Titlul iii - CADRUL DE CERTIFICARE A SECURITĂŢII CIBERNETICE - Regulamentul 881/17-apr-2019 privind ENISA (Agenţia Uniunii Europene pentru Securitate Cibernetică) şi privind certificarea securităţii cibernetice pentru tehnologia informaţiei şi comunicaţiilor şi de abrogare a Regulamentului (UE) nr. 526/2013 (Regulamentul privind securitatea cibernetică)
Acte UE
Jurnalul Oficial 151L
În vigoare Versiune de la: 7 Iunie 2019
TITLUL III:CADRUL DE CERTIFICARE A SECURITĂŢII CIBERNETICE
Art. 46: Cadrul european de certificare a securităţii cibernetice
(1)Se instituie cadrul european de certificare a securităţii cibernetice pentru a îmbunătăţi condiţiile de funcţionare a pieţei interne prin creşterea nivelului de securitate cibernetică în Uniune şi prin permiterea unei abordări armonizate la nivelul Uniunii în privinţa sistemelor europene de certificare a securităţii cibernetice, în scopul creării unei pieţe unice digitale pentru produsele TIC, serviciile TIC şi procesele TIC.
(2)Cadrul european de certificare a securităţii cibernetice prevede un mecanism pentru instituirea unor sisteme europene de certificare a securităţii cibernetice şi pentru a atesta că produsele TIC, serviciile TIC şi procesele TIC, care au fost evaluate în conformitate cu sistemele respective sunt conforme cu cerinţele de securitate specificate, cu scopul de a proteja disponibilitatea, autenticitatea, integritatea sau confidenţialitatea datelor stocate, transmise ori prelucrate sau funcţiile ori serviciile oferite de aceste produse, servicii şi procese sau accesibile prin intermediul acestora pe întregul lor ciclu de viaţă.
Art. 47: Programul de activitate etapizat la nivelul Uniunii pentru certificarea europeană a securităţii cibernetice
(1)Comisia publică un program de activitate etapizat la nivelul Uniunii pentru certificarea europeană a securităţii cibernetice (denumit în continuare "programul de activitate etapizat la nivelul Uniunii") în care se identifică priorităţile strategice pentru viitoarele sisteme europene de certificare a securităţii cibernetice.
(2)Programul de activitate etapizat la nivelul Uniunii include îndeosebi o listă a produselor TIC, serviciilor TIC şi proceselor TIC sau a categoriilor acestora care pot beneficia de includerea în sfera de aplicare a unui sistem european de certificare a securităţii cibernetice.
(3)Includerea unui anumit produs TIC, serviciu TIC şi proces TIC sau a unei categorii a acestora în programul de activitate etapizat la nivelul Uniunii se justifică în baza unuia sau a mai multora dintre considerentele următoarele:
a)disponibilitatea şi dezvoltarea sistemelor naţionale de certificare a securităţii cibernetice care se aplică oricărei categorii specifice de produse TIC, servicii TIC şi procese TIC, cu precădere în ceea ce priveşte riscul de fragmentare;
b)politica sau dreptul relevant al Uniunii sau al statelor membre;
c)cererea de pe piaţă;
d)dezvoltările din aria ameninţărilor cibernetice;
e)solicitarea de pregătire a unei propuneri de sistem specifice de către ECCG.
(4)Comisia ţine seama în mod corespunzător de avizele emise în privinţa proiectului de program de activitate etapizat la nivelul Uniunii de către ECCG şi de către Grupul părţilor interesate pentru certificare.
(5)Primul program de activitate etapizat la nivelul Uniunii se publică până la 28 iunie 2020. Programul de activitate etapizat la nivelul Uniunii se actualizează cel puţin o dată la trei ani sau mai des, dacă este necesar.
Art. 48: Solicitarea unui sistem european de certificare a securităţii cibernetice
(1)Comisia îi poate solicita ENISA să pregătească o propunere de sistem sau să revizuiască un sistem european de certificare a securităţii cibernetice existent, pe baza programului de activitate etapizat la nivelul Uniunii.
(2)În cazuri justificate în mod corespunzător, Comisia sau ECCG îi poate solicita ENISA să pregătească o propunere de sau să revizuiască un sistem european de certificare a securităţii cibernetice existent, fără ca acestea să fie incluse în programul de activitate etapizat la nivelul Uniunii. Programul de activitate etapizat la nivelul Uniunii se actualizează în consecinţă.
Art. 49: Pregătirea, adoptarea şi revizuirea unui sistem european de certificare a securităţii cibernetice
(1)În urma unei solicitări din partea Comisiei în temeiul articolului 48, ENISA pregăteşte o propunere de sistem care îndeplineşte cerinţele prevăzute la articolele 51, 52 şi 54.
(2)În urma unei solicitări din partea ECCG în temeiul articolului 48 alineatul (2), ENISA poate pregăti o propunere de sistem care îndeplineşte cerinţele prevăzute la articolele 51, 52 şi 54. În cazul în care refuză o altfel de solicitare, ENISA prezintă motivele de refuz. Orice decizie de refuzare a unei astfel de solicitări se ia de către consiliul de administraţie.
(3)Atunci când pregăteşte propunerile de sisteme, ENISA consultă toate părţile interesate relevante printr-un proces de consultare formal, deschis, transparent şi cuprinzător.
(4)Pentru fiecare propunere de sistem, ENISA instituie un grup de lucru ad-hoc în conformitate cu articolul 20 cu scopul de a-i oferi ENISA consiliere şi expertiză specifice.
(5)ENISA cooperează strâns cu ECCG. ECCG furnizează ENISA asistenţă şi consiliere de specialitate în legătură cu pregătirea propunerii de sistem şi adoptă un aviz privind propunerea de sistem.
(6)ENISA ţine seama în cea mai mare măsură posibilă de avizul ECCG înainte de a transmite Comisiei propunerea de sistem pregătită în conformitate cu alineatele (3), (4) şi (5). Avizul ECCG nu este obligatoriu pentru ENISA, iar lipsa unui astfel de aviz nu împiedică ENISA să transmită Comisiei propunerea de sistem.
(7)Pe baza propunerii de sistem pregătite de ENISA, Comisia poate adopta acte de punere în aplicare care să prevadă sisteme europene de certificare a securităţii cibernetice pentru produsele TIC, serviciile TIC şi procesele TIC care îndeplinesc cerinţele prevăzute la articolele 51, 52 şi 54. Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menţionată la articolul 66 alineatul (2).
(8)ENISA evaluează cel puţin o dată la cinci ani fiecare sistem european de certificare a securităţii cibernetice adoptat, ţinând seama de observaţiile primite de la părţile interesate. Dacă este necesar, Comisia sau ECCG îi pot solicita ENISA să demareze procesul de elaborare a unei propuneri revizuite de sistem în conformitate cu articolul 48 şi cu prezentul articol.
Art. 50: Site-ul referitor la sistemele europene de certificare a securităţii cibernetice
(1)ENISA întreţine un site dedicat care oferă informaţii despre sistemele europene de certificare a securităţii cibernetice, certificatele europene de securitate cibernetică şi declaraţiile de conformitate UE, şi le asigură publicitatea, inclusiv informaţii în ceea ce priveşte sistemele europene de certificare a securităţii cibernetice care nu mai sunt valabile, certificatele europene de securitate cibernetică şi declaraţiile de conformitate UE retrase sau expirate şi registrul conţinând legături către informaţii despre securitatea cibernetică furnizate în conformitate cu articolul 55.
(2)După caz, site-ul menţionat la alineatul (1) indică şi sistemele naţionale de certificare a securităţii cibernetice care au fost înlocuite de un sistem european de certificare a securităţii cibernetice.
Art. 51: Obiectivele de securitate ale sistemelor europene de certificare a securităţii cibernetice
Un sistem european de certificare a securităţii cibernetice este conceput pentru a îndeplini, după caz, cel puţin următoarele obiective de securitate:
(a)să protejeze datele stocate, transmise sau prelucrate într-un alt mod împotriva stocării, prelucrării, accesului sau divulgării accidentale sau neautorizate pe întregul ciclu de viaţă al produsului TIC, serviciului TIC sau procesului TIC;
(b)să protejeze datele stocate, transmise sau prelucrate într-un alt mod împotriva distrugerii, pierderii sau modificării accidentale sau neautorizate ori lipsei de disponibilitate pe întregul ciclu de viaţă al produsului TIC, serviciului TIC sau procesului TIC;
(c)să asigure faptul că persoanele, programele sau dispozitivele autorizate pot avea acces numai la datele, serviciile sau funcţiile la care se referă drepturile lor de acces;
(d)să identifice şi să documenteze dependenţele şi vulnerabilităţile cunoscute;
(e)să înregistreze care sunt datele, serviciile sau funcţiile care au fost accesate, utilizate sau procesate în alt mod, în ce moment şi de către cine;
(f)să facă posibil să se verifice care sunt datele, serviciile sau funcţiile care au fost accesate, utilizate sau procesate în alt mod, în ce moment şi de către cine;
(g)să verifice că produsele TIC, serviciile TIC şi procesele TIC nu conţin vulnerabilităţi cunoscute;
(h)să restabilească disponibilitatea datelor, serviciilor şi funcţiilor şi accesul la acestea în timp util în cazul unui incident fizic sau tehnic;
(i)să asigure că produsele TIC, serviciile TIC şi procesele TIC sunt securizate implicit şi începând cu momentul conceperii;
(j)să asigure că produsele TIC, serviciile TIC şi procesele TC sunt furnizate cu software şi hardware actualizate care nu conţin vulnerabilităţi cunoscute public şi că sunt prevăzute cu mecanisme pentru actualizări securizate.
Art. 52: Niveluri de asigurare ale sistemelor europene de certificare a securităţii cibernetice
(1)Un sistem european de certificare a securităţii cibernetice poate stabili unul sau mai multe dintre următoarele niveluri de asigurare pentru produsele TIC, serviciile TIC şi procesele TIC: "de bază", "substanţial" sau "ridicat". Nivelul de asigurare este corespunzător nivelului riscului asociat cu utilizarea preconizată a unui produs TIC, serviciu TIC sau proces TIC, înţeles ca probabilitate şi impact al unui incident.
(2)Certificatele europene de securitate cibernetică şi declaraţiile de conformitate UE fac trimitere la orice nivel de asigurare prevăzut în sistemul european de certificare a securităţii cibernetice în temeiul căruia a fost emis certificatul european de securitate cibernetică sau declaraţia de conformitate UE.
(3)Cerinţele de securitate corespunzătoare fiecărui nivel de asigurare sunt prevăzute de sistemul european de certificare a securităţii cibernetice relevant, inclusiv funcţiile de securitate corespunzătoare şi rigoarea şi profunzimea corespunzătoare ale evaluării la care a fost supus produsul TIC, serviciul TIC sau procesul TIC.
(4)Certificatul sau declaraţia de conformitate UE face trimitere la specificaţii tehnice, standarde şi proceduri conexe acestora, inclusiv controale tehnice, al căror scop este de a diminua riscul de incidente de securitate cibernetică sau de a le preîntâmpina.
(5)Un certificat european de securitate cibernetică sau o declaraţie de conformitate UE care face trimitere la nivelul de asigurare "de bază" oferă asigurare cu privire la faptul că produsele TIC, serviciile TIC şi procesele TIC pentru care se eliberează certificatul respectiv sau declaraţia de conformitate UE respectivă îndeplinesc cerinţele de securitate corespunzătoare, inclusiv funcţiile de securitate, şi că acestea au fost evaluate la un nivel care urmăreşte minimizarea riscurilor de bază cunoscute de incidente şi atacuri cibernetice. Activităţile de evaluare includ cel puţin o examinare a documentaţiei tehnice. În cazurile în care o astfel de examinare nu este adecvată, se desfăşoară activităţi de evaluare înlocuitoare cu efect echivalent.
(6)Un certificat european de securitate cibernetică care face trimitere la nivelul de asigurare "substanţial" oferă asigurare cu privire la faptul că produsele TIC, serviciile TIC şi procesele TIC pentru care se eliberează certificatul respectiv îndeplinesc cerinţele de securitate corespunzătoare, inclusiv funcţiile de securitate, şi că acestea au fost evaluate la un nivel care urmăreşte minimizarea riscurilor pentru securitatea cibernetică cunoscute şi a riscurilor de incidente şi atacuri cibernetice desfăşurate de actori cu competenţe şi resurse limitate. Activităţile de evaluare includ cel puţin următoarele: o examinare pentru a demonstra absenţa vulnerabilităţilor cunoscute public şi testarea faptului că produsele TIC, serviciile TIC şi procesele TIC implementează corect funcţiile de securitate necesare. În cazurile în care oricare dintre aceste activităţi de evaluare nu este adecvată, se desfăşoară activităţi de evaluare înlocuitoare cu efect echivalent.
(7)Un certificat european de securitate cibernetică care face trimitere la nivelul de asigurare "ridicat" oferă asigurare cu privire la faptul că produsele TIC, serviciile TIC şi procesele TIC pentru care se eliberează certificatul respectiv îndeplinesc cerinţele de securitate corespunzătoare, inclusiv funcţiile de securitate, şi că acestea au fost evaluate la un nivel care urmăreşte minimizarea riscului de atacuri cibernetice de ultimă generaţie desfăşurate de actori cu competenţe şi resurse substanţiale. Activităţile de evaluare includ cel puţin următoarele: o examinare pentru a demonstra absenţa vulnerabilităţilor cunoscute public; testarea pentru a demonstra că produsele TIC, serviciile TIC şi procesele TIC implementează corect funcţiile de securitate necesare, la nivel de ultimă generaţie, şi o evaluare a rezistenţei acestora la atacatori competenţi prin teste de rezistenţă la intruziuni. În cazurile în care oricare dintre aceste activităţi de evaluare nu este adecvată, se desfăşoară activităţi înlocuitoare cu efect echivalent.
(8)Un sistem european de certificare a securităţii cibernetice poate specifica mai multe niveluri de evaluare în funcţie de rigoarea şi profunzimea metodologiei de evaluare utilizate. Fiecare dintre nivelurile de evaluare corespunde unuia dintre nivelurile de asigurare şi este definit printr-o combinaţie corespunzătoare de componente ale asigurării.
Art. 53: Autoevaluarea conformităţii
(1)Un sistem european de certificare a securităţii cibernetice poate permite efectuarea unei autoevaluări a conformităţii pe răspunderea exclusivă a producătorului sau a furnizorului de produse TIC, servicii TIC şi procese TIC. O astfel de autoevaluare a conformităţii este permisă numai în cazul produselor TIC, serviciilor TIC şi proceselor TIC care prezintă un risc redus corespunzând nivelului de asigurare "de bază".
(2)Producătorul sau furnizorul de produse TIC, servicii TIC şi procese TIC poate elibera o declaraţie de conformitate UE care menţionează că s-a demonstrat îndeplinirea cerinţelor prevăzute în sistem. Prin eliberarea unei astfel de declaraţii, producătorul sau furnizorul de produse TIC, servicii TIC sau procese TIC îşi asumă responsabilitatea pentru conformitatea produsului TIC, a serviciului TIC sau a procesului TIC cu cerinţele stabilite în sistemul respectiv.
(3)Producătorul sau furnizorul de produse TIC, servicii TIC şi procese TIC pun la dispoziţia autorităţii naţionale de certificare a securităţii cibernetice menţionată la articolul 58, pe durata stabilită în sistemul european de certificare a securităţii cibernetice corespunzător, declaraţia de conformitate UE, documentaţia tehnică şi toate celelalte informaţii relevante legate de conformitatea produselor TIC sau a serviciilor TIC cu sistemul. O copie a declaraţiei de conformitate UE se transmite către autoritatea naţională de certificare a securităţii cibernetice şi către ENISA.
(4)Eliberarea unei declaraţii de conformitate UE este voluntară, cu excepţia cazului în care se prevede altfel în dreptul Uniunii sau dreptul statelor membre.
(5)Declaraţia de conformitate UE este recunoscută în toate statele membre.
Art. 54: Elemente ale sistemelor europene de certificare a securităţii cibernetice
(1)Un sistem european de certificare a securităţii cibernetice include cel puţin următoarele elemente:
a)obiectul şi sfera de aplicare a sistemului de certificare, inclusiv tipul sau categoriile de produse TIC, servicii TIC şi procese TIC acoperite;
b)o descriere clară a scopului sistemului şi a modului în care standardele selectate, metodele de evaluare şi nivelurile de asigurare corespund nevoilor utilizatorilor preconizaţi ai sistemului;
c)trimiteri la standardele internaţionale, europene sau naţionale aplicate în cadrul evaluării sau, în cazul în care astfel de standarde nu sunt disponibile sau nu sunt adecvate, la specificaţiile tehnice care îndeplinesc cerinţele prevăzute în anexa II la Regulamentul (UE) nr. 1025/2012 sau, dacă astfel de specificaţii nu sunt disponibile, la specificaţii tehnice sau la alte cerinţe de securitate cibernetică definite în sistemul european de certificare a securităţii cibernetice;
d)după caz, unul sau mai multe niveluri de asigurare;
e)o precizare care indică dacă autoevaluarea conformităţii este permisă în cadrul sistemului;
f)după caz, cerinţe specifice sau suplimentare cărora se supun organismele de evaluare a conformităţii pentru a garanta competenţa tehnică a acestora de a evalua cerinţele de securitate cibernetică;
g)criteriile şi metodele specifice de evaluare, inclusiv tipurile de evaluări, utilizate pentru a demonstra că obiectivele de securitate menţionate la articolul 51 sunt îndeplinite;
h)după caz, informaţiile necesare pentru certificare care trebuie furnizate sau puse în alt mod la dispoziţia organismelor de evaluare a conformităţii de către solicitant;
i)în cazul în care sistemul prevede mărci sau etichete, condiţiile în care pot fi utilizate aceste mărci sau etichete;
j)normele pentru monitorizarea conformităţii produselor TIC, serviciilor TIC şi proceselor TIC cu cerinţele certificatelor europene de securitate cibernetică sau ale declaraţiilor de conformitate UE, inclusiv mecanisme care să demonstreze conformitatea neîntreruptă cu cerinţele de securitate cibernetică specificate;
k)după caz, condiţiile de eliberare, de menţinere, de continuare şi de reînnoire a certificatelor europene de securitate cibernetică, precum şi condiţiile de extindere sau de restrângere a domeniului de aplicare a certificării;
l)normele privind consecinţele neconformităţii produselor TIC, serviciilor TIC şi proceselor TIC care au fost certificare sau pentru care a fost eliberată o declaraţie de conformitate UE, dar care nu sunt conforme cu cerinţele sistemului;
m)normele privind modalităţile de raportare şi soluţionare a vulnerabilităţilor în materie de securitate cibernetică nedetectate anterior ale produselor TIC, serviciilor TIC şi proceselor TIC;
n)după caz, normele privind păstrarea evidenţelor de către organismele de evaluare a conformităţii;
o)identificarea sistemelor naţionale sau internaţionale de certificare a securităţii cibernetice care se referă la aceleaşi tipuri sau categorii de produse TIC, servicii TIC şi procese TIC, cerinţele de securitate şi criteriile şi metodele de evaluare şi nivelurile de asigurare;
p)conţinutul şi formatul certificatelor europene de securitate cibernetică şi ale declaraţiilor de conformitate UE care urmează să fie eliberate;
q)perioada de valabilitate a declaraţiei de conformitate UE, documentaţia tehnică şi toate celelalte informaţii relevante care sunt puse la dispoziţie de producătorul sau de furnizorul de produse TIC, de servicii TIC sau de procese TIC;
r)perioada maximă de valabilitate a certificatelor europene de securitate cibernetică eliberate în temeiul sistemului;
s)politica de divulgare pentru certificatele europene de securitate cibernetică eliberate modificate sau retrase în temeiul sistemului;
t)condiţiile pentru recunoaşterea reciprocă a sistemelor de certificare cu ţări terţe;
u)după caz, normele privind orice mecanism de evaluare inter pares instituit în cadrul sistemului pentru autorităţile sau organismele care eliberează certificate europene de securitate cibernetică pentru nivelul de asigurare "ridicat" în temeiul articolului 56 alineatul (6). Un astfel de mecanism nu aduce atingere evaluării inter pares prevăzute la articolul 59;
v)formatul şi procedurile care trebuie urmate de producători sau de furnizori de produse TIC, de servicii TIC sau de procese TIC atunci când furnizează şi actualizează informaţiile suplimentare privind securitatea cibernetică în conformitate cu articolul 55.
(2)Cerinţele specificate ale sistemului european de certificare a securităţii cibernetice sunt în concordanţă cu cerinţele legale aplicabile, în special cu cerinţele care decurg din dreptul armonizat al Uniunii.
(3)În cazul în care un act juridic specific al Uniunii prevede astfel, un certificat sau o declaraţie de conformitate UE eliberată în cadrul unui sistem european de certificare a securităţii cibernetice poate fi utilizată pentru a demonstra prezumţia de conformitate cu cerinţele din acel act juridic.
(4)În absenţa unui drept armonizat al Uniunii, dreptul unui stat membru poate prevedea, de asemenea, că se poate folosi un sistem european de certificare a securităţii cibernetice pentru a stabili prezumţia de conformitate cu cerinţele legale.
Art. 55: Informaţii suplimentare privind securitatea cibernetică pentru produsele TIC, serviciile TIC şi procesele TIC certificate
(1)Producătorul sau furnizorul de produse TIC, servicii TIC sau procese TIC certificate sau de produse TIC, servicii TIC sau procese TIC pentru care a fost eliberată o declaraţie de conformitate UE pune la dispoziţia publicului următoarele informaţii suplimentare privind securitatea cibernetică:
a)orientări şi recomandări care să le servească utilizatorilor finali la configurarea, instalarea, derularea, funcţionarea şi întreţinerea securizate a produselor TIC sau serviciilor TIC;
b)perioada în timpul căreia se oferă asistenţă în materie de securitate utilizatorilor finali, mai ales în ceea ce priveşte disponibilitatea actualizărilor legate de securitatea cibernetică;
c)informaţii de contact ale producătorului sau furnizorului şi metode acceptate pentru primirea informaţiilor despre vulnerabilitate de la utilizatorii finali şi de la cercetători din domeniul securităţii;
d)o trimitere la registrele online care conţin vulnerabilităţile divulgate public legate de produsul TIC, de serviciul TIC sau de procesul TIC şi orice avertismente relevante în materie de securitate cibernetică.
(2)Informaţiile menţionate la alineatul (1) se pun la dispoziţie în format electronic şi rămân disponibile şi se actualizează după cum este necesar cel puţin până la expirarea certificatului european de securitate cibernetică sau a declaraţiei de conformitate UE aferente.
Art. 56: Certificarea securităţii cibernetice
(1)Produsele TIC, serviciile TIC şi procesele TIC care au fost certificate în cadrul unui sistem european de certificare a securităţii cibernetice adoptat în temeiul articolului 49 sunt considerate a fi conforme cu cerinţele acestui sistem.
(2)Certificarea securităţii cibernetice este voluntară, cu excepţia cazului în care se prevede altfel în dreptul Uniunii sau în dreptul unui stat membru.
(3)Comisia evaluează periodic eficienţa şi utilizarea sistemelor europene de certificare a securităţii cibernetice adoptate şi analizează dacă un anumit sistem european de certificare a securităţii cibernetice trebuie să devină obligatoriu prin dreptul relevant al Uniunii, pentru a se asigura un nivel adecvat de securitate cibernetică a produselor TIC, serviciilor TIC şi proceselor TIC în Uniune şi pentru a se îmbunătăţi funcţionarea pieţei interne. Prima evaluare se efectuează până la 31 decembrie 2023, iar evaluările ulterioare se efectuează cel puţin din doi în doi ani după această dată. Pe baza rezultatelor evaluărilor respective, Comisia identifică produsele TIC, serviciile TIC şi procesele TIC care fac obiectul unui sistem de certificare existent şi care trebuie să fie incluse într-un sistem de certificare obligatoriu.
Comisia se concentrează cu prioritate pe sectoarele enumerate în anexa II la Directiva (UE) 2016/1148, pe care le evaluează cel târziu la doi ani de la adoptarea primului sistem european de certificare a securităţii cibernetice.
Atunci când pregăteşte evaluarea, Comisia:
a)ia în considerare impactul măsurilor asupra producătorilor sau furnizorilor de astfel de produse TIC, servicii TIC sau procese TIC, precum şi asupra utilizatorilor în ceea ce priveşte costul măsurilor respective, avantajele societale sau economice care decurg din nivelul sporit de securitate preconizat pentru produsele TIC, serviciile TIC sau procesele TIC vizate;
b)ţine seama de existenţa şi de punerea în aplicare a dreptului relevant al statelor membre şi al ţărilor terţe;
c)desfăşoară un proces de consultare deschis, transparent şi cuprinzător cu toate părţile interesate relevante şi cu statele membre;
d)ia în considerare termenele de punere în aplicare, precum şi măsurile şi perioadele de tranziţie, în special în ceea ce priveşte impactul posibil al măsurilor asupra producătorilor sau a furnizorilor de produse TIC, servicii TIC sau procese TIC, inclusiv asupra IMM-urilor;
e)propune cea mai rapidă şi mai eficace modalitate de punere în aplicare a tranziţiei de la un sistem de certificare voluntar la unul obligatoriu.
(4)Organismele de evaluare a conformităţii menţionate la articolul 60 eliberează certificate europene de securitate cibernetică în temeiul prezentului articol, care fac trimitere la nivelul de asigurare "de bază" sau "substanţial" pe baza criteriilor incluse în sistemul european de certificare a securităţii cibernetice adoptat de Comisie în temeiul articolului 49.
(5)Prin derogare de la alineatul (4), în cazuri justificate în mod corespunzător, un sistem european de certificare a securităţii cibernetice poate prevedea că certificatele europene de securitate cibernetică ce rezultă din acel sistem pot fi emise numai de un organism public. Acest organism este una din următoarele entităţi:
a)o autoritate naţională de certificare a securităţii cibernetice astfel cum este menţionată la articolul 58 alineatul (1); sau
b)un organism public care este acreditat ca organism de evaluare a conformităţii în temeiul articolului 60 alineatul (1).
(6)În cazurile în care un sistem european de certificare a securităţii cibernetice adoptat în temeiul articolului 49 impune un nivel de asigurare "ridicat", certificatul european de securitate cibernetică în temeiul sistemului respectiv se eliberează numai de o autoritate naţională de certificare a securităţii cibernetice sau, în următoarele cazuri, de un organism de evaluare a conformităţii:
a)cu aprobarea prealabilă a autorităţii de certificare a securităţii cibernetice pentru fiecare certificat european de securitate cibernetică individual eliberat de un organism de evaluare a conformităţii; sau
b)pe baza unei delegări generale a atribuţiei de eliberare a acestor certificate europene de securitate cibernetică către organismul de evaluare a conformităţii de către autoritatea naţională de certificare a securităţii cibernetice.
(7)Persoana fizică sau juridică care îşi supune certificării produsele TIC, serviciile TIC sau procesele TIC pune la dispoziţia autorităţii naţionale de certificare a securităţii cibernetice menţionată la articolul 58, în cazul în care această autoritate este organismul care eliberează certificatul european de securitate cibernetică, sau la dispoziţia organismului de evaluare a conformităţii menţionat la articolul 60 toate informaţiile necesare pentru desfăşurarea certificării.
(8)Deţinătorul unui certificat european de securitate cibernetică informează autoritatea sau organismul menţionat la alineatul (7) despre orice vulnerabilităţi sau nereguli detectate ulterior, legate de securitatea produsului TIC, a serviciului TIC sau a procesului TIC certificat, care pot avea un impact asupra conformităţii sale cu cerinţele legate de certificare. Autoritatea sau organismul respectiv transmite aceste informaţii fără întârzieri nejustificate autorităţii naţionale de certificare a securităţii cibernetice în cauză.
(9)Certificatele europene de securitate cibernetică se eliberează pentru durata prevăzută de sistemul european de certificare a securităţii cibernetice şi pot fi reînnoite numai dacă sunt îndeplinite în continuare cerinţele relevante.
(10)Un certificat european de securitate cibernetică eliberat în temeiul prezentului articol este recunoscut în toate statele membre.
Art. 57: Sistemele şi certificatele naţionale de certificare de a securităţii cibernetice
(1)Fără a aduce atingere alineatului (3) din prezentul articol, sistemele naţionale de certificare a securităţii cibernetice şi procedurile aferente pentru produsele TIC, serviciile TIC şi procesele TIC care fac obiectul unui sistem european de certificare a securităţii cibernetice încetează să mai producă efecte de la data stabilită în actul de punere în aplicare adoptat în temeiul articolului 49 alineatul (7). Sistemele naţionale de certificare a securităţii cibernetice şi procedurile aferente pentru produsele TIC, serviciile TIC şi procesele TIC care nu fac obiectul unui sistem european de certificare a securităţii cibernetice continuă să existe.
(2)Statele membre nu introduc noi sisteme naţionale de certificare a securităţii cibernetice pentru produsele TIC, serviciile TIC şi procesele TIC care fac deja obiectul unui sistem european de certificare a securităţii cibernetice în vigoare.
(3)Certificatele existente care au fost eliberate în temeiul sistemelor naţionale de certificare a securităţii cibernetice şi care fac obiectul unui sistem european de certificare a securităţii cibernetice rămân valabile până la data expirării lor.
(4)Pentru a se evita fragmentarea pieţei interne, statele membre informează Comisia şi ECCG cu privire la orice intenţie de a elabora noi sisteme naţionale de certificare a securităţii cibernetice.
Art. 58: Autorităţile naţionale de certificare a securităţii cibernetice
(1)Fiecare stat membru desemnează pe teritoriul său una sau mai multe autorităţi naţionale de certificare a securităţii cibernetice sau, cu acordul unui alt stat membru, desemnează una sau mai multe autorităţi naţionale de certificare a securităţii cibernetice stabilite în celălalt stat membru pentru a fi responsabile de atribuţiile de supraveghere în statul membru care face desemnarea.
(2)Fiecare stat membru informează Comisia cu privire la identitatea autorităţilor naţionale de certificare de securitate cibernetică desemnate. În cazul în care un stat membru desemnează mai multe autorităţi, acesta informează Comisia şi cu privire la sarcinile atribuite fiecăreia dintre respectivele autorităţi.
(3)Fără a aduce atingere articolului 56 alineatul (5) litera (a) şi articolului 56 alineatul (6), fiecare autoritate naţională de certificare a securităţii cibernetice este independentă în ceea ce priveşte organizarea, deciziile de finanţare, structura juridică şi luarea deciziilor, de entităţile pe care le supraveghează.
(4)Statele membre se asigură că activităţile autorităţilor naţionale de certificare a securităţii cibernetice, care se referă la eliberarea de certificate europene de securitate cibernetică menţionate la articolul 56 alineatul (5) litera (a) şi la articolul 56 alineatul (6) sunt strict separate de activităţile de supraveghere prevăzute în prezentul articol şi că activităţile respective sunt desfăşurate independent una de cealaltă.
(5)Statele membre se asigură că autorităţile naţionale de certificare a securităţii cibernetice dispun de resursele adecvate pentru a-şi exercita competenţele şi pentru a-şi îndeplini cu eficacitate şi în mod eficient sarcinile.
(6)Pentru punerea efectivă în aplicare a prezentului regulament, este oportun ca autorităţile naţionale de certificare a securităţii cibernetice să participe la ECCG în mod activ, eficace, eficient şi sigur.
(7)Autorităţile naţionale de certificare a securităţii cibernetice:
a)supraveghează şi asigură respectarea normelor incluse în sistemele europene de certificare a securităţii cibernetice în temeiul articolului 54 alineatul (1) litera (j) pentru monitorizarea conformităţii produselor TIC, serviciilor TIC şi proceselor TIC cu cerinţele certificatelor europene de securitate cibernetică eliberate pe teritoriile lor respective, în cooperare cu alte autorităţi relevante de supraveghere a pieţei;
b)monitorizează respectarea obligaţiilor producătorilor sau furnizorilor de produse TIC, servicii TIC sau procese TIC care sunt stabiliţi pe teritoriile lor respective şi care desfăşoară autoevaluări ale conformităţii, şi pun în aplicare aceste obligaţii, în special a obligaţiilor unor astfel de producători sau furnizori prevăzute la articolul 53 alineatele (2) şi (3) şi în sistemele europene de certificare a securităţii cibernetice corespunzătoare;
c)fără a aduce atingere articolului 60 alineatul (3), asistă şi sprijină activ organismele naţionale de acreditare la monitorizarea şi supravegherea activităţilor organismelor de evaluare a conformităţii în sensul prezentului regulament;
d)monitorizează şi supraveghează activităţile organismelor publice menţionate la articolul 56 alineatul (5);
e)după caz, autorizează organismele de evaluare a conformităţii în conformitate cu articolul 60 alineatul (3) şi restricţionează, suspendă sau retrag autorizaţia existentă atunci când organismele de evaluare a conformităţii încalcă cerinţele prezentului regulament;
f)tratează plângerile persoanelor fizice sau juridice în legătură cu certificatele europene de securitate cibernetică eliberate de autorităţile naţionale de certificare a securităţii cibernetice sau cu cele eliberate de organismele de evaluare a conformităţii în conformitate cu articolul 56 alineatul (6), sau în legătură cu declaraţiile de conformitate UE eliberate în temeiul articolului 53, şi investighează, în măsura în care este oportun, subiectul plângerii şi informează reclamantul despre stadiul şi rezultatul investigaţiei, într-un termen rezonabil;
g)prezintă ENISA şi ECCG un raport anual de sinteză privind măsurile întreprinse în temeiul literelor (b), (c) şi (d) din prezentul alineat sau în temeiul alineatului (8);
h)cooperează cu alte autorităţi naţionale de certificare a securităţii cibernetice sau cu alte autorităţi publice, inclusiv prin schimbul de informaţii cu privire la o posibilă neconformitate a produselor TIC, serviciilor TIC şi proceselor TIC cu cerinţele prezentului regulament sau cu cerinţele sistemului european de certificare a securităţii cibernetice specific; şi
i)monitorizează evoluţiile relevante din domeniul certificării securităţii cibernetice.
(8)Fiecare autoritate naţională de certificare a securităţii cibernetice dispune cel puţin de următoarele competenţe:
a)competenţa de a cere organismelor de evaluare a conformităţii, deţinătorilor de certificate europene de securitate cibernetică şi entităţilor care eliberează declaraţii de conformitate UE să furnizeze toate informaţiile care îi sunt necesare pentru îndeplinirea atribuţiilor sale;
b)competenţa de a efectua investigaţii, sub formă de audituri, asupra organismelor de evaluare a conformităţii, a titularilor de certificate europene de securitate cibernetică şi a entităţilor care eliberează declaraţii de conformitate UE pentru a verifica conformitatea acestora cu prezentul titlu;
c)competenţa de a lua măsuri adecvate, în conformitate cu dreptul intern, pentru a se asigura că organismele de evaluare a conformităţii, titularii de certificate europene de securitate cibernetică şi entităţile care eliberează declaraţii de conformitate UE respectă prezentul regulament sau un sistem european de certificare a securităţii cibernetice;
d)competenţa de a obţine acces la sediile oricărui organism de evaluare a conformităţii sau al titularilor de certificate europene de securitate cibernetică cu scopul de a desfăşura investigaţii în conformitate cu dreptul procedural al Uniunii sau al statului membru;
e)competenţa de a retrage, în conformitate cu dreptul intern, certificatele europene de securitate cibernetică eliberate de autorităţile naţionale de certificare a securităţii cibernetice sau cele eliberate de organismele de evaluare a conformităţii în conformitate cu articolul 56 alineatul (6), atunci când astfel de certificate nu sunt conforme cu prezentul regulament sau cu un sistem european de certificare a securităţii cibernetice;
f)competenţa de a impune sancţiuni, în conformitate cu dreptul intern, astfel cum se prevede la articolul 65, şi de a cere încetarea imediată a încălcărilor obligaţiilor prevăzute de prezentul regulament.
(9)Autorităţile naţionale de certificare a securităţii cibernetice cooperează între ele şi cu Comisia în special prin schimb de informaţii, de experienţă şi de bune practici în ceea ce priveşte certificarea securităţii cibernetice şi aspectele tehnice privind securitatea cibernetică a produselor TIC, a serviciilor TIC şi proceselor TIC.
Art. 59: Evaluarea inter pares
(1)Pentru a se ajunge la standarde echivalente pe întreg teritoriul Uniunii cu privire la certificatele europene de securitate cibernetică şi la declaraţiile de conformitate UE, autorităţile naţionale de certificare a securităţii cibernetice fac obiectul unei evaluări inter pares.
(2)Evaluarea inter pares se efectuează pe baza unor criterii şi proceduri de evaluare clare şi transparente, în special în privinţa cerinţelor structurale, de resurse umane şi de proces, a confidenţialităţii şi a plângerilor.
(3)Evaluarea inter pares examinează următoarele aspecte:
a)după caz, dacă activităţile autorităţilor naţionale de certificare a securităţii cibernetice legate de eliberarea certificatelor europene de securitate cibernetică menţionate la articolul 56 alineatul (5) litera (a) şi la articolul 56 alineatul (6) sunt strict separate de activităţile de supraveghere prevăzute la articolul 58 şi dacă activităţile respective sunt desfăşurate independent una de cealaltă;
b)procedurile de supraveghere şi de asigurare a respectării normelor de monitorizare a conformităţii produselor TIC, serviciilor TIC şi proceselor TIC cu certificatele europene de securitate cibernetică în temeiul articolului 58 alineatul (7) litera (a);
c)procedurile de monitorizare şi de asigurare a respectării obligaţiilor producătorilor şi ale furnizorilor de produse TIC, de servicii TIC sau de procese TIC în conformitate cu articolul 58 alineatul (7) litera (b);
d)procedurile de monitorizare, de autorizare şi de supraveghere a activităţilor desfăşurate de organismele de evaluare a conformităţii;
e)după caz, dacă personalul autorităţilor sau organismelor care eliberează certificate pentru nivelul de asigurare "ridicat" în temeiul articolului 56 alineatul (6) deţine expertiza corespunzătoare.
(4)Evaluarea inter pares se desfăşoară cel puţin o dată la cinci ani de către cel puţin două autorităţi naţionale de certificare a securităţii cibernetice din alte state membre şi de către Comisie. ENISA poate participa la evaluarea inter pares.
(5)Comisia poate adopta acte de punere în aplicare prin care să stabilească un plan pentru evaluarea inter pares, care acoperă o perioadă de cel puţin cinci ani, şi să definească criterii privind componenţa echipei de evaluare inter pares, metodologia utilizată pentru evaluarea inter pares, calendarul, frecvenţa şi alte atribuţii legate de aceasta. Atunci când adoptă respectivele acte de punere în aplicare, Comisia ţine seama în mod corespunzător de observaţiile formulate de ECCG. Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menţionată la articolul 66 alineatul (2).
(6)Rezultatele evaluării inter pares sunt examinate de ECCG, care întocmeşte un rezumat ce poate fi făcut public, şi care, atunci când este necesar, formulează orientări sau recomandări cu privire la acţiunile sau măsurile care trebuie întreprinse de entităţile în cauză.
Art. 60: Organisme de evaluare a conformităţii
(1)Organismele de evaluare a conformităţii sunt acreditate de organismele naţionale de acreditare desemnate în temeiul Regulamentului (CE) nr. 765/2008. Acreditarea respectivă se eliberează numai dacă organismul naţional de acreditare îndeplineşte cerinţele stabilite în anexa la prezentul regulament.
(2)În cazurile în care un certificat european de securitate cibernetică este eliberat de o autoritate naţională de certificare a securităţii cibernetice în temeiul articolului 56 alineatul (5) litera (a) şi al articolului 56 alineatul (6), organismul de certificare al autorităţii naţionale de certificare a securităţii cibernetice este acreditat ca organism de evaluare a conformităţii în temeiul alineatului (1) din prezentul articol.
(3)În cazul în care sistemele europene de certificare a securităţii cibernetice stabilesc cerinţe specifice sau suplimentare în temeiul articolului 54 alineatul (1) litera (f), numai organismele de evaluare a conformităţii care îndeplinesc aceste cerinţe sunt autorizate de autoritatea naţională de certificare a securităţii cibernetice pentru îndeplinirea atribuţiilor în temeiul sistemelor respective.
(4)Acreditarea menţionată la alineatul (1) se eliberează organismelor de evaluare a conformităţii pentru o perioadă de maximum cinci ani şi poate fi reînnoită în aceleaşi condiţii numai dacă organismul de evaluare a conformităţii îndeplineşte în continuare cerinţele prevăzute la prezentul articol. Organismele naţionale de acreditare iau toate măsurile corespunzătoare într-un termen rezonabil pentru a restricţiona, a suspenda sau a revoca acreditarea unui organism de evaluare a conformităţii eliberată în temeiul alineatului (1) în cazul în care condiţiile de acreditare nu sunt sau nu mai sunt îndeplinite sau în cazul în care organismul de evaluare a conformităţii încalcă prezentul regulament.
Art. 61: Notificare
(1)Pentru fiecare sistem european de certificare a securităţii cibernetice, autorităţile naţionale de certificare a securităţii cibernetice îi notifică Comisiei organismele de evaluare a conformităţii care au fost acreditate şi, după caz, autorizate în temeiul articolului 60 alineatul (3) să elibereze certificate europene de securitate cibernetică la nivelurile de asigurare specificate menţionate la articolul 52. Autorităţile naţionale de certificare a securităţii cibernetice îi notifică Comisiei, fără nicio întârziere nejustificată, orice modificare ulterioară referitoare la acestea.
(2)La un an de la intrarea în vigoare a unui sistem european de certificare a securităţii cibernetice, Comisia publică în Jurnalul Oficial al Uniunii Europene o listă a organismelor de evaluare a conformităţii notificate în temeiul sistemului respectiv.
(3)În cazul în care primeşte o notificare după expirarea perioadei menţionate la alineatul (2), Comisia publică în Jurnalul Oficial al Uniunii Europene modificările listei a organismelor de evaluare a conformităţii notificate, în termen de două luni de la data primirii notificării respective.
(4)O autoritate naţională de certificare a securităţii cibernetice poate înainta Comisiei o cerere de retragere a unui organism de evaluare a conformităţii notificat de autoritatea respectivă din lista menţionată la alineatul (2). Comisia publică în Jurnalul Oficial al Uniunii Europene modificările corespunzătoare aduse listei respective, în termen de o lună de la data primirii cererii adresate de autoritatea naţională de certificare a securităţii cibernetice.
(5)Comisia poate adopta acte de punere în aplicare prin care să stabilească circumstanţele, formatele şi procedurile pentru notificările menţionate la alineatul (1) din prezentul articol. Actele de punere în aplicare respective se adoptă în conformitate cu procedura de examinare menţionată la articolul 66 alineatul (2).
Art. 62: Grupul european pentru certificarea securităţii cibernetice
(1)Se instituie Grupul european pentru certificarea securităţii cibernetice (ECCG).
(2)ECCG este compus din reprezentanţi ai autorităţilor naţionale de certificare a securităţii cibernetice sau din reprezentanţi ai altor autorităţi naţionale relevante. Niciun membru ECCG nu poate reprezenta mai mult de două state membre.
(3)Părţile interesate şi părţile terţe relevante pot fi invitate să participe la reuniunile ECCG şi la activităţile acestuia.
(4)ECCG are următoarele atribuţii:
a)să acorde consiliere şi asistenţă Comisiei în activitatea sa de asigurare a punerii în practică şi a aplicării coerente a prezentului titlu, în special în ceea ce priveşte programul de activitate etapizat la nivelul Uniunii, chestiunile legate de politica în materie de certificare a securităţii cibernetice, coordonarea abordărilor privind politicile şi pregătirea unor sisteme europene de certificare a securităţii cibernetice;
b)să acorde asistenţă şi consiliere ENISA şi să coopereze cu aceasta în legătură cu pregătirea unei propuneri de sistem în temeiul articolului 49;
c)să adopte un aviz cu privire la propunerea de sistem pregătită de ENISA în temeiul articolului 49;
d)să solicite ENISA să pregătească propuneri de sistem în temeiul articolului 48 alineatul (2);
e)să adopte avize adresate Comisiei cu privire la întreţinerea şi revizuirea sistemelor europene de certificare a securităţii cibernetice existente;
f)să examineze evoluţiile relevante din domeniul securităţii cibernetice şi să facă schimb de informaţii şi de bune practici privind sistemele de certificare a securităţii cibernetice;
g)să faciliteze cooperarea dintre autorităţile naţionale de certificare a securităţii cibernetice desfăşurată în temeiul prezentului titlu prin consolidarea capacităţilor şi prin schimbul de informaţii, în special prin stabilirea unor metode care să permită schimbul eficient de informaţii referitoare la chestiunile privind certificarea securităţii cibernetice;
h)să sprijine punerea în aplicare a mecanismelor de evaluare inter pares în conformitate cu normele stabilite în cadrul unui sistem european de certificare a securităţii cibernetice în temeiul articolului 54 alineatul (1) litera (u);
i)să faciliteze alinierea sistemelor europene de certificare a securităţii cibernetice la standardele recunoscute pe plan internaţional, inclusiv prin revizuirea actualelor sisteme europene de certificare a securităţii cibernetice şi, după caz, recomandând ENISA să colaboreze cu organizaţiile internaţionale de standardizare relevante pentru a remedia insuficienţele sau lacunele care afectează standardele internaţionale recunoscute care sunt în vigoare.
(5)Comisia prezidează ECCG cu asistenţă din partea ENISA şi asigură secretariatul acestuia în conformitate cu articolul 8 alineatul (1) litera (e).
Art. 63: Dreptul de a depune o plângere
(1)Persoanele fizice sau juridice au dreptul să depună o plângere la entitatea care a eliberat un certificat european de securitate cibernetică sau, dacă plângerea se referă la un certificat european de securitate cibernetică eliberat de un organism de evaluare a conformităţii în temeiul articolului 56 alineatul (6), la autoritatea naţională relevantă de certificare a securităţii cibernetice.
(2)Autoritatea sau organismul la care s-a depus plângerea informează reclamantul despre evoluţia procedurilor şi despre decizia luată, şi despre dreptul de a exercita o cale de atac eficientă în temeiul articolului 64.
Art. 64: Dreptul la o cale de atac eficientă
(1)În pofida oricăror căi de atac administrative sau a altor căi de atac fără caracter judiciar, persoanele fizice şi juridice au dreptul să exercite o cale de atac eficientă cu privire la:
a)deciziile luate de autoritatea sau organismul menţionat la articolul 63 alineatul (1), inclusiv, după caz, în legătură cu emiterea necorespunzătoare, omisiunea de a emite sau recunoaşterea unui certificat european de securitate cibernetică deţinut de respectivele persoane fizice şi juridice;
b)omisiunea de a da curs unei plângeri depuse la o autoritate sau un organism menţionat la articolul 63 alineatul (1).
(2)Acţiunile în temeiul prezentului articol se introduc în faţa instanţelor din statul membru în care este situată autoritatea sau organismul împotriva căruia se exercită calea de atac.
Art. 65: Sancţiuni
Statele membre stabilesc normele privind sancţiunile care se aplică în cazul încălcării prezentului titlu şi a încălcării sistemelor europene de certificare a securităţii cibernetice şi iau toate măsurile necesare pentru a asigura punerea în aplicare a acestora. Sancţiunile prevăzute sunt eficace, proporţionale şi cu efect de descurajare. Statele membre informează Comisia fără întârziere cu privire la normele şi măsurile respective şi notifică acesteia orice modificare ulterioară care le afectează.