(EU) 2024/482Prováděcí nařízení Komise (EU) 2024/482 ze dne 31. ledna 2024, kterým se stanoví prováděcí pravidla k nařízení Evropského parlamentu a Rady (EU) 2019/881, pokud jde o přijetí evropského systému certifikace kybernetické bezpečnosti založeného na společných kritériích (EUCC)
| Publikováno: | Úř. věst. L 482, 7.2.2024 | Druh předpisu: | Prováděcí nařízení |
| Přijato: | 31. ledna 2024 | Autor předpisu: | Evropská komise |
| Platnost od: | 27. února 2024 | Nabývá účinnosti: | 27. února 2025 |
| Platnost předpisu: | Ano | Pozbývá platnosti: | |
Text aktualizovaného znění s celou hlavičkou je dostupný pouze pro registrované uživatele.
Tento dokument slouží výhradně k informačním účelům a nemá žádný právní účinek. Orgány a instituce Evropské unie nenesou za jeho obsah žádnou odpovědnost. Závazná znění příslušných právních předpisů, včetně jejich právních východisek a odůvodnění, jsou zveřejněna v Úředním věstníku Evropské unie a jsou k dispozici v databázi EUR-Lex. Tato úřední znění jsou přímo dostupná přes odkazy uvedené v tomto dokumentu
|
PROVÁDĚCÍ NAŘÍZENÍ KOMISE (EU) 2024/482 ze dne 31. ledna 2024, kterým se stanoví prováděcí pravidla k nařízení Evropského parlamentu a Rady (EU) 2019/881, pokud jde o přijetí evropského systému certifikace kybernetické bezpečnosti založeného na společných kritériích (EUCC) (Úř. věst. L 482 7.2.2024, s. 1) |
Ve znění:
|
|
|
Úřední věstník |
||
|
Č. |
Strana |
Datum |
||
|
PROVÁDĚCÍ NAŘÍZENÍ KOMISE (EU) 2024/3144 ze dne 18. prosince 2024, |
L 3144 |
1 |
19.12.2024 |
|
PROVÁDĚCÍ NAŘÍZENÍ KOMISE (EU) 2024/482
ze dne 31. ledna 2024,
kterým se stanoví prováděcí pravidla k nařízení Evropského parlamentu a Rady (EU) 2019/881, pokud jde o přijetí evropského systému certifikace kybernetické bezpečnosti založeného na společných kritériích (EUCC)
(Text s významem pro EHP)
KAPITOLA I
OBECNÁ USTANOVENÍ
Článek 1
Předmět a rozsah působnosti
Toto nařízení stanoví evropský systém certifikace kybernetické bezpečnosti založený na společných kritériích (EUCC).
Toto nařízení se vztahuje na všechny produkty informačních a komunikačních technologií (dále jen „IKT“) včetně jejich dokumentace, které jsou předkládány k certifikaci podle EUCC, a na všechny profily ochrany, které jsou předkládány k certifikaci v rámci procesu IKT vedoucího k certifikaci produktů IKT.
Článek 2
Definice
Pro účely tohoto nařízení se použijí následující definice:
„společnými kritérii“ se rozumí společná kritéria pro hodnocení bezpečnosti informačních technologií, jak jsou stanovena v normách ISO/IEC 15408–1:2022, ISO/IEC 15408–2:2022, ISO/IEC 15408–3:2022, ISO/IEC 15408–4:2022 nebo ISO/IEC 15408–5:2022 nebo ve společných kritériích pro hodnocení bezpečnosti informačních technologií, verze CC:2022, části 1 až 5, zveřejněných účastníky dohody o uznávání certifikátů o společných kritériích v oblasti bezpečnosti IT;
„společnou metodikou hodnocení“ se rozumí společná metodika hodnocení bezpečnosti informačních technologií, jak je stanovena v normě ISO/IEC 18045:2022, nebo společná metodika pro hodnocení bezpečnosti informačních technologií, verze CEM:2022, zveřejněná účastníky dohody o uznávání certifikátů o společných kritériích v oblasti bezpečnosti IT;
„cílem hodnocení“ se rozumí produkt IKT nebo jeho část nebo profil ochrany jako součást procesu IKT, který je podroben hodnocení kybernetické bezpečnosti za účelem získání certifikace v rámci EUCC;
„bezpečnostním cílem“ se rozumí tvrzení o bezpečnostních požadavcích závislých na zavedení pro konkrétní produkt IKT;
„profilem ochrany“ se rozumí proces IKT, který stanoví bezpečnostní požadavky pro určitou kategorii produktů IKT, který řeší potřeby v oblasti bezpečnosti nezávislé na zavedení a který lze použít k posouzení produktů IKT spadajících do této konkrétní kategorie pro účely jejich certifikace;
„hodnotící technickou zprávou“ se rozumí dokument vypracovaný zařízením ITSEF, v němž jsou uvedena zjištění, závěry a odůvodnění získané během hodnocení produktu IKT nebo profilu ochrany v souladu s pravidly a povinnostmi stanovenými v tomto nařízení;
„zařízením ITSEF“ se rozumí zařízení pro hodnocení bezpečnosti informačních technologií, což je subjekt posuzování shody podle definice v čl. 2 bodě 13 nařízení (ES) č. 765/2008, který provádí úkoly v oblasti hodnocení;
„úrovní AVA_VAN“ se rozumí úroveň záruky analýzy zranitelnosti, která označuje stupeň hodnotících činností ve věci kybernetické bezpečnosti provedených za účelem stanovení úrovně odolnosti proti potenciální zneužitelnosti chyb nebo slabin v cíli hodnocení v jeho provozním prostředí, jak je stanoveno ve společných kritériích;
„certifikátem EUCC“ se rozumí certifikát kybernetické bezpečnosti vydaný podle systému EUCC pro produkty IKT nebo pro profily ochrany, které lze použít výhradně v procesu certifikace produktů IKT;
„složeným produktem“ se rozumí produkt IKT, který je hodnocen společně s jiným základním produktem IKT, který již obdržel certifikát EUCC a na jehož bezpečnostní funkci složený produkt IKT závisí;
„vnitrostátním orgánem certifikace kybernetické bezpečnosti“ se rozumí orgán určený členským státem podle čl. 58 odst. 1 nařízení (EU) 2019/881;
„certifikačním subjektem“ se rozumí subjekt posuzování shody podle definice v čl. 2 bodě 13 nařízení (ES) č. 765/2008, který provádí certifikační činnosti;
„technickou oblastí“ se rozumí společný technický rámec související s určitou technologií pro harmonizovanou certifikaci se souborem charakteristických bezpečnostních požadavků;
„přehledem aktuálních certifikačních postupů“ se rozumí dokument, který specifikuje metody, techniky a nástroje hodnocení, které se vztahují na certifikaci produktů IKT nebo na bezpečnostní požadavky kategorie obecných produktů IKT nebo jakékoli jiné požadavky nezbytné pro certifikaci s cílem harmonizovat hodnocení, a to zejména technických oblastí nebo profilů ochrany;
„orgánem dozoru nad trhem“ se rozumí orgán definovaný v čl. 3 odst. 4 nařízení (EU) 2019/1020.
Článek 3
Normy pro hodnocení
Na hodnocení prováděná v rámci EUCC se vztahují následující normy:
společná kritéria;
společná metodika hodnocení.
Do 31. prosince 2027 lze vydávat certifikáty v rámci systému EUCC, přičemž se uplatní některá z těchto norem:
ISO/IEC 15408-1:2009, ISO/IEC 15408-2:2008 nebo ISO/IEC 15408-3:2008;
společná kritéria pro hodnocení bezpečnosti informačních technologií, verze 3.1, revize 5, zveřejněná účastníky dohody o uznávání certifikátů o společných kritériích v oblasti bezpečnosti IT;
ISO/IEC 18045:2008;
společná metodika pro hodnocení bezpečnosti informačních technologií, revize 5, verze 3.1, zveřejněná účastníky dohody o uznávání certifikátů o společných kritériích v oblasti bezpečnosti IT.
Certifikát podle norem uvedených v odstavci 1 může být rovněž vydán v rámci systému EUCC za účelem uplatnění shody s profilem ochrany, který odpovídá některé z následujících norem, za předpokladu, že použití tohoto profilu ochrany je vyžadováno prováděcím nařízením Komise (EU) 2016/799 ( 1 ), nařízením Evropského parlamentu a Rady (EU) č. 910/2014 ( 2 )nebo prováděcím rozhodnutím Komise (EU) 2016/650 ( 3 ):
společná kritéria hodnocení bezpečnosti informačních technologií, verze 3.1, revize 1 až 4, zveřejněná účastníky dohody o uznávání certifikátů o společných kritériích v oblasti bezpečnosti IT;
společná metodika hodnocení bezpečnosti informačních technologií, verze 3.1, revize 1 až 4, zveřejněná účastníky dohody o uznávání certifikátů o společných kritériích v oblasti bezpečnosti IT.
Článek 4
Úrovně záruky
Článek 5
Metody certifikace produktů IKT
Článek 6
Vlastní posuzování shody
Vlastní posuzování shody ve smyslu článku 53 nařízení (EU) 2019/881 není povoleno.
KAPITOLA II
CERTIFIKACE PRODUKTŮ IKT
ODDÍL I
Zvláštní hodnotící normy a požadavky
Článek 7
Kritéria a metody hodnocení produktů IKT
Produkt IKT předložený k certifikaci musí být hodnocen minimálně podle následujících kritérií:
použitelné prvky norem uvedených v článku 3;
třídy požadavků na bezpečnostní záruku pro posouzení zranitelnosti a nezávislé testování funkčnosti, jak je stanoveno v hodnotících normách uvedených v článku 3;
úroveň rizika spojeného se zamýšleným použitím dotčených produktů IKT podle článku 52 nařízení (EU) 2019/881 a jejich bezpečnostní funkce, které podporují bezpečnostní cíle stanovené v článku 51 nařízení (EU) 2019/881;
příslušné přehledy aktuálních certifikačních postupů uvedené v příloze I a
příslušné certifikované profily ochrany uvedené v příloze II.
Certifikace produktů IKT na úrovni AVA_VAN 4 nebo 5 je možná pouze v těchto případech:
pokud se na produkt IKT vztahuje některá z technických oblastí uvedených v příloze I, hodnotí se v souladu s příslušnými přehledy aktuálních certifikačních postupů těchto technických oblastí;
pokud produkt IKT spadá do kategorie produktů IKT, na něž se vztahuje certifikovaný profil ochrany, který zahrnuje úrovně AVA_VAN 4 nebo 5 a který byl uveden jako aktuální profil ochrany v příloze II, hodnotí se v souladu s metodikou hodnocení stanovenou pro tento profil ochrany;
pokud se nepoužijí písmena a) a b) tohoto odstavce a pokud je zařazení technické oblasti do přílohy I nebo certifikovaného profilu ochrany do přílohy II v dohledné době nepravděpodobné, a pouze ve výjimečných a řádně odůvodněných případech za podmínek stanovených v odstavci 4.
ODDÍL II
Vydávání, obnovování a zrušení certifikátů eucc
Článek 8
Informace nezbytné pro certifikaci a hodnocení
Žadatelé o certifikaci mohou certifikačnímu subjektu a zařízení ITSEF předložit příslušné výsledky hodnocení z předchozí certifikace podle:
tohoto nařízení;
jiného evropského systému certifikace kybernetické bezpečnosti přijatého podle článku 49 nařízení (EU) 2019/881;
vnitrostátního systému uvedeného v článku 49 tohoto nařízení.
Žadatelé o certifikaci rovněž poskytnou certifikačnímu subjektu a zařízení ITSEF následující informace:
odkaz na své internetové stránky obsahující doplňující informace o kybernetické bezpečnosti uvedené v článku 55 nařízení (EU) 2019/881;
popis postupů žadatele pro řízení zranitelností a jejich zveřejňování.
Článek 9
Podmínky pro vydání certifikátu EUCC
Certifikační subjekty vydají certifikát EUCC, pokud jsou splněny všechny následující podmínky:
kategorie produktu IKT spadá do oblasti působnosti akreditace a případně autorizace certifikačního subjektu a zařízení ITSEF zapojených do certifikace;
žadatel o certifikaci podepsal prohlášení, že přijímá všechny závazky uvedené v odstavci 2;
zařízení ITSEF ukončilo hodnocení bez námitek v souladu s hodnotícími normami, kritérii a metodami uvedenými v článcích 3 a 7;
certifikační subjekt ukončil přezkum výsledků hodnocení bez námitek;
certifikační subjekt ověřil, že hodnotící technické zprávy poskytnuté zařízením ITSEF jsou v souladu s poskytnutými důkazy a že byly správně použity normy, kritéria a metody hodnocení uvedené v článcích 3 a 7.
Žadatel o certifikaci přijímá následující závazky:
poskytnout certifikačnímu subjektu a zařízení ITSEF všechny nezbytné úplné a správné informace a na požádání poskytnout další potřebné informace;
nepropagovat produkt IKT jako certifikovaný podle EUCC před vydáním certifikátu EUCC;
propagovat produkt IKT jako certifikovaný pouze s ohledem na rozsah uvedený v certifikátu EUCC;
v případě pozastavení, zrušení nebo pozbytí platnosti certifikátu EUCC okamžitě přestat propagovat produkt IKT jako certifikovaný;
zajistit, aby produkty IKT prodávané s odkazem na certifikát EUCC byly zcela totožné s produktem IKT, který je předmětem certifikace;
dodržovat pravidla používání označení a štítku stanovená pro certifikát EUCC v souladu s článkem 11.
Článek 10
Obsah a formát certifikátu EUCC
Článek 11
Označení a štítek
Označení a štítek jsou uvedeny v příloze IX a obsahují:
úroveň záruky a úroveň AVA_VAN certifikovaného produktu IKT;
jedinečnou identifikaci certifikátu, která se skládá z:
názvu systému;
názvu a referenčního čísla akreditace certifikačního subjektu, který certifikát vydal;
roku a měsíce vydání;
identifikačního čísla přiděleného certifikačním subjektem, který certifikát vydal.
Označení a štítek musí být doplněny QR kódem s odkazem na internetovou stránku, která obsahuje alespoň:
informace o platnosti certifikátu,
nezbytné certifikační údaje uvedené v přílohách V a VII;
informace, které má držitel certifikátu zveřejnit v souladu s článkem 55 nařízení (EU) 2019/881 a
případně historické informace týkající se specifické certifikace nebo certifikací produktu IKT, aby byla umožněna sledovatelnost.
Článek 12
Doba platnosti certifikátu EUCC
Článek 13
Přezkum certifikátu EUCC
Na základě výsledků přezkumu a případného přehodnocení certifikační subjekt:
potvrdí certifikát EUCC;
zruší certifikát EUCC v souladu s článkem 14;
zruší certifikát EUCC v souladu s článkem 14 a vydá nový certifikát EUCC se stejným rozsahem a prodlouženou dobou platnosti nebo
zruší certifikát EUCC v souladu s článkem 14 a vydá nový certifikát EUCC s jiným rozsahem.
Článek 14
Zrušení certifikátu EUCC
KAPITOLA III
CERTIFIKACE PROFILŮ OCHRANY
ODDÍL I
Zvláštní hodnotící normy a požadavky
Článek 15
Kritéria a metody hodnocení
Profil ochrany se vyhodnocuje minimálně podle následujících kritérií:
použitelné prvky norem uvedených v článku 3;
úroveň rizika spojeného se zamýšleným použitím dotčených produktů IKT podle článku 52 nařízení (EU) 2019/881 a jejich bezpečnostní funkce, které podporují bezpečnostní cíle stanovené v článku 51 tohoto nařízení; a
příslušné přehledy aktuálních certifikačních postupů uvedené v příloze I. Profil ochrany, na který se vztahuje technická oblast, se certifikuje podle požadavků stanovených v této technické oblasti.
ODDÍL II
Vydávání, obnovování a zrušení certifikátů eucc pro profily ochrany
Článek 16
Informace nezbytné pro certifikaci a hodnocení profilů ochrany
Žadatel o certifikaci profilu ochrany poskytne nebo jinak zpřístupní certifikačnímu subjektu a zařízení ITSEF veškeré informace nezbytné pro certifikační a hodnoticí činnosti v úplné a správné formě. Ustanovení čl. 8 odst. 2, 3, 4 a 7 se použijí obdobně.
Článek 17
Vydávání certifikátů EUCC pro profily ochrany
▼M1 —————
Profil ochrany certifikuje výhradně:
vnitrostátní orgán certifikace kybernetické bezpečnosti nebo jiný veřejný subjekt akreditovaný jako certifikační subjekt nebo
certifikační subjekt po předchozím schválení vnitrostátním orgánem certifikace kybernetické bezpečnosti pro každý jednotlivý profil ochrany.
Článek 18
Doba platnosti certifikátu EUCC pro profily ochrany
Článek 19
Přezkum certifikátu EUCC pro profily ochrany
Na základě výsledků přezkumu a případného přehodnocení certifikační subjekt provede jednu z následujících činností:
potvrdí certifikát EUCC;
zruší certifikát EUCC v souladu s článkem 20;
zruší certifikát EUCC v souladu s článkem 20 a vydá nový certifikát EUCC se stejným rozsahem a prodlouženou dobou platnosti
zruší certifikát EUCC v souladu s článkem 20 a vydá nový certifikát EUCC s jiným rozsahem.
Článek 20
Zrušení certifikátu EUCC pro profil ochrany
KAPITOLA IV
SUBJEKTY POSUZOVÁNÍ SHODY
Článek 20a
Specifikace požadavků na akreditaci subjektů posuzování shody
Akreditace subjektů posuzování shody zohlední specifikaci požadavků na akreditaci certifikačních subjektů a zařízení ITSEF, jak je stanoveno v použitelných přehledech aktuálních certifikačních postupů uvedených v bodě 2 přílohy I.
Článek 21
Další nebo zvláštní požadavky na certifikační subjekt
Certifikační subjekt je vnitrostátním orgánem certifikace kybernetické bezpečnosti autorizován vydávat certifikáty EUCC na úrovni záruky „vysoká“, pokud tento subjekt kromě splnění požadavků stanovených v čl. 60 odst. 1 a v příloze nařízení (EU) 2019/881 o akreditaci subjektů posuzování shody prokáže následující skutečnosti:
má odborné znalosti a kompetence požadované pro rozhodnutí o certifikaci na úrovni záruky „vysoká“;
provádí své certifikační činnosti ve spolupráci se zařízením ITSEF autorizovaným v souladu s článkem 22 a
má požadované kompetence a kromě požadavků stanovených v článku 43 zavedlo vhodná technická a provozní opatření k účinné ochraně důvěrných a citlivých informací pro úroveň záruky „vysoká“.
Vnitrostátní orgán certifikace kybernetické bezpečnosti může v rámci svého posuzování opětovně použít veškeré vhodné důkazy z předchozí autorizace nebo podobných činností udělených podle:
tohoto nařízení;
jiného evropského systému certifikace kybernetické bezpečnosti přijatého podle článku 49 nařízení (EU) 2019/881;
vnitrostátního systému uvedeného v článku 49 tohoto nařízení.
Článek 22
Další nebo zvláštní požadavky na zařízení ITSEF
Zařízení ITSEF je vnitrostátním orgánem certifikace kybernetické bezpečnosti autorizováno k provádění hodnocení produktů IKT, které podléhají certifikaci na úrovni záruky „vysoká“, pokud zařízení ITSEF kromě splnění požadavků stanovených v čl. 60 odst. 1 a v příloze nařízení (EU) 2019/881 o akreditaci subjektů posuzování shody prokáže splnění všech následujících podmínek:
má odborné znalosti nezbytné k provádění hodnotících činností pro určení odolnosti vůči nejmodernějším kybernetickým útokům prováděným subjekty se značnými dovednostmi a zdroji;
pro technické oblasti a profily ochrany, které jsou součástí procesu IKT pro tyto produkty IKT, má:
odborné znalosti k provádění specifických hodnotících činností nezbytných k metodickému určení odolnosti hodnoceného cíle proti zkušeným útočníkům v jeho provozním prostředí za předpokladu „středního“ nebo „vysokého“ potenciálu útoku, jak je stanoveno v normách uvedených v článku 3;
odbornou způsobilost podle přehledů aktuálních certifikačních postupů uvedených v příloze I;
má požadované kompetence a kromě požadavků stanovených v článku 43 zavedlo vhodná technická a provozní opatření k účinné ochraně důvěrných a citlivých informací pro úroveň záruky „vysoká“.
Vnitrostátní orgán certifikace kybernetické bezpečnosti může v rámci svého posuzování opětovně použít veškeré vhodné důkazy z předchozí autorizace nebo podobných činností udělených podle:
tohoto nařízení;
jiného evropského systému certifikace kybernetické bezpečnosti přijatého podle článku 49 nařízení (EU) 2019/881;
vnitrostátního systému uvedeného v článku 49 tohoto nařízení.
▼M1 —————
KAPITOLA V
MONITOROVÁNÍ, NESHODA A NESOULAD
ODDÍL I
Monitorování souladu
Článek 25
Monitorovací činnosti vnitrostátního orgánu certifikace kybernetické bezpečnosti
Aniž je dotčen čl. 58 odst. 7 nařízení (EU) 2019/881, vnitrostátní orgán certifikace kybernetické bezpečnosti sleduje soulad:
certifikačního subjektu a zařízení ITSEF s povinnostmi podle tohoto nařízení a nařízení (EU) 2019/881;
držitelů certifikátu EUCC s povinnostmi podle tohoto nařízení a nařízení (EU) 2019/881;
certifikovaných produktů IKT s požadavky stanovenými v systému EUCC;
záruky vyjádřené v certifikátu EUCC, která se týká vyvíjejících se typů hrozeb.
Vnitrostátní orgán certifikace kybernetické bezpečnosti provádí své monitorovací činnosti zejména na základě:
informací od certifikačních subjektů, vnitrostátních akreditačních orgánů a příslušných orgánů dozoru nad trhem;
informací vyplývajících z vlastních nebo cizích auditů a šetření;
odběru vzorků provedeného v souladu s odstavcem 3;
obdržených stížností.
Vnitrostátní orgán certifikace kybernetické bezpečnosti vybere vzorek certifikovaných produktů IKT ke kontrole na základě objektivních kritérií, včetně:
kategorie produktů;
úrovní záruky produktů;
držitele certifikátu;
certifikačního subjektu a případně subdodavatelského zařízení ITSEF;
veškerých dalších informací, na které byl orgán upozorněn.
Článek 26
Monitorovací činnosti certifikačního subjektu
Certifikační subjekt monitoruje:
dodržování povinností podle tohoto nařízení a nařízení (EU) 2019/881 ve vztahu k certifikátu EUCC, který vydal certifikační subjekt, držiteli certifikátu;
soulad produktů IKT, které certifikoval, s příslušnými bezpečnostními požadavky;
záruky vyjádřené v certifikovaných profilech ochrany.
Certifikační subjekt provádí své monitorovací činnosti na základě:
informací poskytnutých na základě závazků žadatele o certifikát podle čl. 9 odst. 2;
informací vyplývajících z činností jiných příslušných orgánů dozoru nad trhem;
obdržených stížností;
informací o zranitelnostech, které by mohly mít dopad na produkty IKT, které certifikoval.
Článek 27
Monitorovací činnosti prováděné držitelem certifikátu
Držitel certifikátu EUCC provádí následující úkoly, aby monitoroval shodu certifikovaného produktu IKT s bezpečnostními požadavky na něj:
monitoruje informace o zranitelnostech certifikovaného produktu IKT, včetně známých závislostí, vlastními prostředky, ale také s ohledem na:
zveřejnění nebo podání informací o zranitelnostech uživatelem nebo výzkumným pracovníkem v oblasti bezpečnosti podle čl. 55 odst. 1 písm. c) nařízení (EU) 2019/881;
podání z jakéhokoli jiného zdroje;
monitoruje záruky uvedené v certifikátu EUCC.
ODDÍL II
Shoda a soulad
Článek 28
Důsledky neshody certifikovaného produktu IKT nebo profilu ochrany
Článek 29
Důsledky nesouladu ze strany držitele certifikátu
Pokud certifikační subjekt zjistí, že:
držitel certifikátu EUCC nebo žadatel o certifikát neplní své závazky a povinnosti stanovené v čl. 9 odst. 2, čl. 17 odst. 2, článku 27 a článku 41 nebo
držitel certifikátu EUCC nesplňuje požadavky čl. 56 odst. 8 nařízení (EU) 2019/881 nebo kapitoly VI tohoto nařízení;
stanoví lhůtu nejvýše 30 dnů, ve které držitel certifikátu EUCC přijme nápravné opatření.
Článek 30
Pozastavení platnosti certifikátu EUCC
Článek 31
Důsledky nesouladu ze strany subjektu posuzování shody
V případě nesouladu certifikačního subjektu s jeho povinnostmi nebo příslušného certifikačního subjektu v případě zjištění nesouladu ze strany zařízení ITSEF vnitrostátní orgán certifikace kybernetické bezpečnosti bez zbytečného odkladu:
s podporou dotčeného zařízení ITSEF identifikuje potenciálně dotčené certifikáty EUCC;
v případě potřeby požádá buď zařízení ITSEF, které hodnocení provedlo, nebo jakékoli jiné akreditované a případně autorizované zařízení ITSEF, které může být v lepším technickém postavení, aby tuto identifikaci podpořilo, o provedení hodnotících činností pro jeden nebo více produktů IKT nebo profilů ochrany;
analyzuje dopady nesouladu;
informuje držitele certifikátu EUCC, kterého se nesoulad týká.
Na základě opatření uvedených v odstavci 1 přijme certifikační subjekt pro každý dotčený certifikát EUCC jedno z následujících rozhodnutí:
zachovat certifikát EUCC v nezměněné podobě;
zrušit certifikát EUCC v souladu s článkem 14 nebo 20 a v případě potřeby vydat nový certifikát EUCC.
Na základě opatření uvedených v odstavci 1 vnitrostátní orgán certifikace kybernetické bezpečnosti:
v případě potřeby nahlásí nesoulad certifikačního subjektu nebo souvisejícího zařízení ITSEF vnitrostátnímu akreditačnímu orgánu;
případně posoudí možný dopad na autorizaci.
KAPITOLA VI
ŘÍZENÍ A ZVEŘEJŇOVÁNÍ ZRANITELNOSTÍ
Článek 32
Rozsah řízení zranitelností
Tato kapitola se vztahuje na produkty IKT, pro které byl vydán certifikát EUCC.
ODDÍL I
Řízení zranitelností
Článek 33
Postupy řízení zranitelností
Článek 34
Analýza dopadu zranitelností
Článek 35
Zpráva o analýze dopadu zranitelností
Zpráva o analýze dopadu zranitelností musí obsahovat posouzení následujících prvků:
dopad zranitelnosti na certifikovaný produkt IKT;
možná rizika spojená s blízkostí nebo dostupností útoku;
zda lze zranitelnost odstranit;
kde lze zranitelnost odstranit, možná řešení zranitelnosti.
Článek 36
Odstranění zranitelností
Držitel certifikátu EUCC předloží certifikačnímu subjektu návrh vhodného nápravného opatření. Certifikační subjekt přezkoumá certifikát v souladu s článkem 13. Rozsah přezkumu se určí podle navrhovaného odstranění zranitelnosti.
ODDÍL II
Zveřejňování zranitelností
Článek 37
Informace sdílené s vnitrostátním orgánem certifikace kybernetické bezpečnosti
Článek 38
Spolupráce s ostatními vnitrostátními orgány certifikace kybernetické bezpečnosti
Článek 39
Zveřejnění zranitelnosti
Po zrušení certifikátu držitel certifikátu EUCC zveřejní a zaznamená všechny veřejně známé a odstraněné zranitelnosti produktu IKT v Evropské databázi zranitelností zřízené v souladu s článkem 12 směrnice Evropského parlamentu a Rady (EU) 2022/2555 ( 4 ) nebo v jiných online úložištích uvedených v čl. 55 odst. 1 písm. d) nařízení (EU) 2019/881.
KAPITOLA VII
UCHOVÁVÁNÍ, ZVEŘEJŇOVÁNÍ A OCHRANA INFORMACÍ
Článek 40
Uchovávání záznamů certifikačními subjekty a zařízeními ITSEF
Článek 41
Informace zpřístupněné držitelem certifikátu
Držitel certifikátu EUCC bezpečně uchovává následující údaje po dobu nezbytnou pro účely tohoto nařízení a nejméně pět let po zrušení příslušného certifikátu EUCC:
záznamy o informacích poskytnutých certifikačnímu subjektu a zařízení ITSEF během certifikačního procesu
vzorek certifikovaného produktu IKT.
Článek 42
Informace, které má agentura ENISA zpřístupnit
Agentura ENISA zveřejní na internetových stránkách uvedených v čl. 50 odst. 1 nařízení (EU) 2019/881 tyto informace:
všechny certifikáty EUCC;
informace o statusu certifikátu EUCC, zejména zda je platný, pozastavený, zrušený nebo zda jeho platnost vypršela;
zprávy o certifikaci odpovídající každému certifikátu EUCC;
seznam akreditovaných subjektů posuzování shody;
seznam autorizovaných subjektů posuzování shody;
přehledy aktuálních certifikačních postupů uvedené v příloze I;
stanoviska Evropské skupiny pro certifikaci kybernetické bezpečnosti uvedená v čl. 62 odst. 4 písm. c) nařízení (EU) 2019/881;
zprávy o vzájemném hodnocení vydané v souladu s článkem 47.
Článek 43
Ochrana informací
Subjekty posuzování shody, vnitrostátní orgány certifikace kybernetické bezpečnosti, Evropská skupina pro certifikaci kybernetické bezpečnosti, agentura ENISA, Komise a všechny ostatní strany zajistí bezpečnost a ochranu obchodních tajemství a jiných důvěrných informací, včetně obchodního tajemství, jakož i zachování práv duševního vlastnictví, a přijmou nezbytná a vhodná technická a organizační opatření.
KAPITOLA VIII
DOHODY O VZÁJEMNÉM UZNÁVÁNÍ SE TŘETÍMI ZEMĚMI
Článek 44
Podmínky
Dohody o vzájemném uznávání uvedené v odstavci 1 lze uzavřít pouze se třetími zeměmi, které splňují tyto podmínky:
mají orgán, který:
je veřejným subjektem, jenž je z hlediska organizační a právní struktury, financování a rozhodování nezávislý na subjektech, na něž dohlíží a které monitoruje;
má příslušné monitorovací a dohlížecí pravomoci k provádění šetření a je oprávněn přijímat vhodná nápravná opatření k zajištění souladu;
má účinný, přiměřený a odrazující systém sankcí, který zajišťuje soulad;
souhlasí s tím, že bude spolupracovat s Evropskou skupinou pro certifikaci kybernetické bezpečnosti a agenturou ENISA na výměně osvědčených postupů a příslušného vývoje v oblasti certifikace kybernetické bezpečnosti a bude usilovat o jednotný výklad v současnosti platných kritérií a metod hodnocení, mimo jiné uplatňováním harmonizované dokumentace, která odpovídá přehledům aktuálních certifikačních postupů uvedeným v příloze I;
mají nezávislý akreditační orgán, který provádí akreditace za použití norem rovnocenných normám uvedeným v nařízení (ES) č. 765/2008;
zavazují se, že procesy a postupy hodnocení a certifikace budou prováděny řádně profesionálním způsobem s přihlédnutím k souladu s mezinárodními normami uvedenými v tomto nařízení, zejména v článku 3;
mají schopnost hlásit dosud nezjištěné zranitelnosti a zavedený odpovídající postup pro řízení a zveřejňování zranitelností;
mají zavedeny postupy, které jim umožňují účinně podávat a vyřizovat stížnosti a poskytovat stěžovateli účinnou právní ochranu;
zřídí mechanismus spolupráce s ostatními subjekty Unie a členských států, které jsou relevantní pro certifikaci kybernetické bezpečnosti podle tohoto nařízení, včetně sdílení informací o případném nesouladu certifikátů, monitorování příslušného vývoje v oblasti certifikace a zajištění společného přístupu k zachování a přezkumu certifikace.
Kromě podmínek stanovených v odstavci 3 může být dohoda o vzájemném uznávání uvedená v odstavci 1, která se vztahuje na úroveň záruky „vysoká“, uzavřena se třetími zeměmi pouze tehdy, jsou-li splněny i tyto podmínky:
třetí země má nezávislý a veřejný orgán certifikace kybernetické bezpečnosti, který provádí nebo svěřuje hodnotící činnosti nezbytné pro certifikaci na úrovni záruky „vysoká“, jež jsou rovnocenné požadavkům a postupům stanoveným pro vnitrostátní orgány pro kybernetickou bezpečnost v tomto nařízení a v nařízení (EU) 2019/881;
dohoda o vzájemném uznávání zavádí společný mechanismus rovnocenný vzájemnému hodnocení pro certifikaci v rámci EUCC s cílem posílit výměnu postupů a společně řešit problémy v oblasti hodnocení a certifikace.
KAPITOLA IX
VZÁJEMNÉ HODNOCENÍ CERTIFIKAČNÍCH SUBJEKTŮ
Článek 45
Postup vzájemného hodnocení
Vzájemné hodnocení se může opírat o důkazy shromážděné v průběhu předchozích vzájemných hodnocení nebo rovnocenných postupů vzájemně hodnoceného certifikačního subjektu nebo vnitrostátního orgánu certifikace kybernetické bezpečnosti za předpokladu, že:
výsledky nejsou starší než pět let;
výsledky jsou doplněny popisem postupů vzájemného hodnocení stanovených pro tento systém, pokud se vztahují ke vzájemnému hodnocení provedenému v rámci jiného certifikačního systému;
zpráva o vzájemném hodnocení podle článku 47 uvádí, které výsledky byly znovu použity s dalším hodnocením nebo bez něj.
Článek 46
Fáze vzájemného hodnocení
Článek 47
Zpráva o vzájemném hodnocení
Evropská skupina pro certifikaci kybernetické bezpečnosti přijme stanovisko ke zprávě o vzájemném hodnocení:
pokud zpráva o vzájemném hodnocení nezjistí neshody nebo pokud byly neshody certifikačním subjektem, který byl podroben vzájemnému hodnocení, náležitě vyřešeny, může Evropská skupina pro certifikaci kybernetické bezpečnosti vydat kladné stanovisko a všechny příslušné dokumenty se zveřejní na internetových stránkách o certifikaci agentury ENISA;
pokud certifikační subjekt, který byl podroben vzájemnému hodnocení, neshody ve stanovené lhůtě řádně nevyřeší, může Evropská skupina pro certifikaci kybernetické bezpečnosti vydat negativní stanovisko, které se zveřejní na internetových stránkách o certifikaci agentury ENISA, včetně zprávy o vzájemném hodnocení a všech příslušných dokumentů.
KAPITOLA X
UDRŽOVÁNÍ SYSTÉMU
Článek 48
Udržování systému EUCC
KAPITOLA XI
ZÁVĚREČNÁ USTANOVENÍ
Článek 49
Vnitrostátní systémy, na které se vztahuje systém EUCC
Článek 50
Vstup v platnost
Toto nařízení vstupuje v platnost dvacátým dnem po vyhlášení v Úředním věstníku Evropské unie.
Použije se ode dne 27. února 2025.
Kapitola IV a příloha V se použijí ode dne vstupu tohoto nařízení v platnost.
Toto nařízení je závazné v celém rozsahu a přímo použitelné ve všech členských státech.
PŘÍLOHA I
Přehledy aktuálních certifikačních postupů pro technické oblasti a další přehledy aktuálních certifikačních postupů
1. Přehledy aktuálních certifikačních postupů pro technické oblasti na úrovni AVA_VAN úroveň 4 nebo 5:
následující dokumenty týkající se harmonizovaného hodnocení technické oblasti „čipové karty a podobná zařízení“:
„Minimální požadavky na bezpečnostní hodnocení čipových karet a podobných zařízení vůči zařízením ITSEF“, verze 1.1;
„Minimální bezpečnostní požadavky na lokalitu“, verze 1.1;
„Použití společných kritérií na integrované obvody“, verze 1.1;
„Požadavky na bezpečnostní architekturu (ADV_ARC) pro čipové karty a podobná zařízení“, verze 1.1;
„Certifikace produktů „otevřených“ čipových karet“, verze 1.1;
„Hodnocení složených produktů pro čipové karty a podobná zařízení“, verze 1.1;
„Uplatnění potenciálu útoku na čipové karty a podobná zařízení“, verze 1.2.
následující dokumenty týkající se harmonizovaného hodnocení technické oblasti „hardwarová zařízení s bezpečnostními schránkami“:
„Minimální požadavky na bezpečnostní hodnocení hardwarových zařízení s bezpečnostními schránkami vůči zařízením ITSEF“, verze 1.1;
„Minimální bezpečnostní požadavky na lokalitu“, verze 1.1;
„Uplatnění potenciálu útoku na hardwarová zařízení s bezpečnostními schránkami“, verze 1.2.
2. Přehledy aktuálních certifikačních postupů týkající se harmonizované akreditace subjektů posuzování shody:
„Akreditace zařízení ITSEF pro systém EUCC“, verze 1.1 pro akreditace vydané před 8. červencem 2025;
„Akreditace zařízení ITSEF pro systém EUCC“, verze 1.6c pro akreditace, které jsou nově vydané nebo přezkoumané po 8. červenci 2025;
„Akreditace certifikačních subjektů pro systém EUCC“, verze 1.6b.
PŘÍLOHA II
Profily ochrany certifikované na úrovni AVA_VAN 4 nebo 5
1. Pro kategorii prostředků pro vytváření kvalifikovaných podpisů a pečetí na dálku:
EN 419241-2:2019 – Důvěryhodné systémy podporující podpisový server – Část 2: Profil ochrany pro zařízení QSCD pro serverový podpis;
EN 419221-5:2018 – Profily ochrany pro TSP kryptografické moduly – Část 5: Kryptografický modul pro důvěryhodné služby
2. Profily ochrany, které byly přijaty jako přehledy aktuálních certifikačních postupů:
[PRÁZDNÉ]
PŘÍLOHA III
Doporučené profily ochrany (pro ilustraci technických oblastí z přílohy I)
Profily ochrany používané při certifikaci produktů IKT spadajících do níže uvedené kategorie produktů IKT:
pro kategorii strojově čitelných cestovních dokladů:
profil ochrany pro strojově čitelný cestovní doklad s použitím standardního kontrolního postupu s PACE, BSI-CC-PP-0068-V2-2011-MA-01;
profil ochrany pro strojově čitelný cestovní doklad s rozšířenou kontrolou přístupu „aplikace ICAO“, BSI-CC-PP-0056-2009;
profil ochrany pro strojově čitelný cestovní doklad s rozšířenou kontrolou přístupu „aplikace ICAO“ s PACE, BSI-CC-PP-0056-V2-2012-MA-02;
profil ochrany pro strojově čitelný cestovní doklad se základní kontrolou přístupu „aplikace ICAO“, BSI-CC-PP-0055-2009;
pro kategorii zařízení vytvářejících bezpečný podpis:
EN 419211-1:2014 – Profil ochrany pro zařízení vytvářející bezpečný podpis – část 1: Přehled
EN 419211-2:2013 – Profil ochrany pro zařízení vytvářející bezpečný podpis – část 2: Přístroje na generování klíče;
EN 419211-3:2013 – Profil ochrany pro zařízení vytvářející bezpečný podpis – část 3: Přístroje na přenos klíče;
EN 419211-4:2013 – Profil ochrany pro zařízení vytvářející bezpečný podpis – část 4: Rozšíření pro zařízení na generování klíče a spolehlivá komunikace s aplikací generování certifikátu;
EN 419211-5:2013 – Profil ochrany pro zařízení vytvářející bezpečný podpis – část 5: Rozšíření pro zařízení na generování klíče a spolehlivá komunikace s aplikací vytvářející podpis;
EN 419211-6:2014 – Profil ochrany pro zařízení vytvářející bezpečný podpis – část 6: Rozšíření pro zařízení pro importování klíče a důvěryhodná komunikace s aplikací vytvářející podpis;
pro kategorii digitálních tachografů:
digitální tachograf – karta tachografu, jak je uvedeno v prováděcím nařízení Komise (EU) 2016/799 ze dne 18. března 2016, kterým se provádí nařízení (EU) č. 165/2014 (příloha 1C);
digitální tachograf – celek ve vozidle uvedený v příloze IB nařízení Komise (ES) č. 1360/2002 určený k montáži do silničních vozidel;
digitální tachograf – vnější zařízení GNSS (profil ochrany EGF), jak je uvedeno v příloze 1C prováděcího nařízení Komise (EU) 2016/799 ze dne 18. března 2016, kterým se provádí nařízení Evropského parlamentu a Rady (EU) č. 165/2014;
digitální tachograf – snímač pohybu (profil ochrany MS), jak je uvedeno v příloze 1C prováděcího nařízení Komise (EU) 2016/799 ze dne 18. března 2016, kterým se provádí nařízení Evropského parlamentu a Rady (EU) č. 165/2014;
pro kategorii bezpečných integrovaných obvodů, čipových karet a souvisejících zařízení:
profil ochrany pro bezpečnostní platformu IC, BSI-CC-PP-0084-2014;
systém Java Card – otevřená konfigurace, V3.0.5 BSI-CC-PP-0099-2017;
systém Java Card – uzavřená konfigurace, BSI-CC-PP-0101-2017;
profil ochrany pro PC rodinu klientských modulů důvěryhodné platformy 2.0 úroveň 0 revize 1.16, ANSSI-CC-PP-2015/07;
univerzální karta SIM, PU-2009-RT-79, ANSSI-CC-PP-2010/04;
vestavěné UICC (eUICC) pro zařízení pro komunikaci strojů, BSI-CC-PP-0089-2015;
pro kategorii bodů (platební) interakce a platebních terminálů:
bod interakce „POI-CHIP-ONLY“, ANSSI-CC-PP-2015/01;
bod interakce „POI-CHIP-ONLY and Open Protocol Package“, ANSSI-CC-PP-2015/02;
bod interakce „POI-COMPREHENSIVE“, ANSSI-CC-PP-2015/03;
bod interakce „POI-COMPREHENSIVE and Open Protocol Package“, ANSSI-CC-PP-2015/04;
bod interakce „POI-PED-ONLY“, ANSSI-CC-PP-2015/05;
bod interakce „POI-PED-ONLY and Open Protocol Package“, ANSSI-CC-PP-2015/06;
pro kategorii hardwarových zařízení s bezpečnostními schránkami:
kryptografický modul pro podpisové operace CSP se zálohováním – profil ochrany CMCSOB, profil ochrany HSM CMCSOB 14167-2, ANSSI-CC-PP-2015/08;
kryptografický modul pro služby generování klíčů CSP – profil ochrany CMCKG, profil ochrany HSM CMCKG 14167-3, ANSSI-CC-PP-2015/09;
kryptografický modul pro podpisové operace CSP bez zálohování – profil ochrany CMCSO, profil ochrany HSM CMCKG 14167-4, ANSSI-CC-PP-2015/10.
PŘÍLOHA IV
Kontinuita záruky a přezkum certifikátu
IV.1 Kontinuita záruky: rozsah
1. Následující požadavky na kontinuitu záruky se vztahují na činnosti udržování týkající se:
přehodnocení, zda nezměněný certifikovaný produkt IKT stále splňuje bezpečnostní požadavky;
hodnocení dopadů změn certifikovaného produktu IKT na jeho certifikaci;
pokud je součástí certifikace, použití oprav v souladu s vyhodnoceným procesem správy oprav;
pokud je zahrnut, přezkum řízení životního cyklu nebo výrobních procesů držitele certifikátu.
2. Držitel certifikátu EUCC může požádat o přezkum certifikátu v následujících případech:
platnost certifikátu EUCC vyprší do devíti měsíců;
došlo ke změně certifikovaného produktu IKT nebo jiného faktoru, který by mohl ovlivnit jeho bezpečnostní funkce;
držitel certifikátu požaduje, aby bylo znovu provedeno posouzení zranitelností za účelem opětovného potvrzení záruky certifikátu EUCC týkající se odolnosti produktu IKT proti současným kybernetickým útokům.
IV.2 Přehodnocení
1. Pokud je třeba posoudit dopad změn v prostředí hrozeb pro nezměněný certifikovaný produkt IKT, musí být certifikačnímu subjektu předložena žádost o přehodnocení.
2. Přehodnocení provede stejné zařízení ITSEF, které se podílelo na předchozím hodnocení, a znovu použije všechny své výsledky, které jsou stále platné. Hodnocení se zaměří na činnosti záruky, které jsou potenciálně ovlivněny změněným prostředím hrozeb pro certifikovaný produkt IKT, zejména na příslušnou skupinu AVA_VAN a navíc na skupinu životního cyklu záruky (ALC), kde se opět shromáždí dostatečné důkazy o údržbě vývojového prostředí.
3. Zařízení ITSEF popíše změny a podrobně popíše výsledky přehodnocení s aktualizací předchozí hodnotící technické zprávy.
4. Certifikační subjekt přezkoumá aktualizovanou hodnotící technickou zprávu a vypracuje zprávu o přehodnocení. Status původního certifikátu se poté změní v souladu s článkem 13.
5. Zpráva o přehodnocení a aktualizovaný certifikát se poskytnou vnitrostátnímu orgánu certifikace kybernetické bezpečnosti a agentuře ENISA ke zveřejnění na jejích internetových stránkách věnovaných certifikaci kybernetické bezpečnosti.
IV.3 Změny certifikovaného produktu IKT
1. Pokud byl certifikovaný produkt IKT předmětem změn, držitel certifikátu, který si přeje certifikát zachovat, předloží certifikačnímu subjektu zprávu o analýze dopadů.
2. Zpráva o analýze dopadů obsahuje tyto prvky:
úvod obsahující nezbytné informace k identifikaci zprávy o analýze dopadů a cíle hodnocení, který podléhá změnám;
popis změn produktu;
identifikaci ovlivněných důkazů od vývojáře;
popis úprav důkazů od vývojáře;
zjištění a závěry týkající se dopadu na záruku pro každou změnu.
3. Certifikační subjekt přezkoumá změny popsané ve zprávě o analýze dopadů, aby ověřil jejich dopad na záruku certifikovaného cíle hodnocení, jak je navrženo v závěrech zprávy o analýze dopadů.
4. Po přezkoumání certifikační subjekt určí rozsah změny jako drobný nebo velký podle jejího dopadu.
5. Pokud certifikační subjekt potvrdí, že změny jsou drobné, vydá se pro upravený produkt IKT nový certifikát a vypracuje se zpráva o údržbě k původní zprávě o certifikaci.
Zpráva o údržbě je součástí dílčí zprávy o analýze dopadů a obsahuje tyto oddíly:
úvod;
popis změn;
dotčené důkazy od vývojáře.
6. Zpráva o údržbě uvedená v bodě 5 se poskytne agentuře ENISA pro zveřejnění na jejích internetových stránkách věnovaných certifikaci kybernetické bezpečnosti.
7. Pokud se potvrdí, že změny jsou velké, provede se přehodnocení v kontextu předchozího hodnocení a znovu se použijí všechny výsledky předchozího hodnocení, které jsou stále platné.
8. Po dokončení hodnocení změněného cíle hodnocení vypracuje zařízení ITSEF novou hodnotící technickou zprávu. Certifikační subjekt přezkoumá aktualizovanou hodnotící technickou zprávu a případně vydá nový certifikát s novou zprávou o certifikaci.
9. Nový certifikát a zpráva o certifikaci se předají agentuře ENISA ke zveřejnění.
IV.4 Správa oprav
1. Postup správy oprav zajišťuje strukturovaný proces aktualizace certifikovaného produktu IKT. Postup správy oprav včetně mechanismu, který žadatel o certifikaci zavedl do produktu IKT, lze použít po certifikaci produktu IKT na odpovědnost subjektu posuzování shody.
2. Žadatel o certifikaci může do certifikace produktu IKT zahrnout opravný mechanismus jako součást certifikovaného postupu řízení zavedeného do produktu IKT za jedné z následujících podmínek:
funkce ovlivněné opravou se nacházejí mimo cíl hodnocení certifikovaného produktu IKT;
oprava se týká předem stanovené drobné změny certifikovaného produktu IKT;
oprava se týká potvrzené zranitelnosti s kritickým dopadem na bezpečnost certifikovaného produktu IKT.
3. Pokud se oprava týká velké změny cíle hodnocení certifikovaného produktu IKT v souvislosti s dříve nezjištěnou zranitelností, která nemá kritický dopad na bezpečnost produktu IKT, použijí se ustanovení článku 13.
4. Postup správy oprav pro produkt IKT se skládá z následujících prvků:
proces vývoje a vydání opravy pro produkt IKT;
technický mechanismus a funkce pro přijetí opravy do produktu IKT;
soubor hodnotících činností týkajících se účinnosti a výkonnosti technického mechanismu.
5. Během certifikace produktu IKT:
žadatel o certifikaci produktu IKT poskytne popis postupu správy oprav;
zařízení ITSEF ověří následující prvky:
vývojář zavedl opravné mechanismy do produktu IKT v souladu s postupem správy oprav, který byl předložen k certifikaci;
meze cíle hodnocení jsou odděleny tak, aby změny provedené v oddělených procesech neovlivnily bezpečnost cíle hodnocení;
technický opravný mechanismus funguje v souladu s ustanoveními tohoto oddílu a tvrzeními žadatele;
certifikační subjekt zahrne do zprávy o certifikaci výsledek posuzovaného postupu správy oprav.
6. Držitel certifikátu může přistoupit k aplikaci opravy vytvořené v souladu s certifikovaným postupem správy oprav dotčeného certifikovaného produktu IKT a v následujících případech musí do 5 pracovních dnů podniknout tyto kroky:
v případě uvedeném v bodě 2 písm. a) nahlásit příslušnou opravu certifikačnímu subjektu, který nezmění odpovídající certifikát EUCC;
v případě uvedeném v bodě 2 písm. b) předložit příslušnou opravu zařízení ITSEF k přezkoumání. Zařízení ITSEF po obdržení opravy informuje certifikační subjekt, který přijme příslušná opatření k vydání nové verze příslušného certifikátu EUCC a k aktualizaci zprávy o certifikaci;
v případě uvedeném v bodě 2 písm. c) předložit dotčenou opravu zařízení ITSEF k nezbytnému přehodnocení, ale může opravu nasadit souběžně. Zařízení ITSEF informuje certifikační subjekt, který poté zahájí související certifikační činnosti.
PŘÍLOHA V
Obsah zprávy o certifikaci
V.1 Zpráva o certifikaci
1. Na základě hodnotících technických zpráv poskytnutých zařízením ITSEF vypracuje certifikační subjekt zprávu o certifikaci, kterou zveřejní spolu s příslušným certifikátem EUCC.
2. Zpráva o certifikaci je zdrojem podrobných a praktických informací o produktu IKT nebo kategorii produktů IKT a o bezpečném nasazení produktu IKT, a proto musí obsahovat všechny veřejně dostupné informace, které lze sdílet a jež jsou důležité pro uživatele a zúčastněné strany. Veřejně dostupné informace, které lze sdílet, mohou být uvedeny ve zprávě o certifikaci.
3. Zpráva o certifikaci musí obsahovat alespoň tyto oddíly:
shrnutí;
identifikace produktu IKT nebo kategorie produktu IKT pro profily ochrany;
bezpečnostní služby;
předpoklady a vyjasnění oblasti působnosti;
architektonické informace;
případné doplňující informace o kybernetické bezpečnosti;
testování produktu IKT, pokud bylo provedeno;
v příslušných případech identifikaci procesů řízení životního cyklu a výrobních zařízení držitele certifikátu;
výsledky hodnocení a informace o certifikátu;
shrnutí bezpečnostního cíle produktu IKT předloženého k certifikaci;
označení nebo štítek přiřazené k systému, pokud je k dispozici;
bibliografie.
4. Shrnutí je stručným shrnutím celé zprávy o certifikaci. Shrnutí poskytuje jasný a stručný přehled výsledků hodnocení a obsahuje následující informace:
název hodnoceného produktu IKT, výčet součástí produktu, které jsou součástí hodnocení, a verze produktu IKT;
název zařízení ITSEF, které hodnocení provedlo, a případně seznam subdodavatelů;
datum ukončení hodnocení;
odkaz na hodnotící technickou zprávu vypracovanou zařízením ITSEF;
stručný popis výsledků zprávy o certifikaci, včetně:
verze a případně vydání společných kritérií, která se na hodnocení vztahují;
balíčku záruk podle společných kritérií a složek záruky bezpečnosti včetně úrovně AVA_VAN použité při hodnocení a odpovídající úrovně záruky podle článku 52 nařízení (EU) 2019/881, na které se certifikát EUCC vztahuje;
bezpečnostní funkce hodnoceného produktu IKT;
shrnutí hrozeb a bezpečnostních politik organizace, které hodnocený produkt IKT řeší;
zvláštních požadavků na konfiguraci;
předpokladů o provozním prostředí;
případně přítomnosti schváleného postupu správy oprav v souladu s oddílem IV.4 přílohy IV;
prohlášení o vyloučení odpovědnosti.
5. Hodnocený produkt IKT je jasně označen a obsahuje tyto informace:
název hodnoceného produktu IKT;
výčet součástí produktu IKT, které jsou součástí hodnocení;
číslo verze součástí produktu IKT;
identifikace dodatečných požadavků na provozní prostředí certifikovaného produktu IKT;
jméno a kontaktní údaje držitele certifikátu EUCC;
případně postup správy oprav, který je součástí certifikátu;
odkaz na internetové stránky držitele certifikátu EUCC, kde jsou uvedeny doplňující informace o kybernetické bezpečnosti certifikovaného produktu IKT v souladu s článkem 55 nařízení (EU) 2019/881.
6. Informace obsažené v tomto oddíle jsou co nejpřesnější, aby byla zajištěna úplná a přesná reprezentace produktu IKT, kterou lze znovu použít při budoucích hodnoceních.
7. Oddíl o bezpečnostní politice obsahuje popis bezpečnostní politiky produktu IKT a strategie nebo pravidla, která hodnocený produkt IKT prosazuje nebo dodržuje. Musí obsahovat odkaz a popis následujících strategií:
strategie nakládání se zranitelnostmi držitele certifikátu;
strategie kontinuity záruky držitele certifikátu.
8. V případě potřeby mohou strategie zahrnovat podmínky týkající se používání postupu správy oprav během platnosti certifikátu.
9. Oddíl pro předpoklady a vyjasnění oblasti působnosti obsahuje vyčerpávající informace o okolnostech a cílech souvisejících se zamýšleným použitím produktu, jak je uvedeno v čl. 7 odst. 1 písm. c). Informace obsahují:
předpoklady o použití a nasazení produktu IKT v podobě minimálních požadavků, jako je správná instalace a konfigurace a splnění požadavků na hardware;
předpoklady o prostředí pro vyhovující provoz produktu IKT.
10. Informace uvedené v bodě 9 musí být co nejsrozumitelnější, aby uživatelé certifikovaného produktu IKT mohli činit informovaná rozhodnutí o rizicích spojených s jeho používáním.
11. Oddíl s informacemi o architektuře obsahuje popis produktu IKT a jeho hlavních součástí na vysoké úrovni v souladu s návrhem subsystémů ADV_TDS podle společných kritérií.
12. Úplný seznam doplňujících informací o kybernetické bezpečnosti produktu IKT se poskytuje v souladu s článkem 55 nařízení (EU) 2019/881. Veškerá příslušná dokumentace se označuje čísly verzí.
13. Oddíl o zkoušení produktů IKT obsahuje tyto informace:
název a kontaktní místo orgánu nebo subjektu, který certifikát vydal, včetně odpovědného vnitrostátního orgánu certifikace kybernetické bezpečnosti;
název zařízení ITSEF, které provedlo hodnocení, pokud se liší od certifikačního subjektu;
identifikace použitých složek záruky z norem uvedených v článku 3;
verze přehledu aktuálních certifikačních postupů a další kritéria hodnocení bezpečnosti použitá při hodnocení;
úplné a přesné nastavení a konfigurace produktu IKT během hodnocení, včetně provozních poznámek a pozorování, pokud jsou k dispozici;
jakýkoli použitý profil ochrany, včetně následujících informací:
autor profilu ochrany;
název a identifikátor profilu ochrany;
identifikátor certifikátu profilu ochrany;
název a kontaktní údaje certifikačního subjektu a zařízení ITSEF, které se podílí na hodnocení profilu ochrany;
balíček (balíčky) záruk požadovaných pro produkt, který je ve shodě s profilem ochrany.
14. Výsledky hodnocení a informace týkající se oddílu o certifikátu obsahují tyto informace:
potvrzení o dosažené úrovni záruky podle článku 4 tohoto nařízení a článku 52 nařízení (EU) 2019/881;
požadavky na záruku z norem uvedených v článku 3, které produkt IKT nebo profil ochrany skutečně splňuje, včetně úrovně AVA_VAN;
podrobný popis požadavků na záruku a také podrobnosti o tom, jak produkt splňuje jednotlivé požadavky;
datum vydání a doba platnosti certifikátu;
jedinečný identifikátor certifikátu.
15. Bezpečnostní cíl se zahrne do zprávy o certifikaci nebo se na něj ve zprávě o certifikaci odkáže a shrne se a pro účely zveřejnění se k němu připojí zpráva o certifikaci.
16. Bezpečnostní cíl může být sanitizován v souladu s oddílem VI.2.
17. Označení nebo štítek spojené se systémem EUCC mohou být vloženy do zprávy o certifikaci v souladu s pravidly a postupy stanovenými v článku 11.
18. Oddíl bibliografie obsahuje odkazy na všechny dokumenty použité při sestavování zprávy o certifikaci. Tyto informace obsahují alespoň tyto údaje:
kritéria hodnocení bezpečnosti, přehledy aktuálních certifikačních postupů a další použité příslušné specifikace a jejich verze;
hodnotící technická zpráva;
případně hodnotící technická zpráva pro složené hodnocení;
technická referenční dokumentace;
dokumentace vývojáře použitá při hodnocení.
19. Aby byla zaručena reprodukovatelnost hodnocení, musí být veškerá dokumentace, na kterou se odkazuje, jednoznačně identifikována správným datem vydání a správným číslem verze.
V.2 Sanitizace bezpečnostního cíle pro zveřejnění
1. Bezpečnostní cíl, který má být zahrnut do zprávy o certifikaci podle bodu 1 oddílu VI.1 nebo na nějž tato zpráva odkazuje, může být sanitizován odstraněním nebo parafrázováním technických informací, které jsou předmětem ochrany.
2. Výsledný sanitizovaný bezpečnostní cíl musí být skutečnou reprezentací své úplné původní verze. To znamená, že sanitizovaný bezpečnostní cíl nesmí vynechat informace, které jsou nezbytné pro pochopení bezpečnostních vlastností cíle hodnocení a rozsahu hodnocení.
3. Obsah sanitizovaného bezpečnostního cíle splňuje následující minimální požadavky:
jeho úvod se nesanitizuje, protože obecně neobsahuje žádné informace, které by byly předmětem ochrany;
sanitizovaný bezpečnostní cíl musí mít jedinečný identifikátor, který je odlišný od jeho úplné původní verze;
popis cíle hodnocení může být redukován, protože může obsahovat chráněné a podrobné informace o návrhu cíli hodnocení, které by neměly být zveřejněny;
popis bezpečnostního prostředí cíle hodnocení (předpoklady, hrozby, organizační bezpečnostní politiky) se neredukuje, pokud jsou uvedené informace nezbytné pro pochopení rozsahu hodnocení;
bezpečnostní cíle se neredukují, protože je třeba zveřejnit všechny informace, aby bylo možné pochopit záměr bezpečnostního cíle a cíle hodnocení;
všechny bezpečnostní požadavky se zveřejní. V aplikačních poznámkách mohou být uvedeny informace o tom, jak byly funkční požadavky společných kritérií uvedené v článku 3 použity k pochopení bezpečnostního cíle;
souhrnná specifikace cíle hodnocení obsahuje všechny bezpečnostní funkce cíle hodnocení, ale další informace, které jsou předmětem ochrany, mohou být sanitizovány;
odkazy na profily ochrany použité na cíl hodnocení;
zdůvodnění může být sanitizováno tak, aby byly odstraněny informace, které jsou předmětem ochrany.
4. I v případě, že sanitizovaný bezpečnostní cíl není formálně hodnocen v souladu s hodnotícími normami uvedenými v článku 3, certifikační subjekt zajistí, aby byl v souladu s úplným a hodnoceným bezpečnostním cílem, a ve zprávě o certifikaci uvede odkaz na úplný i sanitizovaný bezpečnostní cíl.
PŘÍLOHA VI
Rozsah vzájemného hodnocení a složení týmu pro vzájemné hodnocení
VI.1 Rozsah vzájemného hodnocení
1. Jsou zahrnuty tyto typy vzájemného hodnocení:
typ 1: pokud certifikační subjekt provádí certifikační činnosti na úrovni AVA_VAN.3;
typ 2: pokud certifikační subjekt provádí certifikační činnosti související s technickou oblastí uvedenou v příloze I jako přehledy aktuálních certifikačních postupů;
typ 3: pokud certifikační subjekt provádí certifikační činnosti nad úrovní AVA_VAN.3 s využitím profilu ochrany uvedeného jako přehled aktuálních certifikačních postupů v příloze II nebo III.
2. Certifikační subjekt, který je podroben vzájemnému hodnocení, předloží seznam certifikovaných produktů IKT, které mohou být kandidátem na přezkoumání týmem pro vzájemné hodnocení, v souladu s následujícími pravidly:
kandidátské produkty pokrývají technický rozsah autorizace certifikačního subjektu, přičemž nejméně dvě různá hodnocení produktů na úrovni záruky „vysoká“ budou analyzována prostřednictvím vzájemného hodnocení, a jeden profil ochrany, pokud certifikační subjekt vydal certifikát na úrovni záruky „vysoká“;
pro vzájemné hodnocení typu 2 předloží certifikační subjekt alespoň jeden produkt za každou technickou oblast a za každé dotčené zařízení ITSEF;
pro vzájemné hodnocení typu 3 je alespoň jeden kandidátský produkt hodnocen v souladu s použitelnými a relevantními profily ochrany.
VI.2 Tým pro vzájemné hodnocení
1. Hodnotící tým se skládá nejméně ze dvou odborníků, přičemž každý je vybrán z různých certifikačních subjektů, které vydávají certifikáty s úrovní záruky „vysoká“, a z různých členských států. Odborníci by měli prokázat příslušné odborné znalosti v oblasti norem uvedených v článku 3 a v oblasti přehledů aktuálních certifikačních postupů, které jsou předmětem vzájemného hodnocení.
2. V případě pověření vydáním certifikátu nebo předchozího schválení certifikátů podle čl. 56 odst. 6 nařízení (EU) 2019/881 musí být členem týmu odborníků vybraných podle odstavce 1 tohoto oddílu navíc odborník z vnitrostátního orgánu certifikace kybernetické bezpečnosti, který je ve spojení s dotčeným certifikačním subjektem.
3. Pro vzájemné hodnocení typu 2 jsou členové týmu vybráni z certifikačních subjektů, které jsou autorizovány pro danou technickou oblast.
4. Každý člen hodnotícího týmu má nejméně dvouletou zkušenost s prováděním certifikačních činností v certifikačním subjektu.
5. Pro vzájemné hodnocení typu 2 nebo 3 má každý člen hodnotícího týmu alespoň dvouletou zkušenost s prováděním certifikačních činností v příslušné technické oblasti nebo profilu ochrany a prokázané odborné znalosti a účast na autorizaci zařízení ITSEF.
6. Vnitrostátní orgán certifikace kybernetické bezpečnosti, který monitoruje vzájemně hodnocený certifikační subjekt a dohlíží na něj, a alespoň jeden vnitrostátní orgán certifikace kybernetické bezpečnosti, jehož certifikační subjekt není předmětem vzájemného hodnocení, se vzájemného hodnocení účastní jako pozorovatel. Agentura ENISA se může vzájemného hodnocení účastnit také jako pozorovatel.
7. Certifikačnímu subjektu, který je podroben vzájemnému hodnocení, je předloženo složení týmu pro vzájemné hodnocení. V odůvodněných případech může složení týmu pro vzájemné hodnocení zpochybnit a požádat o jeho přezkoumání.
PŘÍLOHA VII
Obsah certifikátu EUCC
Certifikát EUCC musí obsahovat alespoň:
jedinečný identifikátor stanovený certifikačním subjektem vydávajícím certifikát;
informace týkající se certifikovaného produktu IKT nebo profilu ochrany a držitele certifikátu, včetně:
názvu produktu IKT nebo profilu ochrany a případně cíle hodnocení;
typu produktu IKT nebo profilu ochrany a případně cíle hodnocení;
verze produktu IKT nebo profilu ochrany;
jména, adresy a kontaktních údajů držitele certifikátu;
odkazu na internetové stránky držitele certifikátu obsahující doplňující informace o kybernetické bezpečnosti uvedené v článku 55 nařízení (EU) 2019/881;
informace týkající se hodnocení a certifikace produktu IKT nebo profilu ochrany, včetně:
názvu, adresy a kontaktních údajů certifikačního subjektu, který certifikát vydal;
pokud se liší od certifikačního subjektu, názvu zařízení ITSEF, které provedlo hodnocení;
názvu příslušného vnitrostátního orgánu certifikace kybernetické bezpečnosti;
odkazu na toto nařízení;
odkazu na zprávu o certifikaci spojenou s certifikátem uvedeným v příloze V;
příslušné úrovně záruky v souladu s článkem 4;
odkazu na verzi norem použitou pro hodnocení podle článku 3;
identifikace úrovně záruky nebo balíčku záruk specifikovaných v normách uvedených v článku 3 a v souladu s přílohou VIII, včetně použitých složek záruky a úrovně AVA_VAN, na kterou se vztahuje;
případně odkazu na jeden nebo více profilů ochrany, kterým produkt IKT nebo profil ochrany vyhovuje;
data vydání;
doby platnosti certifikátu;
označení a štítek spojené s certifikátem v souladu s článkem 11.
PŘÍLOHA VIII
Prohlášení o balíčku záruk
1. Rozšíření, na rozdíl od definic ve společných kritériích:
se neoznačuje zkratkou „+“;
je podrobně popsáno seznamem všech dotčených složek;
je podrobně popsáno ve zprávě o certifikaci.
2. Úroveň záruky potvrzená v certifikátu EUCC může být doplněna úrovní záruky hodnocení podle článku 3 tohoto nařízení.
3. Pokud se úroveň záruky potvrzená v certifikátu EUCC nevztahuje na rozšíření, uvede se v certifikátu EUCC jeden z následujících balíčků:
„balíček specifických záruk“;
„balíček záruk odpovídající profilu ochrany“ v případě odkazu na profil ochrany bez úrovně záruky hodnocení.
PŘÍLOHA IX
Označení a štítek
1. Podoba označení a štítku:
2. Pokud jsou označení a štítek zmenšeny nebo zvětšeny, musí být dodrženy proporce zobrazené ve výše uvedeném výkresu.
3. Pokud jsou fyzicky přítomny, musí být označení a štítek vysoké nejméně 5 mm.
( 1 ) Prováděcí nařízení Komise (EU) 2016/799 ze dne 18. března 2016, kterým se provádí nařízení Evropského parlamentu a Rady (EU) č. 165/2014, kterým se stanoví požadavky na konstrukci, zkoušení, montáž, provoz a opravy tachografů a jejich součástí (Úř. věst. L 139, 26.5.2016, s. 1, ELI:. http://data.europa.eu/eli/reg_impl/2016/799/oj).
( 2 ) Nařízení Evropského parlamentu a Rady (EU) č. 910/2014 ze dne 23. července 2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu a o zrušení směrnice 1999/93/ES (Úř. věst. L 257, 28.8.2014, s. 73, ELI: http://data.europa.eu/eli/reg/2014/910/oj).
( 3 ) Prováděcí rozhodnutí Komise (EU) 2016/650 ze dne 25. dubna 2016, kterým se stanoví normy pro posuzování bezpečnosti kvalifikovaných prostředků pro vytváření elektronických podpisů a pečetí podle čl. 30 odst. 3 a čl. 39 odst. 2 nařízení Evropského parlamentu a Rady (EU) č. 910/2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu (Úř. věst. L 109, 26.4.2016, s. 40, ELI: http://data.europa.eu/eli/dec_impl/2016/650/oj).
( 4 ) Směrnice Evropského parlamentu a Rady (EU) 2022/2555 ze dne 14. prosince 2022 o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii a o změně nařízení (EU) č. 910/2014 a směrnice (EU) 2018/1972 a o zrušení směrnice (EU) 2016/1148 (směrnice NIS 2) (Úř. věst. L 333, 27.12.2022, s. 80).