IZVEDBENA UREDBA KOMISIJE (EU) 2024/482
z dne 31. januarja 2024
o določitvi pravil za uporabo Uredbe (EU) 2019/881 Evropskega parlamenta in Sveta v zvezi s sprejetjem evropske certifikacijske sheme za kibernetsko varnost, ki temelji na skupnih merilih
(Besedilo velja za EGP)
POGLAVJE I
SPLOŠNE DOLOČBE
Člen 1
Predmet urejanja in področje uporabe
Ta uredba določa evropsko certifikacijsko shemo za kibernetsko varnost, ki temelji na skupnih merilih (v nadaljnjem besedilu: EUCC).
Ta uredba se uporablja za vse proizvode informacijske in komunikacijske tehnologije (v nadaljnjem besedilu: proizvodi IKT), tudi njihovo dokumentacijo, predložene za certificiranje na podlagi EUCC, ter vse profile zaščite, predložene za certificiranje v okviru postopka IKT, na podlagi katerega se certificirajo proizvodi IKT.
Člen 2
Opredelitev pojmov
Za namene te uredbe se uporabljajo naslednje opredelitve pojmov:
,skupna merila‘ pomeni skupna merila za ocenjevanje varnosti informacijske tehnologije, kot so določena v standardih ISO/IEC 15408-1:2022, ISO/IEC 15408-2:2022, ISO/IEC 15408-3:2022, ISO/IEC 15408-4:2022 ali ISO/IEC 15408-5:2022 ali določena v skupnih merilih za ocenjevanje varnosti informacijske tehnologije, različica CC:2022, deli 1 do 5, ki so jih objavili udeleženci dogovora o priznavanju certifikatov na podlagi skupnih meril na področju varnosti IT;
„skupna metodologija ocenjevanja“ pomeni skupno metodologijo za ocenjevanje varnosti informacijske tehnologije, kot je določena v standardu ISO/IEC 18045:2022, ali skupno metodologijo za ocenjevanje varnosti informacijske tehnologije, različica CEM:2022, ki so jo objavili udeleženci dogovora o priznavanju certifikatov na podlagi skupnih meril na področju varnosti IT;
„cilj ocenjevanja“ pomeni proizvod IKT, njegov del ali profil zaščite v okviru postopka IKT, pri katerem se oceni kibernetska varnost za pridobitev certificiranja po EUCC;
„varnostni cilj“ pomeni zahtevek za varnostne zahteve, odvisne od izvajanja, za določen proizvod IKT;
„profil zaščite“ pomeni postopek IKT, ki določa varnostne zahteve za določeno kategorijo proizvodov IKT, s čimer se obravnavajo potrebe po varnosti, neodvisne od izvajanja, in ki se lahko uporabljajo za ocenjevanje proizvodov IKT, ki spadajo v navedeno določeno kategorijo za namene certificiranja;
„tehnično poročilo o ocenjevanju“ pomeni dokument, ki ga pripravi center za ocenjevanje varnosti informacijske tehnologije, da predstavi ugotovitve, ocene in utemeljitve, pridobljene med ocenjevanjem proizvoda IKT ali profila zaščite v skladu s pravili in obveznostmi iz te uredbe;
„center za ocenjevanje varnosti informacijske tehnologije“ pomeni obrat za ocenjevanje varnosti informacijske tehnologije, ki je organ za ugotavljanje skladnosti, kakor je opredeljen v členu 2, točka 13, Uredbe (ES) št. 765/2008, in ki izvaja naloge ocenjevanja;
„raven AVA_VAN“ pomeni raven zanesljivosti analize šibke točke, ki kaže stopnjo ocenjevanja dejavnosti na področju kibernetske varnosti, izvedeno za določitev stopnje odpornosti na možnost izkoriščanja hib ali pomanjkljivosti cilja ocenjevanja v operativnem okolju, kakor je določeno v skupnih merilih;
„certifikat EUCC“ pomeni certifikat kibernetske varnosti, izdan na podlagi EUCC za proizvode IKT ali profile zaščite, ki se lahko uporabljajo izključno v postopku certificiranja proizvodov IKT;
„sestavljeni proizvod“ pomeni proizvod IKT, ocenjen skupaj z drugim osnovnim proizvodom IKT, ki je že prejel certifikat EUCC in od katerega varnostne funkcionalnosti je odvisen sestavljeni proizvod IKT;
„nacionalni certifikacijski organ za kibernetsko varnost“ pomeni organ, ki ga imenuje država članica v skladu s členom 58(1) Uredbe (EU) 2019/881;
„certifikacijski organ“ pomeni organ za ugotavljanje skladnosti, kakor je opredeljen v členu 2, točka 13, Uredbe (ES) št. 765/2008, ki izvaja dejavnosti certificiranja;
„tehnična domena“ pomeni skupni tehnični okvir, povezan z določeno tehnologijo za harmonizirano certificiranje s sklopom značilnih varnostnih zahtev;
„najsodobnejši dokument“ pomeni dokument, v katerem so opredeljeni metode, tehnike in orodja ocenjevanja, ki se uporabljajo pri certificiranju proizvodov IKT, ali varnostne zahteve za generično kategorijo proizvodov IKT, ali kakršne koli druge zahteve, potrebne za certificiranje, da se harmonizira ocenjevanje, zlasti tehničnih domen ali profilov zaščite;
„organ za nadzor trga“ pomeni organ, kakor je opredeljen v členu 3(4) Uredbe (EU) 2019/1020.
Člen 3
Standardi ocenjevanja
Pri ocenjevanjih, izvedenih v okviru EUCC, veljajo naslednji standardi:
skupna merila in
skupna metodologija ocenjevanja.
Do 31. decembra 2027 se lahko izda certifikat na podlagi EUCC, ki uporablja enega od naslednjih standardov:
ISO/IEC 15408-1:2009, ISO/IEC 15408-2:2008 ali ISO/IEC 15408-3:2008;
skupna merila za ocenjevanje varnosti informacijske tehnologije, različica 3.1, revizija 5, ki so jih objavili udeleženci dogovora o priznavanju certifikatov na podlagi skupnih meril na področju varnosti IT;
ISO/IEC 18045:2008;
skupna metodologija za ocenjevanje varnosti informacijske tehnologije, revizija 5, različica 3.1, ki so jo objavili udeleženci dogovora o priznavanju certifikatov na podlagi skupnih meril na področju varnosti IT.
Certifikat, s katerim se uporabljajo standardi iz odstavka 1, se lahko izda na podlagi EUCC, ki potrjuje skladnost s profilom zaščite, ki uporablja katerega koli od naslednjih standardov, če uporabo takega profila zaščite zahteva Izvedbena uredba Komisije (EU) 2016/799 ( 1 ), Uredba (EU) št. 910/2014 Evropskega parlamenta in Sveta ( 2 ) ali Izvedbeni sklep Komisije (EU) 2016/650 ( 3 ):
skupna merila za ocenjevanje varnosti informacijske tehnologije, različica 3.1, revizije 1 do 4, ki so jih objavili udeleženci dogovora o priznavanju certifikatov na podlagi skupnih meril na področju varnosti IT;
skupna metodologija za ocenjevanje varnosti informacijske tehnologije, različica 3.1, revizije 1 do 4, ki so jo objavili udeleženci dogovora o priznavanju certifikatov na podlagi skupnih meril na področju varnosti IT.
Člen 4
Ravni zanesljivosti
Člen 5
Metode za certificiranje proizvodov IKT
Člen 6
Samoocenjevanje skladnosti
Samoocenjevanje skladnosti v smislu člena 53 Uredbe (EU) 2019/881 ni dovoljeno.
POGLAVJE II
CERTIFICIRANJE PROIZVODOV IKT
ODDELEK I
POSEBNI STANDARDI IN ZAHTEVE ZA OCENJEVANJE
Člen 7
Merila in metode za ocenjevanje proizvodov IKT
Proizvod IKT, predložen za certificiranje, se oceni vsaj v skladu z naslednjim:
veljavnimi elementi iz standardov, navedenimi v členu 3;
razredi zahtev za zagotavljanje varnosti za oceno šibkih točk in neodvisno funkcionalno preizkušanje, kakor je določeno v ocenjevalnih standardih iz člena 3;
ravnjo tveganja, povezano s predvideno uporabo zadevnih proizvodov IKT v skladu s členom 52 Uredbe (EU) 2019/881, in njihovimi varnostnimi funkcionalnostmi, ki podpirajo varnostne cilje iz člena 51 Uredbe (EU) 2019/881;
veljavnimi najsodobnejši dokumenti iz Priloge I, in
veljavnimi certificiranimi profili zaščite iz Priloge II.
Certificiranje proizvodov IKT na ravni AVA_VAN 4 ali 5 je mogoče le v naslednjih primerih:
kadar proizvod IKT zajema katera koli tehnična domena iz Priloge I, se oceni v skladu z veljavnimi najsodobnejšimi dokumenti teh tehničnih domen,
kadar proizvod IKT spada v kategorijo proizvodov, ki jo zajema certificiran profil zaščite, ki vključuje ravni AVA_VAN 4 ali 5 in ki je v Prilogi II naveden kot najsodobnejši profil zaščite, se oceni v skladu z metodologijo ocenjevanja, določeno za navedeni profil zaščite,
kadar se točki a) in b) tega odstavka ne uporabljata in vključitev tehnične domene v Prilogo I ali certificiranega profila zaščite v Prilogo II v bližnji prihodnosti ni verjetna ter le v izjemnih in ustrezno utemeljenih primerih pod pogoji iz odstavka 4.
ODDELEK II
IZDAJANJE, PODALJŠANJE IN ODVZEM CERTIFIKATA EUCC
Člen 8
Informacije, ki so potrebne za certificiranje in ocenjevanje
Vložniki za certificiranje lahko certifikacijskemu organu in centru za ocenjevanje varnosti informacijske tehnologije zagotovijo ustrezne rezultate o ocenjevanju iz prejšnjega certificiranja v skladu:
s to uredbo;
z drugo evropsko certifikacijsko shemo za kibernetsko varnost, sprejeto v skladu s členom 49 Uredbe (EU) 2019/881;
z nacionalno shemo iz člena 49 te uredbe.
Vložnik za certificiranje certifikacijskemu organu in centru za ocenjevanje varnosti informacijske tehnologije zagotovi tudi naslednje informacije:
povezavo na svoje spletišče, ki vsebuje dodatne informacije o kibernetski varnosti iz člena 55 Uredbe (EU) 2019/881;
opis postopkov obvladovanja in razkrivanja šibkih točk vložnika.
Člen 9
Pogoji za izdajanje certifikata EUCC
Certifikacijski organi izdajo certifikat EUCC, če so izpolnjeni vsi naslednji pogoji:
kategorija proizvoda IKT spada na področje akreditacije in, kadar je ustrezno, odobritve certifikacijskega organa in centra za ocenjevanje varnosti informacijske tehnologije, vključenega v certificiranje;
vložnik za certificiranje je podpisal izjavo o sprejetju vseh zavez iz odstavka 2;
center za ocenjevanje varnosti informacijske tehnologije je ocenjevanje zaključil brez ugovora v skladu s standardi, merili in metodami ocenjevanja iz členov 3 in 7;
certifikacijski organ je pregled rezultatov ocenjevanja zaključil brez ugovora;
certifikacijski organ je preveril, da so tehnična poročila o ocenjevanju, ki jih je predložil center za ocenjevanje varnosti informacijske tehnologije, skladna s predloženimi dokazi ter da so bili standardi, merila in metode iz členov 3 in 7 pravilno uporabljeni.
Vložnik za certificiranje sprejme naslednje zaveze:
certifikacijskemu organu in centru za ocenjevanje varnosti informacijske tehnologije zagotoviti vse potrebne popolne in točne informacije, na zahtevo pa tudi dodatne potrebne informacije;
pred izdajo certifikata EUCC ne oglaševati proizvodov IKT kot certificiranih v skladu z EUCC;
oglaševati proizvod IKT kot certificiran le glede na obseg iz certifikata EUCC;
nemudoma prenehati s promocijo proizvoda IKT kot certificiranega v primeru začasnega preklica, odvzema ali poteka veljavnosti certifikata EUCC;
zagotoviti, da so proizvodi IKT, prodani s sklicevanjem na certifikat EUCC, povsem isti kot proizvod IKT, za katerega velja certificiranje;
spoštovati pravila uporabe znaka in oznake, uvedenih za certifikat EUCC v skladu s členom 11.
Člen 10
Vsebina in oblika certifikata EUCC
Člen 11
Znak in oznaka
Znak in oznaka se določita v skladu s Prilogo IX in vsebujeta:
raven zanesljivosti in raven AVA_VAN certificiranega proizvoda IKT;
enotno identifikacijo certifikata, ki vsebuje:
ime sheme;
ime in referenčno številko akreditacije certifikacijskega organa, ki je izdal certifikat;
leto in mesec izdaje;
identifikacijsko številko, ki jo dodeli certifikacijski organ, ki je izdal certifikat.
Ob znaku in oznaki je navedena koda QR s povezavo na spletišče, ki vsebuje vsaj:
informacije o veljavnosti certifikata;
potrebne informacije o certificiranju iz prilog V in VII;
informacije, ki jih mora imetnik certifikata javno objaviti v skladu s členom 55 Uredbe (EU) 2019/881, in,
kadar je ustrezno, pretekle informacije, povezane s posebnim certificiranjem ali certificiranji proizvoda IKT, da se omogoči sledljivost.
Člen 12
Rok veljavnosti certifikata EUCC
Člen 13
Pregled certifikata EUCC
Certifikacijski organ glede na rezultate pregleda in, kadar je ustrezno, ponovnega ocenjevanja:
potrdi certifikat EUCC;
odvzame certifikat EUCC v skladu s členom 14;
odvzame certifikat EUCC v skladu s členom 14 ter izda nov certifikat EUCC z enakim področjem uporabe in podaljšanim obdobjem veljavnosti, ali
odvzame certifikat EUCC v skladu s členom 14 in izda nov certifikat EUCC z drugačnim področjem uporabe.
Člen 14
Odvzem certifikata EUCC
POGLAVJE III
CERTIFICIRANJE PROFILOV ZAŠČITE
ODDELEK I
POSEBNI STANDARDI IN ZAHTEVE ZA OCENJEVANJE
Člen 15
Merila in metode za ocenjevanje
Profil zaščite se oceni vsaj v skladu z naslednjim:
veljavnimi elementi iz standardov, navedenimi v členu 3;
ravnjo tveganja, povezano s predvideno uporabo zadevnih proizvodov IKT v skladu s členom 52 Uredbe (EU) 2019/881, in njihovimi varnostnimi funkcionalnostmi, ki podpirajo varnostne cilje iz člena 51 navedene uredbe, in
veljavnimi najsodobnejšimi dokumenti iz Priloge I. Profil zaščite, ki ga zajema tehnična domena, se certificira na podlagi zahtev iz navedene tehnične domene.
ODDELEK II
IZDAJANJE, PODALJŠANJE IN ODVZEM CERTIFIKATOV EUCC ZA PROFILE ZAŠČITE
Člen 16
Informacije, potrebne za certificiranje in oceno profilov zaščite
Vložnik za certificiranje profila zaščite certifikacijskemu organu in centru za ocenjevanje varnosti informacijske tehnologije zagotovi ali da drugače na voljo vse potrebne informacije v popolni in pravilni obliki za dejavnosti certificiranja in ocenjevanja. Smiselno se uporablja člen 8(2), (3), (4) in (7).
Člen 17
Izdajanje certifikatov EUCC za profile zaščite
▼M1 —————
Profil zaščite certificira samo:
nacionalni certifikacijski organ za kibernetsko varnost ali drug javni organ, akreditiran kot certifikacijski organ, ali
certifikacijski organ po predhodni odobritvi nacionalnega certifikacijskega organa za kibernetsko varnost za vsak posamezni profil zaščite.
Člen 18
Rok veljavnosti certifikata EUCC za profile zaščite
Člen 19
Pregled certifikata EUCC za profile zaščite
Certifikacijski organ glede na rezultate pregleda in, kadar je ustrezno, ponovnega ocenjevanja, stori eno od naslednjega:
potrdi certifikat EUCC;
odvzame certifikat EUCC v skladu s členom 20;
odvzame certifikat EUCC v skladu s členom 20 ter izda nov certifikat EUCC z enakim obsegom in podaljšanim obdobjem veljavnosti
odvzame certifikat EUCC v skladu s členom 20 in izda nov certifikat EUCC z drugačnim obsegom.
Člen 20
Odvzem certifikata EUCC za profil zaščite
POGLAVJE IV
ORGANI ZA OCENJEVANJE SKLADNOSTI
Člen 20a
Specifikacija zahtev za akreditacijo organov za ugotavljanje skladnosti
Pri akreditaciji organov za ugotavljanje skladnosti se upošteva specifikacija zahtev za akreditacijo certifikacijskih organov in centrov za ocenjevanje varnosti informacijske tehnologije, kot je določeno v veljavnih najsodobnejših dokumentih iz točke 2 Priloge I.
Člen 21
Dodatne ali posebne zahteve za certifikacijski organ
Certifikacijski organ za kibernetsko varnost pooblasti certifikacijski organ za izdajo certifikatov EUCC na „visoki“ ravni zanesljivosti, kadar navedeni organ izpolnjuje zahteve iz člena 60(1) Uredbe (EU) 2019/881 in Priloge k tej uredbi glede akreditacije organov za ugotavljanje skladnosti ter poleg tega izkaže, da izpolnjuje naslednje pogoje:
da ima strokovno znanje in izkušnje ter je usposobljen za odločanje o certificiranju na „visoki“ ravni zanesljivosti;
da dejavnosti certificiranja izvaja v sodelovanju s centrom za ocenjevanje varnosti informacijske tehnologije, pooblaščenim v skladu s členom 22, in
je ustrezno usposobljen ter je vzpostavil primerne tehnične in operativne ukrepe za učinkovito varstvo zaupnih in občutljivih informacij na „visoki“ ravni zanesljivosti poleg zahtev iz člena 43.
Nacionalni certifikacijski organ za kibernetsko varnost lahko v svoji oceni ponovno uporabi vse ustrezne dokaze iz predhodne pooblastitve ali podobnih dejavnosti, izdane na podlagi:
te uredbe;
druge evropske certifikacijske sheme za kibernetsko varnost, sprejete v skladu s členom 49 Uredbe (EU) 2019/881;
nacionalne sheme iz člena 49 te uredbe.
Člen 22
Dodatne ali posebne zahteve za center za ocenjevanje varnosti informacijske tehnologije
Nacionalni certifikacijski organ za kibernetsko varnost pooblasti center za ocenjevanje varnosti informacijske tehnologije za ocenjevanje proizvodov IKT, za katere se opravi certificiranje na „visoki“ ravni zanesljivosti, kadar navedeni center izpolnjuje zahteve iz člena 60(1) Uredbe (EU) 2019/881 in Priloge k navedeni uredbi glede akreditacije organov za ugotavljanje skladnosti ter poleg tega izkaže, da izpolnjuje naslednje pogoje:
ima potrebno strokovno znanje in izkušnje za izvajanje ocenjevalnih dejavnosti, da opredeli odpornost naprednih kibernetskih napadov, ki jih izvajajo akterji z obsežnim znanjem in viri;
za tehnične domene in profile zaščite, ki so del postopkov IKT za navedene proizvode IKT, ima:
strokovno znanje in izkušnje za izvajanje posebnih ocenjevalnih dejavnosti, potrebnih za metodološko opredelitev odpornosti cilja ocenjevanja proti veščim napadalcem v svojem operativnem okolju, pri čemer je domnevni potencial napada „zmeren“ ali „visok“, kakor je določeno v standardih iz člena 3;
tehnično usposobljenost, kakor je opredeljena v najsodobnejših dokumentih iz Priloge I;
je ustrezno usposobljen ter je vzpostavil primerne tehnične in operativne ukrepe za učinkovito varstvo zaupnih in občutljivih informacij na „visoki“ ravni zanesljivosti poleg zahtev iz člena 43.
Nacionalni certifikacijski organ za kibernetsko varnost lahko v svoji oceni ponovno uporabi vse ustrezne dokaze iz predhodne pooblastitve ali podobnih dejavnosti, izdane na podlagi:
te uredbe;
druge evropske certifikacijske sheme za kibernetsko varnost, sprejete v skladu s členom 49 Uredbe (EU) 2019/881;
nacionalne sheme iz člena 49 te uredbe.
▼M1 —————
POGLAVJE V
Spremljanje, neskladnost in neizpolnjevanje obveznosti oziroma zahtev
ODDELEK I
SPREMLJANJE IZPOLNJEVANJA OBVEZNOSTI OZIROMA ZAHTEV
Člen 25
Dejavnosti spremljanja nacionalnih certifikacijskih organov za kibernetsko varnost
Nacionalni certifikacijski organ za kibernetsko varnost brez poseganja v člen 58(7) Uredbe (EU) 2019/881 spremlja, kako:
certifikacijski organ in center za ocenjevanje varnosti informacijske tehnologije izpolnjujeta svoje obveznosti v skladu s to uredbo in Uredbo (EU) 2019/881;
imetniki certifikata EUCC izpolnjujejo svoje obveznosti v skladu s to uredbo in Uredbo (EU) 2019/881;
certificirani proizvodi IKT izpolnjujejo zahteve iz EUCC;
se z zanesljivostjo, izraženo v certifikatu EUCC, obravnava razvoj krajine groženj.
Nacionalni certifikacijski organ za kibernetsko varnost dejavnosti spremljanja izvaja zlasti na podlagi:
informacij, ki jih prejme od certifikacijskih organov, nacionalnih akreditacijskih organov in ustreznih organov za nadzor trga;
informacij, ki izhajajo iz njegovih lastnih revizij in preiskav ali revizij in preiskav drugega organa;
vzorčenja, izvedenega v skladu z odstavkom 3;
prejetih pritožb.
Nacionalni certifikacijski organ za kibernetsko varnost izbere vzorec certificiranih proizvodov IKT, ki se preverijo z objektivnimi merili, ki vključujejo:
kategorijo proizvoda;
ravni zanesljivosti proizvodov;
imetnika certifikata;
certifikacijski organ in, kadar je ustrezno, podizvajalski center za ocenjevanje varnosti informacijske tehnologije;
vse druge informacije, na katere je bil opozorjen organ.
Člen 26
Dejavnosti spremljanja certifikacijskega organa
Certifikacijski organ spremlja, kako:
imetniki certifikata izpolnjujejo svoje obveznosti v skladu s to uredbo in Uredbo (EU) 2019/881 v zvezi s certifikatom, ki ga je izdal certifikacijski organ;
proizvodi IKT, ki jih je certificiral, izpolnjujejo ustrezne varnostne zahteve;
se izpolnjuje zanesljivost, izražena v certificiranem profilu zaščite.
Certifikacijski organ dejavnosti spremljanja izvaja na podlagi:
informacij, zagotovljenih na podlagi zavez vložnika za certificiranje iz člena 9(2);
informacij, ki izhajajo iz dejavnosti drugih ustreznih organov za nadzor trga;
prejetih pritožb;
informacij o šibkih točkah, ki bi lahko vplivale na proizvode IKT, ki jih je certificiral.
Člen 27
Dejavnosti spremljanja imetnika certifikata
Imetnik certifikata EUCC izvede naslednje naloge za spremljanje, ali certificirani proizvodi IKT izpolnjujejo varnostne zahteve:
z lastnimi sredstvi spremlja informacije o šibkih točkah, povezane s certificiranim proizvodom IKT, tudi o znanih odvisnostih, pri čemer pa upošteva tudi:
objavo ali predložitev informacij o šibkih točkah s strani uporabnika ali raziskovalca na področju varnosti iz člena 55(1), točka (c), Uredbe (EU) 2019/881;
predložitev s strani drugega vira;
spremlja zanesljivost, izraženo v certifikatu EUCC.
ODDELEK II
SKLADNOST IN IZPOLNJEVANJE OBVEZNOSTI OZIROMA ZAHTEV
Člen 28
Posledice neskladnosti certificiranega proizvoda IKT ali profila zaščite
Člen 29
Posledice neizpolnjevanja obveznosti oziroma zahtev s strani imetnika certifikata
Če certifikacijski organ ugotovi, da:
imetnik certifikata EUCC ali vložnik za certificiranje ne izpolnjujeta svojih zavez in obveznosti iz člena 9(2), člena 17(2) ter členov 27 in 41, ali
imetnik certifikata EUCC ne izpolnjuje zahtev iz člena 56(8) Uredbe (EU) 2019/881 ali poglavja VI te uredbe;
določi rok, ki ne presega 30 dni, v katerem imetnik certifikata EUCC sprejme popravni ukrep.
Člen 30
Začasni preklic certifikata EUCC
Člen 31
Posledice neizpolnjevanja obveznosti oziroma zahtev s strani organa za ocenjevanje skladnosti
Če certifikacijski organ ali ustrezen certifikacijski organ ne izpolnjuje svojih obveznosti in to neizpolnjevanje ugotovi center za ocenjevanje varnosti informacijske tehnologije, nacionalni certifikacijski organ za kibernetsko varnost brez nepotrebnega odlašanja:
s pomočjo zadevnega centra za ocenjevanje varnosti informacijske tehnologije opredeli certifikate EUCC, na katere je to po možnosti vplivalo;
po potrebi zahteva, da ocenjevalne dejavnosti za enega ali več proizvodov IKT ali profilov zaščite izvede center za ocenjevanje varnosti informacijske tehnologije, ki je izvedel ocenjevanje, ali kateri koli drug akreditiran in, kadar je ustrezno, pooblaščen center za ocenjevanje varnosti informacijske tehnologije, ki je v boljšem tehničnem položaju, da podpre ugotovitev;
analizira vplive neizpolnjevanja obveznosti oziroma zavez;
uradno obvesti imetnika certifikata EUCC, na katerega vpliva neizpolnjevanje obveznosti oziroma zavez.
Certifikacijski organ na podlagi ukrepov iz odstavka 1 v zvezi z vsakim certifikatom EUCC, na katerega to vpliva, sprejme eno od naslednjih odločitev:
ohrani certifikat EUCC nespremenjen;
začasno prekliče certifikat EUCC v skladu s členom 14 ali 20 in, kadar je ustrezno, izda nov certifikat EUCC.
Nacionalni certifikacijski organ za kibernetsko varnost na podlagi ukrepov iz odstavka 1:
po potrebi nacionalnemu akreditacijskemu organu poroča o tem, da certifikacijski organ ali povezan center za ocenjevanje varnosti informacijske tehnologije ne izpolnjuje obveznosti oziroma zahtev;
kadar je ustrezno, oceni morebitni vpliv na pooblastilo.
POGLAVJE VI
OBVLADOVANJE IN RAZKRIVANJE ŠIBKIH TOČK
Člen 32
Področje uporabe obvladovanja šibkih točk
To poglavje se nanaša na proizvode IKT, za katere je bil izdan certifikat EUCC.
ODDELEK I
OBVLADOVANJE ŠIBKIH TOČK
Člen 33
Postopki obvladovanja šibkih točk
Člen 34
Analiza posledic šibke točke
Člen 35
Poročilo o analizi posledic šibke točke
V poročilu o analizi posledic šibke točke so ocenjeni naslednji elementi:
posledice šibke točke na certificiran proizvod IKT;
morebitna tveganja, povezana z bližino ali izvedljivostjo napada;
možnost odprave šibke točke;
če je šibko točko mogoče odpraviti, morebitne rešitve šibke točke.
Člen 36
Odprava šibke točke
Imetnik certifikata EUCC certifikacijskemu organu predstavi predlog ustreznega popravnega ukrepa. Certifikacijski organ pregleda certifikat EUCC v skladu s členom 13. Obseg pregleda se določi s predlagano odpravo šibke točke.
ODDELEK II
RAZKRITJE ŠIBKE TOČKE
Člen 37
Izmenjava informacij z nacionalnim certifikacijskim organom za kibernetsko varnost
Člen 38
Sodelovanje z drugimi nacionalnimi certifikacijskimi organi za kibernetsko varnost
Člen 39
Objava šibke točke
Imetnik certifikata EUCC po njegovem odvzemu razkrije in evidentira vse javno znane in odpravljene šibke točke proizvoda IKT v evropski podatkovni zbirki ranljivosti, vzpostavljeni v skladu s členom 12 Direktive (EU) 2022/2555 ( 4 ), ali drugimi spletnimi seznami iz člena 55(1), točka (d), Uredbe (EU) 2019/881.
POGLAVJE VII
HRAMBA, RAZKRITJE IN VARSTVO INFORMACIJ
Člen 40
Hramba evidenc s strani certifikacijskih organov in centra za ocenjevanje varnosti informacijske tehnologije
Člen 41
Informacije, ki jih predloži imetnik certifikata
Imetnik certifikata EUCC za obdobje, potrebno za namene te uredbe, in vsaj pet let po odvzemu ustreznega certifikata EUCC varno shrani in hrani naslednje:
evidence informacij, zagotovljene certifikacijskemu organu in centru za ocenjevanje varnosti informacijskih tehnologij med postopkom certificiranja,
vzorec certificiranega proizvoda IKT.
Člen 42
Informacije, ki jih mora predložiti ENISA
Agencija ENISA na spletišču iz člena 50(1) Uredbe (EU) 2019/881 objavi naslednje informacije:
vse certifikate EUCC;
informacije o statusu certifikata EUCC, zlasti o tem, ali je veljaven, začasno preklican, odvzet ali mu je potekla veljavnost;
poročila o certificiranju, ki ustrezajo vsakemu certifikatu;
seznam akreditiranih organov za ocenjevanje skladnosti;
seznam pooblaščenih organov za ugotavljanje skladnosti;
najsodobnejše dokumente iz Priloge I;
mnenja evropske certifikacijske skupine za kibernetsko varnost iz člena 62(4), točka (c), Uredbe (EU) 2019/881;
poročila o medsebojnem strokovnem ocenjevanju, izdana v skladu s členom 47.
Člen 43
Varstvo informacij
Organi za ugotavljanje skladnosti, nacionalni certifikacijski organi za kibernetsko varnost, evropska certifikacijska skupina za kibernetsko varnost, Agencija ENISA, Komisija in vse druge osebe zagotovijo varovanje in varstvo poslovnih skrivnosti in drugih zaupnih informacij, vključno s poslovnimi skrivnostmi, pa tudi ohranjanje pravic intelektualne lastnine ter sprejmejo potrebne in ustrezne tehnične in organizacijske ukrepe.
POGLAVJE VIII
SPORAZUMI O VZAJEMNEM PRIZNAVANJU S TRETJIMI DRŽAVAMI
Člen 44
Pogoji
Sporazume o vzajemnem priznavanju iz odstavka 1 je mogoče skleniti samo s tretjimi državami, ki izpolnjujejo naslednje pogoje:
imajo organ, ki:
je javni organ, neodvisnem od organov, ki ga nadzorujejo in spremljajo v smislu organizacijske in pravne strukture, financiranja in odločanja;
ima ustrezna pooblastila za spremljanje in nadzor za izvedbo preiskav ter je pooblaščen za sprejemanje ustreznih popravnih ukrepov za zagotavljanje skladnosti;
ima učinkovit, sorazmeren in odvračilen sistem kazni za zagotavljanje skladnosti;
se strinja s sodelovanjem z evropsko certifikacijsko skupino za kibernetsko varnost in Agencijo ENISA za izmenjavo dobrih praks in ustreznega razvoja dogodkov na področju certificiranja kibernetske varnosti ter s prizadevanjem k enotni razlagi trenutno veljavnih meril in metod ocenjevanja, in sicer med drugim z uporabo harmonizirane dokumentacije, ki je enakovredna najsodobnejšim dokumentom iz Priloge I;
imajo neodvisen akreditacijski organ, ki izvaja akreditacije in pri tem uporablja standarde, enakovredne standardom iz Uredbe (ES) št. 765/2008;
se zavezujejo, da se bodo ocenjevanje in certificiranje ter postopki izvajali strogo poslovno, pri čemer se bo upoštevala skladnost z mednarodnimi standardi iz te uredbe, zlasti člena 3;
imajo zmogljivost za poročanje o prej neodkritih šibkih točkah ter vzpostavljen uveljavljen in ustrezen postopek za obvladovanje in razkrivanje šibkih točk;
imajo uveljavljene postopke, ki omogočajo učinkovito vlaganje in obravnavo pritožb ter ki vložnikom zagotavljajo učinkovito pravno sredstvo;
vzpostavijo mehanizem za sodelovanje z drugimi organi držav Unije in držav članic, pristojnimi za certificiranje na področju kibernetske varnosti v skladu s to uredbo, vključno z izmenjavo informacij o po možnosti neskladnih certifikatih, spremljanju ustreznega razvoja dogodkov na področju certificiranja in zagotavljanju skupnega pristopa k ohranjanju in pregledovanju certificiranja.
Sporazum o vzajemnem priznavanju iz odstavka 1, ki zajema „visoko“ raven zanesljivosti, se lahko poleg upoštevanja pogojev iz odstavka 3 sklene le s tistimi tretjimi državami, v katerih so izpolnjeni tudi naslednji pogoji:
tretja država ima neodvisen in javen certifikacijski organ za kibernetsko varnost, ki izvaja ali prenaša ocenjevalne dejavnosti, ki omogočajo certificiranje na „visoki“ ravni zanesljivosti ter so enake zahtevam in postopkom, določenim za nacionalni organ za kibernetsko varnost v tej uredbi in Uredbi (EU) 2019/881;
se s sporazumom o vzajemnem priznavanju vzpostavlja skupni mehanizem, enakovreden medsebojnemu strokovnemu ocenjevanju za certificiranje EUCC, da se spodbuja izmenjava praks in skupno rešujejo težave na področju ocenjevanja in certificiranja.
POGLAVJE IX
MEDSEBOJNO STROKOVNO OCENJEVANJE CERTIFIKACIJSKIH ORGANOV
Člen 45
Postopek medsebojnega strokovnega ocenjevanja
Medsebojno strokovno ocenjevanje lahko temelji na dokazih, zbranih med prejšnjimi takimi ocenjevanji ali enakovrednimi postopki medsebojno strokovno ocenjenega organa ali nacionalnega certifikacijskega organa za kibernetsko varnost, če:
rezultati niso starejši od petih let;
rezultate spremlja opis postopkov medsebojnega strokovnega ocenjevanja, vzpostavljenih za shemo, kadar se nanašajo na medsebojno strokovno ocenjevanje, izvedeno v okviru drugačne certifikacijske sheme;
poročilo o medsebojnem strokovnem ocenjevanju iz člena 47 določa, kateri rezultati so bili ponovno uporabljeni z nadaljnjim ocenjevanjem ali brez njega.
Člen 46
Faze medsebojnega strokovnega ocenjevanja
Člen 47
Poročilo o medsebojnem strokovnem ocenjevanju
Evropska certifikacijska skupina za kibernetsko varnost sprejme mnenje o poročilu o medsebojnem strokovnem ocenjevanju:
kadar v poročilu o medsebojnem strokovnem ocenjevanju neskladnosti niso ugotovljene ali jih je medsebojno strokovno ocenjen certifikacijski organ ustrezno odpravil, lahko evropska certifikacijska skupina za kibernetsko varnost izda pozitivno mnenje in vsi ustrezni dokumenti se objavijo na spletišču Agencije ENISA o certificiranju;
če medsebojno strokovno ocenjen certifikacijski organ neskladnosti v določenem roku ne odpravi ustrezno, lahko evropska certifikacijska skupina za kibernetsko varnost izda negativno mnenje, ki se objavi na spletišču Agencije ENISA o certificiranju, vključno s poročilom o medsebojnem strokovnem ocenjevanju in vsemi ustreznimi dokumenti.
POGLAVJE X
VZDRŽEVANJE SHEME
Člen 48
Vzdrževanje EUCC
POGLAVJE XI
KONČNE DOLOČBE
Člen 49
Nacionalne sheme, zajete v EUCC
Člen 50
Začetek veljavnosti
Ta uredba začne veljati dvajseti dan po objavi v Uradnem listu Evropske unije.
Uporablja se od 27. februarja 2025.
Poglavje IV in Priloga V se uporabljata od začetka veljavnosti te uredbe.
Ta uredba je v celoti zavezujoča in se neposredno uporablja v vseh državah članicah.
PRILOGA I
Najsodobnejši dokumenti za tehnična področja in drugi najsodobnejši dokumenti
1. Najsodobnejši dokumenti za tehnična področja na ravni 4 ali 5 AVA_VAN:
naslednji dokumenti, povezani s harmoniziranim ocenjevanjem tehnične domene „Pametne kartice in podobne naprave“:
„Minimalne zahteve centra za ocenjevanje varnosti informacijske tehnologije za ocenjevanje varnosti pametnih kartic in podobnih naprav“, različica 1.1;
„Minimalne varnostne zahteve za lokacijo“, različica 1.1;
„Uporaba skupnih meril za integrirana vezja“, različica 1.1;
„Zahteve za varnostno arhitekturo (ADV_ARC) pametnih kartic in podobnih naprav“, različica 1.1;
„Certificiranje „odprtih“ proizvodov za pametne kartice“, različica 1.1;
„Ocenjevanje sestavljenih proizvodov za pametne kartice in podobne naprave“, različica 1.1;
„Uporaba potenciala napada na pametne kartice in podobne naprave“, različica 1.2;
naslednji dokumenti, povezani s harmoniziranim ocenjevanjem tehnične domene „Naprave strojne opreme z varnostnimi napravami“:
„Minimalne zahteve centra za ocenjevanje varnosti informacijske tehnologije za ocenjevanje varnosti naprav strojne opreme z varnostnimi napravami“, različica 1.1;
„Minimalne varnostne zahteve za lokacijo“, različica 1.1;
„Uporaba potenciala napada na naprave strojne opreme z varnostnimi napravami“, različica 1.2.
2. Najsodobnejši dokumenti, povezani s harmonizirano akreditacijo organov za ugotavljanje skladnosti:
„Akreditacija centrov za ocenjevanje varnosti informacijske tehnologije za EUCC“, različica 1.1, za akreditacije, izdane pred 8. julijem 2025;
„Akreditacija centrov za ocenjevanje varnosti informacijske tehnologije za EUCC“, različica 1.6c, za akreditacije, izdane prvič ali pregledane po 8. juliju 2025;
„Akreditacija certifikacijskih organov za EUCC“, različica 1.6b.
PRILOGA II
PROFILI ZAŠČITE, CERTIFICIRANI NA RAVNI AVA_VAN 4 ALI 5
1. Za kategorijo naprav za ustvarjanje kvalificiranega podpisa in žiga na daljavo:
EN 419241-2:2019 – Zaupanja vredni sistemi, ki podpirajo strežniško podpisovanje – 2. del: Zaščitni profil za QSCD za strežniško podpisovanje;
EN 419221-5:2018 – Zaščitni profili za ponudnike storitev zaupanja za kriptografske module – 5. del: Kriptografski modul za storitve zaupanja
2. Profili zaščite, ki so bili sprejeti kot najsodobnejši dokumenti:
[PRAZNO]
PRILOGA III
PRIPOROČENI PROFILI ZAŠČITE (PONAZORITEV TEHNIČNIH DOMEN IZ PRILOGE I)
Profili zaščite, uporabljeni za certificiranje proizvodov IKT, iz kategorij proizvodov IKT, navedenih v nadaljevanju:
za kategorijo strojno berljivih potnih listin:
profil zaščite za strojno berljivo potno listino z uporabo standardnega postopka pregleda z vzpostavitvijo z geslom zaščitene povezave (Password Authenticated Connection Establishment – PACE), BSI-CC-PP-0068-V2-2011-MA-01;
profil zaščite za strojno berljivo potno listino z „aplikacijo Mednarodne organizacije civilnega letalstva (ICAO)“ za razširjen nadzor dostopa, BSI-CC-PP-0056-2009;
profil zaščite za strojno berljivo potno listino z „aplikacijo ICAO“ za razširjen nadzor dostopa z vzpostavitvijo z geslom zaščitene povezave (PACE), BSI-CC-PP-0056-V2-2012-MA-02;
profil zaščite za strojno berljivo potno listino z „aplikacijo ICAO“ za osnovni nadzor dostopa, BSI-CC-PP-0055-2009;
za kategorijo naprav za ustvarjanje varnega podpisa:
EN 419211-1:2014 – Profil zaščite sredstva za varno elektronsko podpisovanje – 1. del: Pregled
EN 419211-2:2013 – Profil zaščite sredstva za varno elektronsko podpisovanje – 2. del: Sredstvo za tvorjenje ključa;
EN 419211-3:2013 – Profil zaščite sredstva za varno elektronsko podpisovanje – 3. del: Sredstvo z vnosom ključa;
EN 419211-4:2013 – Profil zaščite sredstva za varno elektronsko podpisovanje – 4. del: Podaljšek za sredstvo, ki generira ključ in zaupno komunicira prek aplikacije z generiranjem certifikatov;
EN 419211-5:2013 – Profil zaščite sredstva za varno elektronsko podpisovanje – 5. del: Podaljšek za sredstvo, ki generira ključ in zaupno komunicira prek aplikacije s podpisovanjem;
EN 419211-6:2014 – Profil zaščite sredstva za varno elektronsko podpisovanje – 6. del: Podaljšek za sredstvo, ki vnese ključ in zaupno komunicira z aplikacijo s podpisovanjem;
za kategorijo digitalnih tahografov:
digitalni tahograf – tahografska kartica iz Izvedbene uredbe Komisije (EU) 2016/799 z dne 18. marca 2016 o izvajanju Uredbe (EU) št. 165/2014 (Priloga 1C);
digitalni tahograf – enota v vozilu, namenjena za namestitev v vozila za cestni prevoz, kot je navedena v Prilogi IB k Uredbi Komisije (ES) št. 1360/2002;
digitalni tahograf – zunanja GNSS oprema, kot je navedeno v Prilogi 1C k Izvedbeni uredbi Komisije (EU) 2016/799 z dne 18. marca 2016 o izvajanju Uredbe (EU) 165/2014 Evropskega parlamenta in Sveta;
digitalni tahograf – tipalo gibanja, kot je navedeno v Prilogi 1C k Izvedbeni uredbi Komisije (EU) 2016/799 z dne 18. marca 2016 o izvajanju Uredbe (EU) 165/2014 Evropskega parlamenta in Sveta;
za kategorijo varnih integriranih vezij, pametnih kartic in povezanih naprav:
profil zaščite za platformo z varnostnim integriranim vezjem, BSI-CC-PP-0084-2014;
sistem Java kartice – odprta konfiguracija, V3.0.5 BSI-CC-PP-0099-2017;
sistem Java kartice – zaprta konfiguracija, BSI-CC-PP-0101-2017;
profil zaščite za na potrebe stranke osredotočen modul zaupanja vredne platforme za osebne računalnike (Client Specific Trusted Platform Module) skupina 2.0 raven 0 različica 1.16, ANSSI-CC-PP-2015/07;
univerzalna kartica SIM, PU-2009-RT-79, ANSSI-CC-PP-2010/04;
vgrajena univerzalna pametna kartica (universal integrated circuit card – UICC) za naprave z vzajemno povezavo med napravami, BSI-CC-PP-0089-2015;
za kategorijo točk (plačilne) interakcije in plačilnih terminalov:
točka interakcije „POI-CHIP-ONLY“, ANSSI-CC-PP-2015/01;
točka interakcije „POI-CHIP-ONLY and Open Protocol Package“, ANSSI-CC-PP-2015/02;
točka interakcije „POI-COMPREHENSIVE“, ANSSI-CC-PP-2015/03;
točka interakcije „POI-COMPREHENSIVE and Open Protocol Package“, ANSSI-CC-PP-2015/04;
točka interakcije „POI-PED-ONLY“, ANSSI-CC-PP-2015/05;
točka interakcije „POI-PED-ONLY and Open Protocol Package“, ANSSI-CC-PP-2015/06;
za kategorijo naprav strojne opreme z varnostnimi napravami:
kriptografski modul za postopke podpisovanja ponudnika kriptografskih storitev z varnostnim kopiranjem – PP CMCSOB, PP HSM CMCSOB 14167-2, ANSSI-CC-PP-2015/08;
kriptografski modul za storitve generiranja ključa ponudnika kriptografskih storitev – PP CMCKG, PP HSM CMCKG 14167-3, ANSSI-CC-PP-2015/09;
kriptografski modul za postopke podpisovanja ponudnika kriptografskih storitev brez varnostnega kopiranja – PP CMCSO, PP HSM CMCKG 14167-4, ANSSI-CC-PP-2015/10.
PRILOGA IV
Neprekinjena zanesljivost in pregled certifikata
IV.1 Neprekinjena zanesljivost: področje uporabe
1. Naslednje zahteve za neprekinjeno zanesljivost veljajo pri dejavnostih vzdrževanja v zvezi z naslednjim:
ponovno oceno, ali nespremenjen certificiran proizvod IKT še vedno izpolnjuje varnostne zahteve;
oceno vplivov sprememb certificiranega proizvoda IKT na njegovo certificiranje;
če je vključeno v certificiranje, uporabo popravkov v skladu z ocenjenim postopkom upravljanja popravkov;
če je vključeno, pregled postopkov upravljanja življenjskega cikla ali proizvodnih postopkov imetnika certifikata.
2. Imetnik certifikata EUCC lahko zahteva pregled certifikata v naslednjih primerih:
certifikat EUCC bi potekel v devetih mesecih;
spremenil se je certificirani proizvod IKT ali drug dejavnik, ki bi lahko vplival na njegovo varnostno funkcionalnost;
imetnik certifikata zahteva, da se znova oceni šibka točka zaradi ponovne potrditve zanesljivosti certifikata EUCC, povezane z odpornostjo proizvoda IKT proti kibernetskim napadom.
IV.2 Ponovna ocena
1. Če je treba oceniti vpliv sprememb nespremenjenega certificiranega proizvoda IKT v krajini groženj, se certifikacijskemu organu predloži zahtevek za ponovno oceno.
2. Ponovno oceno izvede isti center za ocenjevanje varnosti informacijske tehnologije, ki je bil vključen v prejšnje ocenjevanje, pri čemer uporabi vse še vedno veljavne rezultate. Ocenjevanje je usmerjeno na dejavnosti zanesljivosti, na katere potencialno vpliva spremenjena krajina groženj certificiranega proizvoda IKT, zlasti ustrezna družina AVA_VAN in prav tako skupina z zagotovljeno zanesljivostjo v življenjskem ciklu (assurance lifecycle – ALC), pri čemer se znova zberejo zadostni dokazi o vzdrževanju okolja razvoja.
3. Center za ocenjevanje varnosti informacijske tehnologije opiše spremembe in podrobnosti rezultatov ponovne ocene, tako da posodobi prejšnje tehnično poročilo o ocenjevanju.
4. Certifikacijski organ navedeno poročilo pregleda in pripravi poročilo o ponovni oceni. Status prvotnega certifikata se nato spremeni v skladu s členom 13.
5. Nacionalnemu certifikacijskemu organu za kibernetsko varnost in Agenciji ENISA se predložita poročilo o ponovni oceni in posodobljen certifikat za objavo na njunem spletišču o certificiranju na področju kibernetske varnosti.
IV.3 Spremembe certificiranega proizvoda IKT
1. Imetnik certifikata, ki želi certifikat ohraniti, ob spremembi certificiranega proizvoda IKT certifikacijskemu organu predloži poročilo o analizi učinka posledic.
2. V poročilu o analizi učinka posledic so naslednji elementi:
uvod z informacijami, potrebnimi za opredelitev poročila o analizi učinka posledic in cilja ocenjevanja, ki se spreminja;
opis sprememb proizvoda;
opredelitev dokaza o razvijalcu, na katerega to vpliva;
opis sprememb dokaza o razvijalcu;
ugotovitve in sklepi o vplivu zanesljivosti za vsako spremembo.
3. Certifikacijski organ preuči spremembe, opisane v poročilu o analizi posledic, da bi potrdil njihove posledice na zanesljivost certificiranega cilja ocenjevanja, kot so predlagane v ugotovitvah poročila o analizi učinka posledic.
4. Po preučitvi opredeli obseg spremembe kot manjšo ali večjo glede na njene posledice.
5. Če certifikacijski organ potrdi, da so spremembe manjše, se za spremenjeni proizvod IKT ne izda nov certifikat in se pripravi poročilo o vzdrževanju k prvotnemu poročilu o certificiranju.
Poročilo o vzdrževanju se vključi kot del poročila o analizi učinka posledic in vsebuje naslednje oddelke:
uvod,
opis sprememb,
dokaz o razvijalcu, na katerega to vpliva.
6. Novo poročilo o vzdrževanju iz točke 5 se pošlje Agenciji ENISA za objavo na spletišču o certificiranju na področju kibernetske varnosti.
7. Če se potrdi, da so spremembe večje, se v okviru prejšnjega ocenjevanja opravi ponovna ocena, pri čemer se ponovno uporabijo vsi še vedno veljavni rezultati iz prejšnjega ocenjevanja.
8. Ko je ocenjevanje spremenjenega cilja ocenjevanja dokončano, center za ocenjevanje varnosti informacijske tehnologije pripravi novo tehnično poročilo o ocenjevanju. Certifikacijski organ pregleda posodobljeno tehnično poročilo o ocenjevanju in po potrebi oblikuje nov certifikat z novim poročilom o certificiranju.
9. Novi certifikat in poročilo o certificiranju se predložita Agenciji ENISA za objavo.
IV.4 Upravljanje popravkov
1. S postopkom upravljanja popravkov se zagotavlja strukturirana posodobitev certificiranega proizvoda IKT. Postopek upravljanja popravkov, vključno z mehanizmom, kot ga v proizvod IKT uvede vložnik za certificiranje, se lahko na odgovornost organa za ocenjevanje skladnosti uporabi po certificiranju proizvoda IKT.
2. Vložnik za certificiranje lahko v certificiranje proizvoda IKT vključi mehanizem popravkov kot del postopka certificiranega upravljanja, ki se izvaja za proizvod IKT, pod enim od naslednjih pogojev:
funkcionalnosti, na katere vpliva popravek, so zunaj cilja ocenjevanja certificiranega proizvoda IKT;
popravek se nanaša na vnaprej določeno manjšo spremembo certificiranega proizvoda IKT;
popravek se nanaša na potrjeno šibko točko in ima ključne posledice za varnost certificiranega proizvoda IKT.
3. Če se popravek nanaša na večjo spremembo cilja ocenjevanja certificiranega proizvoda IKT v povezavi s prej neodkrito šibko točko, ki nima ključnih posledic za varnost proizvoda IKT, se uporabljajo določbe člena 13.
4. Postopek upravljanja popravkov proizvoda IKT sestavljajo naslednji elementi:
postopek razvoja in izdaje popravka za proizvod IKT;
tehnični mehanizem in funkcionalnosti za sprejetje popravka v proizvod IKT;
sklop dejavnosti ocenjevanja, povezanih z učinkovitostjo in smotrnostjo tehničnega mehanizma.
5. Med certificiranjem proizvoda IKT:
vložnik za certificiranje proizvoda IKT predloži opis postopka upravljanja popravkov;
center za ocenjevanje varnosti informacijske tehnologije preveri naslednje elemente:
razvijalec je mehanizme popravkov v proizvod IKT uvedel v skladu s postopkom upravljanja popravkov, predloženim v certificiranje;
meje cilja ocenjevanja so ločene tako, da spremembe, izvedene med ločenimi postopki, ne vplivajo na varnost cilja ocenjevanja;
mehanizem tehničnih popravkov se izvaja v skladu z določbami tega oddelka in trditvami vložnika;
certifikacijski organ v poročilo o certificiranju vključi rezultat ocenjenega postopka upravljanja popravkov.
6. Imetnik certifikata lahko popravek, proizveden v skladu s certificiranim postopkom upravljanja popravkov, začne uporabljati pri zadevnem certificiranem proizvodu IKT in v petih delovnih dneh v naslednjih primerih sprejme naslednje ukrepe:
v primeru iz točke 2(a) o zadevnem popravku poroča certifikacijskemu organu, ki ne spremeni ustreznega certifikata EUCC;
v primeru iz točke 2(b) predloži zadevni popravek centru za ocenjevanje varnosti informacijske tehnologije v pregled. Center za ocenjevanje varnosti informacijske tehnologije po sprejetju popravka obvesti certifikacijski organ, ki v zvezi z njim sprejme ustrezen ukrep o izdaji nove različice ustreznega certifikata EUCC in posodobitvi poročila o certificiranju;
v primeru iz točke 2(c) predloži zadevni popravek centru za ocenjevanje varnosti informacijske tehnologije v potrebno ponovno oceno, vendar lahko hkrati izvede popravek. Center za ocenjevanje varnosti informacijske tehnologije obvesti certifikacijski organ, ta pa nato začne povezane dejavnosti certificiranja.
PRILOGA V
Vsebina poročila o certificiranju
V.1 Poročilo o certificiranju
1. Certifikacijski organ na podlagi tehničnih poročil o ocenjevanju, ki jih je predložil center za ocenjevanje varnosti informacijske tehnologije, pripravi poročilo o certificiranju za objavo skupaj z ustreznim certifikatom EUCC.
2. To poročilo o certificiranju je vir podrobnih in praktičnih informacij o proizvodu IKT ali kategoriji proizvodov IKT in varnem uvajanju proizvoda IKT ter zato vključuje vse javno dostopne informacije v skupni rabi, ki so pomembne za uporabnike in zainteresirane strani. Na take informacije lahko napotuje poročilo o certificiranju.
3. Poročilo o certificiranju vsebuje vsaj naslednje elemente:
povzetek;
opredelitev proizvoda IKT ali kategorije proizvoda IKT za profile zaščite;
varnostne storitve;
predpostavke in pojasnitev obsega;
informacije o arhitekturi;
kadar je ustrezno, dodatne informacije o kibernetski varnosti;
preizkušanje proizvoda IKT, če je bilo izvedeno;
kadar je ustrezno, opredelitev postopkov upravljanja življenjskega cikla in proizvodnih obratov imetnika certifikata;
rezultate ocenjevanja in informacije o certifikatu;
povzetek varnostnega cilja proizvoda IKT, predloženega v certificiranje;
znak ali oznako, povezana s shemo, če sta na voljo;
seznam literature.
4. V povzetku je na kratko povzeto celotno poročilo o certificiranju. V njem je jasen in jedrnat pregled rezultatov ocenjevanja ter so zajete naslednje informacije:
ime ocenjenega proizvoda IKT, navedba komponent proizvoda, vključenih v ocenjevanje, in različica proizvoda IKT;
ime centra za ocenjevanje varnosti informacijske tehnologije in, kadar je ustrezno, seznam podizvajalcev;
datum dokončanja ocenjevanja;
sklic na tehnično poročilo o ocenjevanju, ki ga je pripravil center za ocenjevanje varnosti informacijske tehnologije;
kratek opis rezultatov poročila o certificiranju, ki zajema:
različico in, kadar je ustrezno, izdajo skupnih meril, uporabljenih pri ocenjevanju;
paket zanesljivosti skupnih meril in komponente z ravnjo varnosti, vključno z ravnjo AVA_VAN, ki so uporabljene pri ocenjevanju in ustrezajo ravni zanesljivosti, kakor je določena v členu 52 Uredbe (EU) 2019/881, na katerega napotuje certifikat EUCC;
varnostno funkcionalnost ocenjenega proizvoda IKT;
povzetek groženj in organizacijskih varnostnih politik, ki jih obravnava ocenjevani proizvod IKT;
posebne zahteve glede konfiguracije;
predpostavke o operacijskem okolju;
kadar je ustrezno, prisotnost odobrenega postopka upravljanja popravkov v skladu z oddelkom IV.4 Priloge IV;
izjavo(-e) o omejitvi odgovornosti.
5. Ocenjeni proizvod IKT je jasno opredeljen in zajema tudi naslednje informacije:
ime ocenjenega proizvoda IKT;
navedbo komponent proizvoda IKT, vključenih v ocenjevanje;
številko različice komponent proizvoda IKT;
opredelitev dodatnih zahtev za operacijsko okolje certificiranega proizvoda IKT;
ime in kontaktne podatke imetnika certifikata EUCC;
kadar je ustrezno, postopek upravljanja popravkov, vključen v certifikat;
povezavo na spletišče imetnika certifikata EUCC, kadar so za certificirani proizvod IKT zagotovljene dodatne informacije o kibernetski varnosti v skladu s členom 55 Uredbe (EU) 2019/881.
6. Informacije, vključene v ta oddelek, so čim bolj točne, da se zagotovi popolna in natančna predstavitev proizvoda IKT, ki se lahko ponovno uporabi pri prihodnjih ocenjevanjih.
7. Oddelek o varnostni politiki vsebuje opis varnostne politike proizvoda IKT in politik ali pravil, ki jih bo izvajal ali izpolnjeval ocenjeni proizvod IKT. Zajema navedbo in opis naslednjih politik:
politiko obravnavanja šibkih točk imetnika certifikata;
politiko neprekinjene zanesljivosti imetnika certifikata.
8. Politika lahko, kadar je ustrezno, zajema pogoje v zvezi z uporabo postopka upravljanja popravkov med veljavnostjo certifikata.
9. Oddelek za predpostavke in pojasnitev obsega vsebuje izčrpne informacije o okoliščinah in ciljih, povezanih s predvideno uporabo proizvoda, kakor je navedeno v členu 7(1), točka (c). Informacije vključujejo:
predpostavke o uporabi in uvajanju proizvoda IKT v obliki minimalnih zahtev, kot je izpolnjevanje zahtev v zvezi z ustrezno namestitvijo in konfiguracijo ter zahtev glede strojne opreme;
predpostavke o okolju za skladno delovanje proizvoda IKT.
10. Informacije iz točke 9 so čim bolj razumljive, da bi lahko uporabniki certificiranega proizvoda IKT sprejemali informirane odločitve o tveganjih, povezanih z njihovo uporabo.
11. V oddelku informacij o arhitekturi je zajet opis proizvoda IKT in njegovih glavnih komponent v visokem programskem jeziku v skladu s skupnimi merili za zasnovo podsistemov ADV_TDS.
12. Popoln seznam dodatnih informacij o kibernetski varnosti proizvoda IKT je zagotovljen v skladu s členom 55 Uredbe (EU) 2019/881. Vsi ustrezni dokumenti so označeni s številkami različice.
13. Oddelek za preizkušanje proizvodov IKT vključuje naslednje informacije:
ime in kontaktna točka organa, ki je izdal certifikat, vključno s pristojnim nacionalnim certifikacijskim organom za kibernetsko varnost;
ime centra za ocenjevanje varnosti informacijske tehnologije, ki je izvedel ocenjevanje, če se razlikuje od certifikacijskega organa;
opredelitev uporabljenih komponent zanesljivosti iz standardov iz člena 3;
različica najsodobnejšega dokumenta in dodatna merila za ocenjevanje varnosti, uporabljena pri ocenjevanju;
popolne in natančne nastavitve in konfiguracija proizvoda IKT med ocenjevanjem, vključno s pripombami in ugotovitvami glede delovanja, če so na voljo;
vsak uporabljeni profil zaščite, vključno z naslednjimi informacijami:
avtor profila zaščite;
ime in identifikator profila zaščite;
identifikator certifikata profila zaščite;
ime in kontaktni podatki certifikacijskega organa in centra za ocenjevanje varnosti informacijske tehnologije, ki sodelujeta pri ocenjevanju profila zaščite;
paketi zanesljivosti, potrebni za skladnost proizvoda s profilom zaščite.
14. V oddelku o rezultatih ocenjevanja in informacijah o certifikatu so zajete naslednje informacije:
potrditev dosežene ravni zanesljivosti, kot je navedena v členu 4 te uredbe in členu 52 Uredbe (EU) 2019/881;
zahteve glede zanesljivosti iz standardov, navedenih v členu 3, ki jih proizvod IKT ali profil zaščite dejansko izpolnjujeta, vključno z ravnjo AVA_VAN;
podroben opis zahtev glede zanesljivosti in podrobnosti o tem, kako proizvod izpolnjuje vsako od njih;
datum izdaje in rok veljavnosti certifikata;
edinstveni identifikator certifikata.
15. Varnostni cilj se vključi v poročilo o certificiranju ali je v njem naveden in povzet ter zagotovljen skupaj z njim za objavo.
16. Varnostni cilj je lahko prečiščen v skladu z oddelkom VI.2.
17. V poročilo o certificiranju se lahko vključita znak ali oznaka, povezana z EUCC, v skladu s pravili in postopki iz člena 11.
18. V oddelku o seznamu literature so zajeti sklici na vse dokumente, uporabljene pri pripravi poročila o certificiranju. Te informacije vključujejo najmanj naslednje:
merila za ocenjevanje varnosti, najsodobnejše dokumente ter dodatne uporabljene ustrezne specifikacije in njihovo različico;
tehnično poročilo o ocenjevanju;
tehnično poročilo o ocenjevanju za ocenjevanje sestavljenih proizvodov, kadar je ustrezno;
tehnične referenčne dokumente;
dokumente, ki jih je pri ocenjevalnem delu uporabil razvijalec.
19. Da bi se ocenjevanje lahko ponovilo, morajo biti vsi dokumenti edinstveno označeni z ustreznim datumom izdaje in ustrezno številko različice.
V.2 Prečiščevanje varnostnega cilja za objavo
1. Varnosti cilj, vključen v poročilo o certificiranju ali naveden v tem poročilu v skladu s točko 1 oddelka VI.1, je lahko prečiščen z odstranitvijo ali povzetkom zaščitenih tehničnih informacij.
2. Prečiščeni varnostni cilj, ki iz tega izhaja, je realna predstavitev celotne izvirne različice. To pomeni, da se iz prečiščenega varnostnega cilja ne smejo izpustiti informacije, potrebne za razumevanje varnostnih lastnosti cilja in obsega ocenjevanja.
3. Vsebina prečiščenega varnostnega cilja je skladna z naslednjimi minimalnimi zahtevami:
uvod ni prečiščen, saj na splošno ne zajema zaščitenih informacij;
prečiščen varnostni cilj mora imeti edinstven identifikator, ki se razlikuje od identifikatorja njegove celotne izvirne različice;
opis cilja ocenjevanja se lahko skrajša, saj lahko zajema zaščitene in podrobne informacije o zasnovi cilja ocenjevanja, ki se jih ne bi smelo objaviti;
opis varnostnega okolja cilja ocenjevanja (predpostavke, grožnje, organizacijske varnostne politike) se ne skrajša, če so te informacije potrebne za razumevanje obsega ocenjevanja;
varnostni cilji se ne skrajšajo, saj se za razumevanje namena varnostnega cilja in cilja ocenjevanja objavijo vse informacije;
vse varnostne zahteve se objavijo. V opombah k uporabi so lahko navedene informacije o tem, kako so bile funkcijske zahteve iz skupnih meril, kot je določeno v členu 3, uporabljene za razumevanje varnostnega cilja;
povzetek specifikacije cilja ocenjevanja zajema vse varnostne funkcije cilja ocenjevanja, dodatne zaščitene informacije pa se lahko prečistijo;
vključijo se sklici na profile zaščite, uporabljene pri cilju ocenjevanja;
utemeljitev se lahko prečisti, da se odstranijo zaščitene informacije.
4. Certifikacijski organ zagotovi, da je prečiščeni varnostni cilj, tudi če ni uradno ocenjen v skladu s standardi ocenjevanja iz člena 3, skladen s celotnim in ocenjenim varnostnim ciljem, ter v certifikacijskem poročilu navede celoten in prečiščen varnostni cilj.
PRILOGA VI
Obseg in sestava skupine za medsebojna strokovna ocenjevanja
VI.1 Obseg medsebojnega strokovnega ocenjevanja
1. Zajete so naslednje vrste medsebojnega strokovnega ocenjevanja:
vrsta 1: kadar certifikacijski organ izvede dejavnosti certificiranja na ravni AVA_VAN.3;
vrsta 2: kadar certifikacijski organ izvede dejavnosti certificiranja, povezane s tehnično domeno iz najsodobnejših dokumentov iz Priloge I;
vrsta 3: kadar certifikacijski organ izvede dejavnosti certificiranja nad ravnjo AVA_VAN.3 in pri tem uporabi profil zaščite, naveden kot najsodobnejši dokument v Prilogi I.
2. Medsebojno strokovno ocenjeni certifikacijski organ predloži seznam certificiranih proizvodov IKT, ki so lahko predlagani za pregled s strani skupine za medsebojno strokovno ocenjevanje, v skladu z naslednjimi pravili:
predlagani proizvodi spadajo v tehnični obseg pooblastila certifikacijskega organa, od katerih bosta na „visoki“ ravni zanesljivosti z medsebojnim strokovnim ocenjevanjem analizirani vsaj dve različni ocenjevanji proizvoda in en profil zaščite, če je certifikacijski organ izdal certifikat na „visoki“ ravni zanesljivosti;
pri vrsti 2 medsebojnega strokovnega ocenjevanja certifikacijski organ predloži vsaj en proizvod na tehnično domeno in zadevni center za ocenjevanje varnosti informacijske tehnologije;
pri vrsti 3 medsebojnega strokovnega ocenjevanja se oceni vsaj en predlagan proizvod v skladu z veljavnimi in ustreznimi profili zaščite.
VI.2 Skupina za medsebojno strokovno ocenjevanje
1. Skupino za medsebojno strokovno ocenjevanje sestavljata vsaj dva strokovnjaka, izbrana iz različnih certifikacijskih organov iz različnih držav članic, ki izdajajo certifikate na „visoki“ ravni zanesljivosti. Izkazati morata ustrezno strokovno znanje in izkušnje na področju standardov iz člena 3 in najsodobnejših dokumentov, ki spadajo v obseg medsebojnega strokovnega ocenjevanja.
2. V primeru prenosa naloge izdajanja certifikatov ali predhodne odobritve certifikatov, kot je določeno v členu 56(6) Uredbe (EU) 2019/881, v skupini strokovnjakov, izbranih v skladu z odstavkom 1 tega oddelka, sodeluje tudi strokovnjak iz nacionalnega certifikacijskega organa za kibernetsko varnost, povezanega z zadevnim certifikacijskim organom.
3. Za vrsto 2 medsebojnega strokovnega ocenjevanja so člani skupine izbrani iz certifikacijskih organov, pooblaščenih za zadevno tehnično domeno.
4. Vsak član skupine za ocenjevanje ima vsaj dve leti izkušenj z izvajanjem dejavnosti certificiranja v certifikacijskem organu.
5. Za vrsti 2 ali 3 medsebojnega strokovnega ocenjevanja ima vsak član skupine za ocenjevanje vsaj dve leti izkušenj z izvajanjem dejavnosti certificiranja na področju te ustrezne tehnične domene ali profila zaščite ter dokazano strokovno znanje in izkušnje in sodelovanje v postopku pooblastila centru za ocenjevanje varnosti informacijske tehnologije.
6. Kot opazovalca pri medsebojnem strokovnem ocenjevanju sodelujeta nacionalni certifikacijski organ za kibernetsko varnost, ki spremlja in nadzoruje medsebojno strokovno ocenjen certifikacijski organ, in vsaj en nacionalni certifikacijski organ za kibernetsko varnost, katerega certifikacijski organ ni predmet medsebojnega strokovnega ocenjevanja. Tudi Agencija ENISA lahko sodeluje kot opazovalka pri medsebojnem strokovnem ocenjevanju.
7. Medsebojno strokovno ocenjenemu certifikacijskemu organu je predstavljena sestava skupine za medsebojno strokovno ocenjevanje. V utemeljenih primerih lahko izpodbija sestavo te skupine in zahteva njen pregled.
PRILOGA VII
Vsebina certifikata eucc
Certifikat EUCC vsebuje najmanj:
edinstveni identifikator, ki ga določi certifikacijski organ, ki izda certifikat;
informacije, povezane s certificiranim proizvodom IKT ali profilom zaščite in imetnikom certifikata, ki zajemajo:
ime proizvoda IKT ali profil zaščite in, kadar je ustrezno, cilj ocenjevanja;
vrsto proizvoda IKT ali profil zaščite in, kadar je ustrezno, cilj ocenjevanja;
različico proizvoda IKT ali profila zaščite;
ime, naslov in kontaktne podatke imetnika certifikata;
povezavo na spletišče imetnika certifikata, ki vsebuje dodatne informacije o kibernetski varnosti iz člena 55 Uredbe (EU) 2019/881;
informacije, povezane z ocenjevanjem in certificiranjem proizvoda IKT ali profila zaščite, ki zajemajo:
ime, naslov in kontaktne podatke certifikacijskega organa, ki je izdal certifikat;
ime centra za ocenjevanje varnosti informacijske tehnologije, ki je izvedel ocenjevanje, če se razlikuje od certifikacijskega organa;
ime pristojnega nacionalnega certifikacijskega organa za kibernetsko varnost;
sklic na to uredbo;
sklic na poročilo o certificiranju, povezano s certifikatom iz Priloge V;
veljavno raven zanesljivosti v skladu s členom 4;
sklic na različico standardov, uporabljenih pri ocenjevanju, iz člena 3;
opredelitev ravni zanesljivosti ali paketa, ki sta določena v standardih iz člena 3 in skladna s Prilogo VIII, vključno z uporabljenimi elementi zanesljivosti in zajeto ravnjo AVA_VAN;
kadar je ustrezno, sklic na enega ali več profilov zaščite, s katerimi je skladen proizvod IKT ali profil zaščite;
datum izdaje;
obdobje veljavnosti certifikata;
znak in oznako, ki sta povezana s certifikatom v skladu s členom 11.
PRILOGA VIII
Izjava o paketu zanesljivosti
1. V nasprotju z opredelitvami iz skupnih meril povečanje:
ni označeno s kratico „+“;
se podrobno opiše s seznamom vseh zadevnih komponent;
se podrobno opiše v poročilu o certificiranju.
2. Raven zanesljivosti, potrjena v certifikatu EUCC, se lahko dopolni s standardom označevanja ravni varnostne zaščite (Evaluation Assurance Level – EAL, kot je določeno v členu 3 te uredbe.
3. Če se raven zanesljivosti, potrjena v certifikatu EUCC, ne nanaša na povečanje, se v certifikatu EUCC navede eden od naslednjih paketov:
„paket posebne zanesljivosti“;
„paket zanesljivosti, skladen s profilom zaščite,“ v primeru sklica na profil zaščite brez EAL.
PRILOGA IX
ZNAK IN OZNAKA
1. Oblika znaka in oznake:
2. Če sta znak in oznaka pomanjšana ali povečana, se upošteva razmerje, ki ga določa zgornja risba.
3. Če sta znak in oznaka fizično prisotna, sta visoka najmanj 5 mm.