnutia účinnosti tohto nariadenia. |
|
(33) |
Opatrenia stanovené v tomto nariadení sú v súlade so stanoviskom európskeho výboru pre certifikáciu kybernetickej bezpečnosti zriadeného na základe článku 66 nariadenia (EÚ) 2019/881, |
PRIJALA TOTO NARIADENIE:
KAPITOLA I
VŠEOBECNÉ USTANOVENIA
Článok 1
Predmet úpravy a rozsah pôsobnosti
Týmto nariadením sa stanovuje európsky systém certifikácie kybernetickej bezpečnosti založený na spoločných kritériách (ďalej len „EUCC“).
Toto nariadenie sa vzťahuje na všetky produkty informačných a komunikačných technológií (ďalej len „IKT“) vrátane ich dokumentácie, ktoré sa predkladajú na certifikáciu v rámci systému EUCC, a na všetky profily ochrany, ktoré sa predkladajú na certifikáciu ako súčasť procesu IKT, ktorý vedie k certifikácii produktov IKT.
Článok 2
Vymedzenie pojmov
Na účely tohto nariadenia sa uplatňuje toto vymedzenie pojmov:
|
1. |
„spoločné kritériá“ sú spoločné kritériá hodnotenia bezpečnosti informačných technológií stanovené v norme ISO/IEC 15408; |
|
2. |
„spoločná metodika hodnotenia“ je spoločná metodika hodnotenia bezpečnosti informačných technológií stanovená v norme ISO/IEC 18045; |
|
3. |
„objekt hodnotenia“ je produkt IKT alebo jeho časť alebo profil ochrany ako súčasť procesu IKT, ktoré sú predmetom hodnotenia kybernetickej bezpečnosti s cieľom získať certifikáciu EUCC; |
|
4. |
„bezpečnostný zámer“ je tvrdenie o bezpečnostných požiadavkách pre konkrétny produkt IKT, ktoré závisia od implementácie; |
|
5. |
„profil ochrany“ je proces IKT, v ktorom sú stanovené bezpečnostné požiadavky na konkrétnu kategóriu produktov IKT, ktorý opisuje bezpečnostné potreby nezávislé od implementácie a ktorý sa môže použiť na posudzovanie produktov IKT patriacich do tejto konkrétnej kategórie na účely ich certifikácie; |
|
6. |
„technická správa hodnotenia“ je dokument vypracovaný zariadením ITSEF, v ktorom sa uvádzajú zistenia, závery a odôvodnenia získané počas hodnotenia produktu IKT alebo profilu ochrany v súlade s pravidlami a povinnosťami stanovenými v tomto nariadení; |
|
7. |
„ITSEF“ je zariadenie na hodnotenie bezpečnosti informačných technológií, ktoré je orgánom posudzovania zhody podľa vymedzenia v článku 2 bode 13 nariadenia (ES) č. 765/2008, ktorý vykonáva hodnotiace úlohy; |
|
8. |
„stupeň AVA_VAN“ je stupeň dôveryhodnosti analýzy zraniteľnosti, ktorý označuje stupeň činností hodnotenia kybernetickej bezpečnosti vykonávaných s cieľom určiť úroveň odolnosti voči potenciálnej zneužiteľnosti nedostatkov alebo slabých miest objektu hodnotenia v jeho operačnom prostredí, ako sa stanovuje v spoločných kritériách; |
|
9. |
„certifikát EUCC“ je certifikát kybernetickej bezpečnosti vydaný v rámci EUCC pre produkty IKT alebo pre profily ochrany, ktorý možno použiť výlučne v procese IKT certifikácie produktov IKT; |
|
10. |
„zložený produkt“ je produkt IKT, ktorý sa hodnotí spolu s iným základným produktom IKT, ktorý už získal certifikát EUCC a od ktorého bezpečnostnej funkcie zložený produkt IKT závisí; |
|
11. |
„vnútroštátny orgán pre certifikáciu kybernetickej bezpečnosti“ je orgán určený členským štátom podľa článku 58 ods. 1 nariadenia (EÚ) 2019/881; |
|
12. |
„certifikačný orgán“ je orgán posudzovania zhody podľa vymedzenia v článku 2 bode 13 nariadenia (ES) č. 765/2008, ktorý vykonáva certifikačné činnosti; |
|
13. |
„technická doména“ je spoločný technický rámec súvisiaci s konkrétnou technológiou pre harmonizovanú certifikáciu so súborom charakteristických bezpečnostných požiadaviek; |
|
14. |
„dokument na základe aktuálneho stavu“ je dokument, v ktorom sa špecifikujú metódy, techniky a nástroje hodnotenia, ktoré sa uplatňujú na certifikáciu produktov IKT, alebo bezpečnostné požiadavky na všeobecnú kategóriu produktov IKT alebo akékoľvek iné požiadavky potrebné na certifikáciu, s cieľom harmonizovať hodnotenie, najmä technických domén alebo profilov ochrany; |
|
15. |
„orgán dohľadu nad trhom“ je orgán podľa vymedzenia v článku 3 bode 4 nariadenia (EÚ) 2019/1020. |
Článok 3
Normy hodnotenia
Na hodnotenia vykonávané v rámci systému EUCC sa vzťahujú tieto normy:
|
a) |
spoločné kritériá; |
|
b) |
spoločná metodika hodnotenia. |
Článok 4
Stupne dôveryhodnosti
1. Certifikačné orgány vydávajú certifikáty EUCC na stupni dôveryhodnosti „pokročilý“ alebo „vysoký“.
2. Certifikáty EUCC na stupni dôveryhodnosti „pokročilý“ zodpovedajú certifikátom, ktoré sa vzťahujú na stupeň AVA_VAN 1 alebo 2.
3. Certifikáty EUCC na stupni dôveryhodnosti „vysoký“ zodpovedajú certifikátom, ktoré sa vzťahujú na stupeň AVA_VAN 3, 4 alebo 5.
4. V rámci stupňa dôveryhodnosti potvrdeného v certifikáte EUCC sa rozlišuje medzi používaním zložiek dôveryhodnosti v súlade s požiadavkami a rozšíreným používaním zložiek dôveryhodnosti, ako sa uvádza v spoločných kritériách v súlade s prílohou VIII.
5. Orgány posudzovania zhody uplatňujú tie zložky dôveryhodnosti, od ktorých závisí vybraný stupeň AVA_VAN v súlade s normami uvedenými v článku 3.
Článok 5
Metódy certifikácie produktov IKT
1. Certifikácia produktu IKT sa vykonáva na základe jeho bezpečnostného zámeru:
|
a) |
podľa vymedzenia žiadateľa alebo |
|
b) |
začlenením certifikovaného profilu ochrany ako súčasti procesu IKT, ak produkt IKT patrí do kategórie produktov IKT, na ktoré sa tento profil ochrany vzťahuje. |
2. Profily ochrany sa certifikujú výhradne na účely certifikácie produktov IKT, ktoré patria do konkrétnej kategórie produktov IKT, na ktoré sa vzťahuje daný profil ochrany.
Článok 6
Vlastné posúdenie zhody
Vlastné posúdenie zhody v zmysle článku 53 nariadenia (EÚ) 2019/881 nie je dovolené.
KAPITOLA II
CERTIFIKÁCIA PRODUKTOV IKT
ODDIEL I
Osobitné normy a požiadavky na hodnotenie
Článok 7
Kritériá a metódy hodnotenia produktov IKT
1. Produkt IKT predložený na certifikáciu sa hodnotí minimálne v súlade s:
|
a) |
uplatniteľnými prvkami noriem uvedených v článku 3; |
|
b) |
triedami požiadaviek na bezpečnostnú dôveryhodnosť pre posúdenie zraniteľností a nezávislé skúšky funkčnosti, ako sa stanovuje v normách hodnotenia uvedených v článku 3; |
|
c) |
úrovňou rizika spojeného s plánovaným využívaním dotknutých produktov IKT podľa článku 52 nariadenia (EÚ) 2019/881 a ich bezpečnostnými funkciami, ktoré podporujú bezpečnostné ciele stanovené v článku 51 nariadenia (EÚ) 2019/881; |
|
d) |
uplatniteľnými dokumentmi na základe aktuálneho stavu uvedenými v prílohe I, ako aj |
|
e) |
uplatniteľnými certifikovanými profilmi ochrany uvedenými v prílohe II. |
2. Vo výnimočných a riadne odôvodnených prípadoch môže orgán posudzovania zhody požiadať, aby nemusel uplatňovať príslušný dokument na základe aktuálneho stavu. V takýchto prípadoch orgán posudzovania zhody informuje vnútroštátny orgán pre certifikáciu kybernetickej bezpečnosti a svoju žiadosť riadne odôvodní. Vnútroštátny orgán pre certifikáciu kybernetickej bezpečnosti posúdi odôvodnenie výnimky a v odôvodnených prípadoch ju schváli. Až do rozhodnutia vnútroštátneho orgánu pre certifikáciu kybernetickej bezpečnosti orgán posudzovania zhody nesmie vydať žiadny certifikát. Vnútroštátny orgán pre certifikáciu kybernetickej bezpečnosti bez zbytočného odkladu oznámi schválenú výnimku európskej skupine pre certifikáciu kybernetickej bezpečnosti, ktorá môže vydať stanovisko. Vnútroštátny orgán pre certifikáciu kybernetickej bezpečnosti stanovisko európskej skupiny pre certifikáciu kybernetickej bezpečnosti v čo najväčšej miere zohľadní.
3. Certifikácia produktov IKT na stupni AVA_VAN 4 alebo 5 je možná len v týchto situáciách:
|
a) |
ak sa na produkt IKT vzťahuje niektorá z technických domén uvedených v prílohe I, vyhodnotí sa v súlade s uplatniteľnými dokumentmi na základe aktuálneho stavu týchto technických domén; |
|
b) |
ak produkt IKT patrí do kategórie produktov IKT, na ktorú sa vzťahuje certifikovaný profil ochrany zahŕňajúci stupne AVA_VAN 4 alebo 5 a uvedený v prílohe II ako profil ochrany na základe aktuálneho stavu, vyhodnotí sa v súlade s metodikou hodnotenia špecifikovanou pre tento profil ochrany; |
|
c) |
ak nemožno uplatniť písmená a) a b) tohto odseku a ak v dohľadnej budúcnosti nie je pravdepodobné, že by sa technická doména zahrnula do prílohy I alebo že by sa certifikovaný profil ochrany zahrnul do prílohy II, a len vo výnimočných a riadne odôvodnených prípadoch s výhradou splnenia podmienok stanovených v odseku 4. |
4. Ak sa orgán posudzovania zhody domnieva, že ide o výnimočný a riadne odôvodnený prípad uvedený v odseku 3 písm. c), oznámi zamýšľanú certifikáciu vnútroštátnemu orgánu pre certifikáciu kybernetickej bezpečnosti spolu s odôvodnením a navrhovanou metodikou hodnotenia. Vnútroštátny orgán pre certifikáciu kybernetickej bezpečnosti posúdi odôvodnenie výnimky a v odôvodnených prípadoch schváli alebo zmení metodiku hodnotenia, ktorú má orgán posudzovania zhody uplatňovať. Až do rozhodnutia vnútroštátneho orgánu pre certifikáciu kybernetickej bezpečnosti orgán posudzovania zhody nesmie vydať žiadny certifikát. Vnútroštátny orgán pre certifikáciu kybernetickej bezpečnosti bez zbytočného odkladu nahlási zamýšľanú certifikáciu európskej skupine pre certifikáciu kybernetickej bezpečnosti, ktorá môže vydať stanovisko. Vnútroštátny orgán pre certifikáciu kybernetickej bezpečnosti stanovisko európskej skupiny pre certifikáciu kybernetickej bezpečnosti v čo najväčšej miere zohľadní.
5. V prípade, že produkt IKT je predmetom hodnotenia zloženého produktu v súlade s príslušnými dokumentmi na základe aktuálneho stavu, zariadenie ITSEF, ktoré vykonalo hodnotenie základného produktu IKT, poskytne príslušné informácie zariadeniu ITSEF, ktoré vykonáva hodnotenie zloženého produktu IKT.
ODDIEL II
Vydávanie, obnovovanie a odnímanie certifikátov EUCC
Článok 8
Informácie potrebné na certifikáciu
1. Žiadateľ o certifikáciu v rámci systému EUCC certifikačnému orgánu a zariadeniu ITSEF poskytne alebo inak sprístupní všetky informácie potrebné na certifikačné činnosti.
2. Informácie uvedené v odseku 1 zahŕňajú všetky relevantné dôkazy v súlade s oddielmi „Prvky činnosti vývojára“ vo vhodnom formáte, ako je stanovené v oddieloch „Prvok obsahu a prezentácie dôkazov“ spoločných kritérií a spoločnej metodiky hodnotenia pre vybraný stupeň dôveryhodnosti a súvisiace požiadavky na bezpečnostnú dôveryhodnosť. Dôkazy v prípade potreby obsahujú podrobnosti o produkte IKT a jeho zdrojovom kóde v súlade s týmto nariadením, s výhradou ochranných opatrení proti neoprávnenému poskytnutiu údajov.
3. Žiadatelia o certifikáciu môžu certifikačnému orgánu a zariadeniu ITSEF poskytnúť príslušné výsledky hodnotení z predchádzajúcej certifikácie podľa:
|
a) |
tohto nariadenia; |
|
b) |
iného európskeho systému certifikácie kybernetickej bezpečnosti prijatého podľa článku 49 nariadenia (EÚ) 2019/881; |
|
c) |
vnútroštátneho systému uvedeného v článku 49 tohto nariadenia. |
4. Ak sú výsledky hodnotení relevantné pre úlohy zariadenia ITSEF, toto zariadenie môže výsledky hodnotení opätovne použiť za predpokladu, že tieto výsledky spĺňajú platné požiadavky a že sa potvrdí ich pravosť.
5. Ak certifikačný orgán dovolí, aby sa výrobok podrobil certifikácii zloženého produktu, žiadateľ o certifikáciu certifikačnému orgánu a zariadeniu ITSEF sprístupní v príslušných prípadoch všetky potrebné prvky v súlade s dokumentom na základe aktuálneho stavu.
6. Žiadatelia o certifikáciu poskytnú certifikačnému orgánu a zariadeniu ITSEF aj tieto informácie:
|
a) |
odkaz na svoje webové sídlo, ktoré obsahuje doplňujúce informácie o kybernetickej bezpečnosti uvedené v článku 55 nariadenia (EÚ) 2019/881; |
|
b) |
opis postupov žiadateľa na riadenie zraniteľností a zverejňovanie informácií o zraniteľnostiach. |
7. Všetku príslušnú dokumentáciu uvedenú v tomto článku uchováva certifikačný orgán, zariadenie ITSEF a žiadateľ počas obdobia piatich rokov po uplynutí platnosti certifikátu.
Článok 9
Podmienky vydania certifikátu EUCC
1. Certifikačné orgány vydajú certifikát EUCC, ak sú splnené všetky tieto podmienky:
|
a) |
kategória produktu IKT patrí do rozsahu pôsobnosti akreditácie a prípadne splnomocnenia certifikačného orgánu a zariadenia ITSEF, ktoré sa podieľajú na certifikácii; |
|
b) |
žiadateľ o certifikáciu podpísal vyhlásenie, ktorým prijíma všetky záväzky uvedené v odseku 2; |
|
c) |
zariadenie ITSEF ukončilo hodnotenie v súlade s normami, kritériami a metódami hodnotenia uvedenými v článkoch 3 a 7 bez námietok; |
|
d) |
certifikačný orgán ukončil preskúmanie výsledkov hodnotenia bez námietok; |
|
e) |
certifikačný orgán overil, že technické správy hodnotenia predložené zariadením ITSEF sú v súlade s poskytnutými dôkazmi a že normy, kritériá a metódy hodnotenia uvedené v článkoch 3 a 7 boli uplatnené správne. |
2. Žiadateľ o certifikáciu sa zaväzuje:
|
a) |
poskytnúť certifikačnému orgánu a zariadeniu ITSEF všetky potrebné úplné a správne informácie a na požiadanie poskytnúť ďalšie potrebné informácie; |
|
b) |
nepropagovať produkt IKT ako produkt certifikovaný v rámci systému EUCC pred vydaním certifikátu EUCC; |
|
c) |
propagovať produkt IKT ako certifikovaný len vzhľadom na rozsah stanovený v certifikáte EUCC; |
|
d) |
okamžite zastaviť propagáciu produktu IKT ako certifikovaného produktu v prípade pozastavenia platnosti, odňatia alebo uplynutia platnosti certifikátu EUCC; |
|
e) |
zabezpečiť, aby produkty IKT, ktoré sa predávajú s uvedením certifikátu EUCC, boli úplne zhodné s produktom IKT, ktorý je predmetom certifikácie; |
|
f) |
dodržiavať pravidlá používania značky a označenia stanovené pre certifikát EUCC v súlade s článkom 11. |
3. V prípade, že produkt IKT je predmetom certifikácie zloženého produktu v súlade s príslušnými dokumentmi na základe aktuálneho stavu, certifikačný orgán, ktorý vykonal certifikáciu základného produktu IKT, poskytne príslušné informácie certifikačnému orgánu, ktorý vykonáva certifikáciu zloženého produktu IKT.
Článok 10
Obsah a formát certifikátu EUCC
1. Certifikát EUCC musí obsahovať prinajmenšom informácie uvedené v prílohe VII.
2. V certifikáte EUCC alebo v správe o certifikácii sa musia jednoznačne uviesť rozsah a hranice certifikovaného produktu IKT a zároveň sa musí uviesť, či bol certifikovaný celý produkt IKT alebo len jeho časti.
3. Certifikačný orgán poskytne žiadateľovi certifikát EUCC aspoň v elektronickej podobe.
4. Certifikačný orgán vypracuje za každý certifikát EUCC, ktorý vydá, správu o certifikácii v súlade s prílohou V. Správa o certifikácii vychádza z technickej správy hodnotenia vydanej zariadením ITSEF. V technickej správe hodnotenia a správe o certifikácii sa uvedú konkrétne kritériá a metódy hodnotenia uvedené v článku 7, ktoré boli použité na hodnotenie.
5. Certifikačný orgán poskytne vnútroštátnemu orgánu pre certifikáciu kybernetickej bezpečnosti a agentúre ENISA každý certifikát EUCC a každú správu o certifikácii v elektronickej forme.
Článok 11
Značka a označenie
1. Držiteľ certifikátu môže na certifikovaný produkt IKT pripevniť značku a označenie. Značkou a označením sa preukazuje, že produkt IKT bol certifikovaný v súlade s týmto nariadením. Značka a označenie sa pripevňujú v súlade s týmto článkom a prílohou IX.
2. Značka a označenie sa na certifikovaný produkt IKT alebo na jeho štítok s údajmi pripevní viditeľne, čitateľne a nezmazateľne. Ak to povaha výrobku neumožňuje alebo neopodstatňuje, značka a označenie sa umiestni na obal a do sprievodnej dokumentácie. Ak sa certifikovaný produkt IKT dodáva vo forme softvéru, značka a označenie sa viditeľne, čitateľne a nezmazateľne uvedú v jeho sprievodnej dokumentácii alebo táto dokumentácia musí byť ľahko a priamo prístupná používateľom prostredníctvom webového sídla.
3. Značka a označenie musia byť usporiadané podľa prílohy IX a musia obsahovať:
|
a) |
stupeň dôveryhodnosti a stupeň AVA_VAN certifikovaného produktu IKT; |
|
b) |
jedinečnú identifikáciu certifikátu, ktorá pozostáva z:
|
4. Značku a označenie dopĺňa kód QR s odkazom na webové sídlo, ktoré obsahuje aspoň:
|
a) |
informácie o platnosti certifikátu; |
|
b) |
nevyhnutné informácie o certifikácii uvedené v prílohách V a VII; |
|
c) |
informácie, ktoré má držiteľ certifikátu zverejniť v súlade s článkom 55 nariadenia (EÚ) 2019/881, a |
|
d) |
v prípade potreby historické informácie týkajúce sa konkrétnej certifikácie alebo certifikácií produktu IKT s cieľom zabezpečiť vysledovateľnosť. |
Článok 12
Obdobie platnosti certifikátu EUCC
1. Certifikačný orgán stanoví pre každý vydaný certifikát EUCC obdobie platnosti s prihliadnutím na vlastnosti certifikovaného produktu IKT.
2. Obdobie platnosti certifikátu EUCC nesmie byť viac ako päť rokov.
3. Odchylne od odseku 2 môže toto obdobie presiahnuť päť rokov pod podmienkou predchádzajúceho súhlasu vnútroštátneho orgánu pre certifikáciu kybernetickej bezpečnosti. Vnútroštátny orgán pre certifikáciu kybernetickej bezpečnosti bez zbytočného odkladu o udelenom súhlase informuje európsku skupinu pre certifikáciu kybernetickej bezpečnosti.
Článok 13
Preskúmanie certifikátu EUCC
1. Na žiadosť držiteľa certifikátu alebo z iných opodstatnených dôvodov môže certifikačný orgán rozhodnúť o preskúmaní certifikátu EUCC produktu IKT. Preskúmanie prebieha v súlade s prílohou IV. Rozsah preskúmania určí certifikačný orgán. Ak je to potrebné na účely preskúmania, certifikačný orgán požiada zariadenie ITSEF o vykonanie opätovného hodnotenia certifikovaného produktu IKT.
2. Na základe výsledkov preskúmania a prípadne opätovného hodnotenia certifikačný orgán:
|
a) |
potvrdí certifikát EUCC; |
|
b) |
odníme certifikát EUCC v súlade s článkom 14; |
|
c) |
odníme certifikát EUCC v súlade s článkom 14 a vydá nový certifikát EUCC s rovnakým rozsahom a predĺženým obdobím platnosti alebo |
|
d) |
odníme certifikát EUCC v súlade s článkom 14 a vydá nový certifikát EUCC s odlišným rozsahom. |
3. Certifikačný orgán sa môže rozhodnúť, že bez zbytočného odkladu v súlade s článkom 30 pozastaví platnosť certifikátu EUCC až do prijatia nápravných opatrení držiteľom certifikátu EUCC.
Článok 14
Odňatie certifikátu EUCC
1. Bez toho, aby bol dotknutý článok 58 ods. 8 písm. e) nariadenia (EÚ) 2019/881, certifikát EUCC odníma certifikačný orgán, ktorý tento certifikát vydal.
2. Certifikačný orgán uvedený v odseku 1 oznámi odňatie certifikátu vnútroštátnemu orgánu pre certifikáciu kybernetickej bezpečnosti. O tomto odňatí informuje aj agentúru ENISA s cieľom uľahčiť plnenie jej úlohy podľa článku 50 nariadenia (EÚ) 2019/881. Vnútroštátny orgán pre certifikáciu kybernetickej bezpečnosti informuje ostatné príslušné orgány dohľadu nad trhom.
3. Držiteľ certifikátu EUCC môže požiadať o odňatie certifikátu.
KAPITOLA III
CERTIFIKÁCIA PROFILOV OCHRANY
ODDIEL I
Osobitné normy a požiadavky na hodnotenie
Článok 15
Kritériá a metódy hodnotenia
1. Profil ochrany sa hodnotí minimálne v súlade s:
|
a) |
uplatniteľnými prvkami noriem uvedených v článku 3; |
|
b) |
úrovňou rizika spojeného s plánovaným využívaním dotknutých produktov IKT podľa článku 52 nariadenia (EÚ) 2019/881 a ich bezpečnostnými funkciami, ktoré podporujú bezpečnostné ciele stanovené v článku 51 uvedeného nariadenia, ako aj |
|
c) |
uplatniteľnými dokumentmi na základe aktuálneho stavu uvedenými v prílohe I. Profil ochrany, na ktorý sa vzťahuje technická doména, musí byť certifikovaný podľa požiadaviek stanovených v tejto technickej doméne. |
2. Vo výnimočných a riadne odôvodnených prípadoch môže orgán posudzovania zhody certifikovať profil ochrany bez toho, aby uplatnil príslušné dokumenty na základe aktuálneho stavu. V takýchto prípadoch informuje príslušný vnútroštátny orgán pre certifikáciu kybernetickej bezpečnosti a poskytne odôvodnenie zamýšľanej certifikácie bez uplatnenia príslušných dokumentov na základe aktuálneho stavu, ako aj navrhovanú metodiku hodnotenia. Vnútroštátny orgán pre certifikáciu kybernetickej bezpečnosti posúdi odôvodnenie a v odôvodnených prípadoch schváli neuplatňovanie príslušných dokumentov na základe aktuálneho stavu a schváli alebo prípadne zmení metodiku hodnotenia, ktorú má orgán posudzovania zhody uplatňovať. Až do rozhodnutia vnútroštátneho orgánu pre certifikáciu kybernetickej bezpečnosti orgán posudzovania zhody nesmie vydať pre profil ochrany žiadny certifikát. Vnútroštátny orgán pre certifikáciu kybernetickej bezpečnosti bez zbytočného odkladu oznámi schválené neuplatňovanie príslušných dokumentov na základe aktuálneho stavu európskej skupine pre certifikáciu kybernetickej bezpečnosti, ktorá môže vydať stanovisko. Vnútroštátny orgán pre certifikáciu kybernetickej bezpečnosti stanovisko európskej skupiny pre certifikáciu kybernetickej bezpečnosti v čo najväčšej miere zohľadní.
ODDIEL II
Vydávanie, obnovovanie a odnímanie certifikátov EUCC pre profily ochrany
Článok 16
Informácie potrebné na certifikáciu profilov ochrany
Žiadateľ o certifikáciu profilu ochrany certifikačnému orgánu a zariadeniu ITSEF poskytne alebo inak sprístupní všetky informácie potrebné na certifikačné činnosti. Článok 8 ods. 2, 3, 4 a 7 sa uplatňuje mutatis mutandis.
Článok 17
Vydávanie certifikátov EUCC pre profily ochrany
1. Žiadateľ o certifikáciu poskytne certifikačnému orgánu a zariadeniu ITSEF všetky potrebné úplné a správne informácie.
2. Články 9 a 10 sa uplatňujú mutatis mutandis.
3. Zariadenie ITSEF vyhodnotí, či je profil ochrany úplný, konzistentný, technicky spoľahlivý a účinný pre plánované využívanie a bezpečnostné ciele kategórie produktu IKT, na ktorú sa tento profil ochrany vzťahuje.
4. Profily ochrany certifikuje výlučne:
|
a) |
vnútroštátny orgán pre certifikáciu kybernetickej bezpečnosti alebo iný verejný orgán akreditovaný ako certifikačný orgán, alebo |
|
b) |
certifikačný orgán na základe predchádzajúceho schválenia vnútroštátnym orgánom pre certifikáciu kybernetickej bezpečnosti pre každý jednotlivý profil ochrany. |
Článok 18
Obdobie platnosti certifikátu EUCC pre profily ochrany
1. Certifikačný orgán stanoví pre každý certifikát EUCC obdobie platnosti.
2. Obdobie platnosti môže trvať až do konca životnosti príslušného profilu ochrany.
Článok 19
Preskúmanie certifikátu EUCC pre profily ochrany
1. Na žiadosť držiteľa certifikátu alebo z iných opodstatnených dôvodov môže certifikačný orgán rozhodnúť o preskúmaní certifikátu EUCC pre profil ochrany. Preskúmanie sa vykoná na základe podmienok stanovených v článku 15. Rozsah preskúmania určí certifikačný orgán. Ak je to potrebné na účely preskúmania, certifikačný orgán požiada zariadenie ITSEF o vykonanie opätovného hodnotenia certifikovaného profilu ochrany.
2. Na základe výsledkov preskúmania a prípadne opätovného hodnotenia certifikačný orgán vykoná jeden z týchto krokov:
|
a) |
potvrdí certifikát EUCC; |
|
b) |
odníme certifikát EUCC v súlade s článkom 20; |
|
c) |
odníme certifikát EUCC v súlade s článkom 20 a vydá nový certifikát EUCC s rovnakým rozsahom a predĺženým obdobím platnosti; |
|
d) |
odníme certifikát EUCC v súlade s článkom 20 a vydá nový certifikát EUCC s odlišným rozsahom. |
Článok 20
Odňatie certifikátu EUCC pre profil ochrany
1. Bez toho, aby bol dotknutý článok 58 ods. 8 písm. e) nariadenia (EÚ) 2019/881, certifikát EUCC pre profil ochrany odníma certifikačný orgán, ktorý tento certifikát vydal. Článok 14 sa uplatňuje mutatis mutandis.
2. Certifikát pre profil ochrany vydaný v súlade s článkom 17 ods. 4 písm. b) odníma vnútroštátny orgán pre certifikáciu kybernetickej bezpečnosti, ktorý daný certifikát schválil.
KAPITOLA IV
ORGÁNY POSUDZOVANIA ZHODY
Článok 21
Dodatočné alebo špecifické požiadavky na certifikačný orgán
1. Vnútroštátny orgán pre certifikáciu kybernetickej bezpečnosti splnomocní certifikačný orgán na vydávanie certifikátov EUCC na stupni dôveryhodnosti „vysoký“, ak tento orgán okrem splnenia požiadaviek stanovených v článku 60 ods. 1 nariadenia (EÚ) 2019/881 a v prílohe k uvedenému nariadeniu týkajúcich sa akreditácie orgánov posudzovania zhody preukáže, že:
|
a) |
má odborné znalosti a spôsobilosti potrebné na prijatie rozhodnutia o certifikácii na stupni dôveryhodnosti „vysoký“; |
|
b) |
vykonáva svoje certifikačné činnosti v spolupráci so zariadením ITSEF splnomocneným v súlade s článkom 22 a |
|
c) |
má požadované spôsobilosti a okrem požiadaviek stanovených v článku 43 má zavedené primerané technické a prevádzkové opatrenia na účinnú ochranu dôverných a citlivých informácií pre stupeň dôveryhodnosti „vysoký“. |
2. Vnútroštátny orgán pre certifikáciu kybernetickej bezpečnosti posúdi, či certifikačný orgán spĺňa všetky požiadavky stanovené v odseku 1. Toto posúdenie musí zahŕňať aspoň štruktúrované rozhovory a preskúmanie aspoň jednej pilotnej certifikácie vykonanej certifikačným orgánom v súlade s týmto nariadením.
Vnútroštátny orgán pre certifikáciu kybernetickej bezpečnosti môže vo svojom posúdení opätovne použiť akékoľvek primerané dôkazy z predchádzajúceho splnomocnenia alebo podobných činností vykonaných podľa:
|
a) |
tohto nariadenia; |
|
b) |
iného európskeho systému certifikácie kybernetickej bezpečnosti prijatého podľa článku 49 nariadenia (EÚ) 2019/881; |
|
c) |
vnútroštátneho systému uvedeného v článku 49 tohto nariadenia. |
3. Vnútroštátny orgán pre certifikáciu kybernetickej bezpečnosti vypracuje správu o splnomocnení, ktorá je predmetom partnerského preskúmania v súlade s článkom 59 ods. 3 písm. d) nariadenia (EÚ) 2019/881.
4. Vnútroštátny orgán pre certifikáciu kybernetickej bezpečnosti špecifikuje kategórie produktov IKT a profily ochrany, na ktoré sa splnomocnenie vzťahuje. Splnomocnenie platí na obdobie, ktoré nepresahuje obdobie platnosti akreditácie. Možno ho na požiadanie obnoviť za predpokladu, že certifikačný orgán naďalej spĺňa požiadavky stanovené v tomto článku. Na obnovenie splnomocnenia sa nevyžadujú žiadne pilotné hodnotenia.
5. Vnútroštátny orgán pre certifikáciu kybernetickej bezpečnosti splnomocnenie certifikačnému orgánu odníme, ak už nespĺňa podmienky stanovené v tomto článku. Po odňatí splnomocnenia certifikačný orgán okamžite prestane vystupovať ako splnomocnený certifikačný orgán.
Článok 22
Dodatočné alebo špecifické požiadavky na zariadenie ITSEF
1. Vnútroštátny orgán pre certifikáciu kybernetickej bezpečnosti splnomocní zariadenie ITSEF na vykonávanie hodnotenia produktov IKT, ktoré sú predmetom certifikácie na stupni dôveryhodnosti „vysoký“, ak zariadenie ITSEF okrem splnenia požiadaviek stanovených v článku 60 ods. 1 nariadenia (EÚ) 2019/881 a prílohy k uvedenému nariadeniu týkajúcich sa akreditácie orgánov posudzovania zhody, preukáže, že spĺňa všetky tieto podmienky:
|
a) |
má potrebné odborné znalosti na vykonávanie hodnotiacich činností na určenie odolnosti voči najpokročilejším kybernetickým útokom, ktoré uskutočňujú subjekty so značnými zručnosťami a zdrojmi; |
|
b) |
pokiaľ ide o technické domény a profily ochrany, ktoré sú súčasťou procesu IKT pre uvedené produkty IKT, má:
|
|
c) |
má požadované spôsobilosti a okrem požiadaviek stanovených v článku 43 má zavedené primerané technické a prevádzkové opatrenia na účinnú ochranu dôverných a citlivých informácií pre stupeň dôveryhodnosti „vysoký“. |
2. Vnútroštátny orgán pre certifikáciu kybernetickej bezpečnosti posúdi, či zariadenie ITSEF spĺňa všetky požiadavky stanovené v odseku 1. Toto posúdenie zahŕňa aspoň štruktúrované rozhovory a preskúmanie aspoň jedného pilotného hodnotenia vykonaného zariadením ITSEF v súlade s týmto nariadením.
3. Vnútroštátny orgán pre certifikáciu kybernetickej bezpečnosti môže vo svojom posúdení opätovne použiť akékoľvek primerané dôkazy z predchádzajúceho splnomocnenia alebo podobných činností vykonaných podľa:
|
a) |
tohto nariadenia; |
|
b) |
iného európskeho systému certifikácie kybernetickej bezpečnosti prijatého podľa článku 49 nariadenia (EÚ) 2019/881; |
|
c) |
vnútroštátneho systému uvedeného v článku 49 tohto nariadenia. |
4. Vnútroštátny orgán pre certifikáciu kybernetickej bezpečnosti vypracuje správu o splnomocnení, ktorá je predmetom partnerského preskúmania v súlade s článkom 59 ods. 3 písm. d) nariadenia (EÚ) 2019/881.
5. Vnútroštátny orgán pre certifikáciu kybernetickej bezpečnosti špecifikuje kategórie produktov IKT a profily ochrany, na ktoré sa splnomocnenie vzťahuje. Splnomocnenie platí na obdobie, ktoré nepresahuje obdobie platnosti akreditácie. Možno ho na požiadanie obnoviť za predpokladu, že zariadenie ITSEF naďalej spĺňa požiadavky stanovené v tomto článku. Na obnovenie splnomocnenia by sa nemali vyžadovať žiadne pilotné hodnotenia.
6. Vnútroštátny orgán pre certifikáciu kybernetickej bezpečnosti splnomocnenie zariadeniu ITSEF odníme, ak už nespĺňa podmienky stanovené v tomto článku. Po odňatí splnomocnenia zariadenie ITSEF prestane vystupovať ako splnomocnené zariadenie ITSEF.
Článok 23
Oznamovanie certifikačných orgánov
1. Vnútroštátny orgán pre certifikáciu kybernetickej bezpečnosti oznamuje Komisii certifikačné orgány na svojom území, ktoré sú na základe akreditácie spôsobilé vykonávať certifikáciu na stupni dôveryhodnosti „pokročilý“.
2. Vnútroštátny orgán pre certifikáciu kybernetickej bezpečnosti oznamuje Komisii certifikačné orgány na svojom území, ktoré sú na základe akreditácie a rozhodnutia o splnomocnení spôsobilé vykonávať certifikáciu na stupni dôveryhodnosti „vysoký“.
3. Vnútroštátny orgán pre certifikáciu kybernetickej bezpečnosti pri oznamovaní certifikačných orgánov poskytne Komisii aspoň tieto informácie:
|
a) |
stupeň alebo stupne dôveryhodnosti, pre ktoré je certifikačný orgán spôsobilý vydávať certifikáty EUCC; |
|
b) |
tieto informácie týkajúce sa akreditácie:
|
|
c) |
tieto informácie týkajúce sa splnomocnenia pre stupeň „vysoký“:
|
4. Vnútroštátny orgán pre certifikáciu kybernetickej bezpečnosti zašle agentúre ENISA kópiu oznámenia uvedeného v odsekoch 1 a 2 na uverejnenie presných informácií o oprávnenosti certifikačných orgánov na webovom sídle pre certifikáciu kybernetickej bezpečnosti.
5. Vnútroštátny orgán pre certifikáciu kybernetickej bezpečnosti bez zbytočného odkladu preskúma všetky informácie týkajúce sa zmeny stavu akreditácie, ktoré poskytol vnútroštátny akreditačný orgán. V prípade odňatia akreditácie alebo splnomocnenia vnútroštátny orgán pre certifikáciu kybernetickej bezpečnosti o odňatí informuje Komisiu a môže Komisii predložiť žiadosť v súlade s článkom 61 ods. 4 nariadenia (EÚ) 2019/881.
Článok 24
Oznamovanie zariadení ITSEF
Oznamovacie povinnosti vnútroštátnych orgánov pre certifikáciu kybernetickej bezpečnosti stanovené v článku 23 sa vzťahujú aj na zariadenia ITSEF. Oznámenie musí obsahovať adresu zariadenia ITSEF, platnú akreditáciu a prípadne platné splnomocnenie uvedeného zariadenia ITSEF.
KAPITOLA V
MONITOROVANIE, NEZHODA A NESÚLAD
ODDIEL I
Monitorovanie súladu
Článok 25
Monitorovacie činnosti vnútroštátneho orgánu pre certifikáciu kybernetickej bezpečnosti
1. Bez toho, aby bol dotknutý článok 58 ods. 7 nariadenia (EÚ) 2019/881, vnútroštátny orgán pre certifikáciu kybernetickej bezpečnosti monitoruje súlad:
|
a) |
certifikačného orgánu a zariadenia ITSEF s ich povinnosťami vyplývajúcimi z tohto nariadenia a z nariadenia (EÚ) 2019/881; |
|
b) |
držiteľov certifikátu EUCC s ich povinnosťami vyplývajúcimi z tohto nariadenia a z nariadenia (EÚ) 2019/881; |
|
c) |
certifikovaných produktov IKT s požiadavkami stanovenými v EUCC; |
|
d) |
dôveryhodnosti vyjadrenej v certifikáte EUCC, ktorou sa rieši vyvíjajúca sa situácia v oblasti hrozieb. |
2. Vnútroštátny orgán pre certifikáciu kybernetickej bezpečnosti vykonáva svoje monitorovacie činnosti najmä na základe:
|
a) |
informácií od certifikačných orgánov, vnútroštátnych akreditačných orgánov a príslušných orgánov dohľadu nad trhom; |
|
b) |
informácií vyplývajúcich z vlastných auditov a vyšetrovaní alebo auditov a vyšetrovaní iného orgánu; |
|
c) |
vzoriek odobratých v súlade s odsekom 3; |
|
d) |
prijatých sťažností. |
3. Vnútroštátny orgán pre certifikáciu kybernetickej bezpečnosti v spolupráci s ostatnými orgánmi dohľadu nad trhom každoročne odoberie vzorky najmenej 4 % certifikátov EUCC určených na základe posúdenia rizika. Na požiadanie a v mene príslušného vnútroštátneho orgánu pre certifikáciu kybernetickej bezpečnosti pomáhajú certifikačné orgány a v prípade potreby zariadenia ITSEF tomuto orgánu pri monitorovaní súladu.
4. Vnútroštátny orgán pre certifikáciu kybernetickej bezpečnosti vyberie vzorku certifikovaných produktov IKT na kontrolu na základe objektívnych kritérií vrátane:
|
a) |
kategórie produktov; |
|
b) |
stupňov dôveryhodnosti produktov; |
|
c) |
držiteľa certifikátu; |
|
d) |
certifikačného orgánu a prípadne subdodávateľského zariadenia ITSEF; |
|
e) |
akýchkoľvek ďalších informácií, o ktorých bol orgán upovedomený. |
5. Vnútroštátny orgán pre certifikáciu kybernetickej bezpečnosti informuje držiteľov certifikátu EUCC o vybraných produktoch IKT a kritériách výberu.
6. Certifikačný orgán, ktorý certifikoval produkt IKT zaradený do vzorky, na žiadosť vnútroštátneho orgánu pre certifikáciu kybernetickej bezpečnosti a s pomocou príslušného zariadenia ITSEF vykoná dodatočné preskúmanie v súlade s postupom stanoveným v oddiele IV.2 prílohy IV a o výsledkoch informuje vnútroštátny orgán pre certifikáciu kybernetickej bezpečnosti.
7. Ak má vnútroštátny orgán pre certifikáciu kybernetickej bezpečnosti dostatočný dôvod domnievať sa, že certifikovaný produkt IKT už nie je v súlade s týmto nariadením alebo nariadením (EÚ) 2019/881, môže vykonať vyšetrovanie alebo využiť akékoľvek iné právomoci v oblasti monitorovania stanovené v článku 58 ods. 8 nariadenia (EÚ) 2019/881.
8. Vnútroštátny orgán pre certifikáciu kybernetickej bezpečnosti informuje dotknutý certifikačný orgán a dotknuté zariadenie ITSEF o prebiehajúcich vyšetrovaniach týkajúcich sa vybraných produktov IKT.
9. Ak vnútroštátny orgán pre certifikáciu kybernetickej bezpečnosti zistí, že sa prebiehajúce vyšetrovanie týka produktov IKT, ktoré sú certifikované certifikačnými orgánmi so sídlom v iných členských štátoch, informuje o tom vnútroštátne orgány pre certifikáciu kybernetickej bezpečnosti príslušných členských štátov, aby v prípade potreby na vyšetrovaniach spolupracovali. Takýto vnútroštátny orgán pre certifikáciu kybernetickej bezpečnosti oznámi cezhraničné vyšetrovania a následné výsledky aj európskej skupine pre certifikáciu kybernetickej bezpečnosti.
Článok 26
Monitorovacie činnosti certifikačného orgánu
1. Certifikačný orgán monitoruje:
|
a) |
dodržiavanie povinností podľa tohto nariadenia a nariadenia (EÚ) 2019/881 držiteľmi certifikátu vo vzťahu k certifikátu EUCC, ktorý certifikačný orgán vydal; |
|
b) |
súlad produktov IKT, ktoré certifikoval, s ich príslušnými bezpečnostnými požiadavkami; |
|
c) |
dôveryhodnosť vyjadrenú v certifikovaných profiloch ochrany. |
2. Certifikačný orgán vykonáva svoju monitorovaciu činnosť na základe:
|
a) |
informácií poskytnutých na základe záväzkov žiadateľa o certifikáciu uvedených v článku 9 ods. 2; |
|
b) |
informácií vyplývajúcich z činností ostatných príslušných orgánov dohľadu nad trhom; |
|
c) |
prijatých sťažností; |
|
d) |
informácií o zraniteľnostiach, ktoré by mohli mať vplyv na produkty IKT, ktoré certifikoval. |
3. Bez toho, aby boli dotknuté činnosti súvisiace s ostatnými príslušnými orgánmi dohľadu nad trhom, môže vnútroštátny orgán pre certifikáciu kybernetickej bezpečnosti vypracovať pravidlá pravidelného dialógu medzi certifikačnými orgánmi a držiteľmi certifikátov EUCC s cieľom overiť dodržiavanie záväzkov prijatých podľa článku 9 ods. 2 a podať o ňom správu.
Článok 27
Monitorovacie činnosti držiteľa certifikátu
1. Držiteľ certifikátu EUCC plní s cieľom monitorovať zhodu certifikovaného produktu IKT s jeho bezpečnostnými požiadavkami tieto úlohy:
|
a) |
monitoruje informácie o zraniteľnostiach týkajúce sa certifikovaného produktu IKT vrátane známych závislostí, a to vlastnými prostriedkami, ale aj s ohľadom na:
|
|
b) |
monitoruje dôveryhodnosť vyjadrenú v certifikáte EUCC. |
2. Držiteľ certifikátu EUCC spolupracuje s certifikačným orgánom, zariadením ITSEF a prípadne s vnútroštátnym orgánom pre certifikáciu kybernetickej bezpečnosti v snahe podporiť ich monitorovacie činnosti.
ODDIEL II
Zhoda a súlad
Článok 28
Dôsledky nezhody certifikovaného produktu IKT alebo profilu ochrany
1. Ak certifikovaný produkt IKT alebo profil ochrany nespĺňa požiadavky stanovené v tomto nariadení a nariadení (EÚ) 2019/881, certifikačný orgán informuje držiteľa certifikátu EUCC o zistenej nezhode a požiada o nápravné opatrenia.
2. Ak by prípad nezhody s ustanoveniami tohto nariadenia mohol ovplyvniť súlad s inými príslušnými právnymi predpismi Únie, v ktorých sa stanovuje možnosť preukázať predpoklad zhody s požiadavkami uvedeného právneho aktu pomocou certifikátu EUCC, certifikačný orgán o tom bezodkladne informuje vnútroštátny orgán pre certifikáciu kybernetickej bezpečnosti. Vnútroštátny orgán pre certifikáciu kybernetickej bezpečnosti o zistenom prípade nezhody bezodkladne informuje orgán dohľadu nad trhom zodpovedný za takéto iné príslušné právne predpisy Únie.
3. Držiteľ certifikátu EUCC po prijatí informácií uvedených v odseku 1 v lehote stanovenej certifikačným orgánom, ktorá nepresiahne 30 dní, navrhne certifikačnému orgánu nápravné opatrenie potrebné na riešenie nezhody.
4. V prípade núdze alebo ak držiteľ certifikátu EUCC náležite s certifikačným orgánom nespolupracuje, môže certifikačný orgán bez zbytočného odkladu v súlade s článkom 30 pozastaviť platnosť certifikátu EUCC.
5. Certifikačný orgán vykoná preskúmanie v súlade s článkami 13 a 19 a posúdi, či sa nápravným opatrením rieši nezhoda.
6. Ak držiteľ certifikátu EUCC v lehote uvedenej v odseku 3 nenavrhne vhodné nápravné opatrenie, platnosť certifikátu sa pozastaví v súlade s článkom 30 alebo sa certifikát odníme v súlade s článkami 14 alebo 20.
7. Tento článok sa nevzťahuje na prípady zraniteľností ovplyvňujúcich certifikovaný produkt IKT, ktoré sa riešia v súlade s kapitolou VI.
Článok 29
Dôsledky nesúladu držiteľa certifikátu
1. Ak certifikačný orgán zistí, že:
|
a) |
držiteľ certifikátu EUCC alebo žiadateľ o certifikáciu neplní svoje záväzky a povinnosti stanovené v článku 9 ods. 2, článku 17 ods. 2 a v článkoch 27 a 41 alebo |
|
b) |
držiteľ certifikátu EUCC nedodržiava článok 56 ods. 8 nariadenia (EÚ) 2019/881 alebo kapitolu VI tohto nariadenia, stanoví lehotu najviac 30 dní, v rámci ktorej držiteľ certifikátu EUCC prijme nápravné opatrenie. |
2. Ak držiteľ certifikátu EUCC počas lehoty uvedenej v odseku 1 nenavrhne vhodné nápravné opatrenie, platnosť certifikátu sa pozastaví v súlade s článkom 30 alebo sa certifikát odníme v súlade s článkami 14 a 20.
3. Pretrvávajúce alebo opakujúce sa porušovanie povinností uvedených v odseku 1 držiteľom certifikátu EUCC má za následok odňatie certifikátu EUCC v súlade s článkom 14 alebo článkom 20.
4. Certifikačný orgán o zisteniach uvedených v odseku 1 informuje vnútroštátny orgán pre certifikáciu kybernetickej bezpečnosti. Ak má prípad nesúladu vplyv na súlad s inými príslušnými právnymi predpismi Únie, vnútroštátny orgán pre certifikáciu kybernetickej bezpečnosti o zistenom prípade nesúladu bezodkladne informuje orgán dohľadu nad trhom zodpovedný za takéto iné príslušné právne predpisy Únie.
Článok 30
Pozastavenie platnosti certifikátu EUCC
1. Ak sa v tomto nariadení odkazuje na pozastavenie platnosti certifikátu EUCC, certifikačný orgán pozastaví platnosť dotknutého certifikátu EUCC na obdobie, ktoré je primerané okolnostiam, ktoré viedli k pozastaveniu platnosti, a ktoré nepresahuje 42 dní. Obdobie pozastavenia platnosti začína plynúť dňom nasledujúcim po dni rozhodnutia certifikačného orgánu. Pozastavenie platnosti nemá vplyv na platnosť certifikátu.
2. Certifikačný orgán bez zbytočného odkladu informuje držiteľa certifikátu a vnútroštátny orgán pre certifikáciu kybernetickej bezpečnosti o pozastavení platnosti a uvedie dôvody pozastavenia platnosti, požadované opatrenia, ktoré sa majú prijať, a obdobie pozastavenia platnosti.
3. Držitelia certifikácie informujú nákupcov dotknutých produktov IKT o pozastavení platnosti a o dôvodoch pozastavenia platnosti, ktoré poskytol certifikačný orgán, s výnimkou tých častí dôvodov, ktorých poskytnutie by predstavovalo bezpečnostné riziko alebo ktoré obsahujú citlivé informácie. Držiteľ certifikátu zároveň tieto informácie zverejní.
4. Ak sa v iných príslušných právnych predpisoch Únie stanovuje predpoklad zhody na základe certifikátov vydaných podľa ustanovení tohto nariadenia, vnútroštátny orgán pre certifikáciu kybernetickej bezpečnosti informuje o pozastavení platnosti orgán dohľadu nad trhom zodpovedný za takéto iné príslušné právne predpisy Únie.
5. Pozastavenie platnosti certifikátu sa v súlade s článkom 42 ods. 3 oznámi agentúre ENISA.
6. V riadne odôvodnených prípadoch môže vnútroštátny orgán pre certifikáciu kybernetickej bezpečnosti povoliť predĺženie obdobia pozastavenia platnosti certifikátu EUCC. Celkové obdobie pozastavenia platnosti nesmie presiahnuť jeden rok.
Článok 31
Dôsledky nesúladu orgánu posudzovania zhody
1. Ak neplní svoje povinnosti certifikačný orgán alebo v prípade zistenia nesúladu zariadenia ITSEF príslušný certifikačný orgán, vnútroštátny orgán pre certifikáciu kybernetickej bezpečnosti bez zbytočného odkladu:
|
a) |
s podporou dotknutého zariadenia ITSEF identifikuje potenciálne dotknuté certifikáty EUCC; |
|
b) |
v prípade potreby požiada, aby buď zariadenie ITSEF, ktoré vykonalo hodnotenie, alebo akékoľvek iné akreditované a prípadne splnomocnené zariadenie ITSEF, ktoré môže byť z technického hľadiska lepšie schopné pomôcť pri tejto identifikácii, vykonalo hodnotiace činnosti na jednom alebo viacerých produktoch IKT alebo profiloch ochrany; |
|
c) |
analyzuje vplyvy nesúladu; |
|
d) |
informuje držiteľa certifikátu EUCC, ktorého sa nesúlad týka. |
2. Na základe opatrení uvedených v odseku 1 certifikačný orgán prijme v súvislosti s každým dotknutým certifikátom EUCC jedno z týchto rozhodnutí:
|
a) |
certifikát EUCC ponechá bez zmeny; |
|
b) |
odníme certifikát EUCC v súlade s článkom 14 alebo článkom 20 a v prípade potreby vydá nový certifikát EUCC. |
3. Na základe opatrení uvedených v odseku 1 vnútroštátny orgán pre certifikáciu kybernetickej bezpečnosti:
|
a) |
v prípade potreby nahlási nesúlad certifikačného orgánu alebo súvisiaceho zariadenia ITSEF vnútroštátnemu akreditačnému orgánu; |
|
b) |
v prípade potreby posúdi potenciálny vplyv na splnomocnenie. |
KAPITOLA VI
RIADENIE ZRANITEĽNOSTÍ A ZVEREJŇOVANIE INFORMÁCIÍ O ZRANITEĽNOSTIACH
Článok 32
Rozsah riadenia zraniteľností
Táto kapitola sa vzťahuje na produkty IKT, pre ktoré bol vydaný certifikát EUCC.
ODDIEL I
Riadenie zraniteľností
Článok 33
Postupy riadenia zraniteľností
1. Držiteľ certifikátu EUCC zavedie a zachováva všetky potrebné postupy riadenia zraniteľností v súlade s pravidlami stanovenými v tomto oddiele a v prípade potreby doplnené postupmi stanovenými v norme EN ISO/IEC 30111.
2. Držiteľ certifikátu EUCC udržiava a uverejňuje vhodné metódy na prijímanie informácií o zraniteľnostiach, ktoré sa týkajú jeho produktov, z externých zdrojov vrátane používateľov, certifikačných orgánov a výskumníkov v oblasti bezpečnosti.
3. Ak držiteľ certifikátu EUCC odhalí potenciálnu zraniteľnosť ovplyvňujúcu certifikovaný produkt IKT alebo o takejto zraniteľnosti dostane informácie, zaznamená ich a vykoná analýzu vplyvu zraniteľnosti.
4. Ak má potenciálna zraniteľnosť vplyv na zložený produkt, držiteľ certifikátu EUCC o potenciálnej zraniteľnosti informuje držiteľa príslušných certifikátov EUCC.
5. V reakcii na opodstatnenú žiadosť certifikačného orgánu, ktorý vydal certifikát, držiteľ certifikátu EUCC zašle tomuto certifikačnému orgánu všetky relevantné informácie o potenciálnych zraniteľnostiach.
Článok 34
Analýza vplyvu zraniteľností
1. Analýza vplyvu zraniteľnosti sa vzťahuje na objekt hodnotenia a vyhlásenia o dôveryhodnosti obsiahnuté v certifikáte. Analýza vplyvu zraniteľnosti sa vykoná v časovom rámci primeranom vzhľadom na zneužiteľnosť a kritickosť potenciálnej zraniteľnosti certifikovaného produktu IKT.
2. V prípade potreby sa v súlade s príslušnou metodikou zahrnutou v normách uvedených v článku 3 a v príslušných dokumentoch na základe aktuálneho stavu uvedených v prílohe I s cieľom určiť zneužiteľnosť zraniteľnosti vykoná výpočet potenciálu útoku. Zohľadní sa stupeň AVA_VAN certifikátu EUCC.
Článok 35
Správa o analýze vplyvu zraniteľnosti
1. Ak z analýzy vplyvu zraniteľnosti vyplynie, že zraniteľnosť má pravdepodobný vplyv na súlad produktu IKT s jeho certifikátom, držiteľ vypracuje správu o analýze vplyvu zraniteľnosti.
2. Správa o analýze vplyvu zraniteľnosti musí obsahovať posúdenie týchto prvkov:
|
a) |
vplyv zraniteľnosti na certifikovaný produkt IKT; |
|
b) |
možné riziká spojené s blízkosťou alebo dostupnosťou útoku; |
|
c) |
či možno zraniteľnosť napraviť; |
|
d) |
ak možno zraniteľnosť napraviť, možné riešenia zraniteľnosti. |
3. V správe o analýze vplyvu zraniteľnosti sa v prípade potreby uvedú podrobnosti o možných spôsoboch zneužitia zraniteľnosti. S informáciami týkajúcimi sa možných spôsobov zneužitia zraniteľnosti sa zaobchádza v súlade s vhodnými bezpečnostnými opatreniami na ochranu ich dôvernosti a v prípade potreby na obmedzenie ich šírenia.
4. Držiteľ certifikátu EUCC v súlade s článkom 56 ods. 8 nariadenia (EÚ) 2019/881 bez zbytočného odkladu zašle správu o analýze vplyvu zraniteľnosti certifikačnému orgánu alebo vnútroštátnemu orgánu pre certifikáciu kybernetickej bezpečnosti.
5. Ak sa v správe o analýze vplyvu zraniteľnosti stanoví, že zraniteľnosť nie je zvyšková v zmysle noriem uvedených v článku 3 a že ju možno napraviť, uplatňuje sa článok 36.
6. Ak sa v správe o analýze vplyvu zraniteľnosti stanoví, že zraniteľnosť nie je zvyšková a že ju nemožno napraviť, certifikát EUCC sa v súlade s článkom 14 odníme.
7. Držiteľ certifikátu EUCC monitoruje všetky zvyškové zraniteľnosti s cieľom zabezpečiť, aby sa v prípade zmien v operačnom prostredí nemohli zneužívať.
Článok 36
Náprava zraniteľností
Držiteľ certifikátu EUCC predloží certifikačnému orgánu návrh na vhodné nápravné opatrenie. Certifikačný orgán preskúma certifikát v súlade s článkom 13. Rozsah preskúmania závisí od navrhovanej nápravy zraniteľnosti.
ODDIEL II
Zverejňovanie informácií o zraniteľnostiach
Článok 37
Informácie poskytované vnútroštátnemu orgánu pre certifikáciu kybernetickej bezpečnosti
1. Informácie poskytnuté certifikačným orgánom vnútroštátnemu orgánu pre certifikáciu kybernetickej bezpečnosti musia zahŕňať všetky prvky potrebné na to, aby vnútroštátny orgán pre certifikáciu kybernetickej bezpečnosti pochopil vplyv zraniteľnosti, zmeny, ktoré sa majú v súvislosti s produktom IKT vykonať, a akékoľvek dostupné informácie od certifikačného orgánu o širších dôsledkoch zraniteľnosti pre iné certifikované produkty IKT.
2. Informácie poskytnuté v súlade s odsekom 1 nesmú obsahovať podrobnosti o spôsoboch zneužitia zraniteľnosti. Týmto ustanovením nie sú dotknuté vyšetrovacie právomoci vnútroštátneho orgánu pre certifikáciu kybernetickej bezpečnosti.
Článok 38
Spolupráca s ostatnými vnútroštátnymi orgánmi pre certifikáciu kybernetickej bezpečnosti
1. Vnútroštátny orgán pre certifikáciu kybernetickej bezpečnosti si vymieňa príslušné informácie získané v súlade s článkom 37 s ostatnými vnútroštátnymi orgánmi pre certifikáciu kybernetickej bezpečnosti a agentúrou ENISA.
2. Ostatné vnútroštátne orgány pre certifikáciu kybernetickej bezpečnosti sa môžu rozhodnúť zraniteľnosť ďalej analyzovať alebo po informovaní držiteľa certifikátu EUCC požiadať príslušné certifikačné orgány, aby posúdili, či môže zraniteľnosť ovplyvniť iné certifikované produkty IKT.
Článok 39
Zverejnenie zraniteľností
Po odňatí certifikátu držiteľ certifikátu EUCC zverejní a zaregistruje akúkoľvek verejne známu a napravenú zraniteľnosť v súvislosti s daným produktom IKT v európskej databáze zraniteľností zriadenej v súlade s článkom 12 smernice Európskeho parlamentu a Rady (EÚ) 2022/2555 (5) alebo v iných online registroch uvedených v článku 55 ods. 1 písm. d) nariadenia (EÚ) 2019/881.
KAPITOLA VII
UCHOVÁVANIE, ZVEREJŇOVANIE A OCHRANA INFORMÁCIÍ
Článok 40
Uchovávanie záznamov certifikačnými orgánmi a zariadeniami ITSEF
1. Zariadenia ITSEF a certifikačné orgány vedú systém záznamov, ktorý obsahuje všetky dokumenty vypracované v súvislosti s každým hodnotením a certifikáciou, ktoré vykonávajú.
2. Certifikačné orgány a zariadenia ITSEF záznamy bezpečne ukladajú a uchovávajú ich počas obdobia potrebného na účely tohto nariadenia a najmenej päť rokov po odňatí príslušného certifikátu EUCC. Keď certifikačný orgán v súlade s článkom 13 ods. 2 písm. c) vydá nový certifikát EUCC, uchováva dokumentáciu o odňatom certifikáte EUCC spolu s dokumentáciou o novom certifikáte EUCC a tak dlho, ako dokumentáciu o novom certifikáte.
Článok 41
Informácie sprístupnené držiteľom certifikátu
1. Informácie uvedené v článku 55 nariadenia (EÚ) 2019/881 musia byť k dispozícii v jazyku, ktorý je používateľom ľahko zrozumiteľný.
2. Držiteľ certifikátu EUCC počas obdobia potrebného na účely tohto nariadenia a najmenej päť rokov po odňatí príslušného certifikátu EUCC bezpečne uchováva:
|
a) |
záznamy informácií poskytnutých certifikačnému orgánu a zariadeniu ITSEF počas procesu certifikácie |
|
b) |
vzorový exemplár certifikovaného produktu IKT. |
3. Keď certifikačný orgán v súlade s článkom 13 ods. 2 písm. c) vydá nový certifikát EUCC, držiteľ uchováva dokumentáciu o odňatom certifikáte EUCC spolu s dokumentáciou o novom certifikáte EUCC a tak dlho, ako dokumentáciu o novom certifikáte.
4. Na žiadosť certifikačného orgánu alebo vnútroštátneho orgánu pre certifikáciu kybernetickej bezpečnosti držiteľ certifikátu EUCC sprístupní záznamy a kópie uvedené v odseku 2.
Článok 42
Informácie, ktoré má sprístupniť agentúra ENISA
1. Agentúra ENISA na webovom sídle uvedenom v článku 50 ods. 1 nariadenia (EÚ) 2019/881 uverejní tieto informácie:
|
a) |
všetky certifikáty EUCC; |
|
b) |
informácie o stave certifikátu EUCC, najmä či je platný, či bola jeho platnosť pozastavená, či bol odňatý alebo jeho platnosť uplynula; |
|
c) |
správy o certifikácii, ktoré zodpovedajú jednotlivým certifikátom EUCC; |
|
d) |
zoznam akreditovaných orgánov posudzovania zhody; |
|
e) |
zoznam splnomocnených orgánov posudzovania zhody; |
|
f) |
dokumenty na základe aktuálneho stavu uvedené v prílohe I; |
|
g) |
stanoviská európskej skupiny pre certifikáciu kybernetickej bezpečnosti uvedené v článku 62 ods. 4 písm. c) nariadenia (EÚ) 2019/881; |
|
h) |
správy o partnerskom preskúmaní vydané v súlade s článkom 47. |
2. Informácie uvedené v odseku 1 sa sprístupnia aspoň v anglickom jazyku.
3. Certifikačné orgány a prípadne vnútroštátne orgány pre certifikáciu kybernetickej bezpečnosti bezodkladne informujú agentúru ENISA o svojich rozhodnutiach, ktoré majú vplyv na obsah alebo stav certifikátu EUCC uvedený v odseku 1 písm. b).
4. Agentúra ENISA zabezpečí, aby sa informáciami uverejnenými v súlade s odsekom 1 písm. a), b) a c) jasne vymedzili verzie certifikovaného produktu IKT, na ktoré sa vzťahuje certifikát EUCC.
Článok 43
Ochrana informácií
Orgány posudzovania zhody, vnútroštátne orgány pre certifikáciu kybernetickej bezpečnosti, európska skupina pre certifikáciu kybernetickej bezpečnosti, agentúra ENISA, Komisia a všetky ostatné strany zaistia bezpečnosť a ochranu podnikateľského tajomstva a ostatných dôverných informácií vrátane obchodného tajomstva, ako aj ochranu práv duševného vlastníctva, a prijmú potrebné a primerané technické a organizačné opatrenia.
KAPITOLA VIII
DOHODY O VZÁJOMNOM UZNÁVANÍ S TRETÍMI KRAJINAMI
Článok 44
Podmienky
1. Tretie krajiny, ktoré chcú certifikovať svoje výrobky v súlade s týmto nariadením a ktoré si želajú, aby sa takáto certifikácia uznávala v rámci Únie, uzatvoria s Úniou dohodu o vzájomnom uznávaní.
2. Dohoda o vzájomnom uznávaní musí zahŕňať uplatniteľné stupne dôveryhodnosti pre certifikované produkty IKT a prípadne profily ochrany.
3. Dohody o vzájomnom uznávaní uvedené v odseku 1 možno uzatvárať len s tretími krajinami, ktoré spĺňajú tieto podmienky:
|
a) |
majú orgán, ktorý:
|
|
b) |
majú nezávislý akreditačný orgán, ktorý vykonáva akreditácie s použitím rovnocenných noriem, ako sú normy uvedené v nariadení (ES) č. 765/2008; |
|
c) |
zaviažu sa k tomu, že sa procesy a postupy hodnotenia a certifikácie budú vykonávať náležite profesionálne a že sa pritom zohľadní súlad s medzinárodnými normami uvedenými v tomto nariadení, najmä v článku 3; |
|
d) |
majú kapacitu hlásiť predtým nezistené zraniteľnosti a majú zavedený primeraný postup riadenia zraniteľností a zverejňovania informácií o zraniteľnostiach; |
|
e) |
zaviedli postupy, ktoré umožňujú účinne podávať a vybavovať sťažnosti a ktoré poskytujú sťažovateľovi účinný právny prostriedok nápravy; |
|
f) |
ustanovia mechanizmus spolupráce s inými orgánmi Únie a členských štátov, ktoré sú relevantné pre certifikáciu kybernetickej bezpečnosti podľa tohto nariadenia, vrátane výmeny informácií o možnom nesúlade certifikátov, monitorovania príslušného vývoja v oblasti certifikácie a zabezpečenia spoločného prístupu k údržbe a preskúmaniu certifikácie. |
4. Okrem podmienok stanovených v odseku 3 sa dohoda o vzájomnom uznávaní uvedená v odseku 1, ktorá sa vzťahuje na stupeň dôveryhodnosti „vysoký“, môže uzavrieť s tretími krajinami, len ak sú splnené aj tieto podmienky:
|
a) |
daná tretia krajina má nezávislý a verejný orgán pre certifikáciu kybernetickej bezpečnosti, ktorý vykonáva alebo deleguje hodnotiace činnosti potrebné na certifikáciu na stupni dôveryhodnosti „vysoký“, ktoré sú rovnocenné s požiadavkami a postupmi stanovenými pre vnútroštátne orgány pre kybernetickú bezpečnosť v tomto nariadení a v nariadení (EÚ) 2019/881; |
|
b) |
dohodou o vzájomnom uznávaní sa s cieľom zlepšiť výmenu postupov a spoločne riešiť problémy v oblasti hodnotenia a certifikácie ustanovuje spoločný mechanizmus rovnocenný partnerskému preskúmaniu pri certifikácii EUCC. |
KAPITOLA IX
PARTNERSKÉ PRESKÚMANIE CERTIFIKAČNÝCH ORGÁNOV
Článok 45
Postup partnerského preskúmania
1. Certifikačný orgán vydávajúci certifikáty EUCC na stupni dôveryhodnosti „vysoký“ sa v pravidelne a aspoň každých päť rokov podrobuje partnerskému preskúmaniu. Rôzne typy partnerského preskúmania sú uvedené v prílohe VI.
2. Európska skupina pre certifikáciu kybernetickej bezpečnosti vypracuje a udržiava harmonogram partnerských preskúmaní, ktorým sa zabezpečí dodržiavanie uvedenej periodicity. Okrem riadne odôvodnených prípadov sa partnerské preskúmania vykonávajú na mieste.
3. Partnerské preskúmanie môže vychádzať z dôkazov získaných v priebehu predchádzajúcich partnerských preskúmaní alebo rovnocenných postupov partnersky skúmaného certifikačného orgánu alebo vnútroštátneho orgánu pre certifikáciu kybernetickej bezpečnosti za predpokladu, že:
|
a) |
výsledky nie sú staršie ako päť rokov; |
|
b) |
ak sa výsledky týkajú partnerského preskúmania vykonaného v rámci iného systému certifikácie, sú doplnené opisom postupov partnerského preskúmania stanovených pre uvedený systém; |
|
c) |
sa v správe o partnerskom preskúmaní uvedenej v článku 47 uvedie, ktoré výsledky sa opätovne použili s ďalším posúdením alebo bez neho. |
4. Ak sa partnerské preskúmanie vzťahuje na technickú doménu, posúdi sa aj príslušné zariadenie ITSEF.
5. Partnersky skúmaný certifikačný orgán a v prípade potreby vnútroštátny orgán pre certifikáciu kybernetickej bezpečnosti zabezpečia, aby sa tímu na partnerské preskúmanie sprístupnili všetky relevantné informácie.
6. Partnerské preskúmanie vykonáva tím na partnerské preskúmanie zriadený v súlade s prílohou VI.
Článok 46
Fázy partnerského preskúmania
1. Počas prípravnej fázy členovia tímu na partnerské preskúmanie preskúmajú dokumentáciu certifikačného orgánu, ktorá sa týka jeho politík a postupov vrátane používania dokumentov na základe aktuálneho stavu.
2. Počas fázy návštevy na mieste tím na partnerské preskúmanie posúdi technickú spôsobilosť orgánu a prípadne spôsobilosť zariadenia ITSEF, ktoré vykonalo aspoň jedno hodnotenie produktu IKT, na ktoré sa vzťahuje partnerské preskúmanie.
3. Fáza návštevy na mieste sa môže predĺžiť alebo skrátiť v závislosti od takých faktorov, ako je možnosť opätovného použitia existujúcich dôkazov a výsledkov partnerského preskúmania alebo počet zariadení ITSEF a technických domén, pre ktoré certifikačný orgán vydáva certifikáty.
4. V prípade potreby tím na partnerské preskúmanie určí technickú spôsobilosť každého zariadenia ITSEF tým, že navštívi jeho technické laboratórium alebo laboratóriá a uskutoční rozhovory s jeho hodnotiteľmi, pokiaľ ide o technickú doménu a súvisiace špecifické metódy útoku.
5. Vo fáze podávania správ tím na preskúmanie zdokumentuje svoje zistenia v správe o partnerskom preskúmaní vrátane verdiktu a prípadne zoznamu zistených nezhôd, z ktorých každá je klasifikovaná podľa úrovne kritickosti.
6. Správa o partnerskom preskúmaní sa musí najprv prediskutovať s partnersky skúmaným certifikačným orgánom. V nadväznosti na túto diskusiu partnersky skúmaný certifikačný orgán stanoví harmonogram opatrení, ktoré sa majú prijať na riešenie zistení.
Článok 47
Správa o partnerskom preskúmaní
1. Tím na partnerské preskúmanie poskytne partnersky skúmanému certifikačnému orgánu návrh správy o partnerskom preskúmaní.
2. Partnersky skúmaný certifikačný orgán predloží tímu na partnerské preskúmanie pripomienky týkajúce sa zistení a zoznam záväzkov na riešenie nedostatkov identifikovaných v návrhu správy o partnerskom preskúmaní.
3. Tím na partnerské preskúmanie predloží európskej skupine pre certifikáciu kybernetickej bezpečnosti záverečnú správu o partnerskom preskúmaní, ktorá obsahuje aj pripomienky partnersky skúmaného certifikačného orgánu a záväzky, ktoré prijal. Tím na partnerské preskúmanie takisto uvedie svoje stanovisko k pripomienkam a k tomu, či sú tieto záväzky na riešenie zistených nedostatkov dostatočné.
4. Ak sa v správe o partnerskom preskúmaní zistia nezhody, európska skupina pre certifikáciu kybernetickej bezpečnosti môže partnersky skúmanému certifikačnému orgánu stanoviť primeranú lehotu na ich vyriešenie.
5. Európska skupina pre certifikáciu kybernetickej bezpečnosti prijme k správe o partnerskom preskúmaní stanovisko:
|
a) |
ak sa v správe o partnerskom preskúmaní nezistia nezhody alebo ak partnersky skúmaný certifikačný orgán nezhody náležitým spôsobom vyriešil, európska skupina pre certifikáciu kybernetickej bezpečnosti môže vydať kladné stanovisko a všetky príslušné dokumenty sa uverejnia na webovom sídle agentúry ENISA pre certifikáciu; |
|
b) |
ak partnersky skúmaný certifikačný orgán nevyrieši nezhody primerane a v stanovenej lehote, európska skupina pre certifikáciu kybernetickej bezpečnosti môže vydať negatívne stanovisko, ktoré sa uverejní na webovom sídle agentúry ENISA pre certifikáciu vrátane správy o partnerskom preskúmaní a všetkých príslušných dokumentov. |
6. Pred zverejnením stanoviska sa zo zverejňovaných dokumentov odstránia všetky citlivé, osobné alebo chránené informácie.
KAPITOLA X
UDRŽIAVANIE SYSTÉMU
Článok 48
Udržiavanie EUCC
1. Komisia môže požiadať európsku skupinu pre certifikáciu kybernetickej bezpečnosti, aby prijala stanovisko vzhľadom na udržiavanie EUCC a aby vykonala potrebné prípravné práce.
2. Európska skupina pre certifikáciu kybernetickej bezpečnosti môže prijať stanovisko, ktorým sa schvaľujú dokumenty na základe aktuálneho stavu.
3. Dokumenty na základe aktuálneho stavu, ktoré schválila európska skupina pre certifikáciu kybernetickej bezpečnosti, uverejní agentúra ENISA.
KAPITOLA XI
ZÁVEREČNÉ USTANOVENIA
Článok 49
Vnútroštátne systémy, na ktoré sa vzťahuje EUCC
1. V súlade s článkom 57 ods. 1 nariadenia (EÚ) 2019/881 a bez toho, aby bol dotknutý článok 57 ods. 3 uvedeného nariadenia, strácajú všetky vnútroštátne systémy certifikácie kybernetickej bezpečnosti a súvisiace postupy pre produkty IKT a procesy IKT, na ktoré sa vzťahuje EUCC, účinnosť od 12 mesiacov po dni nadobudnutia účinnosti tohto nariadenia.
2. Odchylne od článku 50 možno proces certifikácie do 12 mesiacov od nadobudnutia účinnosti tohto nariadenia začať v rámci vnútroštátneho systému certifikácie kybernetickej bezpečnosti pod podmienkou, že proces certifikácie sa dokončí najneskôr 24 mesiacov po nadobudnutí účinnosti tohto nariadenia.
3. Certifikáty vydané v rámci vnútroštátnych systémov certifikácie kybernetickej bezpečnosti môžu byť predmetom preskúmania. Nové certifikáty, ktorými sa nahrádzajú preskúmané certifikáty, sa vydávajú v súlade s týmto nariadením.
Článok 50
Nadobudnutie účinnosti
Toto nariadenie nadobúda účinnosť dvadsiatym dňom nasledujúcim po jeho uverejnení v Úradnom vestníku Európskej únie.
Uplatňuje sa od 27. februára 2025.
Kapitola IV a príloha V sa uplatňujú od dátumu nadobudnutia účinnosti tohto nariadenia.
Toto nariadenie je záväzné v celom rozsahu a priamo uplatniteľné vo všetkých členských štátoch.
V Bruseli 31. januára 2024
Za Komisiu
predsedníčka
Ursula VON DER LEYEN
(1) Ú. v. EÚ L 151, 7.6.2019, s. 15.
(2) Dohoda o vzájomnom uznávaní certifikátov hodnotenia bezpečnosti informačných technológií, verzia 3.0 z januára 2010, k dispozícii na webovom sídle sogis.eu, schválená skupinou vysokých úradníkov Európskej komisie pre bezpečnosť informačných systémov v reakcii na bod 3 odporúčania Rady 95/144/ES zo 7. apríla 1995 o spoločných kritériách hodnotenia bezpečnosti informačných technológií (Ú. v. ES L 93, 26.4.1995, s. 27).
(3) Joint Interpretation Library: Minimum ITSEF Requirements for Security Evaluations of Smart cards and similar devices (Knižnica pre spoločný výklad: Minimálne požiadavky na zariadenia ITSEF na hodnotenie bezpečnosti inteligentných kariet a podobných zariadení), verzia 2.1 z februára 2020, k dispozícii na webovom sídle sogis.eu.
(4) Nariadenie Európskeho parlamentu a Rady (EÚ) 2019/1020 z 20. júna 2019 o dohľade nad trhom a súlade výrobkov a o zmene smernice 2004/42/ES a nariadení (ES) č. 765/2008 a (EÚ) č. 305/2011 (Ú. v. EÚ L 169, 25.6.2019, s. 1).
(5) Smernica Európskeho parlamentu a Rady (EÚ) 2022/2555 zo 14. decembra 2022 o opatreniach na zabezpečenie vysokej spoločnej úrovne kybernetickej bezpečnosti v Únii, ktorou sa mení nariadenie (EÚ) č. 910/2014 a smernica (EÚ) 2018/1972 a zrušuje smernica (EÚ) 2016/1148 (smernica NIS 2) (Ú. v. EÚ L 333, 27.12.2022, s. 80).
PRÍLOHA I
Technické domény a dokumenty na základe aktuálneho stavu
1.
Technické domény na stupni AVA_VAN 4 alebo 5:|
a) |
dokumenty týkajúce sa harmonizovaného hodnotenia technickej domény „inteligentné karty a podobné zariadenia“, a najmä tieto dokumenty v príslušnom znení platnom k [dátum nadobudnutia účinnosti]:
|
|
b) |
dokumenty týkajúce sa harmonizovaného hodnotenia technickej domény „hardvérové zariadenia s bezpečnostnými skrinkami“, a najmä tieto dokumenty v príslušnom znení platnom k [dátum nadobudnutia účinnosti]:
|
2.
Dokumenty na základe aktuálneho stavu v príslušnom znení platnom k [dátum nadobudnutia účinnosti]:|
a) |
dokument týkajúci sa harmonizovanej akreditácie orgánov posudzovania zhody: Accreditation of ITSEFs for the EUCC (Akreditácia zariadení ITSEF pre EUCC), pôvodne schválené európskou skupinou pre certifikáciu kybernetickej bezpečnosti 20. októbra 2023. |
PRÍLOHA II
Profily ochrany certifikované na stupni AVA_VAN 4 alebo 5
1.
Pre kategóriu zariadení na vyhotovenie kvalifikovaného podpisu a pečate na diaľku:|
1. |
EN 419241 – 2:2019 Dôveryhodné systémy podporujúce podpisovanie na strane servera. Časť 2: Profil ochrany pre QSCD pre podpisovanie na strane servera; |
|
2. |
EN 419221 – 5:2018 Profily ochrany kryptografických modulov pre poskytovateľov dôveryhodných služieb. Časť 5: Kryptografický modul pre dôveryhodné služby. |
2.
Profily ochrany, ktoré boli prijaté ako dokumenty na základe aktuálneho stavu:[PRÁZDNE]
PRÍLOHA III
Odporúčané profily ochrany (na ilustráciu technických domén z prílohy I)
Profily ochrany používané pri certifikácii produktov IKT patriacich do uvedenej kategórie produktov IKT:
|
a) |
pre kategóriu strojovo čitateľných cestovných dokladov:
|
|
b) |
pre kategóriu zariadení na vyhotovenie bezpečného podpisu:
|
|
c) |
pre kategóriu digitálnych tachografov:
|
|
d) |
pre kategóriu zabezpečených integrovaných obvodov, inteligentných kariet a súvisiacich zariadení:
|
|
e) |
pre kategóriu miest (platobnej) interakcie a platobných terminálov:
|
|
f) |
pre kategóriu hardvérových zariadení s bezpečnostnými skrinkami:
|
PRÍLOHA IV
Kontinuita dôveryhodnosti a preskúmanie certifikátu
IV.1. Kontinuita dôveryhodnosti: rozsah pôsobnosti
|
1. |
Nasledujúce požiadavky na kontinuitu dôveryhodnosti sa vzťahujú na činnosti údržby, ktoré sa týkajú:
|
|
2. |
Držiteľ certifikátu EUCC môže požiadať o preskúmanie certifikátu v týchto prípadoch:
|
IV.2. Opätovné posúdenie
|
1. |
Ak je potrebné posúdiť vplyv zmien prostredia hrozieb nezmeneného certifikovaného produktu IKT, certifikačnému orgánu sa predloží žiadosť o opätovné posúdenie. |
|
2. |
Opätovné posúdenie vykoná to isté zariadenie ITSEF, ktoré bolo zapojené do predchádzajúceho hodnotenia, a použije pri ňom všetky výsledky hodnotenia, ktoré ešte platia. Hodnotenie sa zameria na činnosti dôveryhodnosti, ktoré sú potenciálne ovplyvnené zmeneným prostredím hrozieb certifikovaného produktu IKT, najmä na relevantnú skupinu stupňov AVA_VAN a okrem toho na skupinu životného cyklu dôveryhodnosti (ALC), na čo sa musia opätovne zhromaždiť dostatočné dôkazy o udržiavaní vývojového prostredia. |
|
3. |
Zariadenie ITSEF v aktualizáciou predchádzajúcej technickej správy hodnotenia opíše zmeny a podrobne uvedie výsledky opätovného posúdenia. |
|
4. |
Certifikačný orgán preskúma túto aktualizovanú technickú správu hodnotenia a vypracuje správu o opätovnom posúdení. Stav počiatočného certifikátu sa následne upraví v súlade s článkom 13. |
|
5. |
Správa o opätovnom posúdení a aktualizovaný certifikát sa predložia vnútroštátnemu orgánu pre certifikáciu kybernetickej bezpečnosti a agentúre ENISA, aby ich uverejnila na svojom webovom sídle pre certifikáciu kybernetickej bezpečnosti. |
IV.3. Zmeny certifikovaného produktu IKT
|
1. |
Ak bol certifikovaný produkt IKT predmetom zmien, držiteľ certifikátu, ktorý si chce certifikát zachovať, predloží certifikačnému orgánu správu o analýze vplyvu. |
|
2. |
V správe a analýze vplyvu sa uvedú tieto prvky:
|
|
3. |
Certifikačný orgán preskúma zmeny opísané v správe o analýze vplyvu, aby overil ich vplyv na dôveryhodnosť certifikovaného objektu hodnotenia, ako sa navrhuje v záveroch správy o analýze vplyvu. |
|
4. |
Po preskúmaní certifikačný orgán určí v súlade s vplyvom zmeny jej rozsah ako menej závažný alebo závažný. |
|
5. |
Ak certifikačný orgán potvrdil, že zmeny sú menej závažné, vydá sa pre upravený produkt IKT nový certifikát a k pôvodnej správe o certifikácii sa vypracuje správa o údržbe za týchto podmienok:
|
|
6. |
Nový certifikát vrátane správy o údržbe sa predloží agentúre ENISA, aby ho uverejnila na svojom webovom sídle pre certifikáciu kybernetickej bezpečnosti. |
|
7. |
Ak bolo potvrdené, že zmeny sú závažné, vykoná sa v kontexte predchádzajúceho hodnotenia opätovné hodnotenie, pri ktorom sa znova použijú všetky výsledky z predchádzajúceho hodnotenia, ktoré stále platia. |
|
8. |
Po dokončení hodnotenia zmeneného objektu hodnotenia zariadenie ITSEF vypracuje novú technickú správu hodnotenia. Certifikačný orgán preskúma túto aktualizovanú technickú správu hodnotenia a v prípade potreby vystaví nový certifikát s novou správou o certifikácii. |
|
9. |
Nový certifikát a nová správa o certifikácii sa predložia agentúre ENISA na uverejnenie. |
IV.4. Riadenie bezpečnostných záplat
|
1. |
Postupom riadenia bezpečnostných záplat sa zabezpečuje štruktúrovaný proces aktualizácie certifikovaného produktu IKT. Postup riadenia bezpečnostných záplat vrátane mechanizmu, ktorý žiadateľ o certifikáciu zaviedol do produktu IKT, sa môže použiť po certifikácii produktu IKT na zodpovednosť orgánu posudzovania zhody. |
|
2. |
Žiadateľ o certifikáciu môže do certifikácie produktu IKT zahrnúť mechanizmus bezpečnostných záplat ako súčasť certifikovaného postupu riadenia implementovaného do produktu IKT, ak je splnená jedna z týchto podmienok:
|
|
3. |
Ak sa bezpečnostná záplata týka závažnej zmeny objektu hodnotenia certifikovaného produktu IKT vo vzťahu k doposiaľ nezistenej zraniteľnosti, ktorá nemá kritické účinky na bezpečnosť produktu IKT, uplatňujú sa ustanovenia článku 13. |
|
4. |
Postup riadenia bezpečnostných záplat pre produkt IKT budú tvoriť tieto prvky:
|
|
5. |
Počas certifikácie produktu IKT:
|
|
6. |
Držiteľ certifikátu môže použiť bezpečnostnú záplatu vytvorenú v súlade s certifikovaným postupom riadenia bezpečnostných záplat na dotknutý certifikovaný produkt IKT a v nasledujúcich prípadoch vykoná do piatich pracovných dní tieto kroky:
|
PRÍLOHA V
OBSAH SPRÁVY O CERTIFIKÁCII
V.1. Správa o certifikácii
|
1. |
Certifikačný orgán na základe technických správ hodnotenia, ktoré poskytne zariadenie ITSEF, vypracuje správu o certifikácii, ktorá sa uverejní spolu s príslušným certifikátom EUCC. |
|
2. |
Správa o certifikácii je zdrojom podrobných a praktických informácií o produkte IKT alebo kategórii produktov IKT a o bezpečnom nasadení produktu IKT, a preto musí obsahovať všetky verejne dostupné a zdieľateľné informácie dôležité pre používateľov a zainteresované strany. V správe o certifikácii možno odkazovať na verejne dostupné a zdieľateľné informácie. |
|
3. |
Správa o certifikácii musí obsahovať prinajmenšom tieto oddiely:
|
|
4. |
Zhrnutie musí byť stručným zhrnutím celej správy o certifikácii. Zhrnutie musí poskytovať jasný a výstižný prehľad výsledkov hodnotenia a musí obsahovať tieto informácie:
|
|
5. |
Hodnotený produkt IKT musí byť jasne identifikovaný vrátane týchto informácií:
|
|
6. |
Informácie uvedené v tomto oddiele musia byť čo najpresnejšie, aby bolo zaistené úplné a presné zachytenie produktu IKT, ktoré možno opakovane použiť v budúcich hodnoteniach. |
|
7. |
Oddiel týkajúci sa bezpečnostnej politiky musí obsahovať opis bezpečnostnej politiky produktu IKT a politiky a pravidlá, ktoré musí hodnotený produkt IKT presadzovať alebo dodržiavať. Musí obsahovať odkaz na tieto politiky a ich opis:
|
|
8. |
V prípade potreby môže politika zahŕňať podmienky týkajúce sa používania postupu riadenia bezpečnostných záplat počas platnosti certifikátu. |
|
9. |
Oddiel týkajúci sa predpokladov a objasnenia rozsahu pôsobnosti musí obsahovať úplné informácie o okolnostiach a cieľoch súvisiacich s plánovaným využívaním produktu, ako sa uvádza v článku 7 ods. 1 písm. c). Informácie musia obsahovať tieto údaje:
|
|
10. |
Informácie uvedené v bode 9 musia byť čo najzrozumiteľnejšie, aby používatelia certifikovaného produktu IKT mohli robiť informované rozhodnutia v súvislosti s rizikami spojenými s jeho používaním. |
|
11. |
Oddiel s informáciami o architektúre musí zahŕňať všeobecný opis produktu IKT a jeho hlavných zložiek v súlade so štruktúrou subsystémov ADV_TDS podľa spoločných kritérií. |
|
12. |
Musí sa uviesť úplný zoznam doplňujúcich informácií o kybernetickej bezpečnosti týkajúcich sa produktu IKT v súlade s článkom 55 nariadenia (EÚ) 2019/881. Celá príslušná dokumentácia sa označí číslami verzie. |
|
13. |
Oddiel týkajúci sa skúšok produktu IKT musí obsahovať tieto informácie:
|
|
14. |
Oddiel týkajúci sa výsledkov hodnotenia a informácií o certifikáte musí obsahovať tieto informácie:
|
|
15. |
Bezpečnostný zámer sa musí do správy o certifikácii buď zahrnúť, alebo sa v nej naň musí uviesť odkaz a jeho zhrnutie a na účely uverejnenia sa musí predložiť spolu so správou o certifikácii. |
|
16. |
Bezpečnostný zámer sa môže upraviť v súlade s oddielom VI.2. |
|
17. |
Do správy o certifikácii sa môže vložiť značka alebo označenie spojené s EUCC, a to v súlade s pravidlami a postupmi stanovenými v článku 11. |
|
18. |
Oddiel týkajúci sa bibliografie musí obsahovať odkazy na všetky dokumenty použité pri zostavovaní správy o certifikácii. Tieto informácie musia zahŕňať aspoň:
|
|
19. |
S cieľom zaručiť reprodukovateľnosť hodnotenia musia byť všetky dokumenty, na ktoré sa odkazuje, jednoznačne identifikované správnym dátumom vydania a správnym číslom verzie. |
V.2. Úprava bezpečnostného zámeru na účely uverejnenia
|
1. |
Bezpečnostný zámer, ktorý sa podľa oddielu VI.1 bodu 1 má zahrnúť do správy o certifikácii alebo sa v nej má naň odkázať, sa môže upraviť odstránením alebo parafrázovaním chránených technických informácií. |
|
2. |
Výsledný upravený bezpečnostný zámer musí byť skutočným vyjadrením jeho úplnej pôvodnej verzie. To znamená, že v upravenom bezpečnostnom zámere sa nemôžu vynechať informácie, ktoré sú potrebné na pochopenie bezpečnostných vlastností objektu hodnotenia a rozsahu hodnotenia. |
|
3. |
Obsah upraveného bezpečnostného zámeru musí spĺňať tieto minimálne požiadavky:
|
|
4. |
Aj keď sa upravený bezpečnostný zámer formálne nehodnotí v súlade s normami hodnotenia uvedenými v článku 3, certifikačný orgán zaistí, aby bol v súlade s úplným a hodnoteným bezpečnostným zámerom, a v správe o certifikácii uvedie odkaz na úplný aj upravený bezpečnostný zámer. |
PRÍLOHA VI
ROZSAH PARTNERSKÉHO PRESKÚMANIA A ZLOŽENIE TÍMU NA PARTNERSKÉ PRESKÚMANIE
VI.1. Rozsah partnerského preskúmania
|
1. |
Zahrnuté sú tieto typy partnerského preskúmania:
|
|
2. |
Partnersky skúmaný certifikačný orgán predloží zoznam certifikovaných produktov IKT, ktoré môžu byť kandidátmi na preskúmanie tímom na partnerské preskúmanie, a to v súlade s týmito pravidlami:
|
VI.2. Tím na partnerské preskúmanie
|
1. |
Tím na partnerské preskúmanie pozostáva aspoň z dvoch expertov vybratých z rôznych certifikačných orgánov vydávajúcich certifikáty na stupni dôveryhodnosti „vysoký“ z rôznych členských štátov. Experti by mali preukázať relevantné odborné znalosti v oblasti noriem uvedených v článku 3 a dokumentov na základe aktuálneho stavu, ktoré patria do rozsahu partnerského preskúmania. |
|
2. |
V prípade delegovania vydávania certifikátov alebo predchádzajúceho schvaľovania certifikátov, ako sa uvádza v článku 56 ods. 6 nariadenia (EÚ) 2019/881, musí byť členom tímu expertov vybratých v súlade s odsekom 1 tohto oddielu okrem toho expert z vnútroštátneho orgánu pre certifikáciu kybernetickej bezpečnosti príslušného pre dotknutý certifikačný orgán. |
|
3. |
Členovia tímu na partnerské preskúmanie typu 2 sa vyberajú z certifikačných orgánov, ktoré sú splnomocnené pre príslušnú technickú doménu. |
|
4. |
Každý člen tímu na partnerské preskúmanie musí mať aspoň dva roky skúseností s vykonávaním certifikačných činností v certifikačnom orgáne. |
|
5. |
Pokiaľ ide o partnerské preskúmanie typu 2 alebo 3, každý člen tímu na partnerské preskúmanie musí mať aspoň dva roky skúseností s vykonávaním certifikačných činností v príslušnej technickej doméne alebo profile ochrany a preukázané odborné znalosti a účasť na autorizácii zariadenia ITSEF. |
|
6. |
Vnútroštátny orgán pre certifikáciu kybernetickej bezpečnosti, ktorý monitoruje partnersky skúmaný certifikačný orgán a vykonáva nad ním dohľad, a aspoň jeden vnútroštátny orgán pre certifikáciu kybernetickej bezpečnosti, ktorého certifikačný orgán nie je predmetom partnerského preskúmania, sa zúčastňujú na partnerskom preskúmaní ako pozorovatelia. Na partnerskom preskúmaní sa ako pozorovateľ môže zúčastniť aj agentúra ENISA. |
|
7. |
Zloženie tímu na partnerské preskúmanie sa oznámi partnersky skúmanému certifikačnému orgánu. V odôvodnených prípadoch môže tento certifikačný orgán vzniesť námietku proti zloženiu tímu na partnerské preskúmanie a požiadať o jeho prehodnotenie. |
PRÍLOHA VII
Obsah certifikátu EUCC
Certifikát EUCC musí obsahovať aspoň:
|
a) |
jedinečný identifikátor udelený certifikačným orgánom, ktorý vydáva certifikát; |
|
b) |
informácie týkajúce sa certifikovaného produktu IKT alebo profilu ochrany a držiteľa certifikátu vrátane:
|
|
c) |
informácie týkajúce sa hodnotenia a certifikácie produktu IKT alebo profilu ochrany vrátane:
|
|
d) |
značka a označenie spojené s certifikátom v súlade s článkom 11. |
PRÍLOHA VIII
Vyhlásenie o balíku dôveryhodnosti
1.
Na rozdiel od definícií v spoločných kritériách sa rozšírenie:|
a) |
neoznačuje skratkou „+“; |
|
b) |
podrobne uvedie ako zoznam všetkých príslušných zložiek; |
|
c) |
podrobne uvedie v správe o certifikácii. |
2.
Stupeň dôveryhodnosti potvrdený v certifikáte EUCC sa môže doplniť stupňom dôveryhodnosti hodnotenia uvedeným v článku 3 tohto nariadenia.
3.
Ak sa stupeň dôveryhodnosti potvrdený v certifikáte EUCC nevzťahuje na rozšírenie, v certifikáte EUCC sa uvedie jeden z týchto balíkov:|
a) |
„špecifický balík dôveryhodnosti“; |
|
b) |
„balík dôveryhodnosti zodpovedajúci profilu ochrany“ v prípade odkazu na profil ochrany bez stupňa dôveryhodnosti hodnotenia. |
PRÍLOHA IX
Značka a označenie
1.
Forma značky a označenia:
2.
Ak sú značka a označenie zmenšené alebo zväčšené, musia sa dodržať proporcie stanovené na uvedenom výkrese.
3.
Ak sú značka a označenie fyzicky prítomné, musia mať výšku aspoň 5 mm.
ELI: http://data.europa.eu/eli/reg_impl/2024/482/oj
ISSN 1977-0790 (electronic edition)