Verordening (EU) 2019/881 inzake Enisa (het Agentschap van de Europese Unie voor cyberbeveiliging), en inzake de certificering van de cyberbeveiliging van informatie- en communicatietechnologie en tot intrekking van Verordening (EU) nr. 526/2013 (de cyberbeveiligingsverordening):bijlage

Verordening (EU) 2019/881 inzake Enisa (het Agentschap van de Europese Unie voor cyberbeveiliging), en inzake de certificering van de cyberbeveiliging van informatie- en communicatietechnologie en tot intrekking van Verordening (EU) nr. 526/2013 (de cyberbeveiligingsverordening)

Bijlage Vereisten waaraan conformiteitsbeoordelingsinstanties moeten voldoen

Geldend

Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.

Conformiteitsbeoordelingsinstanties die wensen te worden geaccrediteerd, moeten aan de volgende vereisten voldoen:

1.

Een conformiteitsbeoordelingsinstantie is naar nationaal recht opgericht en heeft rechtspersoonlijkheid.

2.

Een conformiteitsbeoordelingsinstantie is een derde partij die onafhankelijk is van de door haar beoordeelde organisaties of ICT-producten, -diensten of -processen.

3.

Een instantie die behoort tot een branche- of beroepsorganisatie die ondernemingen vertegenwoordigt die betrokken zijn bij het ontwerpen, vervaardigen, leveren, monteren, gebruiken of onderhouden van de door haar beoordeelde ICT-producten, -diensten of -processen, kan als conformiteitsbeoordelingsinstantie worden beschouwd op voorwaarde dat haar onafhankelijkheid en de afwezigheid van belangenconflicten zijn aangetoond.

4.

De conformiteitsbeoordelingsinstanties, hun hoogste leidinggevenden en personen die de conformiteitsbeoordelingstaken verrichten, mogen niet de ontwerper, fabrikant, leverancier, installateur, koper, eigenaar, gebruiker of onderhouder zijn van het ICT-product, -dienst of -proces dat of die wordt beoordeeld, noch de gemachtigde van één van die partijen. Dat verbod vormt geen beletsel voor het gebruik van de beoordeelde ICT-producten die nodig zijn voor de activiteiten van de conformiteitsbeoordelingsinstantie of voor het gebruik van dergelijke ICT-producten voor persoonlijke doeleinden.

5.

De conformiteitsbeoordelingsinstantie, hun hoogste leidinggevenden en personen die de conformiteitsbeoordeling verrichten, zijn noch rechtstreeks noch als vertegenwoordiger van de betrokken partijen betrokken bij het ontwerpen, vervaardigen of bouwen, op de markt brengen, installeren, gebruiken of onderhouden van de ICT-producten, -diensten of -processen die worden beoordeeld. De conformiteitsbeoordelingsinstanties, hun hoogste leidinggevenden en personen die de conformiteitsbeoordelingstaken verrichten geen activiteiten die hun onafhankelijk oordeel of hun integriteit met betrekking tot hun conformiteitsbeoordelingswerkzaamheden, in het gedrang kunnen brengen. Dat verbod geldt met name voor adviesdiensten.

6.

Indien een conformiteitsbeoordelingsinstantie in eigendom is van of wordt geëxploiteerd door een overheidsinstantie, worden de onafhankelijkheid en de afwezigheid van belangenconflicten tussen de nationale cyberbeveiligingscertificeringsautoriteit en de conformiteitsbeoordelingsinstantie gewaarborgd en gedocumenteerd.

7.

Conformiteitsbeoordelingsinstanties zorgen ervoor dat de activiteiten van hun dochterondernemingen en onderaannemers geen afbreuk doen aan de vertrouwelijkheid, objectiviteit of onpartijdigheid van hun conformiteitsbeoordelingswerkzaamheden.

8.

Conformiteitsbeoordelingsinstanties en hun personeel voeren conformiteitsbeoordelingswerkzaamheden uit met de grootste mate van beroepsintegriteit en met de vereiste technische bekwaamheid op het specifieke gebied en zij zijn vrij van elke druk en beïnvloeding, waaronder van financiële aard, die hun oordeel of de resultaten van hun conformiteitsbeoordelingswerkzaamheden zouden kunnen beïnvloeden, in het bijzonder van of door personen of groepen van personen die belang hebben bij de resultaten van deze activiteiten.

9.

Een conformiteitsbeoordelingsinstantie is in staat alle conformiteitsbeoordelingstaken te vervullen die haar krachtens deze verordening zijn toegewezen, ongeacht of die taken door de conformiteitsbeoordelingsinstantie zelf dan wel namens haar en onder haar verantwoordelijkheid worden verricht. Elke uitbesteding aan of raadpleging van extern personeel wordt naar behoren gedocumenteerd, brengt geen tussenpersonen met zich mee en geschiedt bij schriftelijke overeenkomst waarin onder meer de vertrouwelijkheid en belangenconflicten worden geregeld. De betrokken conformiteitsbeoordelingsinstantie neemt de volledige verantwoordelijkheid voor de verrichte taken.

10.

Een conformiteitsbeoordelingsinstantie beschikt te allen tijde, voor elke conformiteitsbeoordelingsprocedure en voor elke soort, categorie of subcategorie ICT-producten, -diensten of -processen over:

a)

personeel met technische kennis en voldoende geschikte ervaring om de conformiteitsbeoordelingstaken te verrichten;

b)

beschrijvingen van de procedures voor de uitvoering van de conformiteitsbeoordeling, om de transparantie en de mogelijkheid tot reproductie van die procedures te waarborgen. Zij beschikt over een gepast beleid en geschikte procedures die een onderscheid maken tussen taken die zij als op grond van artikel 61 aangemelde instantie verricht en haar andere activiteiten;

c)

procedures voor de uitoefening van haar werkzaamheden, die naar behoren rekening houden met de omvang van een onderneming, de sector waarin deze actief is, de structuur ervan, de relatieve complexiteit van de technologie van het of de betrokken ICT-product, -dienst of -proces en het massa- of seriële karakter van het productieproces.

11.

Een conformiteitsbeoordelingsinstantie beschikt over de nodige middelen om de technische en administratieve taken in verband met de conformiteitsbeoordelingswerkzaamheden op passende wijze uit te voeren en heeft toegang tot alle vereiste apparatuur en faciliteiten.

12.

De voor de uitvoering van de conformiteitsbeoordelingswerkzaamheden verantwoordelijke personen:

a)

hebben een gedegen technische en beroepsopleiding gevolgd die alle relevante conformiteitsbeoordelingswerkzaamheden omvat;

b)

beschikken over toereikende kennis van de eisen inzake de conformiteitsbeoordelingen die ze verrichten en over voldoende bevoegdheid om die beoordelingen uit te voeren;

c)

beschikken over voldoende kennis van en inzicht in de toepasselijke eisen en testnormen;

d)

beschikken over de bekwaamheid om certificaten, dossiers en rapporten op te stellen die aantonen dat de conformiteitsbeoordelingen zijn verricht.

13.

De onpartijdigheid van de conformiteitsbeoordelingsinstanties, hun hoogste leidinggevenden, de voor de verrichting van de conformiteitsbeoordelingswerkzaamheden verantwoordelijke personen en eventuele onderaannemers wordt gegarandeerd.

14.

De beloning van de hoogste leidinggevenden en van de voor de verrichting van de conformiteitsbeoordelingswerkzaamheden verantwoordelijke personen hangt niet af van het aantal uitgevoerde conformiteitsbeoordelingen of van de resultaten daarvan.

15.

Conformiteitsbeoordelingsinstanties sluiten een aansprakelijkheidsverzekering af, tenzij aansprakelijkheid op grond van het nationale recht door de lidstaat wordt gedekt of de lidstaat zelf rechtstreeks verantwoordelijk is voor de conformiteitsbeoordeling.

16.

De conformiteitsbeoordelingsinstantie en haar personeel, comités, dochterondernemingen, onderaannemers en aanverwante instanties of het personeel van externe organisaties van een conformiteitsbeoordelingsinstantie zijn verplicht tot geheimhouding en zijn gebonden aan het beroepsgeheim ten aanzien van alle informatie waarvan zij kennisnemen bij de uitoefening van hun conformiteitsbeoordelingstaken uit hoofde van deze verordening of op grond van bepalingen van nationaal recht die aan deze verordening uitvoering geven, behalve wanneer bekendmaking wordt vereist door wetgeving van de Unie of de lidstaat waaronder zij vallen en behalve ten opzichte van de bevoegde autoriteiten van de lidstaat waarin de werkzaamheden plaatsvinden. Intellectuele eigendomsrechten worden beschermd. De conformiteitsbeoordelingsinstantie beschikt over gedocumenteerde procedures met betrekking tot de vereisten van dit punt.

17.

Met uitzondering van punt 16 sluiten de voorschriften van deze bijlage op geen enkele wijze de uitwisseling uit van technische inlichtingen en regelgevingsrichtsnoeren tussen een conformiteitsbeoordelingsinstantie en een persoon die om certificering verzoekt of dat overweegt.

18.

Conformiteitsbeoordelingsinstanties handelen overeenkomstig een reeks consistente, billijke en redelijke voorwaarden, met inachtneming van de belangen van kleine en middelgrote ondernemingen met betrekking tot vergoedingen.

19.

Conformiteitsbeoordelingsinstanties voldoen aan de eisen van de toepasselijke norm die op grond van Verordening (EG) nr. 765/2008 is geharmoniseerd voor de accreditatie van conformiteitsbeoordelingsinstanties die ICT-producten, -diensten of -processen certificeren.

20.

Conformiteitsbeoordelingsinstanties zorgen ervoor dat testlaboratoria die worden gebruikt voor conformiteitsbeoordelingen voldoen aan de eisen van de toepasselijke norm die op grond van Verordening (EG) nr. 765/2008 is geharmoniseerd voor de accreditatie van laboratoria die tests uitvoeren.

Deze functie is alleen te gebruiken als je bent ingelogd.