European flag

Uradni list
Evropske unije

SL

Serija L

2024/3143

19.12.2024

IZVEDBENA UREDBA KOMISIJE (EU) 2024/3143

z dne 18. decembra 2024

o določitvi okoliščin, oblik in postopkov za priglasitve v skladu s členom 61(5) Uredbe (EU) 2019/881 Evropskega parlamenta in Sveta o Agenciji Evropske unije za kibernetsko varnost (ENISA) in o certificiranju informacijske in komunikacijske tehnologije na področju kibernetske varnosti

(Besedilo velja za EGP)

EVROPSKA KOMISIJA JE –

ob upoštevanju Pogodbe o delovanju Evropske unije,

ob upoštevanju Uredbe (EU) 2019/881 Evropskega parlamenta in Sveta z dne 17. aprila 2019 o Agenciji Evropske unije za kibernetsko varnost (ENISA) in o certificiranju informacijske in komunikacijske tehnologije na področju kibernetske varnosti ter razveljavitvi Uredbe (EU) št. 526/2013 (Akt o kibernetski varnosti) (1) in zlasti člena 61(5),

ob upoštevanju naslednjega:

(1)

V skladu s členom 61(1) Uredbe (EU) 2019/881 (Akt o kibernetski varnosti) morajo certifikacijski organi za kibernetsko varnost Komisiji priglasiti organe za ugotavljanje skladnosti, ki so bili akreditirani in po potrebi pooblaščeni za izdajo evropskih certifikatov kibernetske varnosti na določenih ravneh zanesljivosti ter bi morali priglasitev posodabljati. Poleg tega mora v skladu s členom 61(2) Uredbe (EU) 2019/881 Komisija v Uradnem listu Evropske unije objaviti seznam organov za ugotavljanje skladnosti, ki so bili priglašeni na podlagi evropske certifikacijske sheme za kibernetsko varnost, eno leto po začetku veljavnosti sheme. Za zagotovitev harmoniziranega pristopa za priglasitve in olajšanje postopka priglasitve za nacionalne certifikacijske organe za kibernetsko varnost bi morala ta uredba podrobno določiti okoliščine, oblike in postopke za priglasitve. Navedene vidike je pomembno pojasniti, da se uporabi prva evropska certifikacijska shema za kibernetsko varnost, ki temelji na skupnih merilih (v nadaljnjem besedilu: EUCC), določena z Izvedbeno uredbo (EU) 2024/482 (2).

(2)

Uredba priznava sinergije med Uredbo (EU) 2019/881 in ustrezno harmonizacijsko zakonodajo Unije, vključno z Uredbo (EU) 2024/2847 Evropskega parlamenta in Sveta (Akt o kibernetski odpornosti) (3). Zato se predlaga, da nacionalni certifikacijski organi za kibernetsko varnost Komisijo obvestijo prek elektronskega orodja za priglasitev, ki ga je razvila in s katerim upravlja Komisija, na katerega se sklicuje Sklep št. 768/2008/ES Evropskega parlamenta in Sveta (4). Brez poseganja v obveznost Komisije v zvezi z objavo seznama priglašenih organov za ugotavljanje skladnosti v Uradnem listu Evropske unije bi moral biti seznam na voljo javnosti prek elektronskega orodja za priglasitev, ki ga je razvila in s katerim upravlja Komisija.

(3)

Priglasitev akreditiranih in po potrebi pooblaščenih organov za ugotavljanje skladnosti pomeni, da se tem organom lahko zaupa izvajanje dejavnosti ocenjevanja in certificiranja v skladu z Uredbo (EU) 2019/881, kar prispeva k splošnemu ugledu evropskih certifikacijskih shem za kibernetsko varnost. Zato je bistveno zagotoviti, da organi za ugotavljanje skladnosti, ki so bili priglašeni, zahteve in svoje obveznosti izpolnjujejo dolgoročno. Objavljeni seznam priglašenih organov za ugotavljanje skladnosti bi moral biti točen in posodobljen ter odražati njihovo skladnost z zahtevami iz Uredbe (EU) 2019/881 in, kadar je ustrezno, s posebnimi ali dodatnimi zahtevami na podlagi evropske certifikacijske sheme za kibernetsko varnost. V ta namen morajo nacionalni certifikacijski organi za kibernetsko varnost Komisijo brez nepotrebnega odlašanja uradno obvestiti o vseh spremembah priglasitve v skladu s členom 61(1) Uredbe (EU) 2019/881.

(4)

Nacionalni certifikacijski organi za kibernetsko varnost so odgovorni za zagotavljanje skladnosti organov za ugotavljanje skladnosti z Uredbo (EU) 2019/881 in evropskimi certifikacijskimi shemami za kibernetsko varnost ter v zvezi s tem zagotavljajo točnost priglasitev. Te dejavnosti so predmet medsebojnega strokovnega pregleda, katerega izid bi moral prispevati k določitvi vseh potrebnih sprememb za povečanje njihove učinkovitosti. Nacionalni certifikacijski organi za kibernetsko varnost lahko ugotovijo, da organ za ugotavljanje skladnosti zaradi pomislekov, na katere je bil opozorjen v različnih okoliščinah, ne izpolnjuje več ustreznih zahtev. Kadar je ustrezno, bi morale ugotovitve na podlagi mehanizmov medsebojnega strokovnega ocenjevanja podpirati nacionalne certifikacijske organe za kibernetsko varnost pri spremljanju stalne usposobljenosti priglašenih organov za ugotavljanje skladnosti. Poleg tega lahko drugi nacionalni certifikacijski organi za kibernetsko varnost, Komisija ali deležniki nacionalnemu certifikacijskemu organu za kibernetsko varnost, ki je vložil priglasitev, izrazijo pomisleke glede stalne usposobljenosti priglašenih organov za ugotavljanje skladnosti.

(5)

Pri odločanju o začasnem preklicu, omejitvi ali odvzemu priglasitve organa za ugotavljanje skladnosti mora nacionalni certifikacijski organ, ki je vložil priglasitev, sodelovati z nacionalnim akreditacijskim organom, imenovanim v skladu z Uredbo (ES) št. 765/2008 Evropskega parlamenta in Sveta (5). To je v skladu z Uredbo (EU) 2019/881, ki določa, da bi morali nacionalni certifikacijski organi za kibernetsko varnost dejavno pomagati nacionalnim akreditacijskim organom, jih podpirati in z njimi sodelovati pri dejavnostih spremljanja in nadzora. Omejitev priglasitve bi se morala nanašati na primer zmanjšanega področja uporabe akreditacije ali, kadar je ustrezno, pooblastila, in torej področja uporabe priglasitve.

(6)

V skladu s členom 54(1), točka (n), Uredbe (EU) 2019/881 mora vsaka evropska certifikacijska shema za kibernetsko varnost vključevati, kadar je ustrezno, pravila glede hrambe evidenc s strani organov za ugotavljanje skladnosti. Zato mora v primeru omejitve, začasnega preklica ali odvzema priglasitve ali kadar priglašeni organ za ugotavljanje skladnosti preneha opravljati dejavnosti, nacionalni certifikacijski organ za kibernetsko varnost, ki je vložil priglasitev, zagotoviti, da se evidence navedenega organa za ugotavljanje skladnosti varno hranijo, in sicer za potrebno obdobje, kot je določeno v evropski certifikacijski shemi za kibernetsko varnost.

(7)

Ukrepi iz te uredbe so v skladu z mnenjem odbora, ustanovljenega s členom 66 Uredbe (EU) 2019/881 –

SPREJELA NASLEDNJO UREDBO:

Člen 1

Predmet urejanja

Ta uredba določa okoliščine, oblike in postopke za priglasitve organov za ugotavljanje skladnosti s strani nacionalnih certifikacijskih organov za kibernetsko varnost v skladu s členom 61(1) Uredbe (EU) 2019/881.

Člen 2

Postopek priglasitve

1.   Nacionalni certifikacijski organi za kibernetsko varnost v skladu s členom 61(1) Uredbe (EU) 2019/881 Komisiji priglasijo organe za ugotavljanje skladnosti, ki so izpolnili zahteve iz Uredbe (EU) 2019/881 in po potrebi posebne ali dodatne zahteve v okviru evropske certifikacijske sheme za kibernetsko varnost.

2.   Nacionalni certifikacijski organi za kibernetsko varnost vložijo priglasitev Komisiji z uporabo elektronskega orodja za priglasitev, ki ga je razvila in s katerim upravlja Komisija, kot je navedeno v Sklepu št. 768/2008/ES.

3.   Priglasitev vsebuje informacije, navedene v Prilogi.

Člen 3

Identifikacijske številke in seznam organov za ugotavljanje skladnosti

1.   Komisija priglašenemu organu za ugotavljanje skladnosti dodeli identifikacijsko številko. Dodeli mu samo eno tako številko, tudi kadar je organ priglašen na podlagi več evropskih certifikacijskih shem za kibernetsko varnost ali aktov Unije.

2.   Komisija pri pripravi seznama priglašenih organov za ugotavljanje skladnosti, razpoložljivih prek elektronskega orodja za priglasitev, ki ga je razvila in s katerim upravlja Komisija, vključi identifikacijske številke, ki so bile dodeljene priglašenim organom za ugotavljanje skladnosti, in dejavnosti, za katere so bili priglašeni.

3.   Agencija ENISA informacije o priglašenih organih za ugotavljanje skladnosti objavi na svojem namenskem spletišču o evropskih certifikacijskih shemah za kibernetsko varnost iz člena 50(1) Uredbe (EU) 2019/881.

Člen 4

Spremembe priglasitev

1.   Nacionalni certifikacijski organi za kibernetsko varnost Komisijo brez nepotrebnega odlašanja uradno obvestijo o vseh naknadnih spremembah priglasitve iz člena 2 prek elektronskega orodja za priglasitev, ki ga je razvila in s katerim upravlja Komisija, v skladu s členom 61(1) Uredbe (EU) 2019/881.

2.   Kadar nacionalni certifikacijski organ za kibernetsko varnost v sodelovanju z nacionalnim akreditacijskim organom, kakor je določeno v Uredbi (EU) 2019/881, ugotovi, da priglašeni organ za ugotavljanje skladnosti ne izpolnjuje več zahtev ali obveznosti, ki zanj veljajo, glede na resnost neizpolnjevanja navedenih zahtev ali obveznosti priglasitev omeji, začasno prekliče ali odvzame, kakor je ustrezno. Komisijo brez nepotrebnega odlašanja ustrezno obvesti prek elektronskega orodja za priglasitev, ki ga je razvila in s katerim upravlja Komisija.

3.   V primeru omejitve, začasnega preklica ali odvzema priglasitve ali kadar priglašeni organ za ugotavljanje skladnosti preneha opravljati dejavnosti, nacionalni certifikacijski organ za kibernetsko varnost sprejme ustrezne ukrepe za zagotovitev, da se evidence navedenega organa za ugotavljanje skladnosti varno hranijo, in sicer za potrebno obdobje, kot je določeno v evropski certifikacijski shemi za kibernetsko varnost.

Člen 5

Začetek veljavnosti

Ta uredba začne veljati dvajseti dan po objavi v Uradnem listu Evropske unije.

Ta uredba je v celoti zavezujoča in se neposredno uporablja v vseh državah članicah.

V Bruslju, 18. decembra 2024

Za Komisijo

predsednica

Ursula VON DER LEYEN

(1)   UL L 151, 7.6.2019, str. 15, ELI: http://data.europa.eu/eli/reg/2019/881/oj.

(2)  Izvedbena uredba Komisije (EU) 2024/482 z dne 31. januarja 2024 o določitvi pravil za uporabo Uredbe (EU) 2019/881 Evropskega parlamenta in Sveta v zvezi s sprejetjem evropske certifikacijske sheme za kibernetsko varnost, ki temelji na skupnih merilih (UL L, 2024/482, 7.2.2024, ELI: http://data.europa.eu/eli/reg_impl/2024/482/oj).

(3)  Uredba (EU) 2024/2847 Evropskega parlamenta in Sveta z dne 23. oktobra 2024 o horizontalnih zahtevah glede kibernetske varnosti za izdelke z digitalnimi elementi in spremembi uredb (EU) št. 168/2013 in (EU) 2019/1020 ter Direktive (EU) 2020/1828 (Akt o kibernetski odpornosti) (UL L, 2024/2847, 20.11.2024, ELI: http://data.europa.eu/eli/reg/2024/2847/oj).

(4)  Sklep št. 768/2008/ES Evropskega parlamenta in Sveta z dne 9. julija 2008 o skupnem okviru za trženje proizvodov in razveljavitvi Sklepa Sveta 93/465/EGS (UL L 218, 13.8.2008, str. 82, ELI: http://data.europa.eu/eli/dec/2008/768(1)/oj).

(5)  Uredba (ES) št. 765/2008 Evropskega Parlamenta in Sveta z dne 9. julija 2008 o določitvi zahtev za akreditacijo in nadzor trga v zvezi s trženjem proizvodov ter razveljavitvi Uredbe (EGS) št. 339/93 (UL L 218, 13.8.2008, str. 30, ELI: http://data.europa.eu/eli/reg/2008/765/oj).

PRILOGA

Informacije, ki se navedejo pri priglasitvi organa za ugotavljanje skladnosti v okviru evropske certifikacijske sheme za kibernetsko varnost v skladu s členom 61(1) Uredbe (EU) 2019/881, kot je navedeno v členu 2(3) te uredbe

1.   

Splošne informacije:

(1)

naslov certifikacijske sheme za kibernetsko varnost,

(2)

stopnja(-e) zanesljivosti, kadar je ustrezno, in povezani postopki ugotavljanja skladnosti (npr. osnovni, znatni ali visoki),

(3)

področje uporabe (npr. akreditacije, kategorije ali vrste proizvodov, storitev, postopkov).

2.   

Informacije o nacionalnem certifikacijskem organu za kibernetsko varnost, ki je vložil priglasitev:

(1)

ime,

(2)

država,

(3)

poštni naslov,

(4)

e-naslovi,

(5)

telefonske številke,

(6)

spletišče.

3.   

Informacije organu za ugotavljanje skladnosti, ki mu je poslana priglasitev:

(1)

ime,

(2)

država,

(3)

poštni naslov,

(4)

e-naslovi,

(5)

telefonske številke,

(6)

spletišče.

4.   

Informacije o akreditaciji:

(1)

akreditacija:

(a)

datum akreditacije,

(b)

referenčna številka akreditacije,

(c)

področje uporabe akreditacije,

(d)

trajanje veljavnosti akreditacije;

(2)

nacionalni akreditacijski organ:

(a)

ime,

(b)

država,

(c)

poštni naslov,

(d)

e-naslovi,

(e)

telefonske številke,

(f)

spletišče.

5.   

Informacije o pooblastilu (če je ustrezno):

(1)

pooblastilo:

(a)

datum pooblastila,

(b)

referenčna številka pooblastila,

(c)

področje uporabe pooblastila,

(d)

trajanje veljavnosti pooblastila;

(2)

nacionalni organ za kibernetsko varnost, ki izda pooblastilo (če se razlikuje od nacionalnega certifikacijskega organa za kibernetsko varnost, ki je vložil priglasitev):

(a)

ime,

(b)

država,

(c)

poštni naslov,

(d)

e-naslovi,

(e)

telefonske številke,

(f)

spletišče.

6.   

Dodatne informacije:

(1)

vse dodatne informacije, ki jih zahteva konkretna evropska certifikacijska shema za kibernetsko varnost,

(2)

vsa druga dokazila.

ELI: http://data.europa.eu/eli/reg_impl/2024/3143/oj

ISSN 1977-0804 (electronic edition)