|
Europeiska unionens |
SV L-serien |
|
2024/3143 |
19.12.2024 |
KOMMISSIONENS GENOMFÖRANDEFÖRORDNING (EU) 2024/3143
av den 18 december 2024
om fastställande av förutsättningar, format och förfaranden för anmälningar enligt artikel 61.5 i Europaparlamentets och rådets förordning (EU) 2019/881 om Enisa (Europeiska unionens cybersäkerhetsbyrå) och om cybersäkerhetscertifiering av informations- och kommunikationsteknik
(Text av betydelse för EES)
EUROPEISKA KOMMISSIONEN HAR ANTAGIT DENNA FÖRORDNING
med beaktande av fördraget om Europeiska unionens funktionssätt,
med beaktande av Europaparlamentets och rådets förordning (EU) 2019/881 av den 17 april 2019 om Enisa (Europeiska unionens cybersäkerhetsbyrå) och om cybersäkerhetscertifiering av informations- och kommunikationsteknik och om upphävande av förordning (EU) nr 526/2013 (cybersäkerhetsakten) (1), särskilt artikel 61.5, och
av följande skäl:
|
(1) |
I enlighet med artikel 61.1 i förordning (EU) 2019/881 (cybersäkerhetsakten) ansvarar de nationella myndigheterna för cybersäkerhetscertifiering för att till kommissionen anmäla de organ för bedömning av överensstämmelse som har ackrediterats och, i tillämpliga fall, bemyndigats att utfärda europeiska cybersäkerhetscertifikat på angivna assuransnivåer, och bör hålla dessa anmälningar uppdaterade. Enligt artikel 61.2 i förordning (EU) 2019/881 måste kommissionen dessutom, ett år efter ikraftträdandet av en europeisk ordning för cybersäkerhetscertifiering, offentliggöra en förteckning i Europeiska unionens officiella tidning över de organ för bedömning av överensstämmelse som har anmälts enligt den ordningen. I denna förordning bör det ytterligare specificeras förutsättningar, format och förfaranden för anmälningar för att säkerställa en harmoniserad strategi för anmälningarna och underlätta anmälningsprocessen för de nationella myndigheterna för cybersäkerhetscertifiering. Dessa aspekter är viktiga att klargöra inför tillämpningen av den första europeiska Common Criteria-baserade ordningen för cybersäkerhetscertifiering (EUCC) som fastställs i kommissionens genomförandeförordning (EU) 2024/482 (2). |
|
(2) |
I denna förordning erkänns synergierna mellan förordning (EU) 2019/881 och unionens relevanta harmoniseringslagstiftning, inbegripet Europaparlamentets och rådets förordning (EU) 2024/2847 (cyberresiliensförordningen) (3). Det föreslås därför att de nationella myndigheterna för cybersäkerhetscertifiering lämnar in sina anmälningar till kommissionen via det elektroniska anmälningsverktyg som utvecklats och förvaltas av kommissionen och som avses i Europaparlamentets och rådets beslut nr 768/2008/EG (4). Utan att det påverkar kommissionens skyldighet att offentliggöra förteckningen över anmälda organ för bedömning av överensstämmelse i Europeiska unionens officiella tidning bör förteckningen också offentliggöras i det elektroniska anmälningsverktyg som utvecklats och förvaltas av kommissionen. |
|
(3) |
Om ackrediterade och, i tillämpliga fall, bemyndigade organ för bedömning av överensstämmelse är anmälda innebär detta att dessa organ är tillförlitliga när det gäller att utföra utvärderings- och certifieringsverksamhet i enlighet med förordning (EU) 2019/881, vilket bidrar till det övergripande anseendet för europeiska ordningar för cybersäkerhetscertifiering. Det är därför viktigt att säkerställa att de anmälda organen för bedömning av överensstämmelse uppfyller kraven och fullgör sina skyldigheter över tid. Den offentliggjorda förteckningen över anmälda organ för bedömning av överensstämmelse bör vara korrekt och uppdaterad för att visa att organen uppfyller kraven i förordning (EU) 2019/881 och, i tillämpliga fall, de särskilda eller ytterligare kraven enligt en europeisk ordning för cybersäkerhetscertifiering. För detta ändamål är det nödvändigt att de nationella myndigheterna för cybersäkerhetscertifiering, utan onödigt dröjsmål, anmäler till kommissionen alla ändringar av anmälan i enlighet med artikel 61.1 i förordning (EU) 2019/881. |
|
(4) |
De nationella myndigheterna för cybersäkerhetscertifiering ansvarar för att säkerställa att organen för bedömning av överensstämmelse uppfyller kraven i förordning (EU) 2019/881 och de europeiska ordningarna för cybersäkerhetscertifiering samt att anmälningarna är korrekta. Denna verksamhet är föremål för inbördes granskning, vars resultat bör bidra till att fastställa de eventuella ändringar som krävs för att öka dess effektivitet. Utifrån farhågor som har kommit till deras kännedom under olika omständigheter kan de nationella myndigheterna för cybersäkerhetscertifiering fastställa att ett organ för bedömning av överensstämmelse inte längre uppfyller de relevanta kraven. I tillämpliga fall bör de iakttagelser som gjorts inom ramen för mekanismerna för inbördes bedömning stödja de nationella myndigheterna för cybersäkerhetscertifiering i övervakningen av den fortsatta kompetensen hos de anmälda organen för bedömning av överensstämmelse. Dessutom kan andra nationella myndigheter för cybersäkerhetscertifiering, kommissionen eller berörda parter ta upp frågor om fortsatt kompetens hos ett anmält organ för bedömning av överensstämmelse med den anmälande nationella myndigheten för cybersäkerhetscertifiering. |
|
(5) |
När den anmälande nationella myndigheten för cybersäkerhetscertifiering beslutar att tillfälligt upphäva, begränsa eller återkalla en anmälan av ett organ för bedömning av överensstämmelse bör den samarbeta med det nationella ackrediteringsorgan som utsetts i enlighet med Europaparlamentets och rådets förordning (EG) nr 765/2008 (5). Detta är i överensstämmelse med förordning (EU) 2019/881, där det föreskrivs att de nationella myndigheterna för cybersäkerhetscertifiering aktivt bör bistå, stödja och samarbeta med de nationella ackrediteringsorganen i deras övervaknings- och tillsynsverksamhet. Begränsningen av en anmälan bör avse fall där ackrediteringens tillämpningsområde eller, i tillämpliga fall, bemyndigandets tillämpningsområde, och därmed anmälans tillämpningsområde, är begränsat. |
|
(6) |
Enligt artikel 54.1 n i förordning (EU) 2019/881 ska varje europeisk ordning för cybersäkerhetscertifiering innehålla, i tillämpliga fall, bestämmelser om hur organ för bedömning av överensstämmelse ska bevara sina uppgifter. I händelse av begränsning, tillfälligt upphävande eller återkallelse av anmälan, eller om det anmälda organet för bedömning av överensstämmelse har upphört med sin verksamhet, måste den anmälande nationella myndigheten för cybersäkerhetscertifiering således säkerställa att organets uppgifter lagras på ett säkert sätt och bevaras under den tid som krävs, i enlighet med en europeisk ordning för cybersäkerhetscertifiering. |
|
(7) |
De åtgärder som föreskrivs i denna förordning är förenliga med yttrandet från den kommitté som inrättats genom artikel 66 i förordning (EU) 2019/881. |
HÄRIGENOM FÖRESKRIVS FÖLJANDE.
Artikel 1
Innehåll
I denna förordning fastställs förutsättningar, format och förfaranden för de anmälningar som ska göras av nationella myndigheter för cybersäkerhetscertifiering vad gäller organ för bedömning av överensstämmelse i enlighet med artikel 61.1 i förordning (EU) 2019/881.
Artikel 2
Anmälningsförfarande
1. I enlighet med artikel 61.1 i förordning (EU) 2019/881 ska de nationella myndigheterna för cybersäkerhetscertifiering till kommissionen anmäla de organ för bedömning av överensstämmelse som har uppfyllt kraven i förordning (EU) 2019/881 och, i tillämpliga fall, de särskilda eller ytterligare kraven enligt en europeisk ordning för cybersäkerhetscertifiering.
2. De nationella myndigheterna för cybersäkerhetscertifiering ska lämna in sina anmälningar till kommissionen via det elektroniska anmälningsverktyg som utvecklats och förvaltas av kommissionen och som avses i beslut nr 768/2008/EG.
3. Anmälan ska innehålla den information som anges i bilagan.
Artikel 3
Identifikationsnummer för och förteckning över organ för bedömning av överensstämmelse
1. Kommissionen ska tilldela varje organ för bedömning av överensstämmelse ett identifikationsnummer. Organet ska tilldelas ett enda identifikationsnummer även om det anmäls i enlighet med flera europeiska ordningar för cybersäkerhetscertifiering eller unionsakter.
2. När kommissionen offentliggör förteckningen över anmälda organ för bedömning av överensstämmelse i det elektroniska anmälningsverktyg som utvecklats och förvaltas av kommissionen ska den inbegripa de identifikationsnummer som har tilldelats de anmälda organen för bedömning av överensstämmelse och den verksamhet för vilken de har anmälts.
3. Enisa ska göra informationen om de anmälda organen för bedömning av överensstämmelse tillgänglig på sin särskilda webbplats om europeiska ordningar för cybersäkerhetscertifiering som avses i artikel 50.1 i förordning (EU) 2019/881.
Artikel 4
Ändringar i anmälan
1. I enlighet med artikel 61.1 i förordning (EU) 2019/881 ska de nationella myndigheterna för cybersäkerhetscertifiering, utan onödigt dröjsmål, till kommissionen anmäla eventuella senare ändringar av den anmälan som avses i artikel 2 via det elektroniska anmälningsverktyg som utvecklats och förvaltas av kommissionen.
2. Om en nationell myndighet för cybersäkerhetscertifiering, i samarbete med det nationella ackrediteringsorganet, i enlighet med förordning (EU) 2019/881, har konstaterat att ett anmält organ för bedömning av överensstämmelse inte längre uppfyller de krav eller skyldigheter som det omfattas av, ska myndigheten i förekommande fall, beroende på hur allvarlig underlåtenheten att uppfylla kraven eller fullgöra skyldigheterna är, begränsa, tillfälligt upphäva eller återkalla anmälan. Den ska utan onödigt dröjsmål informera kommissionen om detta via det elektroniska anmälningsverktyg som utvecklats och förvaltas av kommissionen.
3. I händelse av begränsning, tillfälligt upphävande eller återkallelse av anmälan, eller om det anmälda organet för bedömning av överensstämmelse har upphört med sin verksamhet, ska den anmälande nationella myndigheten för cybersäkerhetscertifiering vidta lämpliga åtgärder för att säkerställa att organets uppgifter lagras på ett säkert sätt och bevaras under den tid som krävs, i enlighet med en europeisk ordning för cybersäkerhetscertifiering.
Artikel 5
Ikraftträdande
Denna förordning träder i kraft den tjugonde dagen efter det att den har offentliggjorts i Europeiska unionens officiella tidning.
Denna förordning är till alla delar bindande och direkt tillämplig i alla medlemsstater.
Utfärdad i Bryssel den 18 december 2024.
På kommissionens vägnar
Ursula VON DER LEYEN
Ordförande
(1) EUT L 151, 7.6.2019, s. 15, ELI: http://data.europa.eu/eli/reg/2019/881/oj.
(2) Kommissionens genomförandeförordning (EU) 2024/482 av den 31 januari 2024 om fastställande av tillämpningsföreskrifter för Europaparlamentets och rådets förordning (EU) 2019/881 vad gäller antagande av den europeiska Common Criteria-baserade ordningen för cybersäkerhetscertifiering (EUCC) (EUT L, 2024/482, 7.2.2024, ELI: http://data.europa.eu/eli/reg_impl/2024/482/oj).
(3) Europaparlamentets och rådets förordning (EU) 2024/2847 av den 23 oktober 2024 om övergripande cybersäkerhetskrav för produkter med digitala element och om ändring av förordningarna (EU) nr 168/2013 och (EU) 2019/1020 och direktiv (EU) 2020/1828 (cyberresiliensförordningen) (EUT L, 2024/2847, 20.11.2024, ELI: http://data.europa.eu/eli/reg/2024/2847/oj).
(4) Europaparlamentets och rådets beslut nr 768/2008/EG av den 9 juli 2008 om en gemensam ram för saluföring av produkter och upphävande av rådets beslut 93/465/EEG (EUT L 218, 13.8.2008, s. 82, ELI: http://data.europa.eu/eli/dec/2008/768(1)/oj).
(5) Europaparlamentets och rådets förordning (EG) nr 765/2008 av den 9 juli 2008 om krav för ackreditering och marknadskontroll i samband med saluföring av produkter och upphävande av förordning (EEG) nr 339/93 (EUT L 218, 13.8.2008, s. 30, ELI: http://data.europa.eu/eli/reg/2008/765/oj).
BILAGA
Information som ska ingå i anmälan av ett organ för bedömning av överensstämmelse inom ramen för en europeisk ordning för cybersäkerhetscertifiering enligt artikel 61.1 i förordning (EU) 2019/881, i enlighet med artikel 2.3 i den här förordningen
1.
Allmän information:|
1) |
Namn på ordningen för cybersäkerhetscertifiering |
|
2) |
Assuransnivå(er), i tillämpliga fall, och tillhörande förfaranden för bedömning av överensstämmelse (t.ex. grundläggande, betydande, hög) |
|
3) |
Tillämpningsområde (t.ex. ackrediteringens tillämpningsområde, kategorier eller typer av produkter, tjänster och processer) |
2.
Information om den anmälande nationella myndigheten för cybersäkerhetscertifiering:|
1) |
Namn |
|
2) |
Land |
|
3) |
Postadress |
|
4) |
E-postadress(er) |
|
5) |
Telefonnummer |
|
6) |
Webbplats |
3.
Information om det organ för bedömning av överensstämmelse som anmälan gäller:|
1) |
Namn |
|
2) |
Land |
|
3) |
Postadress |
|
4) |
E-postadress(er) |
|
5) |
Telefonnummer |
|
6) |
Webbplats |
4.
Information om ackrediteringen:|
1) |
Ackreditering:
|
|
2) |
Det nationella ackrediteringsorganet:
|
5.
Information om bemyndigandet (i förekommande fall):|
1) |
Bemyndigande:
|
|
2) |
Bemyndigande nationell cybersäkerhetsmyndighet (om annan än den anmälande nationella myndigheten för cybersäkerhetscertifiering):
|
6.
Ytterligare information:|
1) |
Eventuell ytterligare information som krävs enligt en särskild europeisk ordning för cybersäkerhetscertifiering |
|
2) |
Eventuella styrkande handlingar |
ELI: http://data.europa.eu/eli/reg_impl/2024/3143/oj
ISSN 1977-0820 (electronic edition)