This document is an excerpt from the EUR-Lex website
Document 32024R0482
Commission Implementing Regulation (EU) 2024/482 of 31 January 2024 laying down rules for the application of Regulation (EU) 2019/881 of the European Parliament and of the Council as regards the adoption of the European Common Criteria-based cybersecurity certification scheme (EUCC)
Kommissionens genomförandeförordning (EU) 2024/482 av den 31 januari 2024 om fastställande av tillämpningsföreskrifter för Europaparlamentets och rådets förordning (EU) 2019/881 vad gäller antagande av den europeiska Common Criteria-baserade ordningen för cybersäkerhetscertifiering (EUCC)
Kommissionens genomförandeförordning (EU) 2024/482 av den 31 januari 2024 om fastställande av tillämpningsföreskrifter för Europaparlamentets och rådets förordning (EU) 2019/881 vad gäller antagande av den europeiska Common Criteria-baserade ordningen för cybersäkerhetscertifiering (EUCC)
C/2024/560
EUT L, 2024/482, 7.2.2024, ELI: http://data.europa.eu/eli/reg_impl/2024/482/oj (BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In force
|
officiella tidning |
SV L-serien |
|
2024/482 |
7.2.2024 |
KOMMISSIONENS GENOMFÖRANDEFÖRORDNING (EU) 2024/482
av den 31 januari 2024
om fastställande av tillämpningsföreskrifter för Europaparlamentets och rådets förordning (EU) 2019/881 vad gäller antagande av den europeiska Common Criteria-baserade ordningen för cybersäkerhetscertifiering (EUCC)
(Text av betydelse för EES)
EUROPEISKA KOMMISSIONEN HAR ANTAGIT DENNA FÖRORDNING
med beaktande av fördraget om Europeiska unionens funktionssätt,
med beaktande av Europaparlamentets och rådets förordning (EU) 2019/881 av den 17 april 2019 om Enisa (Europeiska unionens cybersäkerhetsbyrå) och om cybersäkerhetscertifiering av informations- och kommunikationsteknik och om upphävande av förordning (EU) nr 526/2013 (cybersäkerhetsakten) (1), särskilt artikel 49.7, och
av följande skäl:
|
(1) |
Genom denna förordning specificeras rollerna, reglerna och skyldigheterna samt strukturen för den europeiska Common Criteria-baserade ordningen för cybersäkerhetscertifiering (EUCC) i enlighet med det europeiska ramverket för cybersäkerhetscertifiering som fastställs i förordning (EU) 2019/881. EUCC bygger på det avtal om ömsesidigt erkännande av säkerhetscertifikat för informationsteknik som överenskommits av gruppen av höga tjänstemän på informationssäkerhetsområdet (2) (SOG-IS), och baseras på Common Criteria, inbegripet gruppens förfaranden och dokument. |
|
(2) |
Ordningen bör bygga på etablerade internationella standarder. Common Criteria är en internationell standard för evaluering av informationssäkerhet som offentliggjorts som t.ex. ISO/IEC 15408 Informationssäkerhet, cybersäkerhet och integritetsskydd - Utvärderingskriterier för IT-säkerhet. Den baseras på oberoende evaluering och omfattar sju assuransnivåer (Evaluation Assurance Levels, EAL). Common Criteria åtföljs av den gemensamma evalueringsmetodiken, som offentliggjorts som t.ex. ISO/IEC 18045 - Informationsteknik - Säkerhetstekniker - Metodik för evaluering av IT-säkerhet. Specifikationer och dokument som tillämpar bestämmelserna i denna förordning får hänvisa till en allmänt tillgänglig standard som återspeglar den standard som används vid certifiering enligt denna förordning, som t.ex. Common Criteria for Information Technology Security Evaluation (Common Criteria för evaluering av IT-säkerhet) och Common Methodology for Information Technology Security Evaluation (gemensam evalueringsmetodik för IT-säkerhet). |
|
(3) |
EUCC använder Common Criterias sårbarhetsanalysfamilj (AVA_VAN), komponenterna 1–5. De fem komponenterna omfattar alla de viktigaste faktorerna och beroendeförhållandena för analys av IKT-produkters sårbarhet. Komponenterna motsvarar assuransnivåerna i denna förordning och möjliggör därmed väl underbyggda assuransval, baserat på evalueringarna av säkerhetskraven och den risk som är förbunden med IKT-produktens avsedda användning. Den som ansöker om ett EUCC-certifikat bör tillhandahålla dokumentationen om IKT-produktens avsedda användning och analysen av de risknivåer som är förbundna med sådan användning, så att organet för bedömning av överensstämmelse kan evaluera den valda assuransnivåns lämplighet. Om evaluerings- och certifieringsverksamheten utförs av samma organ för bedömning av överensstämmelse behöver den sökande endast lämna den begärda informationen en gång. |
|
(4) |
En teknikdomän är en referensram som omfattar en grupp IKT-produkter som har specifika och liknande säkerhetsfunktioner som avhjälper attacker och där egenskaperna är gemensamma för en viss assuransnivå. En teknikdomän beskriver i mönsterdokument de särskilda säkerhetskrav och ytterligare metoder, tekniker och verktyg för evaluering som är tillämpliga på certifieringen av IKT-produkter som omfattas av den teknikdomänen. En teknikdomän främjar därmed också en harmoniserad evaluering av de IKT-produkter som omfattas. Två teknikdomäner används för närvarande allmänt för certifiering på nivåerna AVA_VAN.4 och AVA_VAN.5. Den första teknikdomänen är ”Smart cards and similar devices” (smartkort och liknande anordningar), där betydande delar av de säkerhetsfunktioner som krävs bygger på specifika, skräddarsydda och ofta separerbara maskinvaruelement (t.ex. maskinvara för smartkort, integrerade kretsar, sammansatta smartkortsprodukter, TPM (Trusted Platform Modules) som används i betrodda datortjänster, eller digitala färdskrivarkort). Den andra teknikdomänen är ”Hardware devices with security boxes” (maskinvara med säkerhetsboxar), där betydande delar av de säkerhetsfunktioner som krävs bygger på ett fysiskt maskinvaruhölje (benämnt säkerhetsbox) som utformats för att stå emot direkta attacker, t.ex. betalningsterminaler, färdskrivarenheter för fordon, smarta mätare, åtkomstkontrollterminaler och säkerhetsmoduler i maskinvara. |
|
(5) |
Vid ansökan om certifiering bör sökanden relatera sin motivering till valet av en assuransnivå till de målsättningar som fastställs i artikel 51 i förordning (EU) 2019/881 och valet av komponenter från katalogen med säkerhetsfunktionskrav och säkerhetsassuranskrav i Common Criteria. Certifieringsorgan bör bedöma om den valda assuransnivån är lämplig och säkerställa att den valda nivån står i proportion till den risk som är förbunden med den avsedda användningen av IKT-produkten. |
|
(6) |
Enligt Common Criteria görs certifieringen mot ett säkerhetsmål som omfattar en definition av IKT-produktens säkerhetsproblem samt de säkerhetsmålsättningar som åtgärdar säkerhetsproblemet. Säkerhetsproblemet omfattar uppgifter om IKT-produktens avsedda användning och de risker som är förbundna med denna användning. En vald uppsättning säkerhetskrav svarar mot både säkerhetsproblemet och säkerhetsmålsättningarna för en IKT-produkt. |
|
(7) |
Skyddsprofiler är ett effektivt sätt att på förhand fastställa de gemensamma kriterier som är tillämpliga på en viss kategori av IKT-produkter och därmed också en viktig aspekt av certifieringsprocessen för de IKT-produkter som omfattas av skyddsprofilen. En skyddsprofil används som riktmärke för framtida säkerhetsmål för en viss IKT-produktkategori som den skyddsprofilen avser. Skyddsprofiler rationaliserar och effektiviserar certifieringsprocessen för IKT-produkten ytterligare och hjälper användarna att specificera en IKT-produkts funktioner på ett korrekt och effektivt sätt. Skyddsprofilerna bör därmed anses som en integrerad del av den IKT-process som leder till certifieringen av IKT-produkter. |
|
(8) |
För att främja skyddsprofilernas roll i den IKT-process som stöder utvecklingen och tillhandahållandet av en certifierad IKT-produkt bör själva skyddsprofilerna kunna certifieras oberoende av certifieringen av den specifika IKT-produkt som omfattas av respektive skyddsprofil. Det är därför viktigt att minst samma granskningsnivå tillämpas på skyddsprofilerna som på säkerhetsmålen för att säkerställa en hög cybersäkerhetsnivå. Skyddsprofilerna bör evalueras och certifieras separat från den berörda IKT-produkten och endast genom tillämpning av Common Criterias och den gemensamma evalueringsmetodikens assuransklass för skyddsprofiler (assurance class for protection profiles, APE) och, i tillämpliga fall, för konfigurationer av skyddsprofiler (configurations of protection profiles, ACE). Mot bakgrund av deras viktiga och känsliga roll som ett riktmärke i certifieringen av IKT-produkter bör de endast certifieras av offentliga organ eller av ett certifieringsorgan som har förhandsgodkänts av den nationella myndigheten för cybersäkerhetscertifiering för den specifika skyddsprofilen. I och med att skyddsprofilerna har en grundläggande roll för certifieringen med assuransnivå ”hög”, i synnerhet utanför teknikdomänerna, bör de utvecklas som mönsterdokument som bör godkännas av europeiska gruppen för cybersäkerhetscertifiering. |
|
(9) |
Certifierade skyddsprofiler bör ingå i den övervakning av EUCC-överensstämmelse och EUCC-efterlevnad som görs av de nationella myndigheterna för cybersäkerhetscertifiering. Om de metoder, verktyg och färdigheter som används för evalueringen av IKT-produkter är tillgängliga för specifika certifierade skyddsprofiler får teknikdomäner användas för dessa specifika skyddsprofiler. |
|
(10) |
För att uppnå en hög tillits- och assuransnivå för certifierade IKT-produkter bör självbedömning inte tillåtas inom ramen för denna förordning. Endast sådana tredjepartsbedömningar av överensstämmelse som utförs av ITSEF och certifieringsorgan bör tillåtas. |
|
(11) |
SOG-IS-gruppen tillhandahöll gemensamma tolkningar och tillvägagångssätt för tillämpningen av Common Criteria och den gemensamma evalueringsmetodiken på certifieringsområdet, i synnerhet vad gäller assuransnivån ”hög” som eftersträvas i teknikdomänerna ”smartkort och liknande anordningar” och ”maskinvara med säkerhetsdosor”. Återanvändningen av sådana stöddokument i EUCC-ordningen säkerställer en smidig övergång från nationellt genomförda SOG-IS-system till den harmoniserade EUCC-ordningen. Därför bör harmoniserade evalueringsmetoder av allmän relevans för all certifieringsverksamhet ingå i denna förordning. Kommissionen bör dessutom kunna begära att den europeiska gruppen för cybersäkerhetscertifiering antar ett yttrande som godkänner och rekommenderar användningen av evalueringsmetoder som specificeras i mönsterdokument för certifieringen av en IKT-produkt eller skyddsprofil inom EUCC-ordningen. I bilaga I till förordningen förtecknas därför mönsterdokument för evalueringsverksamhet som utförs av organ för bedömning av överensstämmelse. Den europeiska gruppen för cybersäkerhetscertifiering bör godkänna och upprätthålla mönsterdokument. Mönsterdokument bör användas för certifiering. Endast i vederbörligen motiverade undantagsfall bör det tillåtas att ett organ för bedömning av överensstämmelse inte använder dem, förutsatt att särskilda villkor är uppfyllda, i synnerhet att godkännande ges från den nationella myndigheten för cybersäkerhetscertifiering. |
|
(12) |
Certifiering av IKT-produkter på AVA_VAN-nivå 4 eller 5 bör endast vara möjlig på särskilda villkor och om det finns en särskild evalueringsmetodik tillgänglig. Den särskilda evalueringsmetodiken får ingå i mönsterdokument som är relevanta för teknikdomänen eller i särskilda skyddsprofiler som antagits som mönsterdokument som är relevanta för den berörda produktkategorin. Endast i vederbörligen motiverade undantagsfall bör certifiering på dessa assuransnivåer vara möjlig, på särskilda villkor, i synnerhet ett godkännande från den nationella myndigheten för cybersäkerhetscertifiering, inbegripet av den tillämpliga evalueringsmetodiken. Sådana vederbörligen motiverade undantagsfall kan föreligga om unionslagstiftningen eller den nationella lagstiftningen kräver certifiering av en IKT-produkt på AVA_VAN-nivå 4 eller 5. På samma sätt bör det i vederbörligen motiverade undantagsfall vara tillåtet att certifiera skyddsprofiler utan att använda de relevanta mönsterdokumenten, förutsatt att särskilda villkor är uppfyllda, i synnerhet att godkännande ges från den nationella myndigheten för cybersäkerhetscertifiering, inbegripet av den tillämpliga evalueringsmetodiken. |
|
(13) |
De märkningar och etiketter som används inom ramen för EUCC syftar till att på ett synligt sätt visa användarna den certifierade IKT-produktens tillförlitlighet och hjälpa dem att göra väl underbyggda val när de köper IKT-produkter. Användningen av märkningar och etiketter bör också omfattas av de regler och villkor som anges i ISO/IEC 17065 och i tillämpliga fall ISO/IEC 17030 med tillämplig vägledning. |
|
(14) |
Certifieringsorganen bör besluta om giltighetstiden för certifikat med beaktande av den berörda IKT-produktens livscykel. Giltighetstiden bör inte överstiga fem år. De nationella myndigheterna för cybersäkerhetscertifiering bör arbeta för att harmonisera giltighetstiden i unionen. |
|
(15) |
Om tillämpningsområdet för ett befintligt EUCC-certifikat begränsas bör certifikatet återkallas och ett nytt certifikat med det nya tillämpningsområdet utfärdas för att säkerställa att användarna får tydlig information om det aktuella tillämpningsområdet och den aktuella assuransnivån för certifikatet för en viss IKT-produkt. |
|
(16) |
Certifieringen av en skyddsprofil skiljer sig från certifieringen av IKT-produkter eftersom den avser en IKT-process. En skyddsprofil omfattar en kategori av IKT-produkter och därför kan evalueringen och certifieringen av den inte göras på grundval av en enda IKT-produkt. I och med att skyddsprofilen förenar de allmänna säkerhetskraven för en kategori av IKT-produkter och är oberoende av hur IKT-produkten manifesteras av säljaren, bör giltighetstiden för ett EUCC-certifikat för en skyddsprofil i princip vara minst fem år, vilket får utvidgas till skyddsprofilens livslängd. |
|
(17) |
Ett organ för bedömning av överensstämmelse definieras som ett organ vars verksamhet är att utföra bedömningar av överensstämmelse, inbegripet kalibrering, provning, certifiering och inspektion. För att säkerställa en hög kvalitet på tjänsterna specificerar denna förordning att provningsverksamheten, å ena sidan, och certifierings- och inspektionsverksamheten, å andra sidan, bör utföras av enheter som arbetar oberoende av varandra, nämligen av faciliteter för utvärdering av informationsteknologisk säkerhet (Information Technology Security Evaluation Facilities, ITSEF) respektive certifieringsorgan. Båda typerna av organ för bedömning av överensstämmelse bör vara ackrediterade och i vissa situationer auktoriserade. |
|
(18) |
Ett certifieringsorgan bör ackrediteras i enlighet med standarden ISO/IEC 17065 av det nationella ackrediteringsorganet för assuransnivåerna ”betydande” och ”hög”. Utöver ackrediteringen i enlighet med förordning (EU) 2019/881 jämförd med förordning (EG) nr 765/2008 bör organ för bedömning av överensstämmelse uppfylla särskilda krav som garanterar deras tekniska kompetens för evalueringen av EUCC:s cybersäkerhetskrav med assuransnivå ”hög”, vilket bekräftas genom en ”auktorisering”. För att stödja auktorisationsprocessen bör relevanta mönsterdokument utarbetas och offentliggöras av Enisa, efter att de godkänts av den europeiska gruppen för cybersäkerhetscertifiering. |
|
(19) |
Den tekniska kompetensen hos en ITSEF bör bedömas genom en ackreditering av provlaboratoriet i enlighet med ISO/IEC 17025 kompletterat av ISO/IEC 23532-1 för hela uppsättningen evalueringsaktiviteter som är relevanta för aussuransnivån och specificeras i ISO/IEC 18045 jämförd med ISO/IEC 15408. Både certifieringsorganet och berörd ITSEF bör inrätta och upprätthålla ett ändamålsenligt kompetensstyrningssystem som utgår från ISO/IEC 19896-1 för element och kompetensnivåer och för bedömningen av kompetensen. För nivåerna av kunskap, färdigheter, erfarenhet och utbildning bör de tillämpliga kraven för evaluerarna utgå från ISO/IEC 19896-3. Likvärdiga bestämmelser och åtgärder för att hantera avvikelser från sådana kompetensstyrningssystem bör påvisas i linje med systemets syften. |
|
(20) |
För att bli auktoriserad bör en ITSEF visa sin förmåga att fastställa avsaknaden av kända sårbarheter, ett korrekt och konsekvent genomförande av förstklassiga säkerhetsfunktioner för den specifika tekniken i fråga och den berörda IKT-produktens motståndskraft mot kunniga angripare. För auktoriseringar inom teknikdomänen ”smartkort och liknande anordningar” bör en ITSEF också uppvisa de tekniska förmågor som krävs för evalueringar och tillhörande uppgifter enligt stöddokumentet Minimum ITSEF requirements for security evaluations of smart cards and similar devices (Minimikrav enligt ITSEF för säkerhetsbedömningar av smartkort och liknande anordningar) (3) enligt Common Criteria. För auktorisering inom teknikdomänen ”maskinvara med säkerhetsdosor” bör en ITSEF dessutom uppvisa de tekniska minimikrav som är nödvändiga för att utföra evalueringen och tillhörande uppgifter avseende maskinvara med fysiskt maskinvaruhölje i enlighet med ECCG:s rekommendationer. I samband med minimikraven bör en ITSEF ha förmåga att utföra de olika typer av attacker som anges i stöddokumentet Application of Attack Potential to Hardware Devices with Security Boxes (tillämpning av angreppspotential på maskinvaruenheter med fysiskt maskinvaruhölje) enligt Common Criteria. Dessa förmågor omfattar evaluerarens kunskap och färdigheter och den utrustning och de evalueringsmetoder som krävs för att fastställa och bedöma de olika typerna av attacker. |
|
(21) |
Den nationella myndigheten för cybersäkerhetscertifiering bör övervaka att certifieringsorganen, ITSEF och certifikatinnehavarna uppfyller sina skyldigheter som härrör från den här förordningen och förordning (EU) 2019/881. Nationella myndigheter för cybersäkerhetscertifiering bör använda lämpliga informationskällor i detta syfte, däribland information från deltagare i certifieringsprocessen och egna utredningar. |
|
(22) |
Certifieringsorganen bör samarbeta med relevanta marknadskontrollmyndigheter och beakta all sårbarhetsinformation som kan vara relevant för de IKT-produkter som de har utfärdat certifikat för. Certifieringsorganen bör övervaka de skyddsprofiler som de har certifierat för att fastställa om säkerhetskraven för en kategori av IKT-produkter fortfarande återspeglar den senaste utvecklingen av hotmiljön. |
|
(23) |
För att stödja övervakningen av efterlevnaden bör de nationella myndigheterna för cybersäkerhetscertifiering samarbeta med de berörda marknadskontrollmyndigheterna i enlighet med artikel 58 i Europaparlamentets och rådets förordning (EU) 2019/881 och Europaparlamentets och rådets förordning (EU) 2019/1020 (4). Ekonomiska aktörer i unionen är skyldiga att utbyta information och samarbeta med marknadskontrollmyndigheterna, i enlighet med artikel 4.3 i förordning (EU) 2019/1020. |
|
(24) |
Certifieringsorganen bör övervaka certifikatinnehavarnas efterlevnad och överensstämmelsen för alla certifikat som utfärdas inom ramen för EUCC. Övervakningen bör säkerställa att alla evalueringsrapporter som tillhandahålls av en ITSEF och de slutsatser som dras i dessa samt evalueringskriterierna och -metoderna tillämpas konsekvent och korrekt i all certifieringsverksamhet. |
|
(25) |
Vid upptäckt av potentiell bristande efterlevnad som berör en certifierad IKT-produkt är det viktigt att säkerställa en proportionell svarsåtgärd. Certifikat bör därför kunna upphävas tillfälligt. Ett tillfälligt upphävande bör medföra vissa begränsningar vad gäller marknadsföringen och användningen av den berörda IKT-produkten, men bör inte påverka certifikatets giltighet. Innehavaren av EU-certifikatet bör underrätta köparna av de berörda IKT-produkterna om ett tillfälligt upphävande, medan de berörda marknadskontrollmyndigheterna bör underrättas av den berörda nationella myndigheten för cybersäkerhetscertifiering. För att underrätta allmänheten bör Enisa offentliggöra information om tillfälliga upphävanden på en särskild webbplats. |
|
(26) |
Innehavaren av ett EUCC-certifikat bör genomföra de nödvändiga förfarandena för sårbarhetshantering och säkerställa att dessa förfaranden ingår i deras organisation. När innehavaren av EUCC-certifikatet får kännedom om en potentiell sårbarhet bör denna göra en bedömning av sårbarhetskonsekvenserna. Om denna bedömning av sårbarhetskonsekvenserna bekräftar att sårbarheten kan utnyttjas bör certifikatinnehavaren sända en rapport om bedömningen till certifieringsorganet, som i sin tur bör underrätta den nationella myndigheten för cybersäkerhetscertifiering. Rapporten bör innehålla information om sårbarhetens konsekvenser, de förändringar eller korrigerande åtgärder som krävs, inbegripet eventuella allmänna konsekvenser av sårbarheten, samt korrigerande lösningar för andra produkter. Vid behov bör standarden EN ISO/IEC 29147 komplettera förfarandet för information om sårbarheter. |
|
(27) |
I certifieringssyfte erhåller organ för bedömning av överensstämmelse och nationella myndigheter för cybersäkerhetscertifiering konfidentiella och känsliga uppgifter och affärshemligheter, däribland vad gäller immateriella rättigheter eller övervakning av efterlevnad, och dessa uppgifter behöver ett ändamålsenligt skydd. De bör därför ha den tekniska kompetens och kunskap som krävs och bör inrätta system för skydd av information. Kraven och villkoren för skydd av information bör uppfyllas för både ackrediteringen och auktoriseringen. |
|
(28) |
Enisa bör tillhandahålla en förteckning över certifierade skyddsprofiler på sin webbplats för cybersäkerhetscertifiering och ange deras status, i enlighet med förordning (EU) 2019/881. |
|
(29) |
I denna förordning fastställs villkoren för avtal med tredjeländer om ömsesidigt erkännande. Sådana avtal om ömsesidigt erkännande kan vara bilaterala eller multilaterala och bör ersätta nu gällande avtal av samma typ. För att främja en smidig övergång till sådana avtal om ömsesidigt erkännande bör medlemsstaterna kunna bibehålla befintliga samarbetsarrangemang med tredjeländer under en begränsad tidsperiod. |
|
(30) |
Certifieringsorgan som utfärdar EUCC-certifikat med assuransnivån ”hög”, samt relevanta anknutna ITSEF, bör genomgå sakkunnighetsbedömningar. Syftet med sakkunnighetsbedömningarna bör vara att fastställa om ett sakkunnighetsbedömt certifieringsorgans stadgar och förfaranden fortfarande uppfyller kraven enligt EUCC-ordningen. Sakkunnighetsbedömningar skiljer sig från inbördes granskning mellan nationella myndigheter för cybersäkerhetscertifiering i enlighet med artikel 59 i förordning (EU) 2019/881. Sakkunnighetsbedömningar bör säkerställa att certifieringsorganen arbetar på ett harmoniserat sätt och utfärdar certifikat av samma kvalitet och de bör identifiera potentiella styrkor och svagheter i certifieringsorganens arbete, även i syfte att utbyta bästa praxis. I och med att det finns olika typer av certifieringsorgan bör olika typer av sakkunnighetsbedömningar tillåtas. I mer komplexa fall, exempelvis certifieringsorgan som utfärdar certifikat för olika AVA_VAN-nivåer, bör olika typer av sakkunnighetsbedömningar kunna användas, förutsatt att alla krav är uppfyllda. |
|
(31) |
Europeiska gruppen för cybersäkerhetscertifiering bör spela en viktig roll i upprätthållandet av ordningen. Den bör bland annat bedriva sitt arbete genom samarbete med den privata sektorn, inrättande av specialiserade undergrupper och relevant förberedande arbete och bistånd på kommissionens begäran. Europeiska gruppen för cybersäkerhetscertifiering har en viktig roll i godkännandet av mönsterdokument. Vid godkännandet och antagandet av mönsterdokument bör vederbörlig hänsyn tas till de aspekter som avses i artikel 54.1 c i förordning (EU) 2019/881. Teknikdomäner och mönsterdokument bör offentliggöras i bilaga I till denna förordning, Skyddsprofiler som har antagits som mönsterdokument bör offentliggöras i bilaga II. För att säkerställa att dessa bilagor är dynamiska bör kommissionen kunna ändra dem i enlighet med det förfarande som anges i artikel 66.2 i förordning (EU) 2019/881 och med beaktande av yttrandet från den europeiska gruppen för cybersäkerhetscertifiering. Bilaga III innehåller rekommenderade skyddsprofiler, som vid tidpunkten för denna förordnings ikraftträdande inte är mönsterdokument. De bör offentliggöras på Enisas webbplats enligt artikel 50.1 i förordning (EU) 2019/881. |
|
(32) |
Den här förordningen bör börja tillämpas tolv månader efter det att den har trätt i kraft. Kraven i kapitel IV och bilaga V kräver ingen övergångsperiod och de bör därför tillämpas från och med denna förordnings ikraftträdande. |
|
(33) |
De åtgärder som föreskrivs i denna förordning är förenliga med yttrandet från den europeiska kommitté för cybersäkerhetscertifiering som inrättats genom artikel 66 i förordning (EU) 2019/881. |
HÄRIGENOM FÖRESKRIVS FÖLJANDE.
KAPITEL I
ALLMÄNNA BESTÄMMELSER
Artikel 1
Innehåll och tillämpningsområde
I denna förordning fastställs den europeiska Common Criteria-baserade ordningen för cybersäkerhetscertifiering (EUCC).
Denna förordning ska tillämpas på alla informations- och kommunikationstekniska produkter (IKT-produkter), inbegripet deras dokumentation, som lämnas in för certifiering enligt EUCC, och på alla skyddsprofiler som lämnas in för certifiering som ett led i den IKT-process som mynnar ut i certifieringen av IKT-produkter.
Artikel 2
Definitioner
I denna förordning gäller följande definitioner:
|
(1) |
Common Criteria: de gemensamma kriterierna för utvärdering av informationsteknologisk säkerhet, enligt ISO-standarden ISO/IEC 15408. |
|
(2) |
gemensam evalueringsmetodik: den gemensamma metoden för utvärdering av informationsteknologisk säkerhet, enligt ISO/IEC-standarden ISO/IEC 18045. |
|
(3) |
evalueringsobjekt: en IKT-produkt eller del av sådan, eller en skyddsprofil som ingår i en IKT-process, som är föremål för cybersäkerhetsevaluering för att erhålla EUCC-certifiering. |
|
(4) |
säkerhetsmål: ett påstående om genomförandeberoende säkerhetskrav för en specifik IKT-produkt. |
|
(5) |
skyddsprofil: en IKT-process som fastställer säkerhetskraven för en specifik kategori av IKT-produkter, som inriktas på genomförandeoberoende säkerhetsbehov och kan användas för bedömning i certifieringssyfte av IKT-produkter som ingår i den specifika kategorin. |
|
(6) |
teknisk evalueringsrapport: ett dokument som en ITSEF sammanställer för att presentera resultat, avgöranden och motiveringar från evalueringen av en IKT-produkt eller en skyddsprofil i enlighet med de regler och skyldigheter som anges i denna förordning. |
|
(7) |
ITSEF: en facilitet för evaluering av informationsteknologisk säkerhet, som är ett organ för bedömning av överensstämmelse enligt definitionen i artikel 2.13 i förordning (EG) nr 765/2008 och som utför evalueringsuppgifter. |
|
(8) |
AVA_VAN-nivå: en sårbarhetsanalysnivå som anger graden av cybersäkerhetsevalueringsaktiviteter som utförts för att fastställa nivån av motståndskraft mot potentiella möjligheter att utnyttja fel eller svagheter hos evalueringsobjektet i dess operativa miljö i enlighet med Common Criteria. |
|
(9) |
EUCC-certifikat: ett cybersäkerhetscertifikat som inom ramen för EUCC utfärdats för IKT-produkter, eller för skyddsprofiler som kan användas uteslutande i IKT-certifieringsprocessen för IKT-produkter. |
|
(10) |
sammansatt produkt: en IKT-produkt som evalueras tillsammans med en annan underliggande IKT-produkt som redan har erhållit ett EUCC-certifikat och på vars säkerhetsfunktioner den sammansatta IKT-produkten är beroende. |
|
(11) |
nationell myndighet för cybersäkerhetscertifiering: en myndighet som är utsedd av en medlemsstat i enlighet med artikel 58.1 i förordning (EU) 2019/881. |
|
(12) |
certifieringsorgan: ett organ för bedömning av överensstämmelse enligt definitionen i artikel 2.13 i förordning (EG) nr 765/2008 som bedriver certifieringsverksamhet. |
|
(13) |
teknikdomän: en gemensam teknisk ram, relaterad till en viss teknik, för en harmoniserad certifiering som har ett antal karaktäristiska säkerhetskrav. |
|
(14) |
mönsterdokument: ett dokument som specificerar metoder, tekniker och verktyg för evaluering som är tillämpliga på certifieringen av IKT-produkter eller på säkerhetskrav för en generisk IKT-produktkategori eller på andra krav som är nödvändiga för certifiering, för att harmonisera evalueringen av i synnerhet teknikdomäner eller skyddsprofiler. |
|
(15) |
marknadskontrollmyndighet: en myndighet enligt definitionen i artikel 3.4 i förordning (EU) 2019/1020. |
Artikel 3
Evalueringsstandarder
Följande standarder ska tillämpas på evalueringar som utförs enligt EUCC-ordningen:
|
(a) |
Common Criteria. |
|
(b) |
Den gemensamma evalueringsmetodiken. |
Artikel 4
Assuransnivåer
1. Certifieringsorgan ska utfärda EUCC-certifikat med assuransnivå ”betydande” eller ”hög”.
2. EUCC-certifikat med assuransnivå ”betydande” ska motsvara certifikat som täcker AVA_VAN-nivå 1 eller 2.
3. EUCC-certifikat med assuransnivå ”hög” ska motsvara certifikat som täcker AVA_VAN-nivå 3, 4 eller 5.
4. Den assuransnivå som bekräftas i ett EUCC-certifikat ska skilja mellan överensstämmande och utökad användning av assuranskomponenterna enligt Common Criteria i enlighet med bilaga VIII.
5. Organ för bedömning av överensstämmelse ska använda dessa assuranskomponenter som avgör den valda AVA_VAN-nivån i enlighet med de standarder som avses i artikel 3.
Artikel 5
Metoder för certifiering av IKT-produkter
1. Certifieringen av en IKT-produkt ska utföras i förhållande till dess säkerhetsmål som
|
(a) |
definieras av den sökande, eller |
|
(b) |
införlivar en certifierad skyddsprofil som ett led i IKT-processen, där IKT-produkten ingår i den IKT-produktkategori som omfattas av den skyddsprofilen. |
2. Skyddsprofiler ska certifieras för det enda syftet att certifiera IKT-produkter som ingår i den specifika kategori av IKT-produkter som omfattas av skyddsprofilen.
Artikel 6
Självbedömning av överensstämmelse
Det ska inte vara tillåtet med självbedömning av överensstämmelse i den mening som avses i artikel 53 i förordning (EU) 2019/881.
KAPITEL II
CERTIFIERING AV IKT-PRODUKTER
AVSNITT I
SÄRSKILDA STANDARDER OCH KRAV FÖR EVALUERING
Artikel 7
Evalueringskriterier och -metoder för IKT-produkter
1. En IKT-produkt som lämnas in för certifiering ska åtminstone evalueras i enlighet med följande:
|
(a) |
De tillämpliga delarna av de standarder som avses i artikel 3. |
|
(b) |
Säkerhetsassuranskravens klasser för sårbarhetsbedömning och oberoende funktionsprovning, i enlighet med de evalueringsstandarder som avses i artikel 3. |
|
(c) |
De risknivåer som är förbundna med den avsedda användningen av de berörda IKT-produkterna enligt artikel 52 i förordning (EU) 2019/881 och deras säkerhetsfunktioner som stöder de säkerhetsmålsättningar som anges i artikel 51 i förordning (EU) 2019/881. |
|
(d) |
De tillämpliga mönsterdokument som förtecknas i bilaga I. |
|
(e) |
De tillämpliga certifierade skyddsprofiler som förtecknas i bilaga II. |
2. I vederbörligen motiverade undantagsfall får ett organ för bedömning av överensstämmelse ansöka om att avstå från att tillämpa de relevanta mönsterdokumenten. I sådana fall ska organet för bedömning av överensstämmelse underrätta den nationella myndigheten för cybersäkerhetscertifiering och lämna en vederbörligen motiverad motivering till sin begäran. Den nationella myndigheten för cybersäkerhetscertifiering ska bedöma motiveringen till ett undantag och godkänna det när så är berättigat . I avvaktan på beslutet från den nationella myndigheten för cybersäkerhetscertifiering får organet för bedömning av överensstämmelse inte utfärda något certifikat. Den nationella myndigheten för cybersäkerhetscertifiering ska utan onödigt dröjsmål anmäla det godkända undantaget till den europeiska gruppen för cybersäkerhetscertifiering, som får utfärda ett yttrande. Den nationella myndigheten för cybersäkerhetscertifiering ska ta största möjliga hänsyn till yttrandet från den europeiska gruppen för cybersäkerhetscertifiering.
3. Certifiering av IKT-produkter på AVA_VAN-nivå 4 eller 5 ska endast vara möjlig i följande fall:
|
(a) |
Om IKT-produkten omfattas av någon av de teknikdomäner som förtecknas i bilaga I ska den evalueras i enlighet med de mönsterdokument som är tillämpliga på dessa teknikdomäner. |
|
(b) |
Om IKT-produkten ingår i en IKT-produktkategori som omfattas av en certifierad skyddsprofil som inbegriper AVA_VAN-nivå 4 eller 5 och som har förtecknats som ett skyddsprofilsmönsterdokument i bilaga II, ska den evalueras i enlighet med den evalueringsmetodik som anges för den skyddsprofilen. |
|
(c) |
Om leden a och b i denna punkt inte är tillämpliga och det är osannolikt att en teknikdomän kommer att införas i bilaga I eller en certifierad skyddsprofil i bilaga II inom överskådlig framtid, och endast i vederbörligen motiverade undantagsfall, med förbehåll för de villkor som anges i punkt 4. |
4. Om ett organ för bedömning av överensstämmelse anser att ett vederbörligen motiverat undantagsfall enligt punkt 3 c föreligger ska det anmäla den planerade certifieringen till den nationella myndigheten för cybersäkerhetscertifiering tillsammans med en motivering och ett förslag till evalueringsmetodik. Den nationella myndigheten för cybersäkerhetscertifiering ska bedöma motiveringen för ett undantag och, i motiverade fall, godkänna eller ändra den evalueringsmetodik som ska tillämpas av organet för bedömning av överensstämmelse. I avvaktan på beslutet från den nationella myndigheten för cybersäkerhetscertifiering får organet för bedömning av överensstämmelse inte utfärda något certifikat. Den nationella myndigheten för cybersäkerhetscertifiering ska utan onödigt dröjsmål rapportera den planerade certifieringen till den europeiska gruppen för cybersäkerhetscertifiering, som får utfärda ett yttrande. Den nationella myndigheten för cybersäkerhetscertifiering ska ta största möjliga hänsyn till yttrandet från den europeiska gruppen för cybersäkerhetscertifiering.
5. När det handlar om en IKT-produkt som genomgår en evaluering för en sammansatt produkt i enlighet med de relevanta mönsterdokumenten, ska den ITSEF som utförde evalueringen av den underliggande IKT-produkten utbyta relevant information med den ITSEF som utför den sammansatta IKT-produktevalueringen.
AVSNITT II
UTFÄRDANDE, FÖRNYELSE OCH ÅTERKALLANDE AV EUCC-CERTIFIKAT
Artikel 8
Information som är nödvändig för certifieringen
1. Den som ansöker om certifiering inom ramen för EUCC ska tillhandahålla eller på annat sätt ge certifieringsorganet och ITSEF tillgång till all information som är nödvändig för certifieringsverksamheten.
2. Den information som avses i punkt 1 ska innefatta alla relevanta underlag i enlighet med avsnitten ”Developer action elements” i lämpligt format enligt avsnitten om ”Content and presentation of evidence element” i Common Criteria och den gemensamma evalueringsmetodiken för den valda assuransnivån och tillhörande säkerhetsassuranskrav. Underlaget ska vid behov innehålla uppgifter om IKT-produkten och dess källkod i enlighet med denna förordning, med förbehåll för skyddsåtgärder mot obehörigt röjande.
3. Den som ansöker om certifiering får förse certifieringsorganet och ITSEF med lämpliga evalueringsresultat från tidigare certifiering i enlighet med
|
(a) |
denna förordning, |
|
(b) |
en annan europeisk ordning för cybersäkerhetscertifiering som antagits i enlighet med artikel 49 i förordning (EU) 2019/881, |
|
(c) |
en nationell ordning enligt artikel 49 i denna förordning. |
4. Om evalueringsresultaten är relevanta för dess arbetsuppgifter får ITSEF återanvända evalueringsresultaten förutsatt att dessa resultat är förenliga med de tillämpliga kraven och att deras autenticitet bekräftas.
5. Om certifieringsorganet tillåter att produkten genomgår en certifiering för en sammansatt produkt ska den som ansöker om certifieringen förse certifieringsorganet och ITSEF med alla nödvändiga element, i tillämpliga fall i enlighet med mönsterdokumentet.
6. Den som ansöker om certifiering ska också förse certifieringsorganet och ITSEF med följande:
|
(a) |
En länk till sökandens webbplats med kompletterande cybersäkerhetsinformation enligt artikel 55 i förordning (EU) 2019/881. |
|
(b) |
En beskrivning av sökandens förfaranden för sårbarhetshantering och information om sårbarheter. |
7. All relevant dokumentation som avses i denna artikel ska bevaras av certifieringsorganet, ITSEF och sökanden i fem år från det att certifikatet har löpt ut.
Artikel 9
Villkor för utfärdande av ett EUCC-certifikat
1. Certifieringsorganen ska utfärda ett EUCC-certifikat om samtliga följande villkor uppfylls:
|
(a) |
IKT-produktkategorin omfattas av tillämpningsområdet för ackrediteringen och, om tillämpligt för auktoriseringen, för det certifieringsorgan och den ITSEF som är inblandad i certifieringen. |
|
(b) |
Den som ansöker om certifiering har undertecknat en försäkran om att alla åtaganden som anges i punkt 2 ska uppfyllas. |
|
(c) |
ITSEF har slutfört evalueringen utan invändningar i enlighet med de standarder, kriterier och metoder för evaluering som avses i artiklarna 3 och 7. |
|
(d) |
Certifieringsorganet har slutfört granskningen av evalueringsresultaten utan invändningar. |
|
(e) |
Certifieringsorganet har kontrollerat att de tekniska evalueringsrapporter som tillhandahållits av ITSEF överensstämmer med det underlag som tillhandahållits och att de standarder, kriterier och metoder för evaluering som avses i artiklarna 3 och 7 har tillämpats korrekt. |
2. Den som ansöker om certifiering ska förbinda sig att göra följande:
|
(a) |
Förse certifieringsorganet och ITSEF med all den fullständiga och korrekta information som är nödvändig och tillhandahålla ytterligare nödvändig information på begäran. |
|
(b) |
Inte marknadsföra IKT-produkten som certifierad inom ramen för EUCC innan EUCC-certifikatet har utfärdats. |
|
(c) |
Marknadsföra IKT-produkten som certifierad endast med avseende på sådant som omfattas av det tillämpningsområde som anges i EUCC-certifikatet. |
|
(d) |
Omedelbart upphöra att marknadsföra IKT-produkten som certifierad ifall EUCC-certifikatet tillfälligt upphävs eller återkallas eller löper ut. |
|
(e) |
Säkerställa att de IKT-produkter som säljs med hänvisning till EUCC-certifikatet är helt identiska med den IKT-produkt som omfattas av certifieringen. |
|
(f) |
Iaktta reglerna för användning av den märkning och etikett som fastställts för EUCC-certifikatet i enlighet med artikel 11. |
3. När det handlar om en IKT-produkt som genomgår en certifiering av en sammansatt produkt i enlighet med de relevanta mönsterdokumenten, ska det certifieringsorgan som utförde certifieringen av den underliggande IKT-produkten utbyta relevant information med det certifieringsorgan som utför certifieringen av den sammansatta IKT-produkten.
Artikel 10
EUCC-certifikatets innehåll och format
1. Ett EUCC-certifikat ska innehålla åtminstone den information som anges i bilaga VII.
2. Den certifierade produktens omfattning och gränser ska på ett otvetydigt sätt anges i EUCC-certifikatet eller certifieringsrapporten och det ska därvid anges om hela IKT-produkten har certifierats eller endast delar av den.
3. Certifieringsorganet ska förse sökanden med EUCC-certifikatet i åtminstone elektronisk form.
4. Certifieringsorganet ska utarbeta en certifieringsrapport i enlighet med bilaga V för varje EUCC-certifikat som det utfärdar. Certifieringsrapporten ska baseras på den tekniska evalueringsrapport som utfärdats av ITSEF. Den tekniska evalueringsrapporten och certifieringsrapporten ska ange de särskilda kriterier och metoder för evaluering som avses i artikel 7 vilka använts för evalueringen.
5. Certifieringsorganet ska förse den nationella myndigheten för cybersäkerhetscertifiering och Enisa med varje EUCC-certifikat och varje certifieringsrapport i elektronisk form.
Artikel 11
Märkning och etikett
1. Innehavaren av ett certifikat får förse en certifierad IKT-produkt med märkning och etikett. Märkningen och etiketten visar att IKT-produkten har certifierats i enlighet med denna förordning. Märkningen och etiketten ska anbringas i enlighet med denna artikel och med bilaga IX.
2. Märkningen och etiketten ska anbringas på den certifierade IKT-produkten eller dess typskylt så att den är synlig, enkelt kan läsas och är outplånlig. Om detta inte är möjligt eller lämpligt på grund av produktens art ska den anbringas på förpackningen och de medföljande dokumenten. Om den certifierade IKT-produkten levereras i form av programvara ska märkningen och etiketten finnas i dess medföljande dokumentation så att den är synlig, enkelt kan läsas och är outplånlig, eller också ska användarna ges tillgång till denna dokumentation via en webbplats på ett enkelt och lättillgängligt sätt.
3. Märkningen och etiketten ska vara i enlighet med bilaga IX och ska innehålla följande:
|
(a) |
Den certifierade IKT-produktens assuransnivå och AVA_VAN-nivå. |
|
(b) |
Certifikatets unika identifieringsbeteckning som består av
|
4. Märkningen och etiketten ska åtföljas av en QR-kod med en länk till en webbplats som innehåller minst
|
(a) |
information om certifikatets giltighet, |
|
(b) |
den nödvändiga certifieringsinformation som anges i bilagorna V och VII, |
|
(c) |
den information som ska offentliggöras av innehavaren av certifikatet i enlighet med artikel 55 i förordning (EU) 2019/881, och |
|
(d) |
i tillämpliga fall, historisk information om den specifika certifieringen/de specifika certifieringarna av IKT-produkten för att möjliggöra spårbarhet. |
Artikel 12
Giltighetstid för ett EUCC-certifikat
1. Certifieringsorganet ska fastställa en giltighetstid för varje EUCC-certifikat som utfärdas med beaktande av den certifierade IKT-produktens egenskaper.
2. Giltighetstiden för ett EUCC-certifikat ska vara högst fem år.
3. Med avvikelse från punkt 2 får giltighetstiden överstiga fem år, efter förhandsgodkännande från den nationella myndigheten för cybersäkerhetscertifiering. Den nationella myndigheten för cybersäkerhetscertifiering ska utan onödigt dröjsmål anmäla det beviljade godkännandet till den europeiska gruppen för cybersäkerhetscertifiering.
Artikel 13
Översyn av ett EUCC-certifikat
1. Certifieringsorganet får, på certifikatinnehavarens begäran eller av andra motiverade skäl, besluta att se över EUCC-certifikatet för en IKT-produkt. Översynen ska utföras i enlighet med bilaga IV. Certifieringsorganet ska fastställa översynens omfattning. När det är nödvändigt för översynen ska certifieringsorganet begära att ITSEF utför en ny evaluering av den certifierade IKT-produkten.
2. Baserat på resultaten av översynen, och i tillämpliga fall den nya evalueringen, ska certifieringsorganet
|
(a) |
bekräfta EUCC-certifikatet, |
|
(b) |
återkalla EUCC-certifikatet i enlighet med artikel 14, |
|
(c) |
återkalla EUCC-certifikatet i enlighet med artikel 14 och utfärda ett nytt EUCC-certifikat med identiskt tillämpningsområde och förlängd giltighetstid, eller |
|
(d) |
återkalla EUCC-certifikatet i enlighet med artikel 14 och utfärda ett nytt EUCC-certifikat med annat tillämpningsområde. |
3. Certifieringsorganet får besluta att utan onödigt dröjsmål tillfälligt upphäva EUCC-certifikatet i enlighet med artikel 30, i avvaktan på att innehavaren av EUCC-certifikatet vidtar korrigerande åtgärder.
Artikel 14
Återkallande av ett EUCC-certifikat
1. Utan att det påverkar tillämpningen av artikel 58.8 e i förordning (EU) 2019/881 ska ett EUCC-certifikat återkallas av det certifieringsorgan som utfärdade det berörda certifikatet.
2. Det certifieringsorgan som avses i punkt 1 ska underrätta den nationella myndigheten för cybersäkerhetscertifiering om återkallandet av certifikatet. Det ska också underrätta Enisa om sådana återkallanden för att underlätta Enisas fullgörande av sina uppgifter enligt artikel 50 i förordning (EU) 2019/881. Den nationella myndigheten för cybersäkerhetscertifiering ska underrätta andra berörda marknadskontrollmyndigheter.
3. Innehavaren av ett EUCC-certifikat får begära att certifikatet återkallas.
KAPITEL III
CERTIFIERING AV SKYDDSPROFILER
AVSNITT I
SÄRSKILDA STANDARDER OCH KRAV FÖR EVALUERING
Artikel 15
Evalueringskriterier och -metoder
1. En skyddsprofil ska åtminstone evalueras i enlighet med följande:
|
(a) |
De tillämpliga delarna av de standarder som avses i artikel 3. |
|
(b) |
De risknivåer som är förbundna med den avsedda användningen av de berörda IKT-produkterna enligt artikel 52 i förordning (EU) 2019/881 och deras säkerhetsfunktioner som stöder de säkerhetsmålsättningar som anges i artikel 51 i förordning (EU) 2019/881. |
|
(c) |
De tillämpliga mönsterdokument som förtecknas i bilaga I. En skyddsprofil som omfattas av en teknikdomän ska certifieras i förhållande till de krav som anges i den teknikdomänen. |
2. I vederbörligen motiverade undantagsfall får ett organ för bedömning av överensstämmelse certifiera en skyddsprofil utan att tillämpa de relevanta mönsterdokumenten. I sådana fall ska det underrätta den behöriga nationella myndigheten för cybersäkerhetscertifiering och lämna en motivering för den planerade certifieringen utan användning av de relevanta mönsterdokumenten tillsammans med den föreslagna evalueringsmetodiken. Den nationella myndigheten för cybersäkerhetscertifiering ska bedöma motiveringen och i motiverade fall godkänna att de relevanta mönsterdokumenten inte används samt, när så är lämpligt, godkänna eller ändra den evalueringsmetodik som ska användas av organet för bedömning av överensstämmelse. I avvaktan på beslutet från den nationella myndigheten för cybersäkerhetscertifiering ska organet för bedömning av överensstämmelse inte utfärda något certifikat för skyddsprofilen. Den nationella myndigheten för cybersäkerhetscertifiering ska utan onödigt dröjsmål anmäla det godkända fallet av icke-användning av de relevanta mönsterdokumenten till den europeiska gruppen för cybersäkerhetscertifiering, som får utfärda ett yttrande. Den nationella myndigheten för cybersäkerhetscertifiering ska ta största möjliga hänsyn till yttrandet från den europeiska gruppen för cybersäkerhetscertifiering.
AVSNITT II
UTFÄRDANDE, FÖRNYELSE OCH ÅTERKALLANDE AV EUCC-CERTIFIKAT FÖR SKYDDSPROFILER
Artikel 16
Information som krävs för certifiering av skyddsprofiler
Den som ansöker om certifiering av en skyddsprofil ska tillhandahålla eller på annat sätt ge certifieringsorganet och ITSEF tillgång till all information som är nödvändig för certifieringsverksamheten. Artikel 8.2, 8.3, 8.4 och 8.7 ska gälla i tillämpliga delar.
Artikel 17
Utfärdande av EUCC-certifikat för skyddsprofiler
1. Den som ansöker om certifiering ska förse certifieringsorganet och ITSEF med all den fullständiga och korrekta information som är nödvändig.
2. Artiklarna 9 och 10 ska gälla i tillämpliga delar.
3. ITSEF ska evaluera om en skyddsprofil är fullständig, konsekvent, tekniskt rimlig och ändamålsenlig för den avsedda användningen och säkerhetsmålsättningarna för den IKT-produktkategori som omfattas av den skyddsprofilen.
4. En skyddsprofil får endast certifieras av
|
(a) |
en nationell myndighet för cybersäkerhetscertifiering eller ett annat offentligt organ som ackrediterats som certifieringsorgan, eller |
|
(b) |
ett certifieringsorgan, efter att den nationella myndigheten för cybersäkerhetscertifiering förhandsgodkänt varje enskild skyddsprofil. |
Artikel 18
Giltighetstid för ett EUCC-certifikat för skyddsprofiler
1. Certifieringsorganet ska fastställa en giltighetstid för varje EUCC-certifikat.
2. Giltighetstiden får vara upp till den berörda skyddsprofilens livslängd.
Artikel 19
Översyn av ett EUCC-certifikat för skyddsprofiler
1. På certifikatinnehavarens begäran eller av andra motiverade skäl får certifieringsorganet besluta att se över EUCC-certifikatet för en skyddsprofil. Översynen ska utföras genom tillämpning av de villkor som anges i artikel 15. Certifieringsorganet ska fastställa översynens omfattning. När det är nödvändigt för översynen ska certifieringsorganet begära att ITSEF utför en ny evaluering av den certifierade skyddsprofilen.
2. Baserat på resultaten av översynen, och i tillämpliga fall den nya evalueringen, ska certifieringsorganet vidta en av följande åtgärder:
|
(a) |
Bekräfta EUCC-certifikatet. |
|
(b) |
Återkalla EUCC-certifikatet i enlighet med artikel 20. |
|
(c) |
Återkalla EUCC-certifikatet i enlighet med artikel 20 och utfärda ett nytt EUCC-certifikat med identiskt tillämpningsområde och förlängd giltighetstid. |
|
(d) |
återkalla EUCC-certifikatet i enlighet med artikel 20 och utfärda ett nytt EUCC-certifikat med annat tillämpningsområde. |
Artikel 20
Återkallande av ett EUCC-certifikat för en skyddsprofil
1. Utan att det påverkar tillämpningen av artikel 58.8 e i förordning (EU) 2019/881 ska ett EUCC-certifikat för en skyddsprofil återkallas av det certifieringsorgan som utfärdade det berörda certifikatet. Artikel 14 ska gälla i tillämpliga delar.
2. Ett certifikat för en skyddsprofil som utfärdats i enlighet med artikel 17.4 b ska återkallas av den nationella myndighet för cybersäkerhetscertifiering som godkände det berörda certifikatet.
KAPITEL IV
ORGAN FÖR BEDÖMNING AV ÖVERENSSTÄMMELSE
Artikel 21
Kompletterande eller särskilda krav för ett certifieringsorgan
1. Ett certifieringsorgan ska av den nationella myndigheten för cybersäkerhetscertifiering auktoriseras för utfärdande av EUCC-certifikat med assuransnivå ”hög” om det certifieringsorganet, utöver att uppfylla de krav i artikel 60.1 i och bilagan till förordning (EU) 2019/881 som rör ackreditering av organ för bedömning av överensstämmelse, påvisar följande:
|
(a) |
Det har den sakkunskap och kompetens som krävs för certifieringsbeslut med assuransnivån ”hög”. |
|
(b) |
Det utför sin certifieringsverksamhet i samarbete med en ITSEF som är auktoriserad i enlighet med artikel 22. |
|
(c) |
Det har den kompetens som krävs och vidtar ändamålsenliga tekniska och operativa åtgärder för att effektivt skydda konfidentiell och känslig information för assuransnivå ”hög”, utöver de krav som anges i artikel 43. |
2. Den nationella myndigheten för cybersäkerhetscertifiering ska bedöma om ett certifieringsorgan uppfyller alla krav som anges i punkt 1. Bedömningen ska omfatta åtminstone strukturerade intervjuer och en granskning av minst en pilotcertifiering som utförts av certifieringsorganet i enlighet med denna förordning.
I sin bedömning får den nationella myndigheten för cybersäkerhetscertifiering återanvända sådana lämpliga underlag från förhandsgodkännanden eller liknande verksamhet som beviljats i enlighet med
|
(a) |
denna förordning, |
|
(b) |
en annan europeisk ordning för cybersäkerhetscertifiering som antagits i enlighet med artikel 49 i förordning (EU) 2019/881, |
|
(c) |
en nationell ordning enligt artikel 49 i denna förordning. |
3. Den nationella myndigheten för cybersäkerhetscertifiering ska sammanställa en auktorisationsrapport som ska vara föremål för inbördes granskning i enlighet med artikel 59.3 d i förordning (EU) 2019/881.
4. Den nationella myndigheten för cybersäkerhetscertifiering ska specificera vilka IKT-produktkategorier och skyddsprofiler som auktoriseringen omfattar. Auktoriseringens giltighetstid får inte överstiga ackrediteringens giltighetstid. Den får förnyas på begäran, under förutsättning att certifieringsorganet fortfarande uppfyller kraven i denna artikel. För förnyad auktorisering krävs inga pilotevalueringar.
5. Den nationella myndigheten för cybersäkerhetscertifiering ska återkalla certifieringsorganets auktorisering om det inte längre uppfyller de villkor som anges i denna artikel. När auktoriseringen återkallas ska certifieringsorganet omedelbart upphöra att marknadsföra sig som auktoriserat certifieringsorgan.
Artikel 22
Kompletterande eller särskilda krav för ITSEF
1. En ITSEF ska auktoriseras av den nationella myndigheten för cybersäkerhetscertifiering för evaluering av IKT-produkter som är föremål för certifiering med assuransnivå ”hög” om ITSEF, utöver att uppfylla de krav i artikel 60.1 i och bilagan till förordning (EU) 2019/881 som rör ackreditering av organ för bedömning av överensstämmelse, visar att den uppfyller samtliga följande villkor:
|
(a) |
Den har den expertis som krävs för att utföra evalueringsverksamhet för att fastställa motståndskraften mot avancerade cyberattacker som utförs av aktörer med betydande färdigheter och resurser. |
|
(b) |
För de teknikdomäner och skyddsprofiler som ingår i IKT-processen för dessa IKT-produkter har ITSEF
|
|
(c) |
Den har den kompetens som krävs och vidtar ändamålsenliga tekniska och operativa åtgärder för att effektivt skydda konfidentiell och känslig information för assuransnivå ”hög”, utöver de krav som anges i artikel 43. |
2. Den nationella myndigheten för cybersäkerhetscertifiering ska bedöma om en ITSEF uppfyller alla krav som anges i punkt 1. Bedömningen ska omfatta åtminstone strukturerade intervjuer och en granskning av minst en pilotevaluering som utförts av berörd ITSEF i enlighet med denna förordning.
3. I sin bedömning får den nationella myndigheten för cybersäkerhetscertifiering återanvända sådana lämpliga underlag från förhandsgodkännanden eller liknande verksamhet som beviljats i enlighet med
|
(a) |
denna förordning, |
|
(b) |
en annan europeisk ordning för cybersäkerhetscertifiering som antagits i enlighet med artikel 49 i förordning (EU) 2019/881, |
|
(c) |
en nationell ordning enligt artikel 49 i denna förordning. |
4. Den nationella myndigheten för cybersäkerhetscertifiering ska sammanställa en auktorisationsrapport som ska vara föremål för inbördes granskning i enlighet med artikel 59.3 d i förordning (EU) 2019/881.
5. Den nationella myndigheten för cybersäkerhetscertifiering ska specificera vilka IKT-produktkategorier och skyddsprofiler som auktoriseringen omfattar. Auktoriseringens giltighetstid får inte överstiga ackrediteringens giltighetstid. Den får förnyas på begäran, under förutsättning att berörd ITSEF fortfarande uppfyller kraven i denna artikel. För förnyad auktorisering bör inga pilotevalueringar krävas.
6. Den nationella myndigheten för cybersäkerhetscertifiering ska återkalla auktoriseringen av berörd ITSEF om den inte längre uppfyller de villkor som anges i denna artikel. När auktoriseringen återkallas ska ITSEF upphöra att marknadsföra sig som auktoriserad ITSEF.
Artikel 23
Anmälan av certifieringsorgan
1. Den nationella myndigheten för cybersäkerhetscertifiering ska meddela kommissionen vilka certifieringsorgan på dess territorium som är behöriga för certifiering med assuransnivå ”betydande” baserat på deras ackreditering.
2. Den nationella myndigheten för cybersäkerhetscertifiering ska meddela kommissionen vilka certifieringsorgan på dess territorium som är behöriga för certifiering med assuransnivå ”hög” baserat på deras ackreditering och auktorisationsbeslut.
3. Den nationella myndigheten för cybersäkerhetscertifiering ska tillhandahålla åtminstone följande information när den underrättar kommissionen om certifieringsorganen:
|
(a) |
Den assuransnivå eller de assuransnivåer som certifieringsorganet är behörigt att utfärda EUCC-certifikat för. |
|
(b) |
Följande uppgifter avseende ackrediteringen:
|
|
(c) |
Följande uppgiften avseende auktorisering med nivå ”hög” ska också uppges:
|
4. Den nationella myndigheten för cybersäkerhetscertifiering ska sända en kopia av de meddelanden som avses i punkterna 1 och 2 till Enisa så att korrekt information om certifieringsorganens behörighet kan offentliggöras på cybercertifieringswebbplatsen.
5. Den nationella myndigheten för cybersäkerhetscertifiering ska utan onödigt dröjsmål granska all information om ändrad status för den ackreditering som tillhandahålls av det nationella ackrediteringsorganet. Om ackrediteringen eller auktoriseringen har återkallats ska den nationella myndigheten för cybersäkerhetscertifiering meddela kommissionen detta och får lämna en begäran till kommissionen i enlighet med artikel 61.4 i förordning (EU) 2019/881.
Artikel 24
Anmälan av ITSEF
Den anmälningsskyldighet för nationella myndigheter för cybersäkerhetscertifiering som anges i artikel 23 ska även tillämpas på ITSEF. Anmälan ska innehålla adress, giltig ackreditering och, i tillämpliga fall, giltig auktorisering för berörd ITSEF.
Kapitel V
Övervakning, bristande överensstämmelse och bristande efterlevnad
AVSNITT I
ÖVERVAKNING AV EFTERLEVNAD
Artikel 25
Övervakningsverksamhet som utförs av den nationella myndigheten för cybersäkerhetscertifiering
1. Utan att det påverkar tillämpningen av artikel 58.7 i förordning (EU) 2019/881 ska den nationella myndigheten för cybersäkerhetscertifiering övervaka efterlevnaden när det gäller följande:
|
(a) |
Att certifieringsorganet och ITSEF uppfyller sina skyldigheter i enlighet med denna förordning och förordning (EU) 2019/881. |
|
(b) |
Att innehavare av ett EUCC-certifikat uppfyller sina skyldigheter i enlighet med denna förordning och förordning (EU) 2019/881. |
|
(c) |
Att certifierade IKT-produkter uppfyller de krav som anges i EUCC. |
|
(d) |
Att den assurans som uttrycks i EUCC-certifikatet är anpassad till den föränderliga hotmiljön. |
2. Den nationella myndigheten för cybersäkerhetscertifiering ska utföra sin övervakningsverksamhet baserat på i synnerhet följande:
|
(a) |
Information från certifieringsorgan, nationella ackrediteringsorgan och berörda marknadskontrollmyndigheter. |
|
(b) |
Information som framkommer genom dess egna eller andra myndigheters kontroller och utredningar. |
|
(c) |
Stickprov som utförs i enlighet med punkt 3. |
|
(d) |
Inkomna klagomål. |
3. Den nationella myndigheten för cybersäkerhetscertifiering ska i samarbete med andra marknadskontrollmyndigheter varje år göra stickprov på minst 4 % av EUCC-certifikaten utifrån en riskbedömning. På begäran ska certifieringsorganen och, om nödvändigt ITSEF, på den behöriga nationella myndigheten för cybersäkerhetscertifierings vägnar, bistå den myndigheten i övervakningen av efterlevnaden.
4. Den nationella myndigheten för cybersäkerhetscertifiering ska välja ut det stickprov av certifierade IKT-produkter som ska kontrolleras baserat på objektiva kriterier, däribland
|
(a) |
produktkategori, |
|
(b) |
produkternas assuransnivå, |
|
(c) |
certifikatinnehavaren, |
|
(d) |
certifieringsorganet och, i tillämpliga fall, den ITSEF som är underleverantör, |
|
(e) |
all annan information som myndigheten får kännedom om. |
5. Den nationella myndigheten för cybersäkerhetscertifiering ska underrätta innehavarna av EUCC-certifikatet om de utvalda IKT-produkterna och urvalskriterierna.
6. Det certifieringsorgan som certifierade IKT-produkten i stickprovet ska på begäran av den nationella myndigheten för cybersäkerhetscertifiering och med bistånd av respektive ITSEF, utföra en ytterligare granskning i enlighet med det förfarande som fastställs i avsnitt IV.2 i bilaga IV och informera den nationella myndigheten för cybersäkerhetscertifiering om resultaten.
7. Om den nationella myndigheten för cybersäkerhetscertifiering har tillräckliga skäl att tro att en certifierad IKT-produkt inte längre uppfyller kraven i denna förordning eller förordning (EU) 2019/881 får den göra utredningar eller utnyttja alla andra övervakningsbefogenheter som anges i artikel 58.8 i förordning (EU) 2019/881.
8. Den nationella myndigheten för cybersäkerhetscertifiering ska informera certifieringsorganet och berörd ITSEF om pågående utredningar som avser utvalda IKT-produkter.
9. Om den nationella myndigheten för cybersäkerhetscertifiering fastställer att en pågående utredning rör IKT-produkter som certifierats av certifieringsorgan som är etablerade i andra medlemsstater ska den underrätta de nationella myndigheterna för cybersäkerhetscertifiering i de berörda medlemsstaterna om detta så att de kan samarbeta i utredningsarbetet, när så är relevant. Den berörda nationella myndigheten för cybersäkerhetscertifiering ska också underrätta den europeiska gruppen för cybersäkerhetscertifiering om de gränsöverskridande utredningarna och deras resultat.
Artikel 26
Certifieringsorganets övervakningsverksamhet
1. Certifieringsorganet ska övervaka följande:
|
(a) |
Att certifikatinnehavarna uppfyller sina skyldigheter enligt denna förordning och förordning (EU) 2019/881 i förhållande till de EUCC-certifikat som utfärdats av certifieringsorganet. |
|
(b) |
Att de IKT-produkter som det har certifierat uppfyller sina respektive säkerhetskrav. |
|
(c) |
Den assuransnivå som uttrycks i de certifierade skyddsprofilerna. |
2. Certifieringsorganet ska utföra sin övervakningsverksamhet baserat på följande:
|
(a) |
Information som tillhandahålls på grundval av de åtaganden som görs av den som ansöker om certifiering enligt artikel 9.2. |
|
(b) |
Information till följd av verksamhet hos andra relevanta marknadskontrollmyndigheter. |
|
(c) |
Inkomna klagomål. |
|
(d) |
Sårbarhetsinformation som kan beröra de IKT-produkter som det har certifierat. |
3. Den nationella myndigheten för cybersäkerhetscertifiering får utarbeta regler för en regelbunden dialog mellan certifieringsorgan och innehavare av EUCC-certifikat för att kontrollera och rapportera om uppfyllandet av de åtaganden som gjorts i enlighet med artikel 9.2, utan att det påverkar verksamhet hos andra relevanta marknadskontrollmyndigheter.
Artikel 27
Övervakningsverksamhet som utförs av certifikatinnehavaren
1. Innehavaren av ett EUCC-certifikat ska utföra följande uppgifter för att övervaka att den certifierade IKT-produkten överensstämmer med sina säkerhetskrav:
|
(a) |
Övervaka sårbarhetsinformation om den certifierade IKT-produkten, inbegripet kända beroendeförhållanden, på egen hand men även med beaktande av
|
|
(b) |
Övervaka den assurans som uttrycks i ett EUCC-certifikat. |
2. Innehavaren av ett EUCC-certifikat ska samarbeta med certifieringsorganet, ITSEF och, i tillämpliga fall, den nationella myndigheter för cybersäkerhetscertifiering för att stödja deras övervakningsverksamhet.
AVSNITT II
ÖVERENSSTÄMMELSE OCH EFTERLEVNAD
Artikel 28
Konsekvenser vid bristande överensstämmelse för en certifierad IKT-produkt eller skyddsprofil
1. Om en certifierad IKT-produkt eller skyddsprofil inte överensstämmelser med de krav som fastställs i denna förordning eller förordning (EU) 2019/881 ska certifieringsorganet underrätta innehavaren av EUCC-certifikatet om de identifierade bristerna i överensstämmelsen och begära korrigerande åtgärder.
2. Om ett fall av bristande överensstämmelse med bestämmelserna i denna förordning kan påverka efterlevnaden av annan relevant unionslagstiftning, som föreskriver möjligheten att påvisa presumtion om överensstämmelse med kraven i den rättsakten genom att använda EUCC-certifikatet, ska certifieringsorganet utan dröjsmål informera den nationella myndigheten för cybersäkerhetscertifiering. Den nationella myndigheten för cybersäkerhetscertifiering ska omedelbart underrätta den marknadskontrollmyndighet som ansvarar för sådan annan relevant unionslagstiftning om det fall av bristande överensstämmelse som identifierats.
3. Vid mottagandet av den information som avses i punkt 1 ska innehavaren av EUCC-certifikatet inom den tidsfrist som fastställs av certifieringsorganet, vilken inte får överstiga 30 dagar, föreslå certifieringsorganet de korrigerande åtgärder som är nödvändiga för att åtgärda den bristande överensstämmelsen.
4. Certifieringsorganet får utan onödigt dröjsmål tillfälligt upphäva EUCC-certifikatet i enlighet med artikel 30 vid en nödsituation, eller om innehavaren av EUCC-certifikatet inte samarbetar med certifieringsorganet på vederbörligt sätt.
5. Certifieringsorganet ska genomföra en översyn i enlighet med artiklarna 13 och 19 för att bedöma om de korrigerande åtgärderna åtgärdar den bristande överensstämmelsen.
6. Om innehavaren av EUCC-certifikatet inte föreslår ändamålsenliga korrigerande åtgärder inom den tidsfrist som avses i punkt 3 ska certifikatet tillfälligt upphävas i enlighet med artikel 30 eller återkallas i enlighet med artikel 14 eller 20.
7. Denna artikel ska inte tillämpas på sådana fall där sårbarheter berör en certifierad IKT-produkt, vilka ska hanteras i enlighet med kapitel VI.
Artikel 29
Konsekvenser vid certifikatinnehavarens bristande efterlevnad
1. Om certifieringsorganet finner att
|
(a) |
innehavaren av EUCC-certifikatet eller den som ansöker om certifiering inte uppfyller sina åtaganden och skyldigheter enligt artiklarna 9.2, 17.2, 27 och 41, eller |
|
(b) |
innehavaren av EUCC-certifikatet inte uppfyller kraven i artikel 56.8 i förordning (EU) 2019/881 eller kapitel VI i denna förordning, ska certifieringsorganet fastställa en tidsfrist på högst 30 dagar inom vilken innehavaren av EUCC-certifikatet ska vidta korrigerande åtgärder. |
2. Om innehavaren av EUCC-certifikatet inte föreslår ändamålsenliga korrigerande åtgärder inom den tidsfrist som avses i punkt 1 ska certifikatet tillfälligt upphävas i enlighet med artikel 30 eller återkallas i enlighet med artiklarna 14 och 20.
3. Om innehavaren av EUCC-certifikatet fortlöpande eller återkommande överträder de skyldigheter som avses i punkt 1 ska det utlösa ett återkallande av EUCC-certifikatet i enlighet med artikel 14 eller 20.
4. Certifieringsorganet ska underrätta den nationella myndigheten för cybersäkerhetscertifiering om de iakttagelser som avses i punkt 1. Om fallet av bristande efterlevnad påverkar efterlevnaden av annan relevant unionslagstiftning ska den nationella myndigheten för cybersäkerhetscertifiering omedelbart underrätta den marknadskontrollmyndighet som ansvarar för denna andra relevanta unionslagstiftning om det fall av bristande efterlevnad som identifierats.
Artikel 30
Tillfälligt upphävande av certifikatet
1. I de fall denna förordning hänvisar till ett tillfälligt upphävande av ett EUCC-certifikat ska certifieringsorganet tillfälligt upphäva det berörda EUCC-certifikatet under en period som är lämplig i förhållande till de omständigheter som utlöser ett tillfälligt upphävande, och denna period får inte överstiga 42 dagar. Perioden av tillfälligt upphävande ska inledas den dag som följer på dagen för certifieringsorganets beslut, Det tillfälliga upphävandet ska inte påverka certifikatets giltighet.
2. Certifieringsorganet ska utan onödigt dröjsmål underrätta certifikatinnehavaren och den nationella myndigheten för cybersäkerhetscertifiering om det tillfälliga upphävandet och ange skälen till det tillfälliga upphävandet, vilka åtgärder som begärts och perioden för det tillfälliga upphävandet.
3. Certifikatinnehavarna ska underrätta köparna av de berörda IKT-produkterna om det tillfälliga upphävandet och om de skäl som certifieringsorganet angett för det tillfälliga upphävandet, utom de delar av skälen som det skulle innebära en säkerhetsrisk att röja eller som innehåller känslig information. Denna information ska också offentliggöras av certifikatinnehavaren.
4. Om annan relevant unionslagstiftning föreskriver en presumtion om överensstämmelse baserad på certifikat som utfärdats i enlighet med bestämmelserna i denna förordning ska den nationella myndigheten för cybersäkerhetscertifiering underrätta den marknadskontrollmyndighet som ansvarar för sådan annan relevant unionslagstiftning om det tillfälliga upphävandet.
5. Det tillfälliga upphävandet av ett certifikat ska anmälas till Enisa i enlighet med artikel 42.3.
6. I vederbörligen motiverade fall får den nationella myndigheten för cybersäkerhetscertifiering godkänna en förlängning av det tillfälliga upphävandet av ett EUCC-certifikat. Den totala perioden av tillfälligt upphävande får inte överstiga ett år.
Artikel 31
Konsekvenser vid bristande efterlevnad hos organet för bedömning av överensstämmelse
1. Om ett certifieringsorgan brister i uppfyllandet av sina skyldigheter, eller om det berörda certifieringsorganet identifierar bristande efterlevnad hos en ITSEF, ska den nationella myndigheten för cybersäkerhetscertifiering utan onödigt dröjsmål
|
(a) |
med stöd av berörd ITSEF identifiera vilka EUCC-certifikat som kan beröras, |
|
(b) |
vid behov begära att en evaluering görs av en eller flera IKT-produkter eller skyddsprofiler, av antingen den ITSEF som utförde evalueringen eller av någon annan ackrediterad och, i tillämpliga fall, auktoriserad ITSEF som kan ha bättre tekniska möjligheter att stödja denna identifiering, |
|
(c) |
analysera konsekvenserna av bristande efterlevnad, |
|
(d) |
underrätta innehavaren av det EUCC-certifikat som berörs av bristande efterlevnad. |
2. På grundval av de åtgärder som avses i punkt 1 ska certifieringsorganet anta endera av följande beslut med avseende på varje EUCC-certifikat som berörs:
|
(a) |
Bibehålla EUCC-certifikatet i oförändrat skick. |
|
(b) |
Återkalla EUCC-certifikatet i enlighet med artikel 14 eller artikel 20 och, när så är lämpligt, utfärda ett nytt EUCC-certifikat. |
3. På grundval av de åtgärder som avses i punkt 1 ska den nationella myndigheten för cybersäkerhetscertifiering
|
(a) |
när så är nödvändigt, rapportera certifieringsorganets eller relaterad ITSEF:s bristande efterlevnad till det nationella ackrediteringsorganet, |
|
(b) |
i tillämpliga fall, bedöma den potentiella inverkan på auktoriseringen. |
KAPITEL VI
SÅRBARHETSHANTERING OCH SÅRBARHETSINFORMATION
Artikel 32
Sårbarhetshanteringens omfattning
Detta kapitel är tillämpligt på IKT-produkter för vilka ett EUCC-certifikat har utfärdats.
AVSNITT I
SÅRBARHETSHANTERING
Artikel 33
Förfaranden för sårbarhetshantering
1. Innehavaren av ett EUCC-certifikat ska inrätta och upprätthålla alla nödvändiga förfaranden för sårbarhetshantering i enlighet med de regler som fastställs i detta avsnitt, vilka vid behov kompletteras av de förfaranden som anges i EN ISO/IEC 30111.
2. Innehavaren av ett EUCC-certifikat ska upprätthålla och offentliggöra lämpliga metoder för att ta emot information om sårbarheter som rör deras produkter från externa källor, däribland användare, certifieringsorgan och säkerhetsforskare.
3. Om innehavaren av ett EUCC-certifikat upptäcker eller erhåller information om en potentiell sårbarhet som berör en certifierad IKT-produkt ska den dokumentera den och göra en bedömning av sårbarhetskonsekvenserna.
4. När en potentiell sårbarhet berör en sammansatt produkt ska innehavaren av EUCC-certifikatet underrätta innehavaren av EUCC-certifikat som är beroende av det om den potentiella sårbarheten.
5. Vid en rimlig begäran från det certifieringsorgan som utfärdade ett EUCC-certifikat ska innehavaren av ett EUCC-certifikat överlämna all relevant information om potentiella sårbarheter till det certifieringsorganet.
Artikel 34
Bedömning av sårbarhetskonsekvenserna
1. En bedömning av sårbarhetskonsekvenserna ska avse det evalueringsobjekt och den assuransnivå som omfattas av certifikatet. Bedömningen av sårbarhetskonsekvenserna ska göras inom en tidsram som är lämplig med hänsyn till möjligheterna att utnyttja den potentiella sårbarheten i den certifierade IKT-produkten samt dess kritikalitetsnivå.
2. I tillämpliga fall ska en angreppspotential beräknas i enlighet med den relevanta metodiken i standarderna enligt artikel 3 och relevanta mönsterdokument som förtecknas i bilaga I, så att möjligheterna att utnyttja sårbarheten kan fastställas. EUCC-certifikatets AVA_VAN-nivå ska beaktas.
Artikel 35
Rapport om bedömningen av sårbarhetskonsekvenserna
1. Innehavaren ska ta fram en rapport om bedömningen av sårbarhetskonsekvenserna om analysen visar att sårbarheten sannolikt påverkar IKT-produktens överensstämmelse med sitt certifikat.
2. Rapporten om bedömningen av sårbarhetskonsekvenserna ska omfatta en bedömning av följande aspekter:
|
(a) |
Sårbarhetens inverkan på den certifierade IKT-produkten. |
|
(b) |
Möjliga risker som är förbundna med närheten till eller tillgängligheten för en attack. |
|
(c) |
Huruvida sårbarheten kan åtgärdas. |
|
(d) |
I de fall då sårbarheten kan åtgärdas, möjliga lösningar på sårbarheten. |
3. Rapporten om bedömningen av sårbarhetskonsekvenserna ska, i tillämpliga fall, innehålla uppgifter om möjliga sätt att utnyttja sårbarheten. Information om möjliga sätt att utnyttja sårbarheten ska hanteras i enlighet med ändamålsenliga säkerhetsåtgärder för att skydda uppgifternas konfidentialitet och säkerställa, när så är nödvändigt, en begränsad spridning.
4. Innehavaren av ett EUCC-certifikat ska utan dröjsmål överlämna en rapport om bedömningen av sårbarhetskonsekvenserna till certifieringsorganet eller den nationella myndigheten för cybersäkerhetscertifiering i enlighet med artikel 56.8 i förordning (EU) 2019/881.
5. Om rapporten om bedömningen av sårbarhetskonsekvenserna fastställer att sårbarheten inte är kvarstående i den mening som avses i de standarder som avses i artikel 3, och att den kan åtgärdas, ska artikel 36 tillämpas.
6. Om rapporten om bedömningen av sårbarhetskonsekvenserna fastställer att sårbarheten inte är kvarstående och att det inte kan åtgärdas ska EUCC-certifikatet återkallas i enlighet med artikel 14.
7. Innehavaren av EUCC-certifikatet ska övervaka alla kvarstående sårbarheter för att säkerställa att de inte kan utnyttjas i händelse av förändringar i den operativa miljön.
Artikel 36
Åtgärdande av sårbarhet
Innehavaren av ett EUCC-certifikat ska lämna ett förslag om lämpliga korrigerande åtgärder till certifieringsorganet. Certifieringsorganet ska se över EUCC-certifikatet i enlighet med artikel 13. Översynens omfattning ska avgöras av den lösning för åtgärdande av sårbarheten som föreslås.
AVSNITT II
INFORMATION OM SÅRBARHET
Artikel 37
Information som utbyts med den nationella myndigheten för cybersäkerhetscertifiering
1. Den information som certifieringsorganet lämnar till den nationella myndigheten för cybersäkerhetscertifiering ska innefatta alla aspekter som behövs för att den nationella myndigheten för cybersäkerhetscertifiering ska förstå sårbarhetskonsekvenserna, de ändringar av IKT-produkten som ska göras och eventuell tillgänglig information från certifieringsorganet om denna sårbarhets allmänna konsekvenser för andra certifierade IKT-produkter.
2. Den information som tillhandahålls i enlighet med punkt 1 ska inte innehålla uppgifter om hur denna sårbarhet kan utnyttjas. Denna bestämmelse påverkar inte utredningsbefogenheterna för den nationella myndigheten för cybersäkerhetscertifiering.
Artikel 38
Samarbete med andra nationella myndigheter för cybersäkerhetscertifiering
1. Den nationella myndigheten för cybersäkerhetscertifiering ska utbyta relevant information som mottagits i enlighet med artikel 37 med andra nationella myndigheter för cybersäkerhetscertifiering och Enisa.
2. Andra nationella myndigheter för cybersäkerhetscertifiering får besluta att ytterligare analysera sårbarheten eller att, efter att ha informerat innehavaren av EUCC-certifikatet, begära att berörda certifieringsorgan bedömer om sårbarheten kan beröra andra certifierade IKT-produkter.
Artikel 39
Offentliggörande av sårbarhet
Vid återkallandet av ett certifikat ska innehavaren av EUCC-certifikatet offentliggöra och registrera alla allmänt kända och åtgärdade sårbarheter i IKT-produkten i den europeiska sårbarhetsdatabasen, som inrättats i enlighet med artikel 12 i Europaparlamentets och rådets direktiv (EU) 2022/2555 (5), eller i andra förteckningar online som avses i artikel 55.1 d i förordning (EU) 2019/881.
KAPITEL VII
BEVARANDE, UTLÄMNANDE OCH SKYDD AV INFORMATION
Artikel 40
Bevarande av uppgifter hos certifieringsorgan och ITSEF
1. ITSEF och certifieringsorganen ska ha ett system för att bevara uppgifter, som ska innehålla alla dokument som tagits fram i samband med varje evaluering och certifiering som de utfört.
2. Certifieringsorgan och ITSEF ska lagra uppgifterna på ett säkert sätt och bevara dem under den period som är nödvändig för tillämpningen av denna förordning och i minst fem år från det att det berörda EUCC-certifikatet återkallats. När certifieringsorganet har utfärdat ett nytt EUCC-certifikat i enlighet med artikel 13.2 c ska det bevara dokumentationen om det återkallade EUCC-certifikatet tillsammans med det nya EUCC-certifikatet och under lika lång tid som för detta.
Artikel 41
Information som tillhandahålls av en certifikatinnehavare
1. Den information som avses i artikel 55 i förordning (EU) 2019/881 ska tillhandahållas på ett språk som är lättillgängligt för användarna.
2. Innehavaren av ett EUCC-certifikat ska lagra följande på ett säkert sätt under den period som är nödvändig för tillämpningen av denna förordning och i minst fem år från det att det berörda EUCC-certifikatet återkallats:
|
(a) |
Dokumentation av den information som lämnats till certifieringsorganet och ITSEF under certifieringsprocessen. |
|
(b) |
Ett provexemplar av den certifierade IKT-produkten. |
3. När certifieringsorganet har utfärdat ett nytt EUCC-certifikat i enlighet med artikel 13.2 c ska innehavaren bevara dokumentationen om det återkallade EUCC-certifikatet tillsammans med det nya EUCC-certifikatet och under lika lång tid som för detta.
4. På begäran av certifieringsorganet eller den nationella myndigheten för cybersäkerhetscertifiering ska innehavaren av ett EUCC-certifikat tillgängliggöra den dokumentation och de kopior som avses i punkt 2.
Artikel 42
Information som ska tillhandahållas av Enisa
1. Enisa ska offentliggöra följande information på den webbplats som avses i artikel 50.1 i förordning (EU) 2019/881:
|
(a) |
Alla EUCC-certifikat. |
|
(b) |
Information om ett EUCC-certifikats status, i synnerhet om det är gällande, tillfälligt upphävt, återkallat eller utgånget. |
|
(c) |
Certifieringsrapporter för varje EUCC-certifikat. |
|
(d) |
En förteckning över ackrediterade organ för bedömning av överensstämmelse. |
|
(e) |
En förteckning över auktoriserade organ för bedömning av överensstämmelse. |
|
(f) |
De mönsterdokument som förtecknas i bilaga I. |
|
(g) |
De yttranden från den europeiska gruppen för cybersäkerhetscertifiering som avses i artikel 62.4 c i förordning (EU) 2019/881. |
|
(h) |
Rapporter från sakkunnighetsbedömningar som utfärdats i enlighet med artikel 47. |
2. Den information som avses i punkt 1 ska tillhandahållas åtminstone på engelska.
3. Certifieringsorgan och, i tillämpliga fall, nationella myndigheter för cybersäkerhetscertifiering ska utan dröjsmål informera Enisa om sina beslut som berör innehållet i eller statusen för ett EUCC-certifikat enligt punkt 1 b.
4. Enisa ska säkerställa att den information som offentliggörs i enlighet med punkt 1 a, b och c tydligt anger vilken version av en certifierad IKT-produkt som omfattas av ett EUCC-certifikat.
Artikel 43
Skydd av information
Organ för bedömning av överensstämmelse, nationella myndigheter för cybersäkerhetscertifiering, ECCG, Enisa, kommissionen och alla andra parter ska säkerställa säkerheten för och skyddet av företagshemligheter och andra konfidentiella uppgifter, däribland affärshemligheter, samt skydda immateriella rättigheter och vidta de ändamålsenliga tekniska och organisatoriska åtgärder som är nödvändiga.
KAPITEL VIII
AVTAL OM ÖMSESIDIGT ERKÄNNANDE MED TREDJELÄNDER
Artikel 44
Villkor
1. Tredjeländer som är villiga att certifiera sina produkter i enlighet med denna förordning, och som önskar att den certifieringen ska erkännas i unionen, ska ingå ett avtal om ömsesidigt erkännande med unionen.
2. Avtalet om ömsesidigt erkännande ska omfatta de tillämpliga assuransnivåerna för certifierade IKT-produkter och, i tillämpliga fall, skyddsprofiler.
3. Avtal om ömsesidigt erkännande enligt punkt 1 får endast ingås med tredjeländer som uppfyller följande villkor:
|
(a) |
De har en myndighet som
|
|
(b) |
De har ett oberoende ackrediteringsorgan som utför ackreditering med användning av standarder som motsvarar de som avses i förordning (EG) nr 765/2008. |
|
(c) |
De åtar sig att genomföra evaluerings- och certifieringsprocesserna och -förfarandena på ett korrekt professionellt sätt, med beaktande av efterlevnaden av de internationella standarder som avses i denna förordning, särskilt artikel 3. |
|
(d) |
De har kapacitet att rapportera tidigare oupptäckta sårbarheter och har ett etablerat och ändamålsenligt förfarande för sårbarhetshantering och offentliggörande. |
|
(e) |
De har inrättat förfaranden som gör det möjligt att på ett effektivt sätt lämna in och hantera klagomål och tillhandahålla effektiva rättsmedel för den klagande. |
|
(f) |
De inrättar en mekanism för samarbete med andra unionsorgan och organ i medlemsstaterna som är relevanta för cybersäkerhetscertifieringen inom ramen för denna förordning, inbegripet utbyte av information om eventuell bristande efterlevnad avseende certifikat, övervakning av relevant utveckling på certifieringsområdet och säkerställande av ett gemensamt tillvägagångssätt för underhåll och översyn av certifiering. |
4. Utöver de villkor som anges i punkt 3 får ett avtal om ömsesidigt erkännande enligt punkt 1 som omfattar assuransnivå ”hög” endast ingås med tredjeländer som också uppfyller följande villkor:
|
(a) |
Tredjelandet har en oberoende offentlig myndighet för cybersäkerhetscertifiering som utför eller delegerar nödvändig evalueringsverksamhet för att möjliggöra certifiering med assuransnivå ”hög” och som motsvarar de krav och förfaranden som fastställs för nationella cybersäkerhetsmyndigheter enligt denna förordning och förordning (EU) 2019/881. |
|
(b) |
Genom avtalet om ömsesidigt erkännande inrättas en gemensam mekanism som motsvarar sakkunnighetsbedömningen av EUCC-certifiering för att stärka utbytet av praxis och gemensamt lösa problem på evaluerings- och certifieringsområdet. |
KAPITEL IX
SAKKUNNIGHETSBEDÖMNING AV CERTIFIERINGSORGAN
Artikel 45
Förfarande för sakkunnighetsbedömning
1. Ett certifieringsorgan som utfärdar EUCC-certifikat med assuransnivå ”hög” ska regelbundet och åtminstone vart femte år genomgå en sakkunnighetsbedömning. De olika typerna av sakkunnighetsbedömning förtecknas i bilaga VI.
2. Den europeiska gruppen för cybersäkerhetscertifiering ska utarbeta och upprätthålla en tidsplan för sakkunnighetsbedömningar som säkerställer att denna periodicitet iakttas. Med undantag för vederbörligen motiverade fall ska sakkunnighetsbedömningar utföras på plats.
3. Sakkunnighetsbedömningen får baseras på faktaunderlag som samlats in under tidigare sakkunnighetsbedömningar eller motsvarande förfaranden hos det sakkunnighetsbedömda certifieringsorganet eller den sakkunnighetsbedömda nationella myndigheten för cybersäkerhetscertifiering, förutsatt att
|
(a) |
resultaten inte är äldre än fem år, |
|
(b) |
i de fall då resultaten är relaterade till en sakkunnighetsbedömning som utförts inom ramen för en annan certifieringsordning, resultaten åtföljs av en beskrivning av de sakkunnighetsbedömningsförfaranden som inrättats för den ordningen, |
|
(c) |
det i den sakkunnighetsbedömningsrapport som avses i artikel 47 specificeras vilka resultat som återanvänts med eller utan kompletterande bedömning. |
4. Om en sakkunnighetsbedömning omfattar en teknikdomän ska även berörd ITSEF bedömas.
5. Det sakkunnighetsbedömda certifieringsorganet och, när så är nödvändigt, den nationella myndigheten för cybersäkerhetscertifiering ska säkerställa att all relevant information görs tillgänglig för sakkunnighetsbedömningsgruppen.
6. Sakkunnighetsbedömningen ska utföras av en sakkunnighetsbedömningsgrupp som inrättas i enlighet med bilaga VI.
Artikel 46
Sakkunnighetsbedömningens faser
1. Under den förberedande fasen ska medlemmarna i sakkunnighetsbedömningsgruppen granska certifieringsorganets dokumentation, som omfattar dess policyer och förfaranden, inbegripet användningen av mönsterdokument.
2. Under fasen för inspektion på plats bedömer sakkunnighetsbedömningsgruppen organets tekniska kompetens och, om tillämpligt, kompetensen hos den ITSEF som utfört åtminstone en IKT-produktevaluering som omfattas av sakkunnighetsbedömningen.
3. Varaktigheten för en sådan inspektion på plats får förlängas eller förkortas beroende på sådana faktorer som möjligheten att återanvända befintliga faktaunderlag och resultat från sakkunnighetsbedömningar och antalet ITSEF och teknikdomäner som certifieringsorganet utfärdar certifikat för.
4. Om tillämpligt ska sakkunnighetsbedömningsgruppen fastställa den tekniska kompetensen hos varje ITSEF genom att besöka dess tekniska laboratorium eller laboratorier och intervjua dess evaluerare om teknikdomänen och relaterade särskilda angreppsmetoder.
5. I rapporteringsfasen ska sakkunnighetsbedömningsgruppen dokumentera sina rön i en sakkunnighetsbedömningsrapport, som innehåller en bedömning av och, i tillämpliga fall, en förteckning över iakttagna bristande överensstämmelser, där varje brist klassificeras utifrån sin kritikalitetsnivå.
6. Sakkunnighetsbedömningsrapporten ska först diskuteras med det sakkunnighetsbedömda certifieringsorganet. Efter dessa diskussioner fastställer det sakkunnighetsbedömda certifieringsorganet en tidsplan med de åtgärder som ska vidtas för att åtgärda bristerna.
Artikel 47
Sakkunnighetsbedömningsrapporten
1. Sakkunnighetsbedömningsgruppen ska förse det sakkunnighetsbedömda certifieringsorganet med ett utkast till sakkunnighetsbedömningsrapport.
2. Det sakkunnighetsbedömda certifieringsorganet ska lämna synpunkter till sakkunnighetsbedömningsgruppen på rapportens resultat tillsammans med en förteckning över åtaganden för att åtgärda de brister som identifieras i utkastet till sakkunnighetsbedömningsrapport.
3. Sakkunnighetsbedömningsgruppen ska lämna en slutlig sakkunnighetsbedömningsrapport till den europeiska gruppen för cybersäkerhetscertifiering, vilken också ska innehålla de synpunkter och åtaganden som det sakkunnighetsbedömda certifieringsorganet tillhandahållit. Sakkunnighetsbedömningsgruppen ska också ta med sin ståndpunkt om synpunkterna och ange om åtagandena är tillräckliga för att åtgärda de identifierade bristerna.
4. Om bristande överensstämmelse identifieras i sakkunnighetsbedömningsrapporten får den europeiska gruppen för cybersäkerhetscertifiering fastställa en lämplig tidsfrist för det sakkunnighetsbedömda certifieringsorganet att åtgärda fallen av bristande överensstämmelse.
5. Den europeiska gruppen för cybersäkerhetscertifiering ska anta ett yttrande om sakkunnighetsbedömningsrapporten enligt följande:
|
(a) |
Om sakkunnighetsbedömningsrapporten inte identifierar några fall av bristande överensstämmelse eller om fallen av bristande överensstämmelse på lämpligt sätt åtgärdats av det sakkunnighetsbedömda certifieringsorganet får den europeiska gruppen för cybersäkerhetscertifiering avge ett positivt yttrande, och alla relevanta dokument ska offentliggöras på Enisas webbplats för certifiering. |
|
(b) |
Om det sakkunnighetsbedömda certifieringsorganet inte åtgärdar fallen av bristande överensstämmelse på lämpligt sätt inom den fastställda tidsfristen får den europeiska gruppen för cybersäkerhetscertifiering avge ett negativt yttrande, som ska offentliggöras på Enisas webbplats för certifiering tillsammans med sakkunnighetsbedömningsrapporten och alla relevanta dokument. |
6. Innan yttrandet offentliggörs ska alla känsliga, personliga eller skyddade uppgifter tas bort från de offentliggjorda dokumenten.
KAPITEL X
UPPRÄTTHÅLLANDE AV ORDNINGEN
Artikel 48
Upprätthållande av EUCC
1. Kommissionen får begära att den europeiska gruppen för cybersäkerhetscertifiering antar ett yttrande med avseende på upprätthållandet av EUCC och utför det förberedande arbete som är nödvändigt.
2. Den europeiska gruppen för cybersäkerhetscertifiering får anta ett yttrande för att godkänna mönsterdokument.
3. Mönsterdokument som har godkänts av den europeiska gruppen för cybersäkerhetscertifiering ska offentliggöras av Enisa.
KAPITEL XI
SLUTBESTÄMMELSER
Artikel 49
Nationella ordningar som omfattas av EUCC
1. I enlighet med artikel 57.1 i förordning (EU) 2019/881, och utan att det påverkar tillämpningen av artikel 57.3 i den förordningen, ska alla nationella ordningar för cybersäkerhetscertifiering och de relaterade förfarandena för IKT-produkter och IKT-processer som omfattas av EUCC upphöra att ha verkan tolv månader efter denna förordnings ikraftträdande.
2. Med avvikelse från artikel 50 får en certifiering inledas i enlighet med en nationell ordning för cybersäkerhetscertifiering inom tolv månader från denna förordnings ikraftträdande förutsatt att certifieringsprocessen slutförs senast 24 månader efter denna förordnings ikraftträdande.
3. Certifikat som utfärdats i enlighet med nationella ordningar för cybersäkerhetscertifiering kan bli föremål för översyn. Nya certifikat som ersätter de certifikat som setts över ska utfärdas i enlighet med denna förordning.
Artikel 50
Ikraftträdande
Denna förordning träder i kraft den tjugonde dagen efter det att den har offentliggjorts i Europeiska unionens officiella tidning.
Den ska tillämpas från och med den 27 februari 2025.
Kapitel IV och bilaga V ska tillämpas från och med dagen för denna förordnings ikraftträdande.
Denna förordning är till alla delar bindande och direkt tillämplig i alla medlemsstater.
Utfärdad i Bryssel den 31 januari 2024.
På kommissionens vägnar
Ursula VON DER LEYEN
Ordförande
(1) EUT L 151, 7.6.2019, s. 15.
(2) Mutual Recognition Agreement of Information Technology Security Evaluation Certificates, version 3.0 från 2010, finns på sogis.eu, godkänt av Europeiska kommissionens grupp av höga tjänstemän på informationssäkerhetsområdet, som svar på punkt 3 i rådets rekommendation 95/144/EG av den 7 april 1995 om gemensamma kriterier för utvärdering av informationsteknologisk säkerhet (EGT L 93, 26.4.1995, s. 27).
(3) Joint Interpretation Library: Minimum ITSEF Requirements for Security Evaluations of Smart cards and similar devices, version 2.1 från februari 2020, tillgänglig på sogis.eu.
(4) Europaparlamentets och rådets förordning (EU) 2019/1020 av den 20 juni 2019 om marknadskontroll och överensstämmelse för produkter och om ändring av direktiv 2004/42/EG och förordningarna (EG) nr 765/2008 och (EU) nr 305/2011 (EUT L 169, 25.6.2019, s. 1).
(5) Europaparlamentets och rådets direktiv (EU) 2022/2555 av den 14 december 2022 om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen, om ändring av förordning (EU) nr 910/2014 och direktiv (EU) 2018/1972 och om upphävande av direktiv (EU) 2016/1148 (NIS 2-direktivet) (EUT L 333, 27.12.2022, s. 80).
BILAGA I
Tekniska områden och mönsterdokument
1.
Tekniska områden på AVA_VAN-nivå 4 eller 5:|
(a) |
Dokument som rör den harmoniserade evalueringen av det tekniska området ”smartkort och liknande anordningar” och särskilt följande dokument i respektive version som är i kraft den [dagen för ikraftträdandet]:
|
|
(b) |
Dokument som rör den harmoniserade evalueringen av det tekniska området ”maskinvara med säkerhetsboxar” och särskilt följande dokument i respektive version som är i kraft den [dagen för ikraftträdandet]:
|
2.
Mönsterdokument i respektive version som är i kraft den [dagen för ikraftträdandet]:|
(a) |
Dokument som rör harmoniserad ackreditering av organ för bedömning av överensstämmelse: ”Ackreditering av ITSEF:er för EUCC”, som ursprungligen godkändes av ECCG den 20 oktober 2023. |
BILAGA II
Skyddsprofiler certifierade på AVA_VAN-nivå 4 eller 5:
1.
För kategorin anordningar för skapande av kvalificerade elektroniska underskrifter och kvalificerade stämplar på distans:|
(1) |
EN 419241-2:2019 – Tillförlitliga system som stöder server signering - Del 2: Skyddsprofil för QSCD för server signering. |
|
(2) |
EN 419221-5:2018 – Skyddsprofil för kryptomoduler för leverantörer av betrodda tjänster - Del 5: Kryptomodul för betrodda tjänster. |
2.
Skyddsprofiler som antagits som mönsterdokument:[TOMT]
BILAGA III
Rekommenderade skyddsprofiler (som illustrerar de tekniska områdena från bilaga I)
Skyddsprofiler som används vid certifiering av IKT-produkter som omfattas av nedan angivna IKT-produktkategori:
|
(a) |
För kategorin maskinläsbara resehandlingar:
|
|
(b) |
För kategorin säker signaturanordning:
|
|
(c) |
För kategorin digitala färdskrivare:
|
|
(d) |
För kategorin säkra integrerade kretsar, smartkort och därtill hörande anordningar:
|
|
(e) |
För kategorin interaktionspunkter (betalningspunkter) och betalningsterminaler:
|
|
(f) |
För kategorin maskinvara med säkerhetsboxar:
|
BILAGA IV
Assuranskontinuitet och översyn av certifikat
IV.1 Assuranskontinuitet: tillämpningsområde
|
1. |
Följande krav på assuranskontinuitet gäller underhållsverksamhet kopplad till följande:
|
|
2. |
Innehavaren av ett EUCC-certifikat får begära översyn av certifikatet i följande fall:
|
IV.2 Ny bedömning
|
1. |
Om det finns ett behov av att bedöma effekterna av förändringar i hotmiljön för en oförändrad certifierad IKT-produkt, ska en begäran om ny bedömning lämnas in till certifieringsorganet. |
|
2. |
Den nya bedömningen ska göras av samma ITSEF som deltog i den föregående evalueringen med användning av alla resultat som fortfarande är giltiga. Evalueringen ska inriktas på assuransverksamhet som potentiellt påverkas av den förändrade hotmiljön för den certifierade IKT-produkten, särskilt den relevanta AVA_VAN-familjen och dessutom assuranslivscykel-(ALC-)familjen där tillräcklig bevisning för upprätthållandet av utvecklingsmiljön ska samlas in igen. |
|
3. |
ITSEF ska beskriva ändringarna och göra en detaljerad beskrivning av resultaten av den nya bedömningen samt uppdatera den föregående tekniska evalueringsrapporten. |
|
4. |
Certifieringsorganet ska granska den uppdaterade tekniska evalueringsrapporten och upprätta en rapport om den nya bedömningen. Det ursprungliga certifikatets status ska sedan ändras i enlighet med artikel 13. |
|
5. |
Rapporten avseende den nya bedömningen och det uppdaterade certifikatet ska lämnas till den nationella myndigheten för cybersäkerhetscertifiering och Enisa för offentliggörande på dess webbplats för cybersäkerhetscertifiering. |
IV.3 Ändringar av en certifierad IKT-produkt
|
1. |
Om en certifierad IKT-produkt har ändrats, ska den certifikatinnehavare som vill bibehålla certifikatet lämna en konsekvensanalysrapport till certifieringsorganet. |
|
2. |
Konsekvensanalysrapporten ska innehålla följande:
|
|
3. |
Certifieringsorganet ska granska de ändringar som beskrivs i konsekvensanalysrapporten för att validera deras inverkan på det certifierade evalueringsobjektets assurans, i enlighet med vad som föreslås i slutsatserna i konsekvensanalysrapporten. |
|
4. |
Efter granskningen fastställer certifieringsorganet omfattningen av en ändring som mindre eller större i förhållande till dess inverkan. |
|
5. |
Om certifieringsorganet bekräftar att ändringarna är mindre, ska ett nytt certifikat utfärdas för den ändrade IKT-produkten och en bibehållanderapport till den första certifieringsrapporten ska upprättas, enligt följande villkor:
|
|
6. |
Det nya certifikatet och underhållsrapporten ska lämnas till Enisa för offentliggörande på Enisas webbplats för cybersäkerhetscertifiering. |
|
7. |
Om det bekräftas att ändringarna är större, ska en ny evaluering göras på grundval av den föregående evalueringen och med återanvändning av alla eventuella resultat från den föregående evalueringen som fortfarande är tillämpliga. |
|
8. |
När evalueringen av det ändrade evalueringsobjektet har slutförts ska ITSEF upprätta en ny teknisk evalueringsrapport. Certifieringsorganet ska granska den uppdaterade tekniska evalueringsrapporten och, i tillämpliga fall, upprätta ett nytt certifikat och en ny certifieringsrapport. |
|
9. |
Det nya certifikatet och den nya certifieringsrapporten ska lämnas till Enisa för offentliggörande. |
IV.4 Hantering av programfixar
|
1. |
Ett förfarande för hantering av programfixar möjliggör en strukturerad process för uppdatering av en certifierad IKT-produkt. Förfarandet för hantering av programfixar, inbegripet den mekanism som den som ansöker om certifiering har infört i IKT-produkten, kan användas efter certifieringen av IKT-produkten under ansvar av organet för bedömning av överensstämmelse. |
|
2. |
Den som ansöker om certifiering får i certifieringen av IKT-produkten inkludera en programfixmekanism som en del av ett certifierat hanteringsförfarande, som införts i IKT-produkten, på ett av följande villkor:
|
|
3. |
Om programfixen avser en större ändring av den certifierade IKT-produktens evalueringsobjekt rörande en tidigare oupptäckt sårbarhet som inte har några kritiska effekter på IKT-produktens säkerhet, ska bestämmelserna i artikel 13 tillämpas. |
|
4. |
Förfarandet för hantering av programfixar för en IKT-produkt består av följande delar:
|
|
5. |
Under certifieringen av IKT-produkten ska följande utföras:
|
|
6. |
Innehavaren av certifikatet får installera den programfix som framställts i enlighet med det certifierade förfarandet för hantering av programfixar i den berörda certifierade IKT-produkten och ska vidta följande åtgärder inom 5 arbetsdagar i följande fall:
|
BILAGA V
CERTIFIERINGSRAPPORTENS INNEHÅLL
V.1 Certifieringsrapport
|
1. |
På grundval av de tekniska evalueringsrapporter som tillhandahålls av ITSEF upprättar certifieringsorganet en certifieringsrapport som ska offentliggöras tillsammans med motsvarande EUCC-certifikat. |
|
2. |
Certifieringsrapporten är källan till detaljerad och praktisk information om IKT-produkten eller IKT-produktkategorin och om IKT-produktens säkra införande och ska därför innehålla all allmänt tillgänglig tydlig och delningsbar information som är relevant för användare och berörda parter. Det går att hänvisa till offentligt tillgänglig och delningsbar information i certifieringsrapporten. |
|
3. |
Certifieringsrapporten ska minst innehålla följande avsnitt:
|
|
4. |
Sammanfattningen ska vara en kort sammanfattning av hela certifieringsrapporten. Sammanfattningen ska ge en tydlig och kortfattad översikt över evalueringsresultaten och ska innehålla följande information:
|
|
5. |
Den evaluerade IKT-produkten ska tydligt identifieras, inbegripet följande information:
|
|
6. |
Informationen i detta avsnitt ska vara så exakt som möjligt för att säkerställa en fullständig och korrekt bild av IKT-produkten som kan återanvändas i framtida evalueringar. |
|
7. |
Avsnittet om säkerhetspolicy ska innehålla en beskrivning av IKT-produktens säkerhetspolicy och de policyer eller regler som den evaluerade IKT-produkten ska följa eller överensstämma med. Det ska innehålla en hänvisning till och en beskrivning av följande policyer:
|
|
8. |
I tillämpliga fall får policyn innehålla villkoren för användning av ett förfarande för hantering av programfixar under certifikatets giltighetstid. |
|
9. |
Avsnittet för antaganden och förtydligande av tillämpningsområdet ska innehålla uttömmande information om de omständigheter och målsättningar kopplade till produktens avsedda användning som avses i artikel 7.1 c. Informationen ska omfatta följande:
|
|
10. |
Den information som förtecknas i punkt 9 ska vara så begriplig som möjligt så att de som använder den certifierade IKT-produkten kan fatta välgrundade beslut om riskerna förknippade med dess användning. |
|
11. |
Avsnittet rörande information om arkitekturen ska innehålla en beskrivning på hög nivå av IKT-produkten och dess huvudkomponenter i enlighet med utformningen av delsystemen ADV_TDS enligt Common Criteria. |
|
12. |
En fullständig förteckning över IKT-produktens kompletterande cybersäkerhetsinformation ska lämnas i enlighet med artikel 55 i förordning (EU) 2019/881. All relevant dokumentation ska anges med versionsnummer. |
|
13. |
Avsnittet om testning av IKT-produkter ska innehålla följande information:
|
|
14. |
Avsnittet om resultaten av evalueringen och information om certifikatet ska innehålla följande information:
|
|
15. |
Säkerhetsmålsättningen ska antingen ingå i certifieringsrapporten eller hänvisas till, sammanfattas och tillhandahållas tillsammans med certifieringsrapporten för offentliggörande. |
|
16. |
Säkerhetsmålsättningen får rensas i enlighet med avsnitt VI.2. |
|
17. |
Den märkning eller etikett som kopplas till EUCC får föras in i certifieringsrapporten i enlighet med de regler och förfaranden som fastställs i artikel 11. |
|
18. |
Avsnittet om litteraturförteckning ska innehålla hänvisningar till alla dokument som använts vid sammanställningen av certifieringsrapporten. Den informationen ska omfatta åtminstone följande:
|
|
19. |
För att garantera att evalueringen kan reproduceras måste all dokumentation som det hänvisas till identifieras på ett unikt sätt med korrekt publiceringsdatum och korrekt versionsnummer. |
V.2 Rensning av en säkerhetsmålsättning inför offentliggörande
|
1. |
Den säkerhetsmålsättning som ska ingå i eller som det ska hänvisas till i certifieringsrapporten i enlighet med punkt 1 i avsnitt VI.1 får rensas genom avlägsnande eller omformulering av upphovsrättsskyddad teknisk information. |
|
2. |
Den resulterande rensade säkerhetsmålsättningen ska vara en verklig återgivning av dess fullständiga originalversion. Detta innebär att den rensade säkerhetsmålsättningen inte kan utelämna information som är nödvändig för att förstå evalueringsobjektets säkerhetsegenskaper och evalueringens omfattning. |
|
3. |
Innehållet i den rensade säkerhetsmålsättningen ska uppfylla följande minimikrav:
|
|
4. |
Även om den rensade säkerhetsmålsättningen inte formellt evalueras i enlighet med de evalueringsstandarder som avses i artikel 3, ska certifieringsorganet säkerställa att den överensstämmer med den fullständiga och evaluerade säkerhetsmålsättningen och hänvisa till både den fullständiga och den sanerade säkerhetsmålsättningen i certifieringsrapporten. |
BILAGA VI
SAKKUNNIGHETSBEDÖMNING: OMFATTNING OCH GRUPPSAMMANSÄTTNING
VI.1 Tillämpningsområde för sakkunnighetsbedömningen
|
1. |
Följande typer av sakkunnighetsbedömningar omfattas:
|
|
2. |
Det sakkunnighetsbedömda certifieringsorganet ska lämna in förteckningen över certifierade IKT-produkter som kan komma att bli föremål för granskning av gruppen för sakkunnighetsbedömning, i enlighet med följande regler:
|
VI.2 Gruppen för sakkunnighetsbedömning
|
1. |
Bedömningsgruppen ska bestå av minst två experter som var och en väljs ut från olika certifieringsorgan från olika medlemsstater och som utfärdar certifikat på assuransnivån ”hög”. Experterna bör uppvisa relevant sakkunskap om de standarder som avses i artikel 3 och de mönsterdokument som omfattas av den sakkunnighetsbedömningen. |
|
2. |
Vid delegering av utfärdandet av certifikat eller förhandsgodkännande av certifikat enligt artikel 56.6 i förordning (EU) 2019/881 ska en expert från den nationella myndigheten för cybersäkerhetscertifiering med anknytning till det berörda certifieringsorganet dessutom delta i den expertgrupp som valts ut i enlighet med punkt 1 i detta avsnitt. |
|
3. |
För en sakkunnighetsbedömning av typ 2 ska gruppmedlemmarna väljas bland certifieringsorgan som är auktoriserade för det berörda tekniska området. |
|
4. |
Varje medlem i bedömningsgruppen ska ha minst två års erfarenhet av att bedriva certifieringsverksamhet i ett certifieringsorgan. |
|
5. |
För en sakkunnighetsbedömning av typ 2 eller 3 ska varje medlem i bedömningsgruppen ha minst två års erfarenhet av att bedriva certifieringsverksamhet inom det relevanta tekniska området eller den relevanta skyddsprofilen och styrkt sakkunskap och deltagande i godkännandet av en ITSEF. |
|
6. |
Den nationella myndighet för cybersäkerhetscertifiering som övervakar och kontrollerar det sakkunnighetsbedömda certifieringsorganet och minst en nationell myndighet för cybersäkerhetscertifiering vars certifieringsorgan inte omfattas av sakkunnighetsbedömning ska delta i sakkunnighetsbedömningen som observatör. Enisa får också delta i sakkunnighetsbedömningen som observatör. |
|
7. |
Sammansättningen av gruppen för sakkunnighetsbedömning meddelas det sakkunnighetsbedömda certifieringsorganet. I motiverade fall kan det ifrågasätta sammansättningen av gruppen för sakkunnighetsbedömning och begära att den ses över. |
BILAGA VII
Innehållet i ett EUCC-certifikat
Ett EUCC-certifikat ska minst innehålla följande:
|
(a) |
En unik identifieringsbeteckning som fastställts av det certifieringsorgan som utfärdar certifikatet. |
|
(b) |
Information om den certifierade IKT-produkten eller skyddsprofilen och innehavaren av certifikatet, inbegripet
|
|
(c) |
Information rörande evaluering och certifiering av IKT-produkten eller skyddsprofilen, inbegripet
|
|
(d) |
Den märkning och etikett som är kopplade till intyget i enlighet med artikel 11. |
BILAGA VIII
Förklaring rörande assuranspaket
1.
I motsats till definitionerna i Common Criteria ska en höjning|
(a) |
inte betecknas med ”+”, |
|
(b) |
redogöras för i detalj genom en förteckning över alla berörda komponenter, |
|
(c) |
beskrivas ingående i certifieringsrapporten. |
2.
Den assuransnivå som bekräftats i ett EUCC-certifikat får kompletteras med evalueringsassuransnivån i enlighet med artikel 3 i denna förordning.
3.
Om den assuransnivå som bekräftas i ett EUCC-certifikat inte avser en höjning, ska ett av följande paket anges i EUCC-certifikatet:|
(a) |
”Det särskilda assuranspaketet”. |
|
(b) |
”Assuranspaketet i överensstämmelse med en skyddsprofil” vid hänvisning till en skyddsprofil utan en evalueringsassuransnivå. |
BILAGA IX
Märkning och etikett
1.
Märkningens och etikettens form:
2.
Om märkningen och etiketten förminskas eller förstoras, ska proportionerna i bilden ovan behållas.
3.
Om märkningen och etiketten är fysiskt anbringade, ska de vara minst 5 mm höga.
ELI: http://data.europa.eu/eli/reg_impl/2024/482/oj
ISSN 1977-0820 (electronic edition)