This document is an excerpt from the EUR-Lex website
Document 32024R0482
Commission Implementing Regulation (EU) 2024/482 of 31 January 2024 laying down rules for the application of Regulation (EU) 2019/881 of the European Parliament and of the Council as regards the adoption of the European Common Criteria-based cybersecurity certification scheme (EUCC)
Izvedbena uredba Komisije (EU) 2024/482 z dne 31. januarja 2024 o določitvi pravil za uporabo Uredbe (EU) 2019/881 Evropskega parlamenta in Sveta v zvezi s sprejetjem evropske certifikacijske sheme za kibernetsko varnost, ki temelji na skupnih merilih
Izvedbena uredba Komisije (EU) 2024/482 z dne 31. januarja 2024 o določitvi pravil za uporabo Uredbe (EU) 2019/881 Evropskega parlamenta in Sveta v zvezi s sprejetjem evropske certifikacijske sheme za kibernetsko varnost, ki temelji na skupnih merilih
C/2024/560
UL L, 2024/482, 7.2.2024, ELI: http://data.europa.eu/eli/reg_impl/2024/482/oj (BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In force
|
Uradni list |
SL Serija L |
|
2024/482 |
7.2.2024 |
IZVEDBENA UREDBA KOMISIJE (EU) 2024/482
z dne 31. januarja 2024
o določitvi pravil za uporabo Uredbe (EU) 2019/881 Evropskega parlamenta in Sveta v zvezi s sprejetjem evropske certifikacijske sheme za kibernetsko varnost, ki temelji na skupnih merilih
(Besedilo velja za EGP)
EVROPSKA KOMISIJA JE –
ob upoštevanju Pogodbe o delovanju Evropske unije,
ob upoštevanju Uredbe (EU) 2019/881 Evropskega parlamenta in Sveta z dne 17. aprila 2019 o Agenciji Evropske unije za kibernetsko varnost (Agencija ENISA) in o certificiranju informacijske in komunikacijske tehnologije na področju kibernetske varnosti ter razveljavitvi Uredbe (EU) št. 526/2013 (Akt o kibernetski varnosti) (1) in zlasti člena 49(7) Uredbe,
ob upoštevanju naslednjega:
|
(1) |
Ta uredba določa vloge, pravila in obveznosti ter strukturo evropske certifikacijske sheme za kibernetsko varnost, ki temelji na skupnih merilih (European Common Criteria-based cybersecurity certification scheme – v nadaljnjem besedilu: EUCC), v skladu z evropskim certifikacijskim okvirom za kibernetsko varnost iz Uredbe (EU) 2019/881. EUCC temelji na sporazumu o vzajemnem priznavanju certifikatov o varnosti informacijske tehnologije skupine visokih uradnikov za varnost informacijskih sistemov (2) (v nadaljnjem besedilu: SOG-IS), pri čemer se uporabljajo skupna merila, vključno s postopki in dokumenti skupine. |
|
(2) |
Shema bi morala temeljiti na uveljavljenih mednarodnih standardih. Skupna merila so mednarodni standard za oceno informacijske varnosti, ki je na primer objavljen kot ISO/IEC 15408 Informacijska varnost, kibernetska varnost in varovanje zasebnosti – Merila za vrednotenje varnosti IT. Temelji na oceni tretje osebe in predvideva sedem ravni označevanja varnostne zaščite za računalniške sisteme (Evaluation Assurance Levels – v nadaljnjem besedilu: EAL). Skupna merila spremlja skupna metodologija ocenjevanja, objavljena na primer kot ISO/IEC 18045 – Informacijska varnost, kibernetska varnost in varstvo zasebnosti – Merila za vrednotenje varnosti IT – Metodologija za vrednotenje varnosti IT). Specifikacije in dokumenti, na podlagi katerih se uporabljajo določbe te uredbe, se lahko nanašajo na javno dostopen standard, ki odraža standard, uporabljen pri certificiranju v skladu s to uredbo, kot so skupna merila za ocenjevanje varnosti informacijske tehnologije in skupna metodologija za ocenjevanje varnosti informacijske tehnologije. |
|
(3) |
EUCC uporablja skupino ocen šibkih točk iz skupnih meril (AVA_VAN), komponente 1 do 5. Teh pet komponent zagotavlja vse glavne determinante in odvisnosti za analizo šibkih točk proizvodov IKT. Ker komponente ustrezajo ravnem zanesljivosti iz te uredbe, omogočajo ozaveščeno izbiro zanesljivosti, ki temelji na ocenjevanjih varnostnih zahtev in tveganju, povezanem s predvideno uporabo proizvoda IKT. Vložnik za certifikat EUCC bi moral predložiti dokumente, povezane s predvideno uporabo proizvoda IKT, in analizo ravni tveganj, povezanih s tako uporabo, da bi lahko organ za ugotavljanje skladnosti ocenil primernost izbrane ravni zanesljivosti. Kadar dejavnosti ocenjevanja in certificiranja izvaja isti organ za ugotavljanje skladnosti, bi moral vložnik zahtevane informacije predložiti samo enkrat. |
|
(4) |
Tehnična domena je referenčni okvir, v katerega je zajeta skupina proizvodov IKT s posebno in podobno varnostno funkcionalnostjo, ki ublaži napade, kadar ima določena raven zanesljivosti skupne značilnosti. V tehnični domeni so v najsodobnejših dokumentih opisane posebne varnostne zahteve, pa tudi dodatne metode ocenjevanja, tehnike in orodja, ki se uporabljajo za certificiranje proizvodov IKT, zajetih vanjo. Tehnična domena zato tudi spodbuja harmonizacijo ocenjevanja proizvodov IKT, ki jih zajema. Za certificiranje se trenutno široko uporabljata dve tehnični domeni na ravneh AVA_VAN.4 in AVA_VAN.5. Prva tehnična domena so „pametne kartice in podobne naprave“, kjer so znatni deli zahtevane varnostne funkcionalnosti odvisni od posebnih, prilagojenih in pogosto ločljivih elementov strojne opreme (npr. strojna oprema za pametne kartice, integrirana vezja, sestavljeni proizvodi pametnih kartic, moduli zaupanja vredne platforme kot se uporabljajo v zaupanja vrednem računalništvu, ali digitalne tahografske kartice). Druga tehnična domena so „naprave strojne opreme z varnostno napravo“, pri katerih so precejšnji deli zahtevane varnostne funkcionalnosti odvisni od fizičnega ohišja strojne opreme (imenovane „varnostna naprava“), zasnovane tako, da vzdrži neposredne napade, npr. plačilni terminali, tahografske enote v vozilu, pametni števci, terminali za nadzor dostopa in varnostni moduli strojne opreme). |
|
(5) |
Vložnik bi moral pri vložitvi vloge za certificiranje svojo utemeljitev za izbiro raven zanesljivosti povezati s cilji iz člena 51 Uredbe (EU) 2019/881 ter z izbiro komponent iz kataloga varnostnih funkcionalnih zahtev in zahtev za zagotavljanje varnosti iz skupnih meril. Certifikacijski organi bi morali oceniti ustreznost izbrane ravni zanesljivosti in zagotoviti, da je sorazmerna stopnji tveganja, povezani s predvideno uporabo proizvoda IKT. |
|
(6) |
V skladu s skupnimi merili se certificiranje izvaja na podlagi varnostnega cilja, ki zajema opredelitev varnostne težave proizvoda IKT in varnostnih ciljev, ki obravnavajo varnostno težavo. Z varnostno težavo se natančneje obrazložijo predvidena uporaba proizvoda IKT in tveganja, povezana s tako uporabo. Izbrani sklop varnostnih zahtev se odziva na varnostno težavo in varnostne cilje proizvoda IKT. |
|
(7) |
Profili zaščite so učinkovit način za vnaprejšnjo določitev skupnih meril, ki se uporabljajo za določeno kategorijo proizvodov IKT, in tako tudi bistven element postopka certificiranja proizvodov IKT, zajetih vanj. Profil zaščite se uporablja za ocenjevanje prihodnjih varnostnih ciljev, ki spadajo v določeno kategorijo proizvodov IKT, ki jo obravnava navedeni profil zaščite. Dodatno racionalizirajo in povečujejo učinkovitost postopka certificiranja proizvoda IKT ter uporabnikom pomagajo pravilno in učinkovito opredeliti funkcionalnost proizvoda IKT. Profile zaščite bi bilo treba torej obravnavati kot sestavni del postopka IKT, na podlagi katerega se certificirajo proizvodi IKT. |
|
(8) |
Da bi lahko profili zaščite izpolnili vlogo v postopku IKT, ki podpira razvoj in dobavo proizvoda IKT, bi bilo treba omogočiti njihovo certificiranje, in to neodvisno od certificiranja določenega proizvoda IKT, ki spada v ustrezni profil zaščite. Zato je bistveno, da se za zagotovitev visoke ravni kibernetske varnosti za profile zaščite uporabi vsaj enaka raven nadzora kot za varnostne cilje. Profile zaščite bi bilo treba ocenjevati in certificirati ločeno od povezanega proizvoda IKT ter zgolj z uporabo razreda zanesljivosti skupnih meril in skupne metodologije ocenjevanja za profile zaščite (APE) in, kjer je ustrezno, za konfiguracije profilov zaščite (ACE). Ker imajo pomembno in občutljivo vlogo kot referenčne vrednosti pri certificiranju proizvodov IKT, bi jih morali certificirati le javni organi ali certifikacijski organ, ki ga je nacionalni certifikacijski organ za kibernetsko varnost predhodno odobril za posebni profil zaščite. Profili zaščite bi morali biti zaradi temeljne vloge za certificiranje na „visoki“ ravni zanesljivosti, zlasti zunaj tehničnih domen, oblikovani kot najsodobnejši dokumenti, podpirati pa bi jih morala evropska certifikacijska skupina za kibernetsko varnost. |
|
(9) |
Nacionalni certifikacijski organi za kibernetsko varnost bi morali certificirane profile zaščite vključiti v spremljanje skladnosti z EUCC in izpolnjevanja zahtev v zvezi z EUCC. Kadar so metodologija, orodja in spretnosti, ki se uporabljajo za pristope k ocenjevanju proizvodov IKT, na voljo za posebne certificirane profile zaščite, lahko tehnične domene temeljijo na teh posebnih profilih zaščite. |
|
(10) |
Da bi se dosegli visoka raven zaupanja v certificirane proizvode IKT in visoka raven zanesljivosti teh proizvodov, se v skladu s to uredbo ne bi smelo dovoliti samoocenjevanje. Dovoliti bi se moralo le ugotavljanje skladnosti, ki ga izvede tretja oseba v okviru centra za ocenjevanje varnosti informacijske tehnologije in certifikacijskih organov. |
|
(11) |
Skupnost SOG-IS je zagotovila skupne razlage in pristope za uporabo skupnih meril in skupne metodologije ocenjevanja pri certificiranju, zlasti za „visoko“ raven zanesljivosti, za katero si prizadevata tehnični domeni „pametne kartice in podobne naprave“ in „naprave strojne opreme z varnostno napravo“. Ponovna uporaba takih podpornih dokumentov v shemi EUCC zagotavlja nemoten prehod s shem SOG-IS, izvajanih na nacionalni ravni, na harmonizirano shemo EUCC. Zato bi bilo treba v to uredbo vključiti harmonizirane metodologije ocenjevanja splošnega pomena za vse dejavnosti certificiranja. Poleg tega bi morala imeti Komisija možnost, da od evropske certifikacijske skupine za kibernetsko varnost zahteva, naj sprejme mnenje, s katerim podpira in priporoča, da se za certificiranje proizvodov IKT ali profilov zaščite v skladu s shemo EUCC uporabi metodologija ocenjevanja iz najsodobnejših dokumentov. V Prilogi I k tej uredbi so tako navedeni najsodobnejši dokumenti za ocenjevalne dejavnosti, ki jih izvedejo organi za ugotavljanje skladnosti. Evropska certifikacijska skupina za kibernetsko varnost bi morala najsodobnejše dokumente podpreti in vzdrževati. Te dokumente bi bilo treba uporabiti pri certificiranju. Organ za ugotavljanje skladnosti jih ne sme uporabljati samo v izjemnih in ustrezno utemeljenih primerih ter pod posebnimi pogoji, zlasti pri odobritvi s strani nacionalnega certifikacijskega organa za kibernetsko varnost. |
|
(12) |
Certificiranje proizvodov IKT na ravni AVA_VAN 4 ali 5 bi moralo biti mogoče samo pod posebnimi pogoji in kadar je na voljo posebna metodologija ocenjevanja. Posebna metodologija ocenjevanja je lahko določena v najsodobnejših dokumentih, pomembnih za tehnično domeno, ali v posebnih profilih zaščite, sprejetih kot najsodobnejši dokument, ki so pomembni za zadevno kategorijo proizvodov. Certificiranje na teh ravneh zagotovila bi moralo biti mogoče le v izjemnih in ustrezno utemeljenih primerih pod posebnimi pogoji, zlasti pri odobritvi s strani nacionalnega certifikacijskega organa za kibernetsko varnost, in sicer tudi veljavne metodologije ocenjevanja. Taki izjemni in ustrezno utemeljeni primeri lahko obstajajo, kadar zakonodaja Unije ali nacionalna zakonodaja zahteva certificiranje proizvoda IKT na ravni AVA_VAN 4 ali 5. Podobno se lahko v izjemnih in ustrezno utemeljenih primerih profili zaščite certificirajo brez uporabe ustreznih najsodobnejših dokumentov, ob upoštevanju posebnih pogojev, zlasti odobritve s strani nacionalnega certifikacijskega organa za kibernetsko varnost, vključno z veljavno metodologijo ocenjevanja. |
|
(13) |
Znaki in oznake, ki se uporabljajo v skladu z EUCC, uporabnikom vidno izkazujejo, da so certificirani proizvodi IKT zaupanja vredni, in jim pri nakupu proizvodov IKT omogočajo informirano izbiro. Pri njihovi uporabi bi bilo treba upoštevati tudi pravila in pogoje iz standarda ISO/IEC 17065 in, kadar je ustrezno, ISO/IEC 17030 z ustreznimi smernicami. |
|
(14) |
Certifikacijski organi bi se morali odločiti o trajanju veljavnosti certifikatov, pri čemer bi morali upoštevati življenjski cikel zadevnega proizvoda IKT. Veljavnost ne bi smela biti daljša od petih let. Nacionalni certifikacijski organi za kibernetsko varnost bi si morali prizadevati za harmonizacijo trajanja veljavnosti v Uniji. |
|
(15) |
Če se področje uporabe obstoječega certifikata EUCC zoži, se certifikat odvzame in bi se moral izdati nov certifikat z novim obsegom, da bi bili uporabniki jasno obveščeni o trenutnem obsegu in ravni zanesljivosti certifikata za določen proizvod IKT. |
|
(16) |
Certificiranje profilov zaščite se razlikuje od certificiranja proizvodov IKT, saj zadeva postopek IKT. Profil zaščite zajema kategorijo proizvodov IKT, zato ga ni mogoče oceniti in certificirati na podlagi enega samega proizvoda IKT. Ker profil zaščite združuje splošne varnostne zahteve v zvezi s kategorijo proizvodov IKT in neodvisno od prikaza proizvoda IKT s strani prodajalca, bi moralo obdobje veljavnosti certifikata EUCC za profil zaščite načeloma zajemati najmanj pet let in se lahko podaljša do življenjske dobe profila zaščite. |
|
(17) |
Organ za ugotavljanje skladnosti pomeni organ, ki izvaja dejavnosti ugotavljanja skladnosti, vključno s kalibracijo, preizkušanjem, potrjevanjem in pregledovanjem. Za zagotovitev visoke kakovosti storitev ta uredba določa, da bi morale dejavnosti preizkušanja na eni strani ter dejavnosti certificiranja in inšpekcijskih pregledov na drugi strani izvajati subjekti, ki delujejo neodvisno drug od drugega, in sicer centri za ocenjevanje varnosti informacijske tehnologije oziroma certifikacijski organi. Obe vrsti organov za ugotavljanje skladnosti bi morali biti akreditirani in v nekaterih primerih pooblaščeni. |
|
(18) |
Nacionalni akreditacijski organ bi moral biti za „znatno“ in „visoko“ raven zanesljivosti akreditiran s strani certifikacijskega organa v skladu s standardom ISO/IEC 17065. Organi za ugotavljanje skladnosti bi morali poleg akreditacije v skladu z Uredbo (EU) 2019/881 v povezavi z uredbo (ES) št. 765/2008 izpolnjevati posebne zahteve, da bi zagotovili, da so tehnično usposobljeni za ocenjevanje zahtev glede kibernetske varnosti na „visoki“ ravni zanesljivosti EUCC, kar je potrjeno s „pooblastilom“. Da bi se podprl postopek pooblastitve, bi morala Agencija ENISA oblikovati ustrezne najsodobnejše dokumente in jih objaviti po tem, ko jih potrdi evropska certifikacijska skupina za kibernetsko varnost. |
|
(19) |
Tehnično usposobljenost centra za ocenjevanje varnosti informacijske tehnologije bi bilo treba oceniti z akreditacijo preizkuševalnega laboratorija v skladu s standardom ISO/IEC 17025 in dopolniti s standardom ISO/IEC 23532-1 za celoten sklop dejavnosti ocenjevanja, ki so pomembne za raven zanesljivosti in določene v ISO/IEC 18045 v povezavi s standardom ISO/IEC 15408. Certifikacijski organ in center za ocenjevanje varnosti informacijske tehnologije bi morala vzpostaviti in vzdrževati ustrezen sistem upravljanja usposobljenosti za zaposlene, ki se glede elementov in ravni pristojnosti ter ocenitve usposobljenosti opira na standard ISO/IEC 19896-1. Ustrezne zahteve za ocenjevalce glede ravni znanja, spretnosti, izkušenj in izobrazbe bi bilo treba določiti na podlagi standarda ISO/IEC 19896-3. V skladu s cilji sistema upravljanja usposobljenosti bi bilo treba izkazati enakovredne določbe in ukrepe, ki obravnavajo taka odstopanja od sistemov. |
|
(20) |
Za pooblastitev bi moral center za ocenjevanje varnosti informacijske tehnologije dokazati svojo sposobnost ugotavljanja odsotnosti znanih šibkih točk, pravilnega in doslednega izvajanja najsodobnejših varnostnih funkcionalnosti za zadevno posebno tehnologijo ter odpornosti ciljnega proizvoda IKT proti veščim napadalcem. Poleg tega bi moral center za ocenjevanje varnosti informacijske tehnologije za pooblastila pri tehnični domeni „pametnih kartic in podobnih naprav“ dokazati tudi tehnične zmogljivosti, potrebne za dejavnosti ocenjevanja in s tem povezane naloge, kakor so opredeljene v spremnem dokumentu „minimalne zahteve centra za ocenjevanje varnosti informacijske tehnologije glede ocenjevanja varnosti pametnih kartic in podobnih naprav“ (3) v skladu s skupnimi merili. Za pooblastilo v tehnični domeni „naprave strojne opreme z varnostno napravo“ pa bi moral prav tako dokazati minimalne tehnične zahteve, potrebne za izvajanje ocenjevalnih dejavnosti in povezanih nalog na napravah strojne opreme z varnostnimi napravami v skladu s priporočilom evropske certifikacijske skupine za kibernetsko varnost. Kar zadeva minimalne zahteve, bi moral biti zmožen izvesti različne vrste napadov iz spremnega dokumenta Application of Attack Potential to Hardware Devices with Security Boxes (uporaba potenciala napada na naprave strojne opreme z varnostnimi napravami) v okviru skupnih meril. Navedene zmogljivosti obsegajo znanje in spretnosti ocenjevalca ter opremo in metode ocenjevanja, potrebne za opredelitev in ocenjevanje različnih vrst napadov. |
|
(21) |
Nacionalni certifikacijski organ za kibernetsko varnost bi moral spremljati, ali certifikacijski organi, center za ocenjevanje varnosti informacijske tehnologije in imetniki certifikatov izpolnjujejo svoje obveznosti, ki izhajajo iz te uredbe in Uredbe (EU) 2019/881. V ta namen bi moral uporabiti vse ustrezne vire informacij, vključno z informacijami, prejetimi od udeležencev v postopkih certificiranja in iz lastnih preiskav. |
|
(22) |
Certifikacijski organi bi morali sodelovati z ustreznimi organi za nadzor trga in upoštevati vse informacije o šibkih točkah, ki bi lahko bile pomembne za proizvode IKT, za katere so izdali certifikate. Certifikacijski organi bi morali spremljati profile zaščite, ki so jih certificirali, da bi ugotovili, ali varnostne zahteve, določene za kategorijo proizvodov IKT, še vedno odražajo najnovejši razvoj v krajini groženj. |
|
(23) |
Nacionalni certifikacijski organi za kibernetsko varnost bi morali za podpiranje spremljanja skladnosti sodelovati z ustreznimi organi za nadzor trga v skladu s členom 58 Uredbe (EU) 2019/881 in Uredbo (EU) 2019/1020 Evropskega parlamenta in Sveta (4). Gospodarski subjekti v Uniji si morajo izmenjevati informacije in sodelovati z organi za nadzor trga v skladu s členom 4(3) Uredbe 2019/1020. |
|
(24) |
Certifikacijski organi bi morali spremljati izpolnjevanje zahtev imetnikov certifikata in skladnost vseh certifikatov, izdanih v okviru EUCC. S spremljanjem bi bilo treba zagotoviti, da se vsa poročila o ocenjevanju, ki jih predloži center za ocenjevanje varnosti informacijske tehnologije, in ugotovitve, sprejete v teh poročilih, ter ocenjevalna merila in metode dosledno in pravilno uporabljajo pri vseh dejavnostih certificiranja. |
|
(25) |
Kadar se odkrijejo morebitne neskladnosti, ki vplivajo na certificirani proizvod IKT, je pomembno zagotoviti sorazmeren odziv. Certifikati se torej lahko začasno prekličejo. Začasni preklic bi moral vključevati nekatere omejitve v zvezi s promocijo in uporabo zadevnega proizvoda IKT, vendar ne bi smel vplivati na veljavnost certifikata. Imetnik certifikata EU bi moral o začasnem preklicu obvestiti kupce zadevnih proizvodov IKT, ustrezne organe za nadzor trga pa bi moral obvestiti ustrezni nacionalni certifikacijski organ za kibernetsko varnost. Za obveščanje javnosti bi morala agencija ENISA informacije o začasnem preklicu objaviti na posebnem spletišču. |
|
(26) |
Imetnik certifikata EUCC bi moral izvesti potrebne postopke za obvladovanje šibkih točk in zagotoviti, da so vgrajeni v njihovo sestavo. Pri seznanitvi z morebitno šibko točko, bi moral imetnik certifikata EUCC izvesti analizo njenih posledic. Kadar analiza učinka šibkih točk potrdi, da je šibko točko mogoče izkoristiti, bi moral imetnik certifikata poslati poročilo o oceni certifikacijskemu organu, ki bi moral nato obvestiti nacionalni certifikacijski organ za kibernetsko varnost. Poročilo bi moralo obveščati o posledicah šibke točke, potrebnih spremembah ali potrebnih popravnih rešitvah, pri čemer bi vključevalo možne širše posledice šibke točke in popravne rešitve za druge proizvode. Postopek za razkrivanje šibkih točk bi moral biti po potrebi dopolnjen s standardom EN ISO/IEC 29147. |
|
(27) |
Organi za ugotavljanje skladnosti in nacionalni certifikacijski organi za kibernetsko varnost za namene certificiranja pridobijo zaupne in občutljive podatke ter poslovne skrivnosti, ki se nanašajo tudi na intelektualno lastnino ali spremljanje skladnosti, ki jih je treba ustrezno varovati. Zato bi morali imeti potrebno tehnično usposobljenost in znanje ter bi morali vzpostaviti sisteme za varstvo informacij. Zahteve in pogoje za varstvo informacij je treba izpolniti za akreditacijo in pooblastilo. |
|
(28) |
Agencija ENISA bi morala na svojem spletišču za certificiranje kibernetske varnosti zagotoviti seznam certificiranih profilov zaščite in navesti njihov status v skladu z Uredbo (EU) 2019/881. |
|
(29) |
Ta uredba določa pogoje za sporazume o vzajemnem priznavanju s tretjimi državami. Taki sporazumi o vzajemnem priznavanju so lahko dvo- ali večstranski in bi morali nadomestiti podobne trenutno veljavne sporazume. Da bi olajšali nemoten prehod na take sporazume o vzajemnem priznavanju, lahko države članice v omejenem obdobju ohranijo obstoječe dogovore o sodelovanju s tretjimi državami. |
|
(30) |
Izvesti bi bilo treba medsebojno strokovno ocenjevanje certifikacijskih organov, ki izdajajo certifikate EUCC na „visoki“ ravni zanesljivosti, in ustreznih povezanih centrov za ocenjevanje varnosti informacijske tehnologije. Cilj takega ocenjevanja bi bila ugotovitev, ali sestava in postopki medsebojno strokovno ocenjenega certifikacijskega organa stalno izpolnjujejo zahteve iz sheme EUCC. Medsebojna strokovna ocenjevanja se razlikujejo od medsebojnih strokovnih pregledov med nacionalnimi certifikacijskimi organi za kibernetsko varnost, kakor je določeno v členu 59 Uredbe (EU) 2019/881. Z medsebojnimi strokovnimi ocenjevanji bi bilo treba zagotoviti, da certifikacijski organi delujejo harmonizirano in proizvajajo certifikate enake kakovosti, ter opredeliti morebitne prednosti in pomanjkljivosti pri učinkovitosti certifikacijskih organov, tudi glede izmenjave dobrih praks. Ker obstajajo različne vrste certifikacijskih organov, bi bilo treba dovoliti različne vrste medsebojnega strokovnega ocenjevanja. V bolj zapletenih primerih, kot so certifikacijski organi, ki izdajajo certifikate na različnih ravneh AVA VAN, se lahko uporabijo različne vrste medsebojnega strokovnega ocenjevanja, če so izpolnjene vse zahteve. |
|
(31) |
Evropska certifikacijska skupina za kibernetsko varnost bi morala imeti pomembno vlogo pri vzdrževanju sheme. To bi bilo treba med drugim izvajati v sodelovanju z zasebnim sektorjem, z ustanovitvijo specializiranih podskupin ter ustreznim pripravljalnim delom in pomočjo, ki jo zahteva Komisija. Evropska certifikacijska skupina za kibernetsko varnost ima pomembno vlogo pri podpiranju najsodobnejših dokumentov. Pri odobritvi in sprejetju najsodobnejših dokumentov bi bilo treba ustrezno upoštevati elemente iz člena 54(1), točka (c), Uredbe (EU) 2019/881. Dokumente o tehnični domeni in najsodobnejše dokumente bi bilo treba objaviti v Prilogi I k tej uredbi. Profili zaščite, ki so bili sprejeti kot najsodobnejši dokumenti, bi morali biti objavljeni v Prilogi II. Da bi zagotovila dinamičnost teh prilog, jih lahko Komisija spremeni v skladu s postopkom iz člena 66(2) Uredbe (EU) 2019/881 in ob upoštevanju mnenja evropske certifikacijske skupine za kibernetsko varnost. Priloga III vsebuje priporočene profile zaščite, ki ob začetku veljavnosti te uredbe niso najsodobnejši dokumenti. Objavljeni bi morali biti na spletišču Agencije ENISA iz člena 50(1) Uredbe (EU) 2019/881. |
|
(32) |
Ta uredba bi se morala začeti uporabljati 12 mesecev po začetku veljavnosti. Za zahteve iz poglavja IV in Priloge V ni potrebno prehodno obdobje, zato bi jih bilo treba uporabljati od začetka veljavnosti te uredbe. |
|
(33) |
Ukrepi, določeni s to uredbo, so v skladu z mnenjem odbora za evropske certifikacijske sheme za kibernetsko varnost, ustanovljenim s členom 66 Uredbe (EU) 2019/881 – |
SPREJELA NASLEDNJO UREDBO:
POGLAVJE I
SPLOŠNE DOLOČBE
Člen 1
Predmet urejanja in področje uporabe
Ta uredba določa evropsko certifikacijsko shemo za kibernetsko varnost, ki temelji na skupnih merilih (v nadaljnjem besedilu: EUCC).
Ta uredba se uporablja za vse proizvode informacijske in komunikacijske tehnologije (v nadaljnjem besedilu: proizvodi IKT), tudi njihovo dokumentacijo, predložene za certificiranje na podlagi EUCC, ter vse profile zaščite, predložene za certificiranje v okviru postopka IKT, na podlagi katerega se certificirajo proizvodi IKT.
Člen 2
Opredelitev pojmov
Za namene te uredbe se uporabljajo naslednje opredelitve pojmov:
|
(1) |
„skupna merila“ pomeni skupna merila za ocenjevanje varnosti informacijske tehnologije, kot so določena v standardu ISO/IEC 15408; |
|
(2) |
„skupna metodologija ocenjevanja“ pomeni skupno metodologijo za ocenjevanje varnosti informacijske tehnologije, kot je določena v standardu ISO/IEC 18045; |
|
(3) |
„cilj ocenjevanja“ pomeni proizvod IKT, njegov del ali profil zaščite v okviru postopka IKT, pri katerem se oceni kibernetska varnost za pridobitev certificiranja po EUCC; |
|
(4) |
„varnostni cilj“ pomeni zahtevek za varnostne zahteve, odvisne od izvajanja, za določen proizvod IKT; |
|
(5) |
„profil zaščite“ pomeni postopek IKT, ki določa varnostne zahteve za določeno kategorijo proizvodov IKT, s čimer se obravnavajo potrebe po varnosti, neodvisne od izvajanja, in ki se lahko uporabljajo za ocenjevanje proizvodov IKT, ki spadajo v navedeno določeno kategorijo za namene certificiranja; |
|
(6) |
„tehnično poročilo o ocenjevanju“ pomeni dokument, ki ga pripravi center za ocenjevanje varnosti informacijske tehnologije, da predstavi ugotovitve, ocene in utemeljitve, pridobljene med ocenjevanjem proizvoda IKT ali profila zaščite v skladu s pravili in obveznostmi iz te uredbe; |
|
(7) |
„center za ocenjevanje varnosti informacijske tehnologije“ pomeni obrat za ocenjevanje varnosti informacijske tehnologije, ki je organ za ugotavljanje skladnosti, kakor je opredeljen v členu 2, točka 13, Uredbe (ES) št. 765/2008, in ki izvaja naloge ocenjevanja; |
|
(8) |
„raven AVA_VAN“ pomeni raven zanesljivosti analize šibke točke, ki kaže stopnjo ocenjevanja dejavnosti na področju kibernetske varnosti, izvedeno za določitev stopnje odpornosti na možnost izkoriščanja hib ali pomanjkljivosti cilja ocenjevanja v operativnem okolju, kakor je določeno v skupnih merilih; |
|
(9) |
„certifikat EUCC“ pomeni certifikat kibernetske varnosti, izdan na podlagi EUCC za proizvode IKT ali profile zaščite, ki se lahko uporabljajo izključno v postopku certificiranja proizvodov IKT; |
|
(10) |
„sestavljeni proizvod“ pomeni proizvod IKT, ocenjen skupaj z drugim osnovnim proizvodom IKT, ki je že prejel certifikat EUCC in od katerega varnostne funkcionalnosti je odvisen sestavljeni proizvod IKT; |
|
(11) |
„nacionalni certifikacijski organ za kibernetsko varnost“ pomeni organ, ki ga imenuje država članica v skladu s členom 58(1) Uredbe (EU) 2019/881; |
|
(12) |
„certifikacijski organ“ pomeni organ za ugotavljanje skladnosti, kakor je opredeljen v členu 2, točka 13, Uredbe (ES) št. 765/2008, ki izvaja dejavnosti certificiranja; |
|
(13) |
„tehnična domena“ pomeni skupni tehnični okvir, povezan z določeno tehnologijo za harmonizirano certificiranje s sklopom značilnih varnostnih zahtev; |
|
(14) |
„najsodobnejši dokument“ pomeni dokument, v katerem so opredeljeni metode, tehnike in orodja ocenjevanja, ki se uporabljajo pri certificiranju proizvodov IKT, ali varnostne zahteve za generično kategorijo proizvodov IKT, ali kakršne koli druge zahteve, potrebne za certificiranje, da se harmonizira ocenjevanje, zlasti tehničnih domen ali profilov zaščite; |
|
(15) |
„organ za nadzor trga“ pomeni organ, kakor je opredeljen v členu 3(4) Uredbe (EU) 2019/1020. |
Člen 3
Standardi ocenjevanja
Pri ocenjevanjih, izvedenih v okviru sheme EUCC, veljajo naslednji standardi:
|
(a) |
skupna merila in |
|
(b) |
skupna metodologija ocenjevanja. |
Člen 4
Ravni zanesljivosti
1. Certifikacijski organ izda certifikate EUCC na „znatni“ ali „visoki“ ravni zanesljivosti.
2. Certifikati EUCC na „znatni“ ravni zanesljivosti ustrezajo certifikatom, ki zajemajo raven AVA_VAN 1 ali 2.
3. Certifikati EUCC na „visoki“ ravni zanesljivosti ustrezajo certifikatom, ki zajemajo ravni AVA_VAN 3, 4 ali 5.
4. Z ravnjo zanesljivosti, potrjeno v certifikatu EUCC, se razlikuje med skladno in povečano uporabo komponent zanesljivosti, kakor so v skladu s Prilogo VIII opredeljene v skupnih merilih.
5. Organi za ugotavljanje skladnosti uporabljajo navedene elemente zanesljivosti, od katerih je odvisna izbrana raven AVA_VAN, v skladu s standardi iz člena 3.
Člen 5
Metode za certificiranje proizvodov IKT
1. Certificiranje proizvoda IKT se izvaja v skladu z njegovim varnostnim ciljem:
|
(a) |
kakor ga opredeli vložnik, ali |
|
(b) |
z vključitvijo certificiranega profila zaščite kot dela postopka IKT, kadar proizvod IKT spada v kategorijo proizvodov IKT, ki jo zajema navedeni profil zaščite. |
2. Profili zaščite se certificirajo izključno zaradi certificiranja proizvodov IKT iz te posebne kategorije proizvodov IKT, ki jo zajema profil zaščite.
Člen 6
Samoocenjevanje skladnosti
Samoocenjevanje skladnosti v smislu člena 53 Uredbe (EU) 2019/881 ni dovoljeno.
POGLAVJE II
CERTIFICIRANJE PROIZVODOV IKT
ODDELEK I
POSEBNI STANDARDI IN ZAHTEVE ZA OCENJEVANJE
Člen 7
Merila in metode za ocenjevanje proizvodov IKT
1. Proizvod IKT, predložen za certificiranje, se oceni vsaj v skladu z naslednjim:
|
(a) |
veljavnimi elementi iz standardov, navedenimi v členu 3; |
|
(b) |
razredi zahtev za zagotavljanje varnosti za oceno šibkih točk in neodvisno funkcionalno preizkušanje, kakor je določeno v ocenjevalnih standardih iz člena 3; |
|
(c) |
ravnjo tveganja, povezano s predvideno uporabo zadevnih proizvodov IKT v skladu s členom 52 Uredbe (EU) 2019/881, in njihovimi varnostnimi funkcionalnostmi, ki podpirajo varnostne cilje iz člena 51 Uredbe (EU) 2019/881; |
|
(d) |
veljavnimi najsodobnejši dokumenti iz Priloge I, in |
|
(e) |
veljavnimi certificiranimi profili zaščite iz Priloge II. |
2. V izjemnih in ustrezno utemeljenih primerih lahko organ za ugotavljanje skladnosti zahteva, da se zadevni najsodobnejši dokument ne uporablja. V takih primerih organ za ugotavljanje skladnosti obvesti nacionalni certifikacijski organ za kibernetsko varnost in zahtevo ustrezno utemelji. Nacionalni certifikacijski organ za kibernetsko varnost oceni utemeljitev izjeme in jo, kadar je to upravičeno, odobri. Dokler nacionalni certifikacijski organ za kibernetsko varnost ne sprejme odločitve, organ za ugotavljanje skladnosti ne izda nobenega certifikata. Nacionalni certifikacijski organ za kibernetsko varnost o odobreni izjemi brez nepotrebnega odlašanja uradno obvesti evropsko certifikacijsko skupino za kibernetsko varnost, ki lahko izda mnenje. Nacionalni certifikacijski organ za kibernetsko varnost po najboljših močeh upošteva mnenje evropske certifikacijske skupine za kibernetsko varnost.
3. Certificiranje proizvodov IKT na ravni AVA_VAN 4 ali 5 je mogoče le v naslednjih primerih:
|
(a) |
kadar proizvod IKT zajema katera koli tehnična domena iz Priloge I, se oceni v skladu z veljavnimi najsodobnejšimi dokumenti teh tehničnih domen, |
|
(b) |
kadar proizvod IKT spada v kategorijo proizvodov, ki jo zajema certificiran profil zaščite, ki vključuje ravni AVA_VAN 4 ali 5 in ki je v Prilogi II naveden kot najsodobnejši profil zaščite, se oceni v skladu z metodologijo ocenjevanja, določeno za navedeni profil zaščite, |
|
(c) |
kadar se točki a) in b) tega odstavka ne uporabljata in vključitev tehnične domene v Prilogo I ali certificiranega profila zaščite v Prilogo II v bližnji prihodnosti ni verjetna ter le v izjemnih in ustrezno utemeljenih primerih pod pogoji iz odstavka 4. |
4. Kadar organ za ugotavljanje skladnosti meni, da gre za izjemen in ustrezno utemeljenem primeru iz točke (c) odstavka 3, o nameravanem certificiranju uradno obvesti nacionalni certifikacijski organ za kibernetsko varnost z utemeljitvijo in predlagano metodologijo ocenjevanja. Nacionalni certifikacijski organ za kibernetsko varnost oceni utemeljitev izjeme in, kadar je to upravičeno, odobri ali spremeni metodologijo ocenjevanja, ki jo uporabi organ za ugotavljanje skladnosti. Dokler nacionalni certifikacijski organ za kibernetsko varnost ne sprejme odločitve, organ za ugotavljanje skladnosti ne izda nobenega certifikata. Nacionalni certifikacijski organ za kibernetsko varnost o nameravanem certificiranju brez nepotrebnega odlašanja poroča evropski certifikacijski skupini za kibernetsko varnost, ki lahko izda mnenje. Nacionalni certifikacijski organ za kibernetsko varnost po najboljših močeh upošteva mnenje evropske certifikacijske skupine za kibernetsko varnost.
5. Če se za proizvod IKT izvaja ocenjevanje sestavljenega proizvoda v skladu z ustreznimi najsodobnejšimi proizvodi, center za ocenjevanje varnosti informacijske tehnologije, ki je izvedel ocenjevanje osnovnega proizvoda IKT, izmenja ustrezne informacije s centrom za ocenjevanje varnosti informacijske tehnologije, ki izvaja ocenjevanje sestavljenega proizvoda IKT.
ODDELEK II
IZDAJANJE, PODALJŠANJE IN ODVZEM CERTIFIKATA EUCC
Člen 8
Informacije, ki so potrebne za certificiranje
1. Vložnik za certificiranje v okviru EUCC certifikacijskemu organu in centru za ocenjevanje varnosti informacijske tehnologije zagotovi ali da drugače na voljo vse potrebne informacije za dejavnosti certificiranja.
2. Informacije iz odstavka 1 vključujejo vse ustrezne dokaze v skladu z oddelki o „elementih ukrepa razvijalca“ v ustrezni obliki, kakor je določena v oddelkih „vsebina in predstavitev dokaznega elementa“ skupnih meril in skupne metodologije ocenjevanja za izbrano stopnjo zanesljivosti in s tem povezane zahteve za zagotavljanje varnosti. Dokazila po potrebi vključujejo podrobnosti o proizvodu IKT in njegovi izvorni kodi v skladu s to uredbo, pri čemer se upoštevajo zaščitni ukrepi proti nepooblaščenem razkritju podatkov.
3. Vložniki za certificiranje lahko certifikacijskemu organu in centru za ocenjevanje varnosti informacijske tehnologije zagotovijo ustrezne rezultate o ocenjevanju iz prejšnjega certificiranja v skladu:
|
(a) |
s to uredbo; |
|
(b) |
z drugo evropsko certifikacijsko shemo za kibernetsko varnost, sprejeto v skladu s členom 49 Uredbe (EU) 2019/881; |
|
(c) |
z nacionalno shemo iz člena 49 te uredbe. |
4. Kadar se rezultati ocenjevanja nanašajo na naloge centra za ocenjevanje varnosti informacijske tehnologije, ta lahko ponovno uporabi rezultate ocenjevanja, če so taki rezultati skladni z veljavnimi zahtevami in je potrjena njihova verodostojnost.
5. Kadar certifikacijski organ dovoli izvedbo certificiranja sestavljenega proizvoda, vložnik za certificiranje certifikacijskemu organu in centru za ocenjevanje varnosti informacijske tehnologije da na voljo vse potrebne elemente, kadar je ustrezno, v skladu z najsodobnejšim dokumentom.
6. Vložnik za certificiranje certifikacijskemu organu in centru za ocenjevanje varnosti informacijske tehnologije zagotovi tudi naslednje informacije:
|
(a) |
povezavo na svoje spletišče, ki vsebuje dodatne informacije o kibernetski varnosti iz člena 55 Uredbe (EU) 2019/881; |
|
(b) |
opis postopkov obvladovanja in razkrivanja šibkih točk vložnika. |
7. Certifikacijski organ, center za ocenjevanje varnosti informacijske tehnologije in vložnik hranijo vse ustrezne dokumente iz tega člena pet let po poteku veljavnosti certifikata.
Člen 9
Pogoji za izdajanje certifikata EUCC
1. Certifikacijski organi izdajo certifikat EUCC, če so izpolnjeni vsi naslednji pogoji:
|
(a) |
kategorija proizvoda IKT spada na področje akreditacije in, kadar je ustrezno, odobritve certifikacijskega organa in centra za ocenjevanje varnosti informacijske tehnologije, vključenega v certificiranje; |
|
(b) |
vložnik za certificiranje je podpisal izjavo o sprejetju vseh zavez iz odstavka 2; |
|
(c) |
center za ocenjevanje varnosti informacijske tehnologije je ocenjevanje zaključil brez ugovora v skladu s standardi, merili in metodami ocenjevanja iz členov 3 in 7; |
|
(d) |
certifikacijski organ je pregled rezultatov ocenjevanja zaključil brez ugovora; |
|
(e) |
certifikacijski organ je preveril, da so tehnična poročila o ocenjevanju, ki jih je predložil center za ocenjevanje varnosti informacijske tehnologije, skladna s predloženimi dokazi ter da so bili standardi, merila in metode iz členov 3 in 7 pravilno uporabljeni. |
2. Vložnik za certificiranje sprejme naslednje zaveze:
|
(a) |
certifikacijskemu organu in centru za ocenjevanje varnosti informacijske tehnologije zagotoviti vse potrebne popolne in točne informacije, na zahtevo pa tudi dodatne potrebne informacije; |
|
(b) |
pred izdajo certifikata EUCC ne oglaševati proizvodov IKT kot certificiranih v skladu z EUCC; |
|
(c) |
oglaševati proizvod IKT kot certificiran le glede na obseg iz certifikata EUCC; |
|
(d) |
nemudoma prenehati s promocijo proizvoda IKT kot certificiranega v primeru začasnega preklica, odvzema ali poteka veljavnosti certifikata EUCC; |
|
(e) |
zagotoviti, da so proizvodi IKT, prodani s sklicevanjem na certifikat EUCC, povsem isti kot proizvod IKT, za katerega velja certificiranje; |
|
(f) |
spoštovati pravila uporabe znaka in oznake, uvedenih za certifikat EUCC v skladu s členom 11. |
3. Če se za proizvod IKT izvaja certificiranje sestavljenega proizvoda v skladu z relevantnimi najsodobnejšimi dokumenti, certifikacijski organ, ki je izvedel certificiranje osnovnega proizvoda IKT, izmenja ustrezne informacije s certifikacijskim organom, ki izvaja certificiranje sestavljenega proizvoda IKT.
Člen 10
Vsebina in oblika certifikata EUCC
1. Certifikat EUCC vsebuje vsaj informacije iz Priloge VII.
2. Področje uporabe in meje certificiranega proizvoda IKT se nedvoumno določijo v certifikatu EUCC ali poročilu o certifikaciji, v katerem je navedeno, ali je bil certificiran celotni proizvod IKT ali samo njegovi deli.
3. Certifikacijski organ vložniku zagotovi certifikat EUCC vsaj v elektronski obliki.
4. Certifikacijski organ za vsak izdani certifikat EUCC pripravi poročilo o certificiranju v skladu s Prilogo V. To poročilo temelji na tehničnem poročilu o ocenjevanju, ki ga izda center za ocenjevanje varnosti informacijske tehnologije. V tehničnem poročilu o ocenjevanju in poročilu o certificiranju so navedena posebna merila in metode ocenjevanja iz člena 7, uporabljeni pri ocenjevanju.
5. Certifikacijski organ nacionalnemu certifikacijskemu organu za kibernetsko varnost in Agenciji ENISA zagotovi vsak certifikat EUCC in vsako poročilo o certificiranju v elektronski obliki.
Člen 11
Znak in oznaka
1. Imetnik certifikata lahko na certificiran proizvod IKT namesti znak in oznako. Znak in oznaka dokazujeta, da je proizvod IKT certificiran v skladu s to uredbo. Namestita se v skladu s tem členom in Prilogo IX.
2. Znak in oznaka sta vidno, čitljivo in neizbrisno nameščena na certificiran proizvod IKT ali njegovo tablico s podatki. Kadar to ni mogoče ali ni upravičeno zaradi značilnosti proizvoda, se namestita na embalažo in spremne dokumente. Kadar je certificirani proizvod IKT dobavljen v obliki programske opreme, se znak in oznaka vidno, berljivo in neizbrisno prikažeta v spremni dokumentaciji ali pa je ta dokumentacija uporabnikom zlahka in neposredno dostopna prek spletišča.
3. Znak in oznaka se določita v skladu s Prilogo IX in vsebujeta:
|
(a) |
raven zanesljivosti in raven AVA_VAN certificiranega proizvoda IKT; |
|
(b) |
enotno identifikacijo certifikata, ki vsebuje:
|
4. Ob znaku in oznaki je navedena koda QR s povezavo na spletišče, ki vsebuje vsaj:
|
(a) |
informacije o veljavnosti certifikata; |
|
(b) |
potrebne informacije o certificiranju iz prilog V in VII; |
|
(c) |
informacije, ki jih mora imetnik certifikata javno objaviti v skladu s členom 55 Uredbe (EU) 2019/881, in, |
|
(d) |
kadar je ustrezno, pretekle informacije, povezane s posebnim certificiranjem ali certificiranji proizvoda IKT, da se omogoči sledljivost. |
Člen 12
Rok veljavnosti certifikata EUCC
1. Certifikacijski organ določi rok veljavnosti vsakega izdanega certifikata EUCC, pri čemer upošteva značilnosti certificiranega proizvoda IKT.
2. Rok veljavnosti certifikata EUCC ne presega petih let.
3. Ta rok lahko z odstopanjem od odstavka 2 presega pet let, če to predhodno odobri nacionalni certifikacijski organ za kibernetsko varnost. Nacionalni certifikacijski organ za kibernetsko varnost evropsko certifikacijsko skupino za kibernetsko varnost brez nepotrebnega odlašanja uradno obvesti o odobreni odobritvi.
Člen 13
Pregled certifikata EUCC
1. Certifikacijski organ se lahko na zahtevo imetnika certifikata ali iz drugih utemeljenih razlogov odloči pregledati certifikat EUCC za proizvod IKT. Pregled se opravi v skladu s Prilogo IV. Certifikacijski organ določi obseg pregleda. Če je to potrebno za pregled, od centra za ocenjevanje varnosti informacijske tehnologije zahteva, da ponovno oceni certificirani proizvod IKT.
2. Certifikacijski organ glede na rezultate pregleda in, kadar je ustrezno, ponovnega ocenjevanja:
|
(a) |
potrdi certifikat EUCC; |
|
(b) |
odvzame certifikat EUCC v skladu s členom 14; |
|
(c) |
odvzame certifikat EUCC v skladu s členom 14 ter izda nov certifikat EUCC z enakim področjem uporabe in podaljšanim obdobjem veljavnosti, ali |
|
(d) |
odvzame certifikat EUCC v skladu s členom 14 in izda nov certifikat EUCC z drugačnim področjem uporabe. |
3. Certifikacijski organ se lahko odloči, da certifikat EUCC brez nepotrebnega odlašanja začasno odvzame v skladu s členom 30, dokler imetnik certifikata EUCC ne izvede popravnih ukrepov.
Člen 14
Odvzem certifikata EUCC
1. Certifikacijski organ brez poseganja v člen 58(8), točka (e), Uredbe (EU) 2019/881 odvzame certifikat EUCC, ki ga je izdal.
2. Certifikacijski organ iz odstavka 1 o odvzemu certifikata uradno obvesti nacionalni certifikacijski organ za kibernetsko varnost. O takem odvzemu uradno obvesti tudi Agencijo ENISA, da ta lažje izvede nalogo v skladu s členom 50 Uredbe (EU) 2019/881. Nacionalni certifikacijski organ za kibernetsko varnost uradno obvesti druge ustrezne organe za nadzor trga.
3. Odvzem certifikata lahko zahteva imetnik certifikata EUCC.
POGLAVJE III
CERTIFICIRANJE PROFILOV ZAŠČITE
ODDELEK I
POSEBNI STANDARDI IN ZAHTEVE ZA OCENJEVANJE
Člen 15
Merila in metode za ocenjevanje
1. Profil zaščite se oceni vsaj v skladu z naslednjim:
|
(a) |
veljavnimi elementi iz standardov, navedenimi v členu 3; |
|
(b) |
ravnjo tveganja, povezano s predvideno uporabo zadevnih proizvodov IKT v skladu s členom 52 Uredbe (EU) 2019/881, in njihovimi varnostnimi funkcionalnostmi, ki podpirajo varnostne cilje iz člena 51 navedene uredbe, in |
|
(c) |
veljavnimi najsodobnejšimi dokumenti iz Priloge I. Profil zaščite, ki ga zajema tehnična domena, se certificira na podlagi zahtev iz navedene tehnične domene. |
2. V izjemnih in ustrezno utemeljenih primerih lahko organ za ugotavljanje skladnosti certificira profil zaščite brez uporabe ustreznih najsodobnejših dokumentov. V takih primerih obvesti pristojni nacionalni certifikacijski organ za kibernetsko varnost in predloži utemeljitev za nameravano certificiranje brez uporabe ustreznih najsodobnejših dokumentov in predlagano metodologijo ocenjevanja. Nacionalni certifikacijski organ za kibernetsko varnost oceni utemeljitev in, kadar je to upravičeno, odobri neuporabo ustreznih najsodobnejših dokumentov ter po potrebi odobri ali spremeni metodologijo ocenjevanja, ki jo uporabi organ za ugotavljanje skladnosti. Dokler nacionalni certifikacijski organ za kibernetsko varnost ne sprejme odločitve, organ za ugotavljanje skladnosti ne izda nobenega certifikata za profil zaščite. Nacionalni certifikacijski organ za kibernetsko varnost o odobreni neuporabi zadevnih najsodobnejših dokumentov brez nepotrebnega odlašanja uradno obvesti evropsko certifikacijsko skupino za kibernetsko varnost, ki lahko izda mnenje. Nacionalni certifikacijski organ za kibernetsko varnost po najboljših močeh upošteva mnenje evropske certifikacijske skupine za kibernetsko varnost.
ODDELEK II
IZDAJANJE, PODALJŠANJE IN ODVZEM CERTIFIKATOV EUCC ZA PROFILE ZAŠČITE
Člen 16
Informacije, potrebne za certificiranje profilov zaščite
Vložnik za certificiranje profila zaščite certifikacijskemu organu in centru za ocenjevanje varnosti informacijske tehnologije zagotovi ali da drugače na voljo vse potrebne informacije za dejavnosti certificiranja. Smiselno se uporablja člen 8(2), (3), (4) in (7).
Člen 17
Izdajanje certifikatov EUCC za profile zaščite
1. Vložnik za certificiranje certifikacijskemu organu in centru za ocenjevanje varnosti informacijske tehnologije zagotovi vse potrebne popolne in točne informacije.
2. Smiselno se uporabljata člena 9 in 10.
3. Center za ocenjevanje varnosti informacijske tehnologije oceni, ali je profil zaščite popoln, skladen, tehnično zanesljiv in učinkovit za predvideno uporabo, oceni pa tudi varnostne cilje kategorije proizvoda IKT, zajete v navedeni profil zaščite.
4. Profil zaščite certificira samo:
|
(a) |
nacionalni certifikacijski organ za kibernetsko varnost ali drug javni organ, akreditiran kot certifikacijski organ, ali |
|
(b) |
certifikacijski organ po predhodni odobritvi nacionalnega certifikacijskega organa za kibernetsko varnost za vsak posamezni profil zaščite. |
Člen 18
Rok veljavnosti certifikata EUCC za profile zaščite
1. Certifikacijski organ določi rok veljavnosti vseh certifikatov EUCC.
2. Rok veljavnosti lahko traja največ do konca življenjske dobe zadevnega profila zaščite.
Člen 19
Pregled certifikata EUCC za profile zaščite
1. Certifikacijski organ se lahko na zahtevo imetnika certifikata ali iz drugih utemeljenih razlogov odloči pregledati certifikat EUCC za profil zaščite. Pregled se izvede ob uporabi pogojev iz člena 15. Certifikacijski organ določi obseg pregleda. Če je to potrebno za pregled, od centra za ocenjevanje varnosti informacijske tehnologije zahteva, da ponovno oceni certificirani profil zaščite.
2. Certifikacijski organ glede na rezultate pregleda in, kadar je ustrezno, ponovnega ocenjevanja, stori eno od naslednjega:
|
(a) |
potrdi certifikat EUCC; |
|
(b) |
odvzame certifikat EUCC v skladu s členom 20; |
|
(c) |
odvzame certifikat EUCC v skladu s členom 20 ter izda nov certifikat EUCC z enakim obsegom in podaljšanim obdobjem veljavnosti |
|
(d) |
odvzame certifikat EUCC v skladu s členom 20 in izda nov certifikat EUCC z drugačnim obsegom. |
Člen 20
Odvzem certifikata EUCC za profil zaščite
1. Certifikacijski organ, ki je izdal certifikat EUCC za profil zaščite, brez poseganja v člen 58(8), točka (e), Uredbe (EU) 2019/881 odvzame navedeni certifikat. Pri tem se smiselno uporablja člen 14.
2. Certifikacijski organ za kibernetsko varnost, ki je odobril certifikat za profil zaščite, izdan v skladu s členom 17(4), točka (b), prekliče navedeni certifikat.
POGLAVJE IV
ORGANI ZA OCENJEVANJE SKLADNOSTI
Člen 21
Dodatne ali posebne zahteve za certifikacijski organ
1. Certifikacijski organ za kibernetsko varnost pooblasti certifikacijski organ za izdajo certifikatov EUCC na „visoki“ ravni zanesljivosti, kadar navedeni organ izpolnjuje zahteve iz člena 60(1) Uredbe (EU) 2019/881 in Priloge k tej uredbi glede akreditacije organov za ugotavljanje skladnosti ter poleg tega izkaže, da izpolnjuje naslednje pogoje:
|
(a) |
da ima strokovno znanje in izkušnje ter je usposobljen za odločanje o certificiranju na „visoki“ ravni zanesljivosti; |
|
(b) |
da dejavnosti certificiranja izvaja v sodelovanju s centrom za ocenjevanje varnosti informacijske tehnologije, pooblaščenim v skladu s členom 22, in |
|
(c) |
je ustrezno usposobljen ter je vzpostavil primerne tehnične in operativne ukrepe za učinkovito varstvo zaupnih in občutljivih informacij na „visoki“ ravni zanesljivosti poleg zahtev iz člena 43. |
2. Nacionalni certifikacijski organ za kibernetsko varnost oceni, ali certifikacijski organ izpolnjuje vse zahteve iz odstavka 1. Navedena ocena vključuje vsaj strukturirane razgovore in pregled najmanj enega pilotnega certificiranja, ki ga v skladu s to uredbo opravi certifikacijski organ.
Nacionalni certifikacijski organ za kibernetsko varnost lahko v svoji oceni ponovno uporabi vse ustrezne dokaze iz predhodne pooblastitve ali podobnih dejavnosti, izdane na podlagi:
|
(a) |
te uredbe; |
|
(b) |
druge evropske certifikacijske sheme za kibernetsko varnost, sprejete v skladu s členom 49 Uredbe (EU) 2019/881; |
|
(c) |
nacionalne sheme iz člena 49 te uredbe. |
3. Nacionalni certifikacijski organ za kibernetsko varnost pripravi poročilo o pooblastitvi, za katero se opravi medsebojni strokovni pregled v skladu s členom 59(3), točka (d), Uredbe (EU) 2019/881.
4. Navedeni organ določi kategorije proizvodov IKT in profile zaščite, ki jih pooblastilo zajema. Pooblastilo velja največ do poteka veljavnosti akreditacije. Na zahtevo se lahko podaljša, če certifikacijski organ še vedno izpolnjuje zahteve iz tega člena. Za podaljšanje pooblastila pilotna ocenjevanja niso potrebna.
5. Nacionalni certifikacijski organ za kibernetsko varnost certifikacijskemu organu odvzame pooblastilo, če ta ne izpolnjuje več pogojev iz tega člena. Certifikacijski organ se po odvzemu pooblastila takoj preneha predstavljati kot pooblaščeni certifikacijski organ.
Člen 22
Dodatne ali posebne zahteve za center za ocenjevanje varnosti informacijske tehnologije
1. Nacionalni certifikacijski organ za kibernetsko varnost pooblasti center za ocenjevanje varnosti informacijske tehnologije za ocenjevanje proizvodov IKT, za katere se opravi certificiranje na „visoki“ ravni zanesljivosti, kadar navedeni center izpolnjuje zahteve iz člena 60(1) Uredbe (EU) 2019/881 in Priloge k navedeni uredbi glede akreditacije organov za ugotavljanje skladnosti ter poleg tega izkaže, da izpolnjuje naslednje pogoje:
|
(a) |
ima potrebno strokovno znanje in izkušnje za izvajanje ocenjevalnih dejavnosti, da opredeli odpornost naprednih kibernetskih napadov, ki jih izvajajo akterji z obsežnim znanjem in viri; |
|
(b) |
za tehnične domene in profile zaščite, ki so del postopkov IKT za navedene proizvode IKT, ima:
|
|
(c) |
je ustrezno usposobljen ter je vzpostavil primerne tehnične in operativne ukrepe za učinkovito varstvo zaupnih in občutljivih informacij na „visoki“ ravni zanesljivosti poleg zahtev iz člena 43. |
2. Nacionalni certifikacijski organ za kibernetsko varnost oceni, ali center za ocenjevanje varnosti informacijske tehnologije izpolnjuje vse zahteve iz odstavka 1. Navedena ocena vključuje vsaj strukturirane razgovore in pregled najmanj enega pilotnega ocenjevanja, ki ju v skladu s to uredbo opravi center za ocenjevanje varnosti informacijske tehnologije.
3. Nacionalni certifikacijski organ za kibernetsko varnost lahko v svoji oceni ponovno uporabi vse ustrezne dokaze iz predhodne pooblastitve ali podobnih dejavnosti, izdane na podlagi:
|
(a) |
te uredbe; |
|
(b) |
druge evropske certifikacijske sheme za kibernetsko varnost, sprejete v skladu s členom 49 Uredbe (EU) 2019/881; |
|
(c) |
nacionalne sheme iz člena 49 te uredbe. |
4. Nacionalni certifikacijski organ za kibernetsko varnost pripravi poročilo o pooblastitvi, za katero se opravi medsebojni strokovni pregled v skladu s členom 59(3), točka (d), Uredbe (EU) 2019/881.
5. Navedeni organ določi kategorije proizvodov IKT in profile zaščite, ki jih pooblastilo zajema. Pooblastilo velja največ do poteka veljavnosti akreditacije. Na zahtevo se lahko podaljša, če center za ocenjevanje varnosti informacijske tehnologije še vedno izpolnjuje zahteve iz tega člena. Za podaljšanje pooblastila pilotna ocenjevanja ne bi smela biti potrebna.
6. Nacionalni certifikacijski organ za kibernetsko varnost centru za ocenjevanje varnosti informacijske tehnologije odvzame pooblastilo, če ta ne izpolnjuje več pogojev iz tega člena. Center za ocenjevanje varnosti informacijske tehnologije se po odvzemu pooblastila preneha predstavljati kot pooblaščeni center za ocenjevanje varnosti informacijske tehnologije.
Člen 23
Uradno obveščanje certifikacijskih organov
1. Nacionalni certifikacijski organ za kibernetsko varnost uradno obvesti Komisijo o certifikacijskih organih na svojem ozemlju, ki so na podlagi akreditacije pristojni za certificiranje na „znatni“ ravni zanesljivosti.
2. Nacionalni certifikacijski organ za kibernetsko varnost uradno obvesti Komisijo o certifikacijskih organih na svojem ozemlju, ki so na podlagi akreditacije in odločitve o odobritvi pristojni za certificiranje na „visoki“ ravni zanesljivosti.
3. Pri uradnem obveščanju Komisije o certifikacijskih organih nacionalni certifikacijski organ za kibernetsko varnost zagotovi vsaj naslednje informacije:
|
(a) |
raven ali ravni zanesljivosti, na kateri ali katerih je certifikacijski organ pristojen za izdajanje certifikatov EUCC; |
|
(b) |
naslednje informacije v zvezi z akreditacijo:
|
|
(c) |
naslednje informacije v zvezi s pooblastilom za „visoko“ raven:
|
4. Nacionalni certifikacijski organ za kibernetsko varnost pošlje izvod uradnega obvestila iz odstavkov 1 in 2 Agenciji ENISA, ki na spletišču o certificiranju na področju kibernetske varnosti objavi točne informacije o upravičenosti certifikacijskih organov.
5. Nacionalni certifikacijski organ za kibernetsko varnost brez nepotrebnega odlašanja preuči vse informacije, ki zadevajo spremembo statusa akreditacije, ki jo pošlje nacionalni akreditacijski organ. Če se akreditacija ali pooblastilo odvzameta, nacionalni certifikacijski organ za kibernetsko varnost o tem obvesti Komisijo in ji lahko predloži zahtevek v skladu s členom 61(4) Uredbe (EU) 2019/881.
Člen 24
Uradno obveščanje centra za ocenjevanje varnosti informacijske tehnologije
Obveznosti uradnega obveščanja nacionalnega certifikacijskega organa za kibernetsko varnost iz člena 23 veljajo tudi za center za ocenjevanje varnosti informacijske tehnologije. V uradno obvestilo so vključeni naslov, veljavna akreditacija in, kadar je ustrezno, veljavno pooblastilo centra za ocenjevanje varnosti informacijske tehnologije.
POGLAVJE V
Spremljanje, neskladnost in neizpolnjevanje obveznosti oziroma zahtev
ODDELEK I
SPREMLJANJE IZPOLNJEVANJA OBVEZNOSTI OZIROMA ZAHTEV
Člen 25
Dejavnosti spremljanja nacionalnih certifikacijskih organov za kibernetsko varnost
1. Nacionalni certifikacijski organ za kibernetsko varnost brez poseganja v člen 58(7) Uredbe (EU) 2019/881 spremlja, kako:
|
(a) |
certifikacijski organ in center za ocenjevanje varnosti informacijske tehnologije izpolnjujeta svoje obveznosti v skladu s to uredbo in Uredbo (EU) 2019/881; |
|
(b) |
imetniki certifikata EUCC izpolnjujejo svoje obveznosti v skladu s to uredbo in Uredbo (EU) 2019/881; |
|
(c) |
certificirani proizvodi IKT izpolnjujejo zahteve iz EUCC; |
|
(d) |
se z zanesljivostjo, izraženo v certifikatu EUCC, obravnava razvoj krajine groženj. |
2. Nacionalni certifikacijski organ za kibernetsko varnost dejavnosti spremljanja izvaja zlasti na podlagi:
|
(a) |
informacij, ki jih prejme od certifikacijskih organov, nacionalnih akreditacijskih organov in ustreznih organov za nadzor trga; |
|
(b) |
informacij, ki izhajajo iz njegovih lastnih revizij in preiskav ali revizij in preiskav drugega organa; |
|
(c) |
vzorčenja, izvedenega v skladu z odstavkom 3; |
|
(d) |
prejetih pritožb. |
3. Nacionalni certifikacijski organ za kibernetsko varnost v sodelovanju z drugimi organi za nadzor trga letno vzorči vsaj 4 % certifikatov, kakor je določeno v oceni tveganja. Pri spremljanju skladnosti mu na zahtevo in v imenu pristojnega nacionalnega certifikacijskega organa za kibernetsko varnost, pomagajo certifikacijski organi in po potrebi center za ocenjevanje varnosti informacijske tehnologije.
4. Nacionalni certifikacijski organ za kibernetsko varnost izbere vzorec certificiranih proizvodov IKT, ki se preverijo z objektivnimi merili, ki vključujejo:
|
(a) |
kategorijo proizvoda; |
|
(b) |
ravni zanesljivosti proizvodov; |
|
(c) |
imetnika certifikata; |
|
(d) |
certifikacijski organ in, kadar je ustrezno, podizvajalski center za ocenjevanje varnosti informacijske tehnologije; |
|
(e) |
vse druge informacije, na katere je bil opozorjen organ. |
5. Nacionalni certifikacijski organ za kibernetsko varnost imetnike certifikata EUCC obvesti o izbranih proizvodih IKT in merilih za izbor.
6. Certifikacijski organ, ki je certificiral vzorčeni proizvod IKT, na zahtevo nacionalnega certifikacijskega organa za kibernetsko varnost s pomočjo ustreznega centra za ocenjevanje varnosti informacijske tehnologije izvede dodatni pregled v skladu s postopkom iz oddelka IV.2 Priloge IV in nacionalni certifikacijski organ za kibernetsko varnost obvesti o rezultatih.
7. Kadar nacionalni certifikacijski organ za kibernetsko varnost utemeljeno domneva, da certificirani proizvod IKT ni več skladen s to uredbo ali Uredbo (EU) 2019/881, lahko izvede preiskave ali uporabi druga pooblastila za spremljanje iz člena 58(8) Uredbe (EU) 2019/881.
8. Nacionalni certifikacijski organ za kibernetsko varnost obvesti certifikacijski organ in zadevni center za ocenjevanje varnosti informacijske tehnologije o odprtih preiskavah v zvezi z izbranimi proizvodi IKT.
9. Če nacionalni certifikacijski organ za kibernetsko varnost ugotovi, da se odprta preiskava nanaša na proizvode IKT, ki jih certificirajo certifikacijski organi, ustanovljeni v drugih državah članicah, o tem obvesti nacionalne certifikacijske organe za kibernetsko varnost zadevnih držav članic, da, kadar je ustrezno, sodeluje v preiskavah. Tak organ o čezmejnih preiskavah in naknadnih rezultatih uradno obvesti tudi evropsko certifikacijsko skupino za kibernetsko varnost.
Člen 26
Dejavnosti spremljanja certifikacijskega organa
1. Certifikacijski organ spremlja, kako:
|
(a) |
imetniki certifikata izpolnjujejo svoje obveznosti v skladu s to uredbo in Uredbo (EU) 2019/881 v zvezi s certifikatom, ki ga je izdal certifikacijski organ; |
|
(b) |
proizvodi IKT, ki jih je certificiral, izpolnjujejo ustrezne varnostne zahteve; |
|
(c) |
se izpolnjuje zanesljivost, izražena v certificiranem profilu zaščite. |
2. Certifikacijski organ dejavnosti spremljanja izvaja na podlagi:
|
(a) |
informacij, zagotovljenih na podlagi zavez vložnika za certificiranje iz člena 9(2); |
|
(b) |
informacij, ki izhajajo iz dejavnosti drugih ustreznih organov za nadzor trga; |
|
(c) |
prejetih pritožb; |
|
(d) |
informacij o šibkih točkah, ki bi lahko vplivale na proizvode IKT, ki jih je certificiral. |
3. Nacionalni certifikacijski organ za kibernetsko varnost lahko oblikuje pravila za redni dialog med certifikacijskimi organi in imetniki certifikatov EUCC, da preveri, ali so zaveze, sprejete v skladu s členom 9(2), izpolnjene, in o njih poroča, brez poseganja v dejavnosti, povezane z drugimi ustreznimi organi za nadzor trga.
Člen 27
Dejavnosti spremljanja imetnika certifikata
1. Imetnik certifikata EUCC izvede naslednje naloge za spremljanje, ali certificirani proizvodi IKT izpolnjujejo varnostne zahteve:
|
(a) |
z lastnimi sredstvi spremlja informacije o šibkih točkah, povezane s certificiranim proizvodom IKT, tudi o znanih odvisnostih, pri čemer pa upošteva tudi:
|
|
(b) |
spremlja zanesljivost, izraženo v certifikatu EUCC. |
2. Imetnik certifikata EUCC za podporo dejavnosti spremljanja sodeluje s certifikacijskim organom, centrom za ocenjevanje varnosti informacijske tehnologije in, kadar je ustrezno, nacionalnim certifikacijskim organom za kibernetsko varnost.
ODDELEK II
SKLADNOST IN IZPOLNJEVANJE OBVEZNOSTI OZIROMA ZAHTEV
Člen 28
Posledice neskladnosti certificiranega proizvoda IKT ali profila zaščite
1. Če certificirani proizvod IKT ali profil zaščite ni skladen z zahtevami iz te uredbe in Uredbe (EU) 2019/881, certifikacijski organ obvesti imetnika certifikata EUCC o ugotovljeni neskladnosti in zahteva popravne ukrepe.
2. Kadar bi lahko primer neskladnosti z določbami te uredbe vplival na izpolnjevanje obveznosti iz druge ustrezne zakonodaje Unije, ki določa, da je s certifikatom EUCC mogoče dokazati domnevo o skladnosti z zahtevami iz navedenega pravnega akta, certifikacijski organ o tem nemudoma obvesti nacionalni certifikacijski organ za kibernetsko varnost. Nacionalni certifikacijski organ za kibernetsko varnost o primeru ugotovljene neskladnosti nemudoma uradno obvesti organ za nadzor trga, pristojen za tako drugo ustrezno zakonodajo Unije.
3. Imetnik certifikata EUCC certifikacijskemu organu ob prejemu informacij iz odstavka 1 v roku, ki ga določi ta organ in ki ne presega 30 dni, predlaga potreben popravni ukrep za odpravo neskladnosti.
4. Certifikacijski organ lahko, če je nujno ali kadar imetnik certifikata EUCC z njim ne sodeluje ustrezno, brez nepotrebnega odlašanja začasno prekliče certifikat EUCC v skladu s členom 30.
5. Certifikacijski organ izvede pregled v skladu s členoma 13 in 19, pri čemer oceni, ali se s popravnim ukrepom odpravlja neskladnost.
6. Kadar imetnik certifikata EUCC v roku iz odstavka 3 ne predlaga ustreznega popravnega ukrepa, se certifikat začasno prekliče v skladu s členom 30 ali odvzame v skladu s členoma 14 ali 20.
7. Ta člen se ne uporablja v primeru šibkih točk, ki vplivajo na certificiran proizvod IKT, ki se obravnava v skladu s poglavjem VI.
Člen 29
Posledice neizpolnjevanja obveznosti oziroma zahtev s strani imetnika certifikata
1. Če certifikacijski organ ugotovi, da:
|
(a) |
imetnik certifikata EUCC ali vložnik za certificiranje ne izpolnjujeta svojih zavez in obveznosti iz člena 9(2), člena 17(2) ter členov 27 in 41, ali |
|
(b) |
imetnik certifikata EUCC ne izpolnjuje zahtev iz člena 56(8) Uredbe (EU) 2019/881 ali poglavja VI te uredbe; določi rok, ki ne presega 30 dni, v katerem imetnik certifikata EUCC sprejme popravni ukrep. |
2. Če imetnik certifikata EUCC v roku iz odstavka 1 ne predlaga ustreznega popravnega ukrepa, se certifikat začasno prekliče v skladu s členom 30 ali odvzame v skladu s členoma 14 ali 20.
3. Če imetnik certifikata EUCC nadaljuje ali ponovi kršitev obveznosti iz odstavka 1, se certifikat EUCC odvzame v skladu s členoma 14 ali 20.
4. Certifikacijski organ obvesti nacionalni certifikacijski organ za kibernetsko varnost o ugotovitvah iz odstavka 1. Če primer neizpolnjevanja obveznosti ali zahtev vpliva na izpolnjevanje zahtev iz druge zakonodaje Unije, nacionalni certifikacijski organ za kibernetsko varnost nemudoma uradno obvesti organ za nadzor trga, pristojen za tako drugo ustrezno zakonodajo Unije, o ugotovljenem primeru neizpolnjevanja obveznosti ali zahtev.
Člen 30
Začasni preklic certifikata EUCC
1. Kadar se ta uredba nanaša na začasni preklic certifikata EUCC, certifikacijski organ zadevni certifikat EUCC začasno prekliče za obdobje, ki ustreza okoliščinam, zaradi katerih je bil začasno preklican, in ne presega 42 dni. Obdobje začasnega preklica se začne dan po dnevu odločitve certifikacijskega organa. Začasni preklic ne vpliva na veljavnost certifikata.
2. Certifikacijski organ brez nepotrebnega odlašanja uradno obvesti imetnika certifikata in nacionalni certifikacijski organ za kibernetsko varnost ter navede razloge za začasni preklic, zahtevane ukrepe, ki jih je treba sprejeti, in obdobje trajanja začasnega preklica.
3. Imetniki certifikata uradno obvestijo kupce zadevnih proizvodov IKT o začasnem preklicu in razlogih, ki jih je za ta preklic navedel certifikacijski organ, razen tistih delov razlogov, katerih izmenjava bi pomenila varnostno tveganje ali ki vsebujejo občutljive informacije. Te informacije tudi javno objavi imetnik certifikata.
4. Kadar je z drugo ustrezno zakonodajo Unije določena domneva o skladnosti na podlagi certifikatov, izdanih v skladu z določbami te uredbe, nacionalni certifikacijski organ za kibernetsko varnost o začasnem preklicu obvesti organ za nadzor trga, pristojen za tako drugo ustrezno zakonodajo Unije.
5. O začasnem preklicu je uradno obveščena Agencija ENISA v skladu s členom 42(3).
6. Nacionalni certifikacijski organ za kibernetsko varnost lahko v ustrezno utemeljenih primerih dovoli podaljšanje obdobja začasnega preklica certifikata EUCC. Skupno obdobje začasnega preklica ne sme presegati enega leta.
Člen 31
Posledice neizpolnjevanja obveznosti oziroma zahtev s strani organa za ocenjevanje skladnosti
1. Če certifikacijski organ ali ustrezen certifikacijski organ ne izpolnjuje svojih obveznosti in to neizpolnjevanje ugotovi center za ocenjevanje varnosti informacijske tehnologije, nacionalni certifikacijski organ za kibernetsko varnost brez nepotrebnega odlašanja:
|
(a) |
s pomočjo zadevnega centra za ocenjevanje varnosti informacijske tehnologije opredeli certifikate EUCC, na katere je to po možnosti vplivalo; |
|
(b) |
po potrebi zahteva, da ocenjevalne dejavnosti za enega ali več proizvodov IKT ali profilov zaščite izvede center za ocenjevanje varnosti informacijske tehnologije, ki je izvedel ocenjevanje, ali kateri koli drug akreditiran in, kadar je ustrezno, pooblaščen center za ocenjevanje varnosti informacijske tehnologije, ki je v boljšem tehničnem položaju, da podpre ugotovitev; |
|
(c) |
analizira vplive neizpolnjevanja obveznosti oziroma zavez; |
|
(d) |
uradno obvesti imetnika certifikata EUCC, na katerega vpliva neizpolnjevanje obveznosti oziroma zavez. |
2. Certifikacijski organ na podlagi ukrepov iz odstavka 1 v zvezi z vsakim certifikatom EUCC, na katerega to vpliva, sprejme eno od naslednjih odločitev:
|
(a) |
ohrani certifikat EUCC nespremenjen; |
|
(b) |
začasno prekliče certifikat EUCC v skladu s členom 14 ali 20 in, kadar je ustrezno, izda nov certifikat EUCC. |
3. Nacionalni certifikacijski organ za kibernetsko varnost na podlagi ukrepov iz odstavka 1:
|
(a) |
po potrebi nacionalnemu akreditacijskemu organu poroča o tem, da certifikacijski organ ali povezan center za ocenjevanje varnosti informacijske tehnologije ne izpolnjuje obveznosti oziroma zahtev; |
|
(b) |
kadar je ustrezno, oceni morebitni vpliv na pooblastilo. |
POGLAVJE VI
OBVLADOVANJE IN RAZKRIVANJE ŠIBKIH TOČK
Člen 32
Področje uporabe obvladovanja šibkih točk
To poglavje se nanaša na proizvode IKT, za katere je bil izdan certifikat EUCC.
ODDELEK I
OBVLADOVANJE ŠIBKIH TOČK
Člen 33
Postopki obvladovanja šibkih točk
1. Imetnik certifikata EUCC vzpostavi in vzdržuje vse potrebne postopke za obvladovanje šibkih točk v skladu s pravili iz tega oddelka in jih po potrebi dopolni s postopki iz standarda EN ISO/IEC 30111.
2. Imetnik certifikata EUCC vzdržuje in objavi ustrezne metode, da od zunanjih virov, tudi uporabnikov, certifikacijskih organov in raziskovalcev na področju varnosti, prejema informacije o šibkih točkah, povezanih s proizvodi.
3. Kadar imetnik certifikata EUCC odkrije morebitno šibko točko, ki vpliva na certificirani proizvod IKT, ali prejme o njej informacijo, jo evidentira in izvede analizo učinka šibkih točk.
4. Kadar morebitna šibka točka vpliva na sestavljeni proizvod, imetnik potrdila EUCC o morebitni šibki točki obvesti imetnika odvisnih certifikatov EUCC.
5. Imetnik certifikata EUCC v odgovor na utemeljeno zahtevo certifikacijskega organa, ki je izdal certifikat, navedenemu certifikacijskemu organu posreduje vse ustrezne informacije o morebitnih šibkih točkah.
Člen 34
Analiza posledic šibke točke
1. Analiza učinka šibkih točk se nanaša na cilj ocenjevanja in izjave o zanesljivosti iz certifikata. Analiza učinka šibkih točk se izvede v časovnem okviru, ki je primeren glede na možnost izkoriščanja in morebitno kritičnost šibke točke certificiranega proizvoda IKT.
2. Da se določi možnost izkoriščanja šibke točke, se, kadar je ustrezno, izračuna potencial napada v skladu z ustrezno metodologijo, vključeno v standardih iz člena 3, in ustreznimi najsodobnejšimi dokumenti iz Priloge I. Upošteva se raven AVA_VAN certifikata EUCC.
Člen 35
Poročilo o analizi posledic šibke točke
1. Imetnik pripravi poročilo o analizi posledic šibkih točk, kadar analiza učinka pokaže, da šibka točka verjetno vpliva na skladnost proizvoda IKT s certifikatom.
2. V poročilu o analizi posledic šibke točke so ocenjeni naslednji elementi:
|
(a) |
posledice šibke točke na certificiran proizvod IKT; |
|
(b) |
morebitna tveganja, povezana z bližino ali izvedljivostjo napada; |
|
(c) |
možnost odprave šibke točke; |
|
(d) |
če je šibko točko mogoče odpraviti, morebitne rešitve šibke točke. |
3. Poročilo o analizi posledic šibke točke po potrebi vsebuje podrobnosti o morebitnih načinih izkoriščanja šibke točke. Z informacijami v zvezi z morebitnimi načini izkoriščanja šibke točke se ravna v skladu z ustreznimi varnostnimi ukrepi za varstvo njihove zaupnosti in po potrebi zagotovitev njihovega omejenega razširjanja.
4. Imetnik certifikata EUCC brez nepotrebnega odlašanja pošlje poročilo o analizi posledic šibkih točk certifikacijskemu organu ali nacionalnemu certifikacijskemu organu za kibernetsko varnost v skladu s členom 56(8) Uredbe (EU) 2019/881.
5. Kadar je v poročilu o analizi posledic šibkih točk ugotovljeno, da šibka točka ni rezidualna v smislu standardov iz člena 3 in da jo je mogoče odpraviti, se uporablja člen 36.
6. Kadar se v poročilu o analizi posledic šibkih točk ugotovi, da šibka točka ni rezidualna in da je ni mogoče odpraviti, se odvzame certifikat EUCC v skladu s členom 14.
7. Imetnik potrdila EUCC spremlja vse rezidualne šibke točke, da se zagotovi, da jih ni mogoče izkoristiti v primeru sprememb v operativnem okolju.
Člen 36
Odprava šibke točke
Imetnik certifikata EUCC certifikacijskemu organu predstavi predlog ustreznega popravnega ukrepa. Certifikacijski organ pregleda certifikat EUCC v skladu s členom 13. Obseg pregleda se določi s predlagano odpravo šibke točke.
ODDELEK II
RAZKRITJE ŠIBKE TOČKE
Člen 37
Izmenjava informacij z nacionalnim certifikacijskim organom za kibernetsko varnost
1. Informacije, ki jih certifikacijski organ zagotovi nacionalnemu certifikacijskemu organu za kibernetsko varnost, vsebujejo vse potrebne elemente za razumevanje posledic šibke točke, sprememb proizvoda IKT in, kadar so na voljo, vse informacije certifikacijskega organa o širših posledicah šibke točke na druge certificirane proizvode IKT.
2. Informacije, zagotovljene v skladu z odstavkom 1, ne vsebujejo podrobnosti o načinih izkoriščanja šibke točke. Ta določba ne posega v preiskovalna pooblastila nacionalnega certifikacijskega organa za kibernetsko varnost.
Člen 38
Sodelovanje z drugimi nacionalnimi certifikacijskimi organi za kibernetsko varnost
1. Nacionalni certifikacijski organ za kibernetsko varnost si pomembne informacije, ki jih prejme v skladu s člen 37, izmenja z drugimi nacionalnimi certifikacijskimi organi za kibernetsko varnost in Agencijo ENISA.
2. Drugi nacionalni certifikacijski organ za kibernetsko varnost se lahko odločijo, da šibko točko nadalje analizirajo ali da od ustreznih certifikacijskih organov, po tem ko obvestijo imetnika certifikata EUCC, zahtevajo presojo, ali lahko šibka točka vpliva na druge certificirane proizvode IKT.
Člen 39
Objava šibke točke
Imetnik certifikata EUCC po njegovem odvzemu razkrije in evidentira vse javno znane in odpravljene šibke točke proizvoda IKT v evropski podatkovni zbirki ranljivosti, vzpostavljeni v skladu s členom 12 Direktive (EU) 2022/2555 (5), ali drugimi spletnimi seznami iz člena 55(1), točka (d), Uredbe (EU) 2019/881.
POGLAVJE VII
HRAMBA, RAZKRITJE IN VARSTVO INFORMACIJ
Člen 40
Hramba evidenc s strani certifikacijskih organov in centra za ocenjevanje varnosti informacijske tehnologije
1. Center za ocenjevanje varnosti informacijske tehnologije in certifikacijski organi vodijo sistem evidenc, ki vsebuje vse dokumente, pripravljene v zvezi s posameznim opravljenim ocenjevanjem in certificiranjem.
2. Certifikacijski organi in center za ocenjevanje varnosti informacijske tehnologije imajo evidence varno shranjene in jih hranijo za obdobje, potrebno za to uredbo, ter najmanj pet let po odvzemu ustreznega certifikata EUCC. Ko certifikacijski organ izda novo potrdilo EUCC v skladu s členom 13(2), točka (c), hrani dokumentacijo o odvzetem certifikatu EUCC skupaj z novim certifikatom EUCC, in sicer toliko časa kot za novi certifikat EUCC.
Člen 41
Informacije, ki jih predloži imetnik certifikata
1. Informacije iz člena 55 Uredbe (EU) 2019/881 so na voljo v jeziku, ki je uporabnikom zlahka razumljiv.
2. Imetnik certifikata EUCC za obdobje, potrebno za namene te uredbe, in vsaj pet let po odvzemu ustreznega certifikata EUCC varno shrani in hrani naslednje:
|
(a) |
evidence informacij, zagotovljene certifikacijskemu organu in centru za ocenjevanje varnosti informacijskih tehnologij med postopkom certificiranja, |
|
(b) |
vzorec certificiranega proizvoda IKT. |
3. Ko certifikacijski organ izda novo potrdilo EUCC v skladu s členom 13(2), točka (c), imetnik hrani dokumentacijo o odvzetem certifikatu EUCC skupaj z novim certifikatom EUCC, in sicer toliko časa kot za novi certifikat.
4. Imetnik certifikata EUCC na zahtevo certifikacijskega organa ali nacionalnega certifikacijskega organa za kibernetsko varnost predloži evidence in vzorce iz odstavka 2.
Člen 42
Informacije, ki jih mora predložiti ENISA
1. Agencija ENISA na spletišču iz člena 50(1) Uredbe (EU) 2019/881 objavi naslednje informacije:
|
(a) |
vse certifikate EUCC; |
|
(b) |
informacije o statusu certifikata EUCC, zlasti o tem, ali je veljaven, začasno preklican, odvzet ali mu je potekla veljavnost; |
|
(c) |
poročila o certificiranju, ki ustrezajo vsakemu certifikatu; |
|
(d) |
seznam akreditiranih organov za ocenjevanje skladnosti; |
|
(e) |
seznam pooblaščenih organov za ugotavljanje skladnosti; |
|
(f) |
najsodobnejše dokumente iz Priloge I; |
|
(g) |
mnenja evropske certifikacijske skupine za kibernetsko varnost iz člena 62(4), točka (c), Uredbe (EU) 2019/881; |
|
(h) |
poročila o medsebojnem strokovnem ocenjevanju, izdana v skladu s členom 47. |
2. Informacije iz odstavka 1 se dajo na voljo vsaj v angleščini.
3. Certifikacijski organi in, kadar je ustrezno, nacionalni certifikacijski organi za kibernetsko varnost nemudoma obvestijo ENISA o odločitvah, ki vplivajo na vsebino ali status certifikata EUCC iz člena 1, točka (b).
4. Agencija ENISA zagotovi, da informacije, objavljene v skladu z odstavkom 1, točke (a) do (c), jasno označujejo različice certificiranega proizvoda IKT, ki ga zajema certifikat EUCC.
Člen 43
Varstvo informacij
Organi za ugotavljanje skladnosti, nacionalni certifikacijski organi za kibernetsko varnost, evropska certifikacijska skupina za kibernetsko varnost, Agencija ENISA, Komisija in vse druge osebe zagotovijo varovanje in varstvo poslovnih skrivnosti in drugih zaupnih informacij, vključno s poslovnimi skrivnostmi, pa tudi ohranjanje pravic intelektualne lastnine ter sprejmejo potrebne in ustrezne tehnične in organizacijske ukrepe.
POGLAVJE VIII
SPORAZUMI O VZAJEMNEM PRIZNAVANJU S TRETJIMI DRŽAVAMI
Člen 44
Pogoji
1. Tretje države, ki so pripravljene svoje proizvode certificirati v skladu s to uredbo in ki želijo, da je tako certificiranje priznano v Uniji, sklenejo sporazum o vzajemnem priznavanju z Unijo.
2. Sporazum o vzajemnem priznavanju zajema veljavne ravni zanesljivosti za certificirane proizvode IKT in, kadar je ustrezno, profile zaščite.
3. Sporazume o vzajemnem priznavanju iz odstavka 1 je mogoče skleniti samo s tretjimi državami, ki izpolnjujejo naslednje pogoje:
|
(a) |
imajo organ, ki:
|
|
(b) |
imajo neodvisen akreditacijski organ, ki izvaja akreditacije in pri tem uporablja standarde, enakovredne standardom iz Uredbe (ES) št. 765/2008; |
|
(c) |
se zavezujejo, da se bodo ocenjevanje in certificiranje ter postopki izvajali strogo poslovno, pri čemer se bo upoštevala skladnost z mednarodnimi standardi iz te uredbe, zlasti člena 3; |
|
(d) |
imajo zmogljivost za poročanje o prej neodkritih šibkih točkah ter vzpostavljen uveljavljen in ustrezen postopek za obvladovanje in razkrivanje šibkih točk; |
|
(e) |
imajo uveljavljene postopke, ki omogočajo učinkovito vlaganje in obravnavo pritožb ter ki vložnikom zagotavljajo učinkovito pravno sredstvo; |
|
(f) |
vzpostavijo mehanizem za sodelovanje z drugimi organi držav Unije in držav članic, pristojnimi za certificiranje na področju kibernetske varnosti v skladu s to uredbo, vključno z izmenjavo informacij o po možnosti neskladnih certifikatih, spremljanju ustreznega razvoja dogodkov na področju certificiranja in zagotavljanju skupnega pristopa k ohranjanju in pregledovanju certificiranja. |
4. Sporazum o vzajemnem priznavanju iz odstavka 1, ki zajema „visoko“ raven zanesljivosti, se lahko poleg upoštevanja pogojev iz odstavka 3 sklene le s tistimi tretjimi državami, v katerih so izpolnjeni tudi naslednji pogoji:
|
(a) |
tretja država ima neodvisen in javen certifikacijski organ za kibernetsko varnost, ki izvaja ali prenaša ocenjevalne dejavnosti, ki omogočajo certificiranje na „visoki“ ravni zanesljivosti ter so enake zahtevam in postopkom, določenim za nacionalni organ za kibernetsko varnost v tej uredbi in Uredbi (EU) 2019/881; |
|
(b) |
se s sporazumom o vzajemnem priznavanju vzpostavlja skupni mehanizem, enakovreden medsebojnemu strokovnemu ocenjevanju za certificiranje EUCC, da se spodbuja izmenjava praks in skupno rešujejo težave na področju ocenjevanja in certificiranja. |
POGLAVJE IX
MEDSEBOJNO STROKOVNO OCENJEVANJE CERTIFIKACIJSKIH ORGANOV
Člen 45
Postopek medsebojnega strokovnega ocenjevanja
1. Redno in vsaj vsakih pet let se izvede medsebojno strokovno ocenjevanje certifikacijskega organa, ki izdaja certifikate EUCC na „visoki“ ravni zanesljivosti. Različne vrste medsebojnega strokovnega ocenjevanja so navedene v Prilogi IV.
2. Evropska certifikacijska skupina za kibernetsko varnost izdela in vzdržuje seznam medsebojnih strokovnih ocenjevanj, ki omogoča spoštovanje takih časovnih presledkov. Medsebojno strokovno ocenjevanje se razen v ustrezno utemeljenih primerih izvaja na kraju samem.
3. Medsebojno strokovno ocenjevanje lahko temelji na dokazih, zbranih med prejšnjimi takimi ocenjevanji ali enakovrednimi postopki medsebojno strokovno ocenjenega organa ali nacionalnega certifikacijskega organa za kibernetsko varnost, če:
|
(a) |
rezultati niso starejši od petih let; |
|
(b) |
rezultate spremlja opis postopkov medsebojnega strokovnega ocenjevanja, vzpostavljenih za shemo, kadar se nanašajo na medsebojno strokovno ocenjevanje, izvedeno v okviru drugačne certifikacijske sheme; |
|
(c) |
poročilo o medsebojnem strokovnem ocenjevanju iz člena 47 določa, kateri rezultati so bili ponovno uporabljeni z nadaljnjim ocenjevanjem ali brez njega. |
4. Če se medsebojno strokovno ocenjevanje nanaša na tehnično domeno, se oceni tudi zadevni center za ocenjevanje varnosti informacijske tehnologije.
5. Medsebojno strokovno ocenjen certifikacijski organ in po potrebi nacionalni certifikacijski organ za kibernetsko varnost zagotovita, da so skupini za medsebojno strokovno ocenjevanje na voljo vse ustrezne informacije.
6. Medsebojno strokovno ocenjevanje izvede skupina za medsebojno strokovno ocenjevanje, ustanovljena v skladu s Prilogo VI.
Člen 46
Faze medsebojnega strokovnega ocenjevanja
1. V fazi priprave člani skupine za medsebojno strokovno ocenjevanje pregledajo dokumentacijo certifikacijskega organa, ki zajema njegove politike in postopke, vključno z uporabo najsodobnejših dokumentov.
2. V fazi obiska na kraju samem skupina za medsebojno strokovno ocenjevanje oceni tehnično usposobljenost in, kadar je ustrezno, pristojnost centra za ocenjevanje varnosti informacijske tehnologije, ki je izvedel vsaj eno ocenjevanje proizvoda IKT, ki ga zajema medsebojno strokovno ocenjevanje.
3. Trajanje faze obiska na kraju samem se lahko podaljša ali skrajša, in sicer glede na dejavnike, kot so možnost ponovne uporabe obstoječih dokazov in rezultatov medsebojnega strokovnega ocenjevanja ali število centrov za ocenjevanje varnosti informacijske tehnologije in tehničnih domen, za katere certifikacijski organ izda certifikate.
4. Skupina za medsebojno strokovno ocenjevanje, kadar je ustrezno, določi tehnično usposobljenost vsakega centra za ocenjevanje varnosti informacijske tehnologije, tako da obišče njegov tehnični laboratorij ali laboratorije ter opravi razgovore z njegovimi ocenjevalci o tehničnih domenah in povezanih posebnih metodah napada.
5. Med poročanjem skupina za medsebojno strokovno ocenjevanje svoje ugotovitve dokumentira v poročilu o medsebojnem strokovnem ocenjevanju, vključno z mnenjem in, kadar je ustrezno, seznamom ugotovljenih neskladnosti, od katerih je vsaka ocenjena s stopnjo pomembnosti.
6. O poročilu o medsebojnem strokovnem ocenjevanju je treba najprej razpravljati s strokovno medsebojno ocenjenim certifikacijskim organom. Po teh razpravah strokovno medsebojno ocenjen certifikacijski organ določi seznam ukrepov, ki jih je treba sprejeti za obravnavanje ugotovitev.
Člen 47
Poročilo o medsebojnem strokovnem ocenjevanju
1. Skupina za medsebojno strokovno ocenjevanje medsebojno strokovno ocenjenemu certifikacijskemu organu predloži osnutek poročila o medsebojnem strokovnem ocenjevanju.
2. Medsebojno strokovno ocenjen certifikacijski organ skupini za medsebojno strokovno ocenjevanje pošlje pripombe v zvezi z ugotovitvami in seznam zavez za odpravo pomanjkljivosti, opredeljenih v osnutku poročila o medsebojnem strokovnem ocenjevanju.
3. Skupina za medsebojno strokovno ocenjevanje evropski certifikacijski skupini za kibernetsko varnost predloži končno poročilo o medsebojnem strokovnem ocenjevanju, v katero so vključene tudi pripombe in zaveze medsebojno strokovno ocenjenega certifikacijskega organa. Skupina za medsebojno strokovno ocenjevanje vključi tudi svoje stališče o pripombah in o tem, ali zaveze zadostujejo za odpravo ugotovljenih pomanjkljivosti.
4. Če so v poročilu o medsebojnem strokovnem ocenjevanju ugotovljene neskladnosti, lahko evropska certifikacijska skupina za kibernetsko varnost medsebojno strokovno ocenjenemu certifikacijskemu organu določi ustrezen rok za odpravo neskladnosti.
5. Evropska certifikacijska skupina za kibernetsko varnost sprejme mnenje o poročilu o medsebojnem strokovnem ocenjevanju:
|
(a) |
kadar v poročilu o medsebojnem strokovnem ocenjevanju neskladnosti niso ugotovljene ali jih je medsebojno strokovno ocenjen certifikacijski organ ustrezno odpravil, lahko evropska certifikacijska skupina za kibernetsko varnost izda pozitivno mnenje in vsi ustrezni dokumenti se objavijo na spletišču Agencije ENISA o certificiranju; |
|
(b) |
če medsebojno strokovno ocenjen certifikacijski organ neskladnosti v določenem roku ne odpravi ustrezno, lahko evropska certifikacijska skupina za kibernetsko varnost izda negativno mnenje, ki se objavi na spletišču Agencije ENISA o certificiranju, vključno s poročilom o medsebojnem strokovnem ocenjevanju in vsemi ustreznimi dokumenti. |
6. Iz objavljenih dokumentov se pred objavo mnenja odstranijo vse občutljive, osebne ali zaščitene informacije.
POGLAVJE X
VZDRŽEVANJE SHEME
Člen 48
Vzdrževanje EUCC
1. Komisija lahko od evropske certifikacijske skupine za kibernetsko varnost zahteva, da sprejme mnenje o vzdrževanju EUCC in izvede ustrezno pripravljalno delo.
2. Evropska certifikacijska skupina za kibernetsko varnost lahko sprejme mnenje v podporo najsodobnejših dokumentov.
3. Agencija ENISA objavi najsodobnejše dokumente, ki jih je podprla evropska certifikacijska skupina za kibernetsko varnost.
POGLAVJE XI
KONČNE DOLOČBE
Člen 49
Nacionalne sheme, zajete v EUCC
1. Vse nacionalne certifikacijske sheme za kibernetsko varnost ter z njimi povezani postopki za proizvode IKT in postopki IKT, ki so zajeti v EUCC, v skladu s členom 57(1) Uredbe (EU) 2019/881 in brez poseganja v člen 57(3) navedene uredbe prenehajo učinkovati 12 mesecev po začetku veljavnosti te uredbe.
2. Z odstopanjem od člena 50 se lahko postopek certificiranja začne na podlagi nacionalne certifikacijske sheme za kibernetsko varnost v 12 mesecih od začetka veljavnosti te uredbe, če se postopek certificiranja zaključi najpozneje 24 mesecev po začetku veljavnosti te uredbe.
3. Certifikati, izdani v okviru nacionalnih certifikacijskih shem za kibernetsko varnost, so lahko predmet pregleda. Novi certifikati, ki nadomestijo pregledane, se izdajo v skladu s to uredbo.
Člen 50
Začetek veljavnosti
Ta uredba začne veljati dvajseti dan po objavi v Uradnem listu Evropske unije.
Uporablja se od 27. februarja 2025.
Poglavje IV in Priloga V se uporabljata od začetka veljavnosti te uredbe.
Ta uredba je v celoti zavezujoča in se neposredno uporablja v vseh državah članicah.
V Bruslju, 31. januarja 2024
Za Komisijo
predsednica
Ursula VON DER LEYEN
(1) UL L 151, 7.6.2019, str. 15.
(2) Sporazum o vzajemnem priznavanju certifikatov o ocenjevanju varnosti informacijske tehnologije, različica 3.0 iz januarja 2010, na voljo na spletišču sogis.eu, ki ga je odobrila skupina visokih uradnikov Evropske komisije za varnost informacijskih sistemov v odziv na točko 3 Priporočila Sveta 95/144/ES z dne 7. aprila 1995 o skupnih merilih za ocenjevanje varnosti informacijske tehnologije (UL L 93, 26.4.1995, str. 27).
(3) Joint Interpretation Library: Minimum ITSEF Requirements for Security Evaluations of Smart cards and similar devices, različica 2.1 iz februarja 2020, na voljo na spletišču sogis.eu.
(4) Uredba (EU) 2019/1020 Evropskega parlamenta in Sveta z dne 20. junija 2019 o nadzoru trga in skladnosti proizvodov ter spremembi Direktive 2004/42/ES in uredb (ES) št. 765/2008 in (EU) št. 305/2011 (UL L 169, 25.6.2019, str. 1).
(5) Direktiva (EU) 2022/2555 Evropskega parlamenta in Sveta z dne 14. decembra 2022 o ukrepih za visoko skupno raven kibernetske varnosti v Uniji, spremembi Uredbe (EU) št. 910/2014 in Direktive (EU) 2018/1972 ter razveljavitvi Direktive (EU) 2016/1148 (direktiva NIS 2) (UL L 333, 27.12.2022, str. 80).
PRILOGA I
TEHNIČNE DOMENE IN NAJSODOBNEJŠI DOKUMENTI
1.
Tehnične domene na ravni AVA_VAN 4 ali 5:|
(a) |
dokumenti, povezani s harmoniziranim ocenjevanjem tehnične domene „pametne kartice in podobne naprave“ ter zlasti naslednji dokumenti v ustrezni različici, ki je začela veljati [datum začetka veljavnosti]:
|
|
(b) |
dokumenti, povezani s harmoniziranim ocenjevanjem tehnične domene „naprave strojne opreme z varnostnimi napravami“ ter zlasti naslednji dokumenti v ustrezni različici, ki je začela veljati [datum začetka veljavnosti]:
|
2.
Najsodobnejši dokumenti v ustrezni različici, ki je začela veljati [datum začetka veljavnosti]:|
a) |
dokument, povezan s harmonizirano akreditacijo organov za ugotavljanje skladnosti: „akreditacija centrov za ocenjevanje varnosti informacijske tehnologije za EUCC“, ki ga je ECCG prvotno odobrila 20. oktobra 2023; |
PRILOGA II
PROFILI ZAŠČITE, CERTIFICIRANI NA RAVNI AVA_VAN 4 ALI 5
1.
Za kategorijo naprav za ustvarjanje kvalificiranega podpisa in žiga na daljavo:|
(1) |
EN 419241-2:2019 – Zaupanja vredni sistemi, ki podpirajo strežniško podpisovanje – 2. del: Zaščitni profil za QSCD za strežniško podpisovanje; |
|
(2) |
EN 419221-5:2018 – Zaščitni profili za ponudnike storitev zaupanja za kriptografske module – 5. del: Kriptografski modul za storitve zaupanja |
2.
Profili zaščite, ki so bili sprejeti kot najsodobnejši dokumenti:[PRAZNO]
PRILOGA III
PRIPOROČENI PROFILI ZAŠČITE (PONAZORITEV TEHNIČNIH DOMEN IZ PRILOGE I)
Profili zaščite, uporabljeni za certificiranje proizvodov IKT, iz kategorij proizvodov IKT, navedenih v nadaljevanju:
|
(a) |
za kategorijo strojno berljivih potnih listin:
|
|
(b) |
za kategorijo naprav za ustvarjanje varnega podpisa:
|
|
(c) |
za kategorijo digitalnih tahografov:
|
|
(d) |
za kategorijo varnih integriranih vezij, pametnih kartic in povezanih naprav:
|
|
(e) |
za kategorijo točk (plačilne) interakcije in plačilnih terminalov:
|
|
(f) |
za kategorijo naprav strojne opreme z varnostnimi napravami:
|
PRILOGA IV
Neprekinjena zanesljivost in pregled certifikata
IV.1 Neprekinjena zanesljivost: področje uporabe
|
1. |
Naslednje zahteve za neprekinjeno zanesljivost veljajo pri dejavnostih vzdrževanja v zvezi z naslednjim:
|
|
2. |
Imetnik certifikata EUCC lahko zahteva pregled certifikata v naslednjih primerih:
|
IV.2 Ponovna ocena
|
1. |
Če je treba oceniti vpliv sprememb nespremenjenega certificiranega proizvoda IKT v krajini groženj, se certifikacijskemu organu predloži zahtevek za ponovno oceno. |
|
2. |
Ponovno oceno izvede isti center za ocenjevanje varnosti informacijske tehnologije, ki je bil vključen v prejšnje ocenjevanje, pri čemer uporabi vse še vedno veljavne rezultate. Ocenjevanje je usmerjeno na dejavnosti zanesljivosti, na katere potencialno vpliva spremenjena krajina groženj certificiranega proizvoda IKT, zlasti ustrezna družina AVA_VAN in prav tako skupina z zagotovljeno zanesljivostjo v življenjskem ciklu (assurance lifecycle – ALC), pri čemer se znova zberejo zadostni dokazi o vzdrževanju okolja razvoja. |
|
3. |
Center za ocenjevanje varnosti informacijske tehnologije opiše spremembe in podrobnosti rezultatov ponovne ocene, tako da posodobi prejšnje tehnično poročilo o ocenjevanju. |
|
4. |
Certifikacijski organ navedeno poročilo pregleda in pripravi poročilo o ponovni oceni. Status prvotnega certifikata se nato spremeni v skladu s členom 13. |
|
5. |
Nacionalnemu certifikacijskemu organu za kibernetsko varnost in Agenciji ENISA se predložita poročilo o ponovni oceni in posodobljen certifikat za objavo na njunem spletišču o certificiranju na področju kibernetske varnosti. |
IV.3 Spremembe certificiranega proizvoda IKT
|
1. |
Imetnik certifikata, ki želi certifikat ohraniti, ob spremembi certificiranega proizvoda IKT certifikacijskemu organu predloži poročilo o analizi učinka posledic. |
|
2. |
V poročilu o analizi učinka posledic so naslednji elementi:
|
|
3. |
Certifikacijski organ preuči spremembe, opisane v poročilu o analizi posledic, da bi potrdil njihove posledice na zanesljivost certificiranega cilja ocenjevanja, kot so predlagane v ugotovitvah poročila o analizi učinka posledic. |
|
4. |
Po preučitvi opredeli obseg spremembe kot manjšo ali večjo glede na njene posledice. |
|
5. |
Če certifikacijski organ potrdi, da so spremembe manjše, se za spremenjeni proizvod IKT izda nov certifikat in pripravi poročilo o vzdrževanju k prvotnemu poročilu o certificiranju pod naslednjimi pogoji:
|
|
6. |
Novi certifikat, vključno s poročilom o vzdrževanju, se pošlje Agenciji ENISA za objavo na spletišču o certificiranju na področju kibernetske varnosti. |
|
7. |
Če se potrdi, da so spremembe večje, se v okviru prejšnjega ocenjevanja opravi ponovna ocena, pri čemer se ponovno uporabijo vsi še vedno veljavni rezultati iz prejšnjega ocenjevanja. |
|
8. |
Ko je ocenjevanje spremenjenega cilja ocenjevanja dokončano, center za ocenjevanje varnosti informacijske tehnologije pripravi novo tehnično poročilo o ocenjevanju. Certifikacijski organ pregleda posodobljeno tehnično poročilo o ocenjevanju in po potrebi oblikuje nov certifikat z novim poročilom o certificiranju. |
|
9. |
Novi certifikat in poročilo o certificiranju se predložita Agenciji ENISA za objavo. |
IV.4 Upravljanje popravkov
|
1. |
S postopkom upravljanja popravkov se zagotavlja strukturirana posodobitev certificiranega proizvoda IKT. Postopek upravljanja popravkov, vključno z mehanizmom, kot ga v proizvod IKT uvede vložnik za certificiranje, se lahko na odgovornost organa za ocenjevanje skladnosti uporabi po certificiranju proizvoda IKT. |
|
2. |
Vložnik za certificiranje lahko v certificiranje proizvoda IKT vključi mehanizem popravkov kot del postopka certificiranega upravljanja, ki se izvaja za proizvod IKT, pod enim od naslednjih pogojev:
|
|
3. |
Če se popravek nanaša na večjo spremembo cilja ocenjevanja certificiranega proizvoda IKT v povezavi s prej neodkrito šibko točko, ki nima ključnih posledic za varnost proizvoda IKT, se uporabljajo določbe člena 13. |
|
4. |
Postopek upravljanja popravkov proizvoda IKT sestavljajo naslednji elementi:
|
|
5. |
Med certificiranjem proizvoda IKT:
|
|
6. |
Imetnik certifikata lahko popravek, proizveden v skladu s certificiranim postopkom upravljanja popravkov, začne uporabljati pri zadevnem certificiranem proizvodu IKT in v petih delovnih dneh v naslednjih primerih sprejme naslednje ukrepe:
|
PRILOGA V
Vsebina poročila o certificiranju
V.1 Poročilo o certificiranju
|
1. |
Certifikacijski organ na podlagi tehničnih poročil o ocenjevanju, ki jih je predložil center za ocenjevanje varnosti informacijske tehnologije, pripravi poročilo o certificiranju za objavo skupaj z ustreznim certifikatom EUCC. |
|
2. |
To poročilo o certificiranju je vir podrobnih in praktičnih informacij o proizvodu IKT ali kategoriji proizvodov IKT in varnem uvajanju proizvoda IKT ter zato vključuje vse javno dostopne informacije v skupni rabi, ki so pomembne za uporabnike in zainteresirane strani. Na take informacije lahko napotuje poročilo o certificiranju. |
|
3. |
Poročilo o certificiranju vsebuje vsaj naslednje elemente:
|
|
4. |
V povzetku je na kratko povzeto celotno poročilo o certificiranju. V njem je jasen in jedrnat pregled rezultatov ocenjevanja ter so zajete naslednje informacije:
|
|
5. |
Ocenjeni proizvod IKT je jasno opredeljen in zajema tudi naslednje informacije:
|
|
6. |
Informacije, vključene v ta oddelek, so čim bolj točne, da se zagotovi popolna in natančna predstavitev proizvoda IKT, ki se lahko ponovno uporabi pri prihodnjih ocenjevanjih. |
|
7. |
Oddelek o varnostni politiki vsebuje opis varnostne politike proizvoda IKT in politik ali pravil, ki jih bo izvajal ali izpolnjeval ocenjeni proizvod IKT. Zajema navedbo in opis naslednjih politik:
|
|
8. |
Politika lahko, kadar je ustrezno, zajema pogoje v zvezi z uporabo postopka upravljanja popravkov med veljavnostjo certifikata. |
|
9. |
Oddelek za predpostavke in pojasnitev obsega vsebuje izčrpne informacije o okoliščinah in ciljih, povezanih s predvideno uporabo proizvoda, kakor je navedeno v členu 7(1), točka (c). Informacije vključujejo:
|
|
10. |
Informacije iz točke 9 so čim bolj razumljive, da bi lahko uporabniki certificiranega proizvoda IKT sprejemali informirane odločitve o tveganjih, povezanih z njihovo uporabo. |
|
11. |
V oddelku informacij o arhitekturi je zajet opis proizvoda IKT in njegovih glavnih komponent v visokem programskem jeziku v skladu s skupnimi merili za zasnovo podsistemov ADV_TDS. |
|
12. |
Popoln seznam dodatnih informacij o kibernetski varnosti proizvoda IKT je zagotovljen v skladu s členom 55 Uredbe (EU) 2019/881. Vsi ustrezni dokumenti so označeni s številkami različice. |
|
13. |
Oddelek za preizkušanje proizvodov IKT vključuje naslednje informacije:
|
|
14. |
V oddelku o rezultatih ocenjevanja in informacijah o certifikatu so zajete naslednje informacije:
|
|
15. |
Varnostni cilj se vključi v poročilo o certificiranju ali je v njem naveden in povzet ter zagotovljen skupaj z njim za objavo. |
|
16. |
Varnostni cilj je lahko prečiščen v skladu z oddelkom VI.2. |
|
17. |
V poročilo o certificiranju se lahko vključita znak ali oznaka, povezana z EUCC, v skladu s pravili in postopki iz člena 11. |
|
18. |
V oddelku o seznamu literature so zajeti sklici na vse dokumente, uporabljene pri pripravi poročila o certificiranju. Te informacije vključujejo najmanj naslednje:
|
|
19. |
Da bi se ocenjevanje lahko ponovilo, morajo biti vsi dokumenti edinstveno označeni z ustreznim datumom izdaje in ustrezno številko različice. |
V.2 Prečiščevanje varnostnega cilja za objavo
|
1. |
Varnosti cilj, vključen v poročilo o certificiranju ali naveden v tem poročilu v skladu s točko 1 oddelka VI.1, je lahko prečiščen z odstranitvijo ali povzetkom zaščitenih tehničnih informacij. |
|
2. |
Prečiščeni varnostni cilj, ki iz tega izhaja, je realna predstavitev celotne izvirne različice. To pomeni, da se iz prečiščenega varnostnega cilja ne smejo izpustiti informacije, potrebne za razumevanje varnostnih lastnosti cilja in obsega ocenjevanja. |
|
3. |
Vsebina prečiščenega varnostnega cilja je skladna z naslednjimi minimalnimi zahtevami:
|
|
4. |
Certifikacijski organ zagotovi, da je prečiščeni varnostni cilj, tudi če ni uradno ocenjen v skladu s standardi ocenjevanja iz člena 3, skladen s celotnim in ocenjenim varnostnim ciljem, ter v certifikacijskem poročilu navede celoten in prečiščen varnostni cilj. |
PRILOGA VI
Obseg in sestava skupine za medsebojna strokovna ocenjevanja
VI.1 Obseg medsebojnega strokovnega ocenjevanja
|
1. |
Zajete so naslednje vrste medsebojnega strokovnega ocenjevanja:
|
|
2. |
Medsebojno strokovno ocenjeni certifikacijski organ predloži seznam certificiranih proizvodov IKT, ki so lahko predlagani za pregled s strani skupine za medsebojno strokovno ocenjevanje, v skladu z naslednjimi pravili:
|
VI.2 Skupina za medsebojno strokovno ocenjevanje
|
1. |
Skupino za medsebojno strokovno ocenjevanje sestavljata vsaj dva strokovnjaka, izbrana iz različnih certifikacijskih organov iz različnih držav članic, ki izdajajo certifikate na „visoki“ ravni zanesljivosti. Izkazati morata ustrezno strokovno znanje in izkušnje na področju standardov iz člena 3 in najsodobnejših dokumentov, ki spadajo v obseg medsebojnega strokovnega ocenjevanja. |
|
2. |
V primeru prenosa naloge izdajanja certifikatov ali predhodne odobritve certifikatov, kot je določeno v členu 56(6) Uredbe (EU) 2019/881, v skupini strokovnjakov, izbranih v skladu z odstavkom 1 tega oddelka, sodeluje tudi strokovnjak iz nacionalnega certifikacijskega organa za kibernetsko varnost, povezanega z zadevnim certifikacijskim organom. |
|
3. |
Za vrsto 2 medsebojnega strokovnega ocenjevanja so člani skupine izbrani iz certifikacijskih organov, pooblaščenih za zadevno tehnično domeno. |
|
4. |
Vsak član skupine za ocenjevanje ima vsaj dve leti izkušenj z izvajanjem dejavnosti certificiranja v certifikacijskem organu. |
|
5. |
Za vrsti 2 ali 3 medsebojnega strokovnega ocenjevanja ima vsak član skupine za ocenjevanje vsaj dve leti izkušenj z izvajanjem dejavnosti certificiranja na področju te ustrezne tehnične domene ali profila zaščite ter dokazano strokovno znanje in izkušnje in sodelovanje v postopku pooblastila centru za ocenjevanje varnosti informacijske tehnologije. |
|
6. |
Kot opazovalca pri medsebojnem strokovnem ocenjevanju sodelujeta nacionalni certifikacijski organ za kibernetsko varnost, ki spremlja in nadzoruje medsebojno strokovno ocenjen certifikacijski organ, in vsaj en nacionalni certifikacijski organ za kibernetsko varnost, katerega certifikacijski organ ni predmet medsebojnega strokovnega ocenjevanja. Tudi Agencija ENISA lahko sodeluje kot opazovalka pri medsebojnem strokovnem ocenjevanju. |
|
7. |
Medsebojno strokovno ocenjenemu certifikacijskemu organu je predstavljena sestava skupine za medsebojno strokovno ocenjevanje. V utemeljenih primerih lahko izpodbija sestavo te skupine in zahteva njen pregled. |
PRILOGA VII
Vsebina certifikata eucc
Certifikat EUCC vsebuje najmanj:
|
(a) |
edinstveni identifikator, ki ga določi certifikacijski organ, ki izda certifikat; |
|
(b) |
informacije, povezane s certificiranim proizvodom IKT ali profilom zaščite in imetnikom certifikata, ki zajemajo:
|
|
(c) |
informacije, povezane z ocenjevanjem in certificiranjem proizvoda IKT ali profila zaščite, ki zajemajo:
|
|
(d) |
znak in oznako, ki sta povezana s certifikatom v skladu s členom 11. |
PRILOGA VIII
Izjava o paketu zanesljivosti
1.
V nasprotju z opredelitvami iz skupnih meril povečanje:|
(a) |
ni označeno s kratico „+“; |
|
(b) |
se podrobno opiše s seznamom vseh zadevnih komponent; |
|
(c) |
se podrobno opiše v poročilu o certificiranju. |
2.
Raven zanesljivosti, potrjena v certifikatu EUCC, se lahko dopolni s standardom označevanja ravni varnostne zaščite (Evaluation Assurance Level – EAL, kot je določeno v členu 3 te uredbe.
3.
Če se raven zanesljivosti, potrjena v certifikatu EUCC, ne nanaša na povečanje, se v certifikatu EUCC navede eden od naslednjih paketov:|
(a) |
„paket posebne zanesljivosti“; |
|
(b) |
„paket zanesljivosti, skladen s profilom zaščite,“ v primeru sklica na profil zaščite brez EAL. |
PRILOGA IX
ZNAK IN OZNAKA
1.
Oblika znaka in oznake:
2.
Če sta znak in oznaka pomanjšana ali povečana, se upošteva razmerje, ki ga določa zgornja risba.
3.
Če sta znak in oznaka fizično prisotna, sta visoka najmanj 5 mm.
ELI: http://data.europa.eu/eli/reg_impl/2024/482/oj
ISSN 1977-0804 (electronic edition)