Artikel 56 Cyberbeveiligingscertificering

ICT-producten, -diensten en -processen die zijn gecertificeerd uit hoofde van een overeenkomstig artikel 49 vastgestelde Europese cyberbeveiligingscertificeringsregeling, worden geacht te voldoen aan de voorschriften van een dergelijke regeling.

De cyberbeveiligingscertificering geschiedt op basis van vrijwilligheid, tenzij in het recht van de Unie of de lidstaten anders is bepaald.

De Commissie beoordeelt regelmatig de efficiëntie en het gebruik van de vastgestelde Europese cyberbeveiligingscertificeringsregelingen en beoordeelt of er door middel van het relevante Unierecht een specifieke Europese cyberbeveiligingscertificeringsregeling verplicht moet worden gesteld om te zorgen voor een passend niveau van cyberbeveiliging van ICT-producten, -diensten en -processen in de Unie en om de werking van de interne markt te verbeteren. De eerste zulke beoordeling vindt uiterlijk op 31 december 2023 plaats en daaropvolgende beoordelingen vinden ten minste om de twee jaar daarna plaats.

Op basis van de resultaten van die beoordelingen stelt de Commissie een lijst op van de onder een bestaande certificeringsregeling vallende ICT-producten, -diensten en -processen die gedekt moeten worden door een verplichte certificeringsregeling.

De Commissie concentreert zich prioritair op de in bijlage II bij Richtlijn (EU) 2016/1148 vermelde sectoren, die uiterlijk twee jaar na de vaststelling van de eerste Europese cyberbeveiligingscertificeringsregeling moeten worden beoordeeld.

Bij de voorbereiding van de beoordeling moet de Commissie:

De in artikel 60 bedoelde conformiteitsbeoordelingsinstanties geven ingevolge dit artikel Europese cyberbeveiligingscertificaten voor zekerheidsniveau ‘basis’ of ‘substantieel’ af op basis van de criteria die zijn opgenomen in de op grond van artikel 49 door de Commissie vastgestelde Europese cyberbeveiligingscertificeringsregeling.

In afwijking van lid 4 en in naar behoren gemotiveerde gevallen kan een Europese cyberbeveiligingscertificeringsregeling erin voorzien dat uit die regeling voortvloeiende Europees cyberbeveiligingscertificaten alleen door een overheidsinstantie kunnen worden afgegeven. Een dergelijke instantie is een van de volgende organen:

Indien een op grond van artikel 49 vastgestelde Europese cyberbeveiligingscertificeringsregeling een zekerheidsniveau ‘hoog’ voorschrijft, dient het Europees cyberbeveiligingscertificaat uit hoofde van die regeling uitsluitend te worden afgegeven door een nationale cyberbeveiligingscertificeringsautoriteit, of, in de volgende gevallen, door een conformiteitsbeoordelingsinstantie:

De natuurlijke of rechtspersoon die zijn ICT-producten, -diensten of -processen, aan de certificering onderwerpt, stelt aan de in artikel 58 bedoelde nationale cyberbeveiligingscertificeringsautoriteit, indien deze autoriteit het Europees cyberbeveiligingscertificaat afgeeft, of aan de in artikel 60 bedoelde conformiteitsbeoordelingsinstantie alle informatie ter beschikking die nodig is voor de uitvoering van de certificering.

De houder van een Europees cyberbeveiligingscertificaat stelt de instantie of het orgaan, bedoeld in lid 7, in kennis van kwetsbaarheden of onregelmatigheden in verband met de beveiliging van gecertificeerde ICT-producten, -diensten of -processen die achteraf zijn vastgesteld en die gevolgen kunnen hebben voor de naleving van de met de certificering verband houdende voorschriften. Die instantie of dat orgaan stuurt die informatie onverwijld door naar de betrokken nationale cyberbeveiligingscertificeringsautoriteit.

Een Europees cyberbeveiligingscertificaat wordt afgegeven voor de periode die is vastgesteld in de betrokken Europese cyberbeveiligingscertificeringsregeling en kan worden verlengd, mits nog steeds aan de desbetreffende voorschriften wordt voldaan.

Een op grond van dit artikel afgegeven Europees cyberbeveiligingscertificaat wordt in alle lidstaten erkend.