(EU) 2024/3143Prováděcí nařízení Komise (EU) 2024/3143 ze dne 18. prosince 2024, kterým se stanoví okolnosti, formáty a postupy pro oznámení podle čl. 61 odst. 5 nařízení Evropského parlamentu a Rady (EU) 2019/881 o agentuře ENISA (Agentuře Evropské unie pro kybernetickou bezpečnost) a o certifikaci kybernetické bezpečnosti informačních a komunikačních technologií
| Publikováno: | Úř. věst. L 3143, 19.12.2024 | Druh předpisu: | Prováděcí nařízení |
| Přijato: | 18. prosince 2024 | Autor předpisu: | Evropská komise |
| Platnost od: | 8. ledna 2025 | Nabývá účinnosti: | 8. ledna 2025 |
| Platnost předpisu: | Ano | Pozbývá platnosti: | |
Text předpisu s celou hlavičkou je dostupný pouze pro registrované uživatele.
|
Úřední věstník |
CS Řada L |
|
2024/3143 |
19.12.2024 |
PROVÁDĚCÍ NAŘÍZENÍ KOMISE (EU) 2024/3143
ze dne 18. prosince 2024,
kterým se stanoví okolnosti, formáty a postupy pro oznámení podle čl. 61 odst. 5 nařízení Evropského parlamentu a Rady (EU) 2019/881 o agentuře ENISA („Agentuře Evropské unie pro kybernetickou bezpečnost“) a o certifikaci kybernetické bezpečnosti informačních a komunikačních technologií
(Text s významem pro EHP)
EVROPSKÁ KOMISE,
s ohledem na Smlouvu o fungování Evropské unie,
s ohledem na nařízení Evropského parlamentu a Rady (EU) 2019/881 ze dne 17. dubna 2019 o agentuře ENISA („Agentuře Evropské unie pro kybernetickou bezpečnost“), o certifikaci kybernetické bezpečnosti informačních a komunikačních technologií a o zrušení nařízení (EU) č. 526/2013 („akt o kybernetické bezpečnosti“) (1), a zejména na čl. 61 odst. 5 tohoto nařízení,
vzhledem k těmto důvodům:
|
(1) |
Podle čl. 61 odst. 1 nařízení (EU) 2019/881 („akt o kybernetické bezpečnosti“) jsou vnitrostátní orgány certifikace kybernetické bezpečnosti odpovědné za to, že Komisi budou oznámeny subjekty posuzování shody akreditovanéh a případně autorizované k vydávání evropských certifikátů kybernetické bezpečnosti s určenými úrovněmi záruky, přičemž tato oznámení by měly průběžně aktualizovat. Kromě toho je Komise podle čl. 61 odst. 2 nařízení (EU) 2019/881 povinna seznam subjektů posuzování shody oznámených v rámci evropského systému certifikace kybernetické bezpečnosti zveřejnit v Úředním věstníku Evropské unie, a to do jednoho roku po vstupu tohoto schématu v platnost. Aby byl zajištěn harmonizovaný přístup k oznamování a usnadnil se postup oznamování vnitrostátním orgánům certifikace kybernetické bezpečnosti, mělo by toto nařízení dále upřesnit okolnosti, formáty a postupy pro oznámení. Tyto aspekty je důležité vyjasnit s ohledem na uplatňování prvního evropského systému certifikace kybernetické bezpečnosti založeného na společných kritériích (EUCC) stanoveného prováděcím nařízením Komise (EU) 2024/482 (2). |
|
(2) |
Toto nařízení uznává synergie mezi nařízením (EU) 2019/881 a příslušnými harmonizačními právními předpisy Unie, včetně nařízení Evropského parlamentu a Rady (EU) 2024/2847 (akt o kybernetické odolnosti) (3). Navrhuje se proto, aby vnitrostátní orgány certifikace kybernetické bezpečnosti informovaly Komisi prostřednictvím elektronického nástroje pro oznamování, který vyvinula a spravuje Komise, uvedeného v rozhodnutí Evropského parlamentu a Rady č. 768/2008/ES (4). Aniž by byla dotčena povinnost Komise zveřejnit seznam oznámených subjektů posuzování shody v Úředním věstníku Evropské unie, měl by být tento seznam rovněž zpřístupněn veřejnosti v elektronickém nástroji pro oznamování vyvinutém a spravovaném Komisí. |
|
(3) |
Oznamování akreditovaných a případně autorizovaných subjektů posuzování shody znamená, že těmto subjektům lze důvěřovat při provádění hodnotících a certifikačních činností v souladu s nařízením (EU) 2019/881, což přispívá k celkové dobré pověsti evropských systémů certifikace kybernetické bezpečnosti. Je proto nezbytné zajistit, aby oznámené subjekty posuzování shody splňovaly své požadavky a plnily své povinnosti i v průběhu času. Zveřejněný seznam oznámených subjektů posuzování shody by měl být přesný a aktualizovaný a měl by odrážet jejich soulad s požadavky stanovenými v nařízení (EU) 2019/881 a případně se zvláštními nebo dodatečnými požadavky v rámci evropského systému certifikace kybernetické bezpečnosti. Za tímto účelem je nezbytné, aby vnitrostátní orgány certifikace kybernetické bezpečnosti bez zbytečného prodlení oznámily Komisi jakékoli změny oznámení v souladu s čl. 61 odst. 1 nařízení (EU) 2019/881. |
|
(4) |
Vnitrostátní orgány certifikace kybernetické bezpečnosti odpovídají za zajištění toho, aby subjekty posuzování shody dodržovaly nařízení (EU) 2019/881 a evropské systémy certifikace kybernetické bezpečnosti, a v této souvislosti zajišťují přesnost oznámení. Tyto činnosti podléhají vzájemnému hodnocení, jehož výsledek by měl pomoci určit veškeré nezbytné změny ke zvýšení jejich účinnosti. Vnitrostátní orgány certifikace kybernetické bezpečnosti mohou na základě obav, které mu byly za různých okolností oznámeny, zjistit, že subjekt posuzování shody již nesplňuje příslušné požadavky. Zjištění mechanismů vzájemného hodnocení by měla v příslušných případech podpořit vnitrostátní orgány certifikace kybernetické bezpečnosti při sledování trvalé způsobilosti oznámených subjektů posuzování shody. Kromě toho mohou jiné vnitrostátní orgány certifikace kybernetické bezpečnosti, Komise nebo zúčastněné strany vznést u oznamujícího vnitrostátního orgánu certifikace kybernetické bezpečnosti obavy týkající se trvalé způsobilosti oznámených subjektů posuzování shody. |
|
(5) |
Při rozhodování o pozastavení, omezení nebo zrušení oznámení subjektu posuzování shody má oznamující vnitrostátní orgán certifikace kybernetické bezpečnosti spolupracovat s vnitrostátním akreditačním orgánem jmenovaným podle nařízení Evropského parlamentu a Rady (ES) č. 765/2008 (5). To je v souladu s nařízením (EU) 2019/881, které stanoví, že vnitrostátní orgány certifikace kybernetické bezpečnosti by měly aktivně pomáhat vnitrostátním akreditačním orgánům, podporovat je a spolupracovat s nimi při jejich činnostech v oblasti monitorování a dozoru. Omezení oznámení by se mělo vztahovat na případ, kdy je rozsah akreditace nebo, v příslušných případech, rozsah autorizace, a tedy rozsah oznámení, omezen. |
|
(6) |
Podle čl. 54 odst. 1 písm. n) nařízení (EU) 2019/881 každé evropské schéma certifikace kybernetické bezpečnosti zahrnuje v příslušných případech pravidla upravující uchovávání záznamů ze strany subjektů posuzování shody. Je proto nezbytné, aby v případě omezení, pozastavení nebo zrušení oznámení nebo v případě, že oznámený subjekt posuzování shody ukončil svou činnost, oznamující vnitrostátní orgán certifikace kybernetické bezpečnosti zajistil, aby byly záznamy tohoto subjektu posuzování shody uchovávány bezpečným způsobem a po nezbytnou dobu, jak je stanoveno v evropském systému certifikace kybernetické bezpečnosti. |
|
(7) |
Opatření stanovená tímto nařízením jsou v souladu se stanoviskem výboru zřízeného podle článku 66 nařízení (EU) 2019/881, |
PŘIJALA TOTO NAŘÍZENÍ:
Článek 1
Předmět
Toto nařízení stanoví okolnosti, formáty a postupy pro oznamování subjektů posuzování shody ze strany vnitrostátních orgánů certifikace kybernetické bezpečnosti podle čl. 61 odst. 1 nařízení (EU) 2019/881.
Článek 2
Postup oznámení
1. V souladu s čl. 61 odst. 1 nařízení (EU) 2019/881 oznámí vnitrostátní orgány certifikace kybernetické bezpečnosti Komisi subjekty posuzování shody, které splňují požadavky stanovené v nařízení (EU) 2019/881 a v příslušných případech zvláštní nebo dodatečné požadavky v rámci evropského schématu certifikace kybernetické bezpečnosti.
2. Vnitrostátní orgán certifikace kybernetické bezpečnosti Komisi zašle oznámení pomocí elektronického nástroje pro oznamování vyvinutého a spravovaného Komisí, jak je uvedeno v rozhodnutí č. 768/2008/ES.
3. Oznámení musí obsahovat informace stanovené v příloze.
Článek 3
Identifikační čísla a seznam subjektů posuzování shody
1. Komise oznámenému subjektu posuzování shody přidělí identifikační číslo. Toto jedinečné identifikační číslo mu přidělí i v případě, že je subjekt oznámen v rámci více evropských schémat certifikace kybernetické bezpečnosti nebo aktů Unie.
2. Komise při zpřístupňování seznamu oznámených subjektů posuzování shody v elektronickém nástroji pro oznamování vyvinutém a spravovaném Komisí uvede identifikační čísla, která byla oznámeným subjektům posuzování shody přidělena, a činnosti, pro něž byly oznámeny.
3. Agentura ENISA zpřístupní informace týkající se oznámených subjektů posuzování shody na svých internetových stránkách o evropských schématech certifikace kybernetické bezpečnosti uvedených v čl. 50 odst. 1 nařízení (EU) 2019/881.
Článek 4
Změny v oznámeních
1. Vnitrostátní orgány certifikace kybernetické bezpečnosti oznámí Komisi bez zbytečného prodlení veškeré následné změny oznámení uvedeného v článku 2 prostřednictvím elektronického nástroje pro oznamování vyvinutého a spravovaného Komisí v souladu s čl. 61 odst. 1 nařízení (EU) 2019/881.
2. Pokud vnitrostátní orgán certifikace kybernetické bezpečnosti ve spolupráci s vnitrostátním akreditačním orgánem podle nařízení (EU) 2019/881 zjistí, že oznámený subjekt posuzování shody již nesplňuje požadavky nebo povinnosti, které se na něj vztahují, omezí, pozastaví nebo případně zruší oznámení podle toho, jak je neplnění těchto požadavků nebo povinností závažné. Bez zbytečného prodlení o tomodpovídajícím způsobem informuje Komisi prostřednictvím elektronického nástroje pro oznamování vyvinutého a spravovaného Komisí.
3. V případě omezení, pozastavení nebo zrušení oznámení nebo v případě, že oznámený subjekt posuzování shody ukončil svou činnost, oznamující vnitrostátní orgán certifikace kybernetické bezpečnosti podnikne vhodné kroky k zajištění toho, aby záznamy tohoto subjektu posuzování shody byly uchovávány bezpečným způsobem a po nezbytnou dobu, jak je stanoveno v evropském systému certifikace kybernetické bezpečnosti.
Článek 5
Vstup v platnost
Toto nařízení vstupuje v platnost dvacátým dnem po vyhlášení v Úředním věstníku Evropské unie.
Toto nařízení je závazné v celém rozsahu a přímo použitelné ve všech členských státech.
V Bruselu dne 18. prosince 2024.
Za Komisi
předsedkyně
Ursula VON DER LEYEN
(1) Úř. věst. L 151, 7.6.2019, s. 15, ELI: http://data.europa.eu/eli/reg/2019/881/oj.
(2) Prováděcí nařízení Komise (EU) 2024/482 ze dne 31. ledna 2024, kterým se stanoví prováděcí pravidla k nařízení Evropského parlamentu a Rady (EU) 2019/881, pokud jde o přijetí evropského systému certifikace kybernetické bezpečnosti založeného na společných kritériích (EUCC) (Úř. věst. L, 2024/482, 7.2.2024, ELI: http://data.europa.eu/eli/reg_impl/2024/482/oj).
(3) Nařízení Evropského parlamentu a Rady (EU) 2024/2847 ze dne 23. října 2024 o horizontálních požadavcích na kybernetickou bezpečnost produktů s digitálními prvky a o změně nařízení (EU) č. 168/2013 a (EU) 2019/1020 a směrnice (EU) 2020/1828 (akt o kybernetické odolnosti) (Úř. věst. L, 2024/2847, 20.11.2024, ELI: http://data.europa.eu/eli/reg/2024/2847/oj).
(4) Rozhodnutí Evropského parlamentu a Rady č. 768/2008/ES ze dne 9. července 2008 o společném rámci pro uvádění výrobků na trh a o zrušení rozhodnutí Rady 93/465/EHS (Úř. věst. L 218, 13.8.2008, s. 82, ELI: http://data.europa.eu/eli/dec/2008/768(1)/oj).
(5) Nařízení Evropského parlamentu a Rady (ES) č. 765/2008 ze dne 9. července 2008, kterým se stanoví požadavky na akreditaci a dozor nad trhem týkající se uvádění výrobků na trh a kterým se zrušuje nařízení (EHS) č. 339/93 (Úř. věst. L 218, 13.8.2008, s. 30, ELI: http://data.europa.eu/eli/reg/2008/765/oj).
PŘÍLOHA
Informace, které mají být uvedeny v oznámení subjektu posuzování shody v rámci evropského schématu certifikace kybernetické bezpečnosti podle čl. 61 odst. 1 nařízení (EU) 2019/881, jak je uvedeno v čl. 2 odst. 3 tohoto nařízení
1.
Obecné informace:|
1) |
Název schématu certifikace kybernetické bezpečnosti |
|
2) |
Případná(é) úroveň (úrovně) záruky a související postupy posuzování shody (např. základní, podstatná, vysoká) |
|
3) |
Oblast působnosti (např. rozsah akreditace, kategorie nebo druhy výrobků, služeb, postupů) |
2.
Informace o oznamujícím vnitrostátním orgánu certifikace kybernetické bezpečnosti:|
1) |
Název |
|
2) |
Země |
|
3) |
Poštovní adresa |
|
4) |
E-mailová adresa (adresy) |
|
5) |
Telefonní číslo (čísla) |
|
6) |
Internetová stránka |
3.
Informace o subjektu posuzování shody, který je předmětem oznámení:|
1) |
Název |
|
2) |
Země |
|
3) |
Poštovní adresa |
|
4) |
E-mailová adresa (adresy) |
|
5) |
Telefonní číslo (čísla) |
|
6) |
Internetová stránka |
4.
Informace o akreditaci:|
1) |
Akreditace:
|
|
2) |
Vnitrostátní akreditační orgán:
|
5.
Informace o autorizaci (v příslušných případech):|
1) |
Autorizace:
|
|
2) |
Vnitrostátní orgán pro kybernetickou bezpečnost udělující autorizaci (pokud se liší od oznamujícího vnitrostátního orgánu certifikace kybernetické bezpečnosti):
|
6.
Další informace:|
1) |
Veškeré další informace požadované v konkrétním evropském schématu certifikace kybernetické bezpečnosti |
|
2) |
Veškeré podpůrné doklady |
ELI: http://data.europa.eu/eli/reg_impl/2024/3143/oj
ISSN 1977-0626 (electronic edition)