Verordening (EU) 2019/881 inzake Enisa (het Agentschap van de Europese Unie voor cyberbeveiliging), en inzake de certificering van de cyberbeveiliging van informatie- en communicatietechnologie en tot intrekking van Verordening (EU) nr. 526/2013 (de cyberbeveiligingsverordening):artikel 54

Artikel 54 Elementen van Europese cyberbeveiligingscertificeringsregelingen

Geldend

Documentgegevens:

Geldend vanaf 27-06-2019

Bronpublicatie:: 17-04-2019, PbEU 2019, L 151 (uitgifte: 07-06-2019, regelingnummer: 2019/881)
Inwerkingtreding: 27-06-2019
Bronpublicatie inwerkingtreding:: 17-04-2019, PbEU 2019, L 151 (uitgifte: 07-06-2019, regelingnummer: 2019/881)
Vakgebied(en): EU-recht / Instituties
Informatierecht / ICT

1.

Een Europese cyberbeveiligingscertificeringsregeling omvat ten minste de volgende elementen:

a): het onderwerp en het toepassingsgebied van de certificeringsregeling, met inbegrip van het type of de categorieën ICT-producten, -diensten en -processen die eronder vallen;
b): een duidelijke beschrijving van het doel van de regeling en van de wijze waarop de geselecteerde normen, evaluatiemethoden en zekerheidsniveaus beantwoorden aan de behoeften van de beoogde gebruikers van de regeling.
c): een vermelding van de internationale, Europese of nationale norm die bij de evaluatie wordt gevolgd of, indien dergelijke normen niet beschikbaar of geschikt zijn, een vermelding van de technische specificaties die voldoen aan de in bijlage II bij Verordening (EU) nr. 1025/2012 bepaalde voorschriften, of, indien dergelijke specificaties niet beschikbaar zijn, de technische specificaties of andere cyberbeveiligingsvoorschriften die in de Europese cyberbeveiligingscertificeringsregelingen zijn omschreven;
d): indien van toepassing, één of meer zekerheidsniveaus;
e): een vermelding of conformiteitszelfbeoordeling is toegestaan uit hoofde van de regeling;
f): indien van toepassing, specifieke of aanvullende voorschriften voor conformiteitsbeoordelingsinstanties, om te garanderen dat zij beschikken over de technische bekwaamheid om de cyberbeveiligingsvoorschriften te evalueren;
g): de specifieke evaluatiecriteria en -methoden, met inbegrip van soorten evaluaties, die worden gebruikt om aan te tonen dat de in artikel 51 genoemde beveiligingsdoelstellingen worden verwezenlijkt;
h): indien van toepassing, de door een aanvrager aan de conformiteitsbeoordelingsinstanties te verstrekken of anderszins beschikbaar te stellen informatie die nodig is voor certificering;
i): indien de regeling voorziet in merktekens of labels, de voorwaarden waaronder dergelijke merktekens of labels mogen worden gebruikt;
j): de regels voor het toezicht op de conformiteit van ICT-producten, -diensten en -processen van de Europese cyberbeveiligingscertificaten of van de EU-conformiteitsverklaringen, met inbegrip van mechanismen om aan te tonen dat de vermelde cyberbeveiligingsvoorschriften nog altijd worden nageleefd;
k): indien van toepassing, de voorwaarden voor de afgifte, handhaving, voortzetting en vernieuwing van een Europese cyberbeveiligingscertificaat, evenals de voorwaarden voor uitbreiding of beperking van het toepassingsgebied van de certificering;
l): regels over de gevolgen voor ICT-producten, -diensten en -processen die zijn gecertificeerd of waarvoor een EU-conformiteitsverklaring is afgegeven, maar die niet voldoen aan de voorschriften van de regeling;
m): regels over de wijze waarop voorheen onopgemerkte kwetsbaarheden in de cyberbeveiliging van ICT-producten, -diensten en -processen moeten worden gemeld en aangepakt;
n): indien van toepassing, regels over het bewaren van gegevens door conformiteitsbeoordelingsinstanties;
o): een overzicht van nationale of internationale cyberbeveiligingscertificeringsregelingen die betrekking hebben op hetzelfde type of dezelfde categorieën ICT-producten, -diensten en -processen, beveiligingsvoorschriften, evaluatiecriteria en -methoden en zekerheidsniveaus;
p): de inhoud en vorm van de af te geven Europees cyberbeveiligingscertificaten en EU-conformiteitsverklaringen;
q): de beschikbaarheidstermijn van de EU-conformiteitsverklaring, de technische documentatie en alle andere relevante informatie die door de fabrikant of aanbieder van ICT-producten, -diensten of -processen ter beschikking moet worden gesteld;
r): de maximale geldigheidsduur van Europees cyberbeveiligingscertificaten die uit hoofde van de regeling zijn afgegeven;
s): het openbaarmakingsbeleid inzake uit hoofde van de regeling afgegeven, gewijzigde en ingetrokken Europees cyberbeveiligingscertificaten die zijn afgegeven;
t): voorwaarden voor de wederzijdse erkenning van certificeringsregelingen met derde landen;
u): indien van toepassing, regels met betrekking tot een door de regeling vastgesteld collegialetoetsingsmechanisme voor autoriteiten of instanties die krachtens artikel 56, lid 6, Europese cyberbeveiligingscertificaten afgeven met zekerheidsniveau ‘hoog’. Een dergelijk mechanisme doet geen afbreuk aan de in artikel 59 bedoelde collegiale toetsing;
v): vormen en procedures waaraan de fabrikanten of aanbieders van ICT-producten, -diensten of -processen zich moeten houden bij de verstrekking en actualisering van de aanvullende informatie over cyberbeveiliging overeenkomstig artikel 55.

2.

De specifieke eisen van de Europese cyberbeveiligingscertificeringsregeling moeten in overeenstemming zijn met de toepasselijke wettelijke voorschriften, met name voorschriften die voortvloeien uit geharmoniseerd Unierecht.

3.

Indien een specifieke rechtshandeling van de Unie daarin voorziet, kan een certificaat of een EU-conformiteitsverklaring op grond van een Europese cyberbeveiligingscertificeringsregeling worden gebruikt om het vermoeden van conformiteit met de voorschriften van die rechtshandeling aan te tonen.

4.

Bij ontstentenis van geharmoniseerd Unierecht, kan in nationaal recht ook worden bepaald dat een Europese cyberbeveiligingscertificeringsregeling kan worden gebruikt om het vermoeden van conformiteit met de wettelijke voorschriften vast te stellen.