Art. 56. - Art. 56: Certificarea securităţii cibernetice - Regulamentul 881/17-apr-2019 privind ENISA (Agenţia Uniunii Europene pentru Securitate Cibernetică) şi privind certificarea securităţii cibernetice pentru tehnologia informaţiei şi comunicaţiilor şi de abrogare a Regulamentului (UE) nr. 526/2013 (Regulamentul privind securitatea cibernetică)
Acte UE
Jurnalul Oficial 151L
În vigoare Versiune de la: 7 Iunie 2019
Art. 56: Certificarea securităţii cibernetice
(1)Produsele TIC, serviciile TIC şi procesele TIC care au fost certificate în cadrul unui sistem european de certificare a securităţii cibernetice adoptat în temeiul articolului 49 sunt considerate a fi conforme cu cerinţele acestui sistem.
(2)Certificarea securităţii cibernetice este voluntară, cu excepţia cazului în care se prevede altfel în dreptul Uniunii sau în dreptul unui stat membru.
(3)Comisia evaluează periodic eficienţa şi utilizarea sistemelor europene de certificare a securităţii cibernetice adoptate şi analizează dacă un anumit sistem european de certificare a securităţii cibernetice trebuie să devină obligatoriu prin dreptul relevant al Uniunii, pentru a se asigura un nivel adecvat de securitate cibernetică a produselor TIC, serviciilor TIC şi proceselor TIC în Uniune şi pentru a se îmbunătăţi funcţionarea pieţei interne. Prima evaluare se efectuează până la 31 decembrie 2023, iar evaluările ulterioare se efectuează cel puţin din doi în doi ani după această dată. Pe baza rezultatelor evaluărilor respective, Comisia identifică produsele TIC, serviciile TIC şi procesele TIC care fac obiectul unui sistem de certificare existent şi care trebuie să fie incluse într-un sistem de certificare obligatoriu.
Comisia se concentrează cu prioritate pe sectoarele enumerate în anexa II la Directiva (UE) 2016/1148, pe care le evaluează cel târziu la doi ani de la adoptarea primului sistem european de certificare a securităţii cibernetice.
Atunci când pregăteşte evaluarea, Comisia:
a)ia în considerare impactul măsurilor asupra producătorilor sau furnizorilor de astfel de produse TIC, servicii TIC sau procese TIC, precum şi asupra utilizatorilor în ceea ce priveşte costul măsurilor respective, avantajele societale sau economice care decurg din nivelul sporit de securitate preconizat pentru produsele TIC, serviciile TIC sau procesele TIC vizate;
b)ţine seama de existenţa şi de punerea în aplicare a dreptului relevant al statelor membre şi al ţărilor terţe;
c)desfăşoară un proces de consultare deschis, transparent şi cuprinzător cu toate părţile interesate relevante şi cu statele membre;
d)ia în considerare termenele de punere în aplicare, precum şi măsurile şi perioadele de tranziţie, în special în ceea ce priveşte impactul posibil al măsurilor asupra producătorilor sau a furnizorilor de produse TIC, servicii TIC sau procese TIC, inclusiv asupra IMM-urilor;
e)propune cea mai rapidă şi mai eficace modalitate de punere în aplicare a tranziţiei de la un sistem de certificare voluntar la unul obligatoriu.
(4)Organismele de evaluare a conformităţii menţionate la articolul 60 eliberează certificate europene de securitate cibernetică în temeiul prezentului articol, care fac trimitere la nivelul de asigurare "de bază" sau "substanţial" pe baza criteriilor incluse în sistemul european de certificare a securităţii cibernetice adoptat de Comisie în temeiul articolului 49.
(5)Prin derogare de la alineatul (4), în cazuri justificate în mod corespunzător, un sistem european de certificare a securităţii cibernetice poate prevedea că certificatele europene de securitate cibernetică ce rezultă din acel sistem pot fi emise numai de un organism public. Acest organism este una din următoarele entităţi:
a)o autoritate naţională de certificare a securităţii cibernetice astfel cum este menţionată la articolul 58 alineatul (1); sau
b)un organism public care este acreditat ca organism de evaluare a conformităţii în temeiul articolului 60 alineatul (1).
(6)În cazurile în care un sistem european de certificare a securităţii cibernetice adoptat în temeiul articolului 49 impune un nivel de asigurare "ridicat", certificatul european de securitate cibernetică în temeiul sistemului respectiv se eliberează numai de o autoritate naţională de certificare a securităţii cibernetice sau, în următoarele cazuri, de un organism de evaluare a conformităţii:
a)cu aprobarea prealabilă a autorităţii de certificare a securităţii cibernetice pentru fiecare certificat european de securitate cibernetică individual eliberat de un organism de evaluare a conformităţii; sau
b)pe baza unei delegări generale a atribuţiei de eliberare a acestor certificate europene de securitate cibernetică către organismul de evaluare a conformităţii de către autoritatea naţională de certificare a securităţii cibernetice.
(7)Persoana fizică sau juridică care îşi supune certificării produsele TIC, serviciile TIC sau procesele TIC pune la dispoziţia autorităţii naţionale de certificare a securităţii cibernetice menţionată la articolul 58, în cazul în care această autoritate este organismul care eliberează certificatul european de securitate cibernetică, sau la dispoziţia organismului de evaluare a conformităţii menţionat la articolul 60 toate informaţiile necesare pentru desfăşurarea certificării.
(8)Deţinătorul unui certificat european de securitate cibernetică informează autoritatea sau organismul menţionat la alineatul (7) despre orice vulnerabilităţi sau nereguli detectate ulterior, legate de securitatea produsului TIC, a serviciului TIC sau a procesului TIC certificat, care pot avea un impact asupra conformităţii sale cu cerinţele legate de certificare. Autoritatea sau organismul respectiv transmite aceste informaţii fără întârzieri nejustificate autorităţii naţionale de certificare a securităţii cibernetice în cauză.
(9)Certificatele europene de securitate cibernetică se eliberează pentru durata prevăzută de sistemul european de certificare a securităţii cibernetice şi pot fi reînnoite numai dacă sunt îndeplinite în continuare cerinţele relevante.
(10)Un certificat european de securitate cibernetică eliberat în temeiul prezentului articol este recunoscut în toate statele membre.