CELEX:32024R3143: Regulamentul de punere în aplicare (UE) 2024/3143 al Comisiei din 18 decembrie 2024 de stabilire a circumstanțelor, a formatelor și a procedurilor pentru notificările efectuate în temeiul articolului 61 alineatul (5) din Regulamentul (UE) 2019/881 al Parlamentului European și al Consiliului privind ENISA (Agenția Uniunii Europene pentru Securitate Cibernetică) și privind certificarea securității cibernetice pentru tehnologia informației și comunicațiilor
|
Redacția Lex24 |
| Publicat in Repertoriu EUR-Lex, 08/01/2025 |
| |
Informatii
Data documentului: 18/12/2024; Data adoptăriiData intrării în vigoare: 08/01/2025; intrare în vigoare data publicării +20 a se vedea articolul 5
Data încetării: No end date
Emitent: Comisia Europeană, Direcția Generală Rețele de Comunicare, Conținut și Tehnologie
Formă: Repertoriu EUR-Lex
 |
Jurnalul Ofícial |
RO Seria L |
|
2024/3143 |
19.12.2024 |
REGULAMENTUL DE PUNERE ÎN APLICARE (UE) 2024/3143 AL COMISIEI
din 18 decembrie 2024
de stabilire a circumstanțelor, a formatelor și a procedurilor pentru notificările efectuate în temeiul articolului 61 alineatul (5) din Regulamentul (UE) 2019/881 al Parlamentului European și al Consiliului privind ENISA (Agenția Uniunii Europene pentru Securitate Cibernetică) și privind certificarea securității cibernetice pentru tehnologia informației și comunicațiilor
(Text cu relevanță pentru SEE)
COMISIA EUROPEANĂ,
având în vedere Tratatul privind funcționarea Uniunii Europene,
având în vedere Regulamentul (UE) 2019/881 al Parlamentului European și al Consiliului din 17 aprilie 2019 privind ENISA (Agenția Uniunii Europene pentru Securitate Cibernetică) și privind certificarea securității cibernetice pentru tehnologia informației și comunicațiilor și de abrogare a Regulamentului (UE) nr. 526/2013 (Regulamentul privind securitatea cibernetică) (1), în special articolul 61 alineatul (5),
întrucât:
|
(1) |
În temeiul articolului 61 alineatul (1) din Regulamentul (UE) 2019/881 (Regulamentul privind securitatea cibernetică), autoritățile naționale de certificare a securității cibernetice sunt responsabile de notificarea Comisiei cu privire la organismele de evaluare a conformității care au fost acreditate și, după caz, autorizate să elibereze certificate europene de securitate cibernetică la niveluri de asigurare specificate și ar trebui să mențină notificarea la zi. În plus, în conformitate cu articolul 61 alineatul (2) din Regulamentul (UE) 2019/881, Comisia trebuie să publice în Jurnalul Oficial al Uniunii Europene o listă a organismelor de evaluare a conformității notificate în temeiul unui sistem european de certificare a securității cibernetice la un an de la intrarea în vigoare a sistemului respectiv. Pentru a asigura o abordare armonizată a notificărilor și pentru a facilita procesul de notificare pentru autoritățile naționale de certificare a securității cibernetice, prezentul regulament ar trebui să precizeze mai în detaliu circumstanțele, formatele și procedurile pentru notificări. Este important ca aceste aspecte să fie clarificate în vederea aplicării primului sistem european de certificare a securității cibernetice bazat pe criterii comune (EUCC) prevăzut în Regulamentul de punere în aplicare (UE) 2024/482 al Comisiei (2). |
|
(2) |
Prezentul regulament recunoaște sinergiile dintre Regulamentul (UE) 2019/881 și legislația relevantă de armonizare a Uniunii, inclusiv Regulamentul (UE) 2024/2847 al Parlamentului European și al Consiliului (Regulamentul privind reziliența cibernetică) (3). Prin urmare, se propune ca autoritățile naționale de certificare a securității cibernetice să informeze în acest sens Comisia prin intermediul instrumentului de notificare electronică, dezvoltat și gestionat de Comisie, menționat în Decizia 768/2008/CE a Parlamentului European și a Consiliului (4). Fără a aduce atingere obligației Comisiei de a publica în Jurnalul Oficial al Uniunii Europene lista organismelor notificate de evaluare a conformității, lista respectivă ar trebui, de asemenea, să fie pusă la dispoziția publicului prin intermediul instrumentului de notificare electronică dezvoltat și gestionat de Comisie. |
|
(3) |
Notificarea organismelor de evaluare a conformității acreditate și, după caz, autorizate înseamnă că se poate încredința în mod fiabil acestor organisme efectuarea de activități de evaluare și certificare în conformitate cu Regulamentul (UE) 2019/881, contribuind la reputația generală a sistemelor europene de certificare a securității cibernetice. În consecință, este esențial să se asigure faptul că organismele de evaluare a conformității care au fost notificate îndeplinesc cerințele și respectă în timp obligațiile ce le revin. Lista publicată a organismelor notificate de evaluare a conformității ar trebui să fie exactă și actualizată, reflectând conformitatea acestora cu cerințele prevăzute în Regulamentul (UE) 2019/881 și, după caz, cu cerințele specifice sau suplimentare din cadrul unui sistem european de certificare a securității cibernetice. În acest scop, este necesar ca autoritățile naționale de certificare a securității cibernetice să notifice Comisiei orice modificare a notificării, fără întârzieri nejustificate, în conformitate cu articolul 61 alineatul (1) din Regulamentul (UE) 2019/881. |
|
(4) |
Autoritățile naționale de certificare a securității cibernetice au responsabilitatea de a se asigura că organismele de evaluare a conformității respectă Regulamentul (UE) 2019/881 și sistemele europene de certificare a securității cibernetice și, în acest context, de a asigura acuratețea notificărilor. Aceste activități fac obiectul unei evaluări inter pares, al cărei rezultat ar trebui să contribuie la stabilirea oricăror modificări necesare pentru a le spori eficacitatea. Autoritățile naționale de certificare a securității cibernetice pot constata că un organism de evaluare a conformității nu mai respectă cerințele relevante ca urmare a unor preocupări care le-au fost aduse la cunoștință în diferite circumstanțe. După caz, constatările mecanismelor de evaluare inter pares ar trebui să sprijine autoritățile naționale de certificare a securității cibernetice să monitorizeze faptul că organismele notificate de evaluare a conformității dispun în continuare de competențele necesare. În plus, alte autorități naționale de certificare a securității cibernetice, Comisia sau părțile interesate pot sesiza autoritatea națională notificatoare de certificare a securității cibernetice cu preocupări legate de menținerea competențelor necesare ale organismelor notificate de evaluare a conformității. |
|
(5) |
Atunci când decide să suspende, să restricționeze sau să retragă notificarea unui organism de evaluare a conformității, autoritatea națională notificatoare de certificare a securității cibernetice trebuie să coopereze cu organismul național de acreditare desemnat în temeiul Regulamentului (CE) nr. 765/2008 al Parlamentului European și al Consiliului (5). Acest lucru este în conformitate cu Regulamentul (UE) 2019/881, care prevede că autoritățile naționale de certificare a securității cibernetice ar trebui să asiste, să sprijine și să coopereze în mod activ cu organismele naționale de acreditare în activitățile lor de monitorizare și supraveghere. Restricționarea notificării ar trebui să se refere la un caz în care domeniul de aplicare al acreditării sau, după caz, domeniul de aplicare al autorizării și, prin urmare, domeniul de aplicare al notificării sunt reduse. |
|
(6) |
În temeiul articolului 54 alineatul (1) litera (n) din Regulamentul (UE) 2019/881, fiecare sistem european de certificare a securității cibernetice trebuie să includă, după caz, norme privind păstrarea evidențelor de către organismele de evaluare a conformității. Prin urmare, este necesar ca, în cazul restricționării, suspendării sau retragerii notificării sau în cazul în care organismul de evaluare a conformității notificat și-a încetat activitatea, autoritatea națională notificatoare de certificare a securității cibernetice să se asigure că evidențele respectivului organism de evaluare a conformității sunt stocate în mod securizat și păstrate pe perioada necesară, astfel cum se prevede în cadrul unui sistem european de certificare a securității cibernetice. |
|
(7) |
Măsurile prevăzute în prezentul regulament sunt conforme cu avizul comitetului instituit în temeiul articolului 66 din Regulamentul (UE) 2019/881, |
ADOPTĂ PREZENTUL REGULAMENT:
Articolul 1
Obiect
Prezentul regulament stabilește circumstanțele, formatele și procedurile pentru notificarea organismelor de evaluare a conformității de către autoritățile naționale de certificare a securității cibernetice în temeiul articolului 61 alineatul (1) din Regulamentul (UE) 2019/881.
Articolul 2
Procedura de notificare
(1) În conformitate cu articolul 61 alineatul (1) din Regulamentul (UE) 2019/881, autoritățile naționale de certificare a securității cibernetice notifică Comisiei organismele de evaluare a conformității care au îndeplinit cerințele prevăzute în Regulamentul (UE) 2019/881 și, după caz, cerințele specifice sau suplimentare din cadrul unui sistem european de certificare a securității cibernetice.
(2) Autoritățile naționale de certificare a securității cibernetice informează Comisia prin intermediul instrumentului de notificare electronică dezvoltat și gestionat de Comisie, astfel cum se menționează în Decizia 768/2008/CE.
(3) Notificarea trebuie să includă informațiile prevăzute în anexă.
Articolul 3
Numerele de identificare și lista organismelor de evaluare a conformității
(1) Comisia atribuie un număr de identificare organismului de evaluare a conformității notificat. Comisia atribuie un număr unic de identificare, chiar dacă organismul este notificat în baza mai multor sisteme europene de certificare a securității cibernetice sau acte ale Uniunii.
(2) Atunci când pune la dispoziție lista organismelor notificate de evaluare a conformității prin intermediul instrumentului de notificare electronică elaborat și gestionat de Comisie, Comisia include numerele de identificare care au fost alocate organismelor notificate de evaluare a conformității și activitățile pentru care acestea au fost notificate.
(3) ENISA pune la dispoziție informațiile privind organismele notificate de evaluare a conformității pe site-ul său dedicat privind sistemele europene de certificare a securității cibernetice menționate la articolul 50 alineatul (1) din Regulamentul (UE) 2019/881.
Articolul 4
Modificări ale notificărilor
(1) Autoritățile naționale de certificare a securității cibernetice notifică, fără întârzieri nejustificate, Comisiei orice modificare ulterioară a notificării menționate la articolul 2 prin intermediul instrumentului de notificare electronică dezvoltat și gestionat de Comisie, în conformitate cu articolul 61 alineatul (1) din Regulamentul (UE) 2019/881.
(2) În cazul în care o autoritate națională de certificare a securității cibernetice a constatat, în cooperare cu organismul național de acreditare, astfel cum se prevede în Regulamentul (UE) 2019/881, că un organism notificat de evaluare a conformității nu mai îndeplinește cerințele sau obligațiile care îi revin, autoritatea națională de certificare a securității cibernetice restricționează, suspendă sau retrage notificarea, după caz, în funcție de gravitatea nerespectării cerințelor sau a neîndeplinirii obligațiilor respective. Autoritatea națională de certificare a securității cibernetice informează în consecință Comisia prin intermediul instrumentului de notificare electronică dezvoltat și gestionat de Comisie, fără întârzieri nejustificate.
(3) În cazul restricționării, suspendării sau retragerii notificării sau în cazul în care organismul de evaluare a conformității notificat și-a încetat activitatea, autoritatea națională notificatoare de certificare a securității cibernetice ia măsurile corespunzătoare pentru a se asigura că evidențele respectivului organism de evaluare a conformității sunt stocate în mod securizat și păstrate pe perioada necesară, astfel cum se prevede în cadrul unui sistem european de certificare a securității cibernetice.
Articolul 5
Intrarea în vigoare
Prezentul regulament intră în vigoare în a douăzecea zi de la data publicării în Jurnalul Oficial al Uniunii Europene.
Prezentul regulament este obligatoriu în toate elementele sale și se aplică direct în toate statele membre.
Adoptat la Bruxelles, 18 decembrie 2024.
Pentru Comisie
Președinta
Ursula VON DER LEYEN
(1)
JO L 151, 7.6.2019, p. 15, ELI: http://data.europa.eu/eli/reg/2019/881/oj.
(2) Regulamentul de punere în aplicare (UE) 2024/482 al Comisiei din 31 ianuarie 2024 de stabilire a normelor de aplicare a Regulamentului (UE) 2019/881 al Parlamentului European și al Consiliului în ceea ce privește adoptarea sistemului european de certificare a securității cibernetice bazat pe criterii comune (EUCC) (JO L, 2024/482, 7.2.2024, ELI: http://data.europa.eu/eli/reg_impl/2024/482/oj).
(3) Regulamentul (UE) 2024/2847 al Parlamentului European și al Consiliului din 23 octombrie 2024 privind cerințele orizontale în materie de securitate cibernetică pentru produsele cu elemente digitale și de modificare a Regulamentelor (UE) nr. 168/2013 și (UE) 2019/1020, precum și a Directivei (UE) 2020/1828 (Regulamentul privind reziliența cibernetică) (JO L, 2024/2847, 20.11.2024, ELI: http://data.europa.eu/eli/reg/2024/2847/oj).
(4) Decizia nr. 768/2008/CE a Parlamentului European și a Consiliului din 9 iulie 2008 privind un cadru comun pentru comercializarea produselor și de abrogare a Deciziei 93/465/CEE a Consiliului (JO L 218, 13.8.2008, p. 82, ELI: http://data.europa.eu/eli/dec/2008/768/oj).
(5) Regulamentul (CE) nr. 765/2008 al Parlamentului European și al Consiliului din 9 iulie 2008 de stabilire a cerințelor de acreditare și de supraveghere a pieței în ceea ce privește comercializarea produselor și de abrogare a Regulamentului (CEE) nr. 339/93 (JO L 218, 13.8.2008, p. 30, ELI: http://data.europa.eu/eli/reg/2008/765/oj).
ANEXĂ
Informații care trebuie incluse în notificarea unui organism de evaluare a conformității în cadrul unui sistem european de certificare a securității cibernetice în temeiul articolului 61 alineatul (1) din Regulamentul (UE) 2019/881, astfel cum se menționează la articolul 2 alineatul (3) din prezentul regulament
1.
Informații generale
|
1. |
Titlul sistemului de certificare a securității cibernetice |
|
2. |
Nivelul (nivelurile) de asigurare, după caz, și procedurile conexe de evaluare a conformității (de exemplu, de bază, substanțial, ridicat) |
|
3. |
Domeniul de aplicare (de exemplu, domeniul de aplicare al acreditării, categorii sau tipuri de produse, servicii, procese) |
2.
Informații privind autoritatea națională notificatoare de certificare a securității cibernetice
|
1. |
Denumirea |
|
2. |
Țara |
|
3. |
Adresa poștală |
|
4. |
Adresa (adresele) de e-mail |
|
5. |
Numărul (numerele) de telefon |
|
6. |
Site-ul web |
3.
Informații privind organismul de evaluare a conformității notificat
|
1. |
Denumirea |
|
2. |
Țara |
|
3. |
Adresa poștală |
|
4. |
Adresa (adresele) de e-mail |
|
5. |
Numărul (numerele) de telefon |
|
6. |
Site-ul web |
4.
Informații privind acreditarea
|
1. |
Acreditarea
|
|
2. |
Organismul național de acreditare
|
5.
Informații privind autorizația (dacă este cazul)
|
1. |
Autorizația
|
|
2. |
Autoritatea națională de autorizare a securității cibernetice (dacă este diferită de autoritatea națională notificatoare de certificare a securității cibernetice)
|
6.
Informații suplimentare
|
1. |
Informații suplimentare necesare în cadrul unui sistem european specific de certificare a securității cibernetice |
|
2. |
Documente justificative |
ELI: http://data.europa.eu/eli/reg_impl/2024/3143/oj
ISSN 1977-0782 (electronic edition)
