(b) захищати дані, які зберігають, передають або по-іншому опрацьовують, від випадкового або несанкціонованого знищення, втрати, зміни або недоступності протягом усього життєвого циклу продукту ІКТ, послуги ІКТ або процесу ІКТ;
(c) гарантувати, що уповноважені особи, програми або механізми можуть мати доступ лише до тих даних, послуг або функцій, які вказані в їхніх правах доступу;
(d) ідентифікувати та документувати відомі залежності та вразливості;
(e) реєструвати, до яких даних, послуг або функцій отримали доступ, які з них використовували або по-іншому опрацьовували, хто це робив та коли;
(f) уможливити перевірку того, до яких даних, послуг або функцій отримали доступ, які з них використовували або по-іншому опрацьовували, хто це робив та коли;
(g) перевіряти, що продукти ІКТ, послуги ІКТ та процеси ІКТ не містять відомих вразливостей;
(h) вчасно відновлювати наявність і доступ до даних та функцій у разі фізичного або технічного інциденту;
(i) гарантувати безпеку продуктів ІКТ, послуг ІКТ та процесів ІКТ за замовчуванням та за призначенням;
(j) гарантувати, що продукти ІКТ, послуги ІКТ та процеси ІКТ забезпечені актуальним програмним та апаратним забезпеченням, яке не містить широковідомих вразливостей, та забезпечені механізмами для безпечних оновлень.
Стаття 52. Рівні надійності європейських схем сертифікації кібербезпеки
1. Європейська схема сертифікації кібербезпеки може визначати один або більше з таких рівнів надійності для продуктів ІКТ, послуг ІКТ та процесів ІКТ: "базовий", "істотний" або "високий". Рівень надійності повинен відповідати рівню ризику, пов’язаному з використанням за призначенням продукту ІКТ, послуги ІКТ або процесу ІКТ, з точки зору ймовірності та впливу інциденту.
2. У європейських сертифікатах з кібербезпеки та деклараціях ЄС про відповідність вказують будь-який рівень надійності, визначений у європейській схемі сертифікації кібербезпеки, відповідно до якої було видано європейський сертифікат з кібербезпеки або декларацію ЄС про відповідність.
3. Вимоги безпеки, що відповідають кожному рівню надійності, повинні бути вказані у відповідній європейській схемі сертифікації кібербезпеки, включно з відповідними функціональними можливостями безпеки та суворістю й глибиною оцінювання, якому підлягатиме такий продукт ІКТ, послуга ІКТ або процес ІКТ.
4. У сертифікаті або декларації ЄС про відповідність вказують технічні специфікації, стандарти та процедури, у тому числі технічні контролі, мета яких полягає у зниженні ризику виникнення інцидентів кібербезпеки або запобіганні таким інцидентам.
5. Європейський сертифікат з кібербезпеки або декларація ЄС про відповідність, де вказано "базовий" рівень надійності, гарантує, що продукти ІКТ, послуги ІКТ та процеси ІКТ, для яких видано такий сертифікат або декларацію ЄС про відповідність, відповідають вимогам безпеки, у тому числі функціональним можливостям безпеки, і що їх було оцінено на рівні, спрямованому на мінімізацію відомих базових ризиків інцидентів та кібератак. Заходи з оцінювання, які будуть проведені, повинні включати принаймні перегляд технічної документації. Якщо такий перегляд не є доцільним, його заміняють заходами з оцінювання з рівнозначним ефектом.
6. Європейський сертифікат з кібербезпеки, у якому вказано "істотний" рівень надійності, гарантує, що продукти ІКТ, послуги ІКТ та процеси ІКТ, для яких видано такий сертифікат, відповідають вимогам безпеки, у тому числі функціональним можливостям безпеки, і що їх було оцінено на рівні, спрямованому на мінімізацію відомих ризиків, пов’язаних із кібербезпекою, а також ризиків виникнення інцидентів та кібератак, які виконують суб’єкти з обмеженими вміннями та ресурсами. Заходи з оцінювання, які будуть проведені, повинні включати принаймні таке: перегляд для підтвердження відсутності широковідомих вразливостей та тестування для підтвердження того, що продукти ІКТ, послуги ІКТ або процеси ІКТ належним чином реалізують необхідні функціональні можливості безпеки. Якщо такі заходи з оцінювання не є доцільними, їх заміняють заходами з оцінювання з рівнозначним ефектом.
7. Європейський сертифікат з кібербезпеки, у якому вказано "високий" рівень надійності, гарантує, що продукти ІКТ, послуги ІКТ та процеси ІКТ, для яких видано такий сертифікат, відповідають вимогам безпеки, у тому числі функціональним можливостям безпеки, і що їх було оцінено на рівні, спрямованому на мінімізацію ризиків передових кібератак, які виконують суб’єкти зі значними вміннями та ресурсами. Заходи з оцінювання, які будуть проведені, повинні включати принаймні таке: перегляд для підтвердження відсутності широковідомих вразливостей; тестування для підтвердження того, що продукти ІКТ, послуги ІКТ та процеси ІКТ реалізують необхідні функціональні можливості безпеки на високому рівні; та оцінювання рівня їхнього опору досвідченим нападникам з використанням тестування проникненням. Якщо такі заходи з оцінювання не є доцільними, їх заміняють заходами з рівнозначним ефектом.
8. У європейській схемі сертифікації кібербезпеки може бути визначено декілька рівнів оцінювання, залежно від суворості та глибини використовуваних методів оцінювання. Кожен рівень оцінювання повинен відповідати одному з рівнів надійності та визначатися відповідною комбінацією компонентів надійності.
Стаття 53. Самооцінювання відповідності
1. Європейська схема сертифікації кібербезпеки може уможливлювати самооцінювання відповідності під одноосібну відповідальність виробника або надавача продуктів ІКТ, послуг ІКТ або процесів ІКТ. Дозвіл на самооцінювання відповідності надають лише стосовно продуктів ІКТ, послуг ІКТ та процесів ІКТ з низьким рівнем ризику, що відповідає "низькому" рівню надійності.
2. Виробник або надавач продуктів ІКТ, послуг ІКТ або процесів ІКТ може видавати декларацію ЄС про відповідність, у якій заявляє про виконання всіх вимог, визначених у схемі. У разі оформлення такої декларації виробник або надавач продуктів ІКТ, послуг ІКТ або процесів ІКТ бере на себе відповідальність за відповідність продуктів ІКТ, послуг ІКТ або процесів ІКТ вимогам, визначеним у схемі.
3. Виробник або надавач продуктів ІКТ, послуг ІКТ або процесів ІКТ надає доступ до декларації ЄС про відповідність, технічної документації та іншої відповідної інформації, що стосується відповідності продуктів ІКТ, послуг ІКТ або процесів ІКТ схемі, національному органу з сертифікації кібербезпеки, зазначеному в статті 58, на строк, визначений у відповідній європейській схемі сертифікації кібербезпеки. Копію декларації ЄС про відповідність вимогам надають національним органам із сертифікації кібербезпеки та ENISA.
4. Видача декларації ЄС про відповідність є добровільною, якщо інше не визначено у праві Союзу або держави-члена.
5. Декларації ЄС про відповідність повинні визнаватися у всіх державах-членах.
Стаття 54. Елементи європейських схем сертифікації кібербезпеки
1. Європейська схема сертифікації кібербезпеки включає принаймні такі елементи:
(a) предмет і сферу застосування схеми сертифікації, у тому числі тип або категорії охоплених продуктів ІКТ, послуг ІКТ та процесів ІКТ;
(b) чіткий опис мети схеми та відповідності обраних стандартів, методів оцінювання та рівнів надійності потребам цільових користувачів схеми;
(c) покликання на міжнародні, європейські або національні стандарти, які були застосовані під час оцінювання, або, якщо такі стандарти недоступні або недоцільні, технічні специфікації, які відповідають вимогам, визначеним у додатку II до Регламенту (ЄС) № 1025/2012, або, якщо такі специфікації недоступні, технічні специфікації чи інші вимоги кібербезпеки, визначені в європейській схемі сертифікації кібербезпеки;
(d) якщо застосовно, один або більше рівнів надійності;
(e) зазначення, чи дозволене самооцінювання відповідності згідно зі схемою;
(f) якщо застосовно, конкретні або додаткові вимоги, застосовні до органів з оцінювання відповідності, для гарантування їхньої технічної компетентності в оцінюванні вимог кібербезпеки;
(g) конкретні критерії та методи оцінювання, включаючи типи оцінювання, які будуть застосовані для підтвердження того, що цілей, зазначених у статті 51, досягнуто;
(h) якщо застосовно, необхідну для сертифікації інформацію, яку заявник повинен надіслати або іншим способом надати органам з оцінювання відповідності;
(i) якщо схема передбачає маркування або етикетки, умови, за яких можна використовувати такі маркування або етикетки;
(j) правила для моніторингу відповідності продуктів ІКТ, послуг ІКТ та процесів ІКТ вимогам європейських сертифікатів з кібербезпеки або декларацій ЄС про відповідність, включаючи механізми, що демонструють безперервне дотримання визначених вимог із кібербезпеки;
(k) якщо застосовно, умови видачі, підтримання, подовження дії та поновлення європейських сертифікатів з кібербезпеки, а також умови розширення або зменшення обсягу сертифікації;
(l) правила стосовно наслідків для продуктів ІКТ, послуг ІКТ та процесів ІКТ, для яких видали сертифікат або декларацію ЄС про відповідність, але які не відповідають вимогам схеми;
(m) правила стосовно того, як звітувати про раніше невиявлені вразливості кібербезпеки у продуктах ІКТ, послугах ІКТ та процесах ІКТ та як вирішувати таку проблему;
(n) якщо застосовно, правила зберігання документації органами з оцінювання відповідності;
(o) ідентифікацію національних або міжнародних схем сертифікації кібербезпеки, що охоплюють однакові тип або категорії продуктів ІКТ, послуг ІКТ та процесів ІКТ вимоги безпеки, критерії та методи оцінювання та рівні надійності;
(p) зміст та формат європейських сертифікатів з кібербезпеки та декларацій ЄС про відповідність, які будуть видані;
(q) період, протягом якого доступні декларація ЄС про відповідність та технічна документація та протягом якого виробник або надавач продуктів ІКТ, послуг ІКТ або процесів ІКТ надає доступ до іншої відповідної інформації;
(r) максимальний період, протягом якого дійсні видані відповідно до схеми європейські сертифікати з кібербезпеки;
(s) політику розкриття інформації стосовно європейських сертифікатів з кібербезпеки, які видали, до яких вносили зміни або які вилучили відповідно до схеми;
(t) умови для взаємного визнання схем сертифікацій із третіми країнами;
(u) якщо застосовно, правила стосовно будь-якого механізму партнерського оцінювання, встановленого схемою для органів, що видають європейські сертифікати з кібербезпеки, у яких вказано "високий" рівень надійності, відповідно до статті 56(6). Такий механізм не обмежує партнерської перевірки, зазначеної у статті 59;
(v) формат та процедури, яких повинні дотримуватися виробники або надавачі продуктів ІКТ, послуг ІКТ або процесів ІКТ під час надання та оновлення додаткової інформації про кібербезпеку відповідно до статті 55.
2. Визначені вимоги європейської схеми сертифікації кібербезпеки повинні відповідати будь-яким застосовним правовим вимогам, зокрема вимогам, визначеним у гармонізованому законодавстві Союзу.
3. Якщо таке передбачено у конкретному правовому акті Союзу, сертифікат або декларація ЄС про відповідність, видані відповідно до європейської схеми сертифікації кібербезпеки, можуть бути використані для підтвердження презумпції відповідності вимогам такого правового акта.
4. У разі відсутності гармонізованого законодавства Союзу законодавство держави-члена може передбачати використання європейської схеми сертифікації кібербезпеки для встановлення презумпції відповідності правовим вимогам.
Стаття 55. Додаткова інформація з питань забезпечення кібербезпеки стосовно сертифікованих продуктів ІКТ, послуг ІКТ та процесів ІКТ
1. Виробник або надавач сертифікованих продуктів ІКТ, послуг ІКТ або процесів ІКТ чи продуктів ІКТ, послуг ІКТ або процесів ІКТ для яких було видано декларацію ЄС про відповідність, оприлюднює таку додаткову інформацію щодо кібербезпеки:
(a) настанови та рекомендації, що допомагають користувачам безпечно конфігурувати, встановлювати, розгортати, експлуатувати та обслуговувати продукти ІКТ або послуги ІКТ;
(b) період, під час якого кінцевим користувачам буде надана підтримка з безпеки, зокрема щодо наявності пов’язаних із кібербезпекою оновлень;
(c) контактні дані виробника або надавача та погоджені методи отримання інформації про вразливість від користувачів та дослідників у сфері забезпечення інформаційної безпеки;
(d) покликання на онлайн-репозиторії зі списком оприлюднених вразливостей, що стосуються продукту ІКТ, послуги ІКТ або процесу ІКТ та будь-яких відповідних рекомендацій.
2. Інформація, зазначена в параграфі 1, повинна бути доступною в електронному форматі та повинна залишатися доступною й оновлюватися принаймні до завершення дії відповідного європейського сертифіката з кібербезпеки або декларації ЄС про відповідність.
Стаття 56. Сертифікація кібербезпеки
1. Продукти ІКТ, послуги ІКТ та процеси ІКТ, які були сертифіковані за європейською схемою сертифікації кібербезпеки, ухваленою відповідно до статті 49, вважаються такими, що відповідають вимогам такої схеми.
2. Сертифікація кібербезпеки є добровільною, якщо інше не зазначено в законодавстві Союзу або держави-члена.
3. Комісія регулярно оцінює ефективність та використання ухвалених європейських схем сертифікації кібербезпеки та оцінює, чи конкретна європейська схема сертифікації кібербезпеки повинна стати обов’язковою за допомогою відповідного законодавства Союзу для забезпечення належного рівня кібербезпеки продуктів ІКТ, послуг ІКТ та процесів ІКТ в Союзі та покращення функціонування внутрішнього ринку. Перше таке оцінювання повинне бути проведене до 31 грудня 2023 року, а подальші оцінювання повинні проводитися принаймні кожні два роки. На основі результатів таких оцінювань Комісія повинна ідентифікувати продукти ІКТ, послуги ІКТ та процеси ІКТ, які охоплює наявна схема сертифікації та які повинна охоплювати обов’язкова схема сертифікації.
У першу чергу Комісія повинна зосередити увагу на галузях, перерахованих у додатку II до Директиви (ЄС) 2016/1148 , які слід оцінити не пізніше двох років після ухвалення першої європейської схеми сертифікації кібербезпеки.
Під час підготування оцінювання Комісія:
(a) враховує вплив заходів на виробників або надавачів таких продуктів ІКТ, послуг ІКТ або процесів ІКТ та на користувачів з точки зору витрат на такі заходи та суспільних або економічних вигід від очікуваного підвищення рівня безпеки продуктів ІКТ, послуг ІКТ або процесів ІКТ;
(b) враховує існування та імплементацію відповідного законодавства держав-членів та третіх країн;
(c) проводить відкритий, прозорий та інклюзивний процес консультування з усіма відповідними стейкхолдерами та державами-членами;
(d) враховує терміни імплементації, перехідні положення та періоди, зокрема пов'язані з можливим впливом заходу на виробників або надавачів продуктів ІКТ, послуг ІКТ або процесів ІКТ, у тому числі МСП;
(e) пропонує найбільш швидкий та ефективний спосіб переходу від обов’язкових до добровільних схем сертифікації.
4. Органи з оцінювання відповідності, зазначені в статті 60, видають європейські сертифікати з кібербезпеки відповідно до цієї статті, у яких вказано рівень безпеки "базовий" або "істотний", на основі критеріїв, що входять до європейської схеми сертифікації кібербезпеки, ухваленої Комісією відповідно до статті 49.
5. Як відступ від параграфа 4, у належно обґрунтованих випадках європейська схема сертифікації кібербезпеки може передбачати, що європейські сертифікати з кібербезпеки, які є результатом такої схеми, повинні видаватися лише органом публічної влади. Таким органом повинен бути один із таких:
(a) національний орган з сертифікації кібербезпеки, як зазначено у статті 58(1); або
(b) орган публічної влади, акредитований як орган з оцінювання відповідності відповідно до статті 60(1).
6. Якщо європейська схема сертифікації кібербезпеки, ухвалена відповідно до статті 49, вимагає "високого" рівня надійності, європейський сертифікат з кібербезпеки в рамках такої схеми видається лише національним органом з сертифікації кібербезпеки або, у таких випадках, органом з оцінювання відповідності:
(a) після попереднього схвалення національним органом з сертифікації кібербезпеки кожного окремого європейського сертифіката з кібербезпеки, виданого органом з оцінювання відповідності; або
(b) на основі загального делегування завдання з видачі таких європейських сертифікатів з кібербезпеки національним органом з сертифікації кібербезпеки органу з оцінювання відповідності.
7. Фізична або юридична особа, яка подає на сертифікацію продукти ІКТ, послуги ІКТ або процеси ІКТ, надає національному органу з сертифікації кібербезпеки, зазначеному в статті 58, якщо це орган, що видає європейський сертифікат з кібербезпеки, або органу з оцінювання відповідності, зазначеному в статті 60, усю необхідну для проведення сертифікації інформацію.
8. Держатель європейського сертифіката з кібербезпеки повідомляє органу, зазначеному в параграфі 7, про будь-які виявлені в подальшому вразливості або порушення стосовно безпеки сертифікованого продукту ІКТ, послуги ІКТ або процесу ІКТ, які можуть впливати на їхню відповідність вимогам, пов’язаним із сертифікацією. Такий орган без невиправданої затримки пересилає таку інформацію відповідному національному органу сертифікації кібербезпеки.
9. Європейський сертифікат з кібербезпеки видають на період, передбачений у європейській схемі сертифікації кібербезпеки, та його можна поновити за умови подальшого виконання відповідних вимог.
10. Європейський сертифікат з кібербезпеки, виданий відповідно до цієї статті, визнають в усіх державах-членах.
Стаття 57. Національні схеми сертифікації кібербезпеки та національні сертифікати з кібербезпеки
1. Без обмеження параграфа 3 цієї статті, національні схеми сертифікації кібербезпеки та пов’язані процедури для продуктів ІКТ, послуг ІКТ та процесів ІКТ, які охоплює європейська схема сертифікації кібербезпеки, втрачають юридичну силу з дати, встановленої в імплементаційному акті, ухваленому відповідно до статті 49(7). Національні схеми сертифікації кібербезпеки та пов’язані процедури для продуктів ІКТ, послуг ІКТ та процесів ІКТ, які не охоплює європейська схема сертифікації кібербезпеки, продовжують існувати.
2. Держави-члени не вводять нових національних схем сертифікації кібербезпеки для продуктів ІКТ, послуг ІКТ та процесів ІКТ, які вже охоплені чинною європейською схемою сертифікації кібербезпеки.
3. Наявні сертифікати, видані за національними схемами сертифікації кібербезпеки, охоплені європейською схемою сертифікації кібербезпеки, залишаються дійсними до закінчення терміну їхньої дії.
4. З метою уникнення фрагментації внутрішнього ринку держави-члени інформують Комісію та ECCG про будь-які наміри створити нові національні схеми сертифікації кібербезпеки.
Стаття 58. Національні органи з сертифікації кібербезпеки
1. Кожна держава-член призначає один або більше національних органів з сертифікації кібербезпеки на своїй території або, за згодою іншої держави-члена, призначає один або більше національних органів з сертифікації кібербезпеки, створених у такій іншій державі-члені, відповідальним за завдання з нагляду в державі-члені, яка призначила такий орган.
2. Кожна держава-член інформує Комісію про призначені національні органи з сертифікації кібербезпеки. Якщо держава-член призначає більше ніж один орган, вона також інформує Комісію про завдання, покладені на кожен з таких органів.
3. Без обмеження пункту (a) статті 56(5) та статті 56(6), кожен національний орган з сертифікації кібербезпеки є незалежним від суб’єктів, за якими він здійснює нагляд, у питаннях своєї організації, рішень про фінансування, організаційно-правової форми та вироблення й ухвалення рішень.
4. Держави-члени забезпечують чіткий поділ діяльності національних органів з сертифікації кібербезпеки, яка стосується випуску європейських сертифікатів з кібербезпеки, зазначеного в пункті (a) статті 56(5) та в статті 56(6), та їхньої наглядової діяльності, визначеної в цій статті, та забезпечують виконання цих двох видів діяльності незалежно один від одного.
5. Держави-члени забезпечують наявність у національних органів з сертифікації кібербезпеки належних ресурсів для здійснення їхніх повноважень та виконання їхніх завдань у результативний та ефективний спосіб.
6. Для ефективної імплементації цього Регламенту доцільно, щоб національні органи з сертифікації кібербезпеки брали участь в роботі ECCG активно, ефективно та у безпечний спосіб.
7. Національні органи з сертифікації кібербезпеки:
(a) здійснюють контроль та забезпечують дотримання правил, включених до європейських схем сертифікації кібербезпеки відповідно до пункту (i) статті 54(1), для моніторингу відповідності продуктів ІКТ, послуг ІКТ та процесів ІКТ вимогам європейських сертифікатів з кібербезпеки, виданих на відповідних територіях, у співпраці з іншими відповідними органами ринкового нагляду;
(b) здійснюють моніторинг та забезпечують виконання обов’язків виробників або надавачів продуктів ІКТ, послуг ІКТ або процесів ІКТ, які створені на їхніх відповідних територіях та які проводять самоперевірку на відповідність, та зокрема здійснюють моніторинг та забезпечують виконання обов’язків таких виробників або надавачів, визначених у статті 53(2) та (3) та у відповідній європейській схемі сертифікації кібербезпеки;
(c) без обмеження статті 60(3) активно надають допомогу національним органам з акредитації в моніторингу та нагляді за діяльністю органів з оцінювання відповідності для цілей цього Регламенту;
(d) здійснюють моніторинг і нагляд за діяльністю органів публічної влади, зазначених у статті 56(5);
(e) якщо застосовно, уповноважують органи з оцінювання відповідності згідно зі статтею 60(3) та обмежують, призупиняють або відкликають наявний дозвіл, якщо органи з оцінювання відповідності порушують вимоги цього Регламенту;
(f) розглядають скарги фізичних або юридичних осіб, пов’язані з європейськими сертифікатами з кібербезпеки, виданими національними органами з сертифікації кібербезпеки, або з європейськими сертифікатами з кібербезпеки, виданими органами з оцінювання відповідності відповідно до статті 56(6), або пов’язані з деклараціями ЄС про відповідність, виданими відповідно до статті 53, розслідують предмет таких скарг у належній мірі та інформують скаржника про хід і результат розслідування протягом розумного строку;
(g) надають ENISA та ECCG щорічний підсумковий звіт щодо діяльності, проведеної відповідно до пунктів (b), (c) та (d) або відповідно до параграфа 8;
(h) співпрацюють з іншими національними органами сертифікації кібербезпеки або іншими органами публічної влади, у тому числі шляхом поширення інформації щодо можливої невідповідності продуктів ІКТ, послуг ІКТ та процесів ІКТ вимогам цього Регламенту або вимогам конкретних європейських схем сертифікації кібербезпеки; та
(i) проводять моніторинг відповідних змін у сфері сертифікації кібербезпеки.
8. Кожен національний орган з сертифікації кібербезпеки має принаймні такі повноваження:
(a) давати запит органам з оцінювання відповідності, держателям європейських сертифікатів з кібербезпеки та емітентам декларацій ЄС про відповідність на надання будь-якої інформації, необхідної йому для виконання своїх завдань;
(b) проводити у формі аудитів розслідування органів з оцінювання відповідності, держателів європейських сертифікатів з кібербезпеки та емітентів декларацій ЄС про відповідність з метою перевірки їхньої відповідності цьому розділу;
(c) вживати відповідних заходів відповідно до національного права для забезпечення того, що органи з оцінювання відповідності, держателі європейських сертифікатів з кібербезпеки та емітенти декларацій ЄС про відповідність відповідають цьому Регламенту або європейській схемі сертифікації кібербезпеки;
(d) отримувати доступ до приміщень будь-яких органів з оцінювання відповідності або держателів європейських сертифікатів з кібербезпеки з метою проведення розслідувань відповідно до процесуального права Союзу або держави-члена;
(e) відкликати, відповідно до національного права, європейські сертифікати з кібербезпеки, видані європейськими органами з сертифікації кібербезпеки, або європейські сертифікати з кібербезпеки, видані органами з оцінювання відповідності відповідно до статті 56(6), якщо такі сертифікати не відповідають цьому Регламенту або європейській схемі сертифікації кібербезпеки;
(f) накладати санкції відповідно до національного права, як передбачено у статті 65, та вимагати негайного припинення порушення обов'язків, визначених у цьому Регламенті.
9. Національні органи з сертифікації кібербезпеки співпрацюють між собою та з Комісією, зокрема, шляхом здійснення обміну інформацією, досвідом та належними практиками стосовно сертифікації кібербезпеки та технічних питань щодо забезпечення кібербезпеки продуктів ІКТ, послуг ІКТ та процесів ІКТ.
Стаття 59. Партнерська перевірка
1. З метою досягнення на території Союзу рівнозначних стандартів стосовно європейських сертифікатів з кібербезпеки та декларацій ЄС про відповідність національні органи з сертифікації кібербезпеки підлягають партнерській перевірці.
2. Партнерську перевірку проводять на підставі розсудливих і прозорих критеріїв та процедур оцінювання, зокрема тих, що стосуються вимог до структури, персоналу і процесів, конфіденційності та скарг.
3. Партнерська перевірка оцінює:
(a) якщо застосовно, чи існує чіткий поділ між діяльністю національних органів з сертифікації кібербезпеки, яка стосується випуску європейських сертифікатів з кібербезпеки, зазначених у пункті (a) статті 56(5) та в статті 56(6), та їхньою наглядовою діяльністю, визначеною у статті 58, та чи відбувається виконання цих двох видів діяльності незалежно один від одного;
(b) процедури нагляду та забезпечення дотримання правил моніторингу відповідності продуктів ІКТ, послуг ІКТ та процесів ІКТ європейським сертифікатам з кібербезпеки відповідно до пункту (a) статті 58(7);
(c) процедури з моніторингу та забезпечення дотримання зобов’язань виробниками або надавачами продуктів ІКТ, послуг ІКТ або процесів ІКТ відповідно до пункту (b) статті 58(7);
(d) процедури з моніторингу, надання дозволу на діяльність органів з оцінювання відповідності та нагляду за діяльністю органів з оцінювання відповідності;
(e) якщо застосовно, чи персонал органів, що видають сертифікати, у яких вказано "високий" рівень надійності, відповідно до статті 56(6), володіє належними експертними знаннями.
4. Партнерську перевірку проводять щонайменше два національні органи з сертифікації кібербезпеки інших держав-членів та Комісія принаймні кожні п’ять років. ENISA може брати участь у партнерській перевірці.
5. Комісія може ухвалювати імплементаційні акти, у яких встановлює план партнерської перевірки, що охоплює період у принаймні п’ять років, встановлює критерії щодо складу команди, яка проводить партнерську перевірку, методологію, яку використовують під час партнерської перевірки, а також графік, частоту та інші пов’язані з нею завдання. При ухваленні таких імплементаційних актів Комісія повинна належним чином враховувати точку зору ECCG. Такі імплементаційні акти ухвалюють згідно з експертною процедурою, зазначеною в статті 66(2).
6. Результати партнерських перевірок розглядає ECCG, яка складає резюме, які можуть бути оприлюднені, та яка за необхідності видає настанови та рекомендації щодо дій або заходів, яких повинні вжити відповідні суб’єкти.
Стаття 60. Органи з оцінювання відповідності
1. Органи з оцінювання відповідності повинні бути акредитовані національними органами з акредитації, призначеними відповідно до Регламенту (ЄС) № 765/2008. Таку акредитацію надають лише за умови, що орган з оцінювання відповідності відповідає вимогам, визначеним у додатку до цього Регламенту.
2. Якщо європейський сертифікат з кібербезпеки видано національним органом з оцінювання відповідності згідно з пунктом (a) статті 56(5) та статті 56(6), сертифікаційний орган національного органу з сертифікації кібербезпеки акредитують як орган з оцінювання відповідності відповідно до параграфа 1 цієї статті.
3. Якщо у європейських схемах сертифікації кібербезпеки визначені конкретні або додаткові вимоги відповідно до пункту (f) статті 54(1), лише органи з оцінювання відповідності, які відповідають таким вимогам, отримують дозвіл від національного органу з оцінювання сертифікації на виконання своїх завдань за такими схемами.
4. Акредитацію, зазначену в параграфі 1, надають органам з оцінювання відповідності на строк до п’яти років, та її може бути поновлено на тих самих умовах, якщо орган з оцінювання відповідності продовжує відповідати вимогам, визначеним у цій статті. Національні органи з акредитації вживають усіх належних заходів протягом розумного строку для обмеження або призупинення дії або відкликання акредитації органу з оцінювання відповідності, наданої відповідно до параграфа 1, за умови недотримання умов акредитації або порушення органом з оцінювання відповідності положень цього Регламенту.
Стаття 61. Нотифікація
1. Відповідно до кожної європейської схеми сертифікації кібербезпеки національні органи з сертифікації кібербезпеки нотифікують Комісію про органи з оцінювання відповідності, які пройшли акредитацію та, якщо застосовно, яким відповідно до статті 60(3) було надано дозвіл видавати європейські сертифікати з кібербезпеки за визначених рівнів надійності, як зазначено у статті 52. Національні органи з сертифікації кібербезпеки повинні без невиправданої затримки повідомляти Комісію про будь-які подальші зміни.
2. Через один рік після набуття чинності європейської схеми сертифікації кібербезпеки Комісія публікує список органів з оцінювання відповідності, нотифікованих за такою схемою, в Офіційному віснику Європейського Союзу.
3. Якщо Комісія отримує нотифікацію після закінчення строку, зазначеного в параграфі 2, вона публікує список нотифікованих органів з оцінювання відповідності в Офіційному віснику Європейського Союзу протягом двох місяців з дати отримання такої нотифікації.
4. Національний орган з сертифікації кібербезпеки може подавати Комісії запит на вилучення органу з оцінювання відповідності, нотифікованого таким органом, зі списку, зазначеного в параграфі 2. Комісія публікує відповідні зміни до зазначеного списку в Офіційному віснику Європейського Союзу протягом одного місяця з дати отримання запиту національного органу з сертифікації кібербезпеки.
5. Комісія може ухвалювати імплементаційні акти, у яких установлює умови, формат та процедури для здійснення нотифікації, зазначеної в параграфі 1 цієї статті. Такі імплементаційні акти ухвалюють згідно з експертною процедурою, зазначеною в статті 66(2).
Стаття 62. Європейська група з сертифікації кібербезпеки
1. Повинна бути створена Група з сертифікації кібербезпеки (ECCG).
2. До складу ECCG входять представники національних органів з сертифікації кібербезпеки або представники інших відповідних національних органів. Член ECCG не може представляти більше двох держав-членів.
3. Стейкхолдери та відповідні треті сторони можуть отримати запрошення відвідувати засідання ECCG та брати участь у її роботі.
4. ECCG має такі завдання:
(a) надавати консультації та допомогу Комісії в її роботі для забезпечення послідовної імплементації та застосування цього розділу, зокрема стосовно послідовної робочої програми Союзу, питань, що стосуються політики сертифікації кібербезпеки, координації підходів політики та підготовки європейських схем сертифікації кібербезпеки;
(b) допомагати, консультувати та співпрацювати з ENISA в питаннях з підготовки проєкту схеми відповідно до статті 49;
(c) ухвалювати висновок щодо проєктів схем, підготованих ENISA відповідно до статті 49;
(d) подавати запит ENISA на підготовку проєктів схем відповідно до статті 48(2);
(e) ухвалювати висновки, адресовані Комісії, стосовно технічного обслуговування та перегляду наявних європейських схем сертифікації кібербезпеки;
(f) досліджувати відповідні зміни у сфері сертифікації кібербезпеки та здійснювати обмін інформацією та належними практиками щодо схем із сертифікації кібербезпеки;
(g) сприяти співпраці між національними органами з сертифікації відповідно до цього розділу шляхом розбудови потенціалу та обміну інформацією, зокрема шляхом установлення методів ефективного обміну інформацією, що стосуються питань сертифікації кібербезпеки;
(h) підтримувати імплементацію механізмів партнерської перевірки відповідно до правил, встановлених у європейській схемі сертифікації кібербезпеки згідно з пунктом (u) статті 54(1);
(i) сприяти узгодженню європейських схем сертифікації кібербезпеки з міжнародно визнаними стандартами, у тому числі шляхом перегляду наявних європейських схем сертифікації кібербезпеки та, у відповідних випадках, шляхом надання рекомендацій ENISA співпрацювати з відповідними міжнародними організаціями зі стандартизації, щоб виправити недоліки та заповнити прогалини в наявних міжнародно визнаних стандартах.
5. З підтримкою з боку ENISA Комісія головує в ECCG, а також Комісія створює секретаріат ECCG відповідно до пункту (e) статті 8(1).
Стаття 63. Право подавати скаргу
1. Фізичні та юридичні особи мають право подавати скаргу до емітента європейського сертифіката з кібербезпеки або, якщо скарга стосується європейського сертифіката з кібербезпеки, виданого органом з оцінювання відповідності згідно зі статтею 56(6), до відповідного національного органу з сертифікації кібербезпеки.
2. Орган, до якого подано скаргу, повинен інформувати скаржника про хід розгляду скарги та про ухвалені рішення, а також інформувати скаржника про право на дієвий судовий захист, зазначений у статті 64.
Стаття 64. Право на дієвий судовий захист
1. Незважаючи на адміністративні або інші несудові засоби захисту, фізичні та юридичні особи мають право на ефективний судовий захист стосовно:
(a) рішень, ухвалених органом, зазначеним у статті 63(1), у тому числі рішень стосовно неналежної видачі, невидачі або невизнання європейського сертифіката з кібербезпеки, держателями якого є такі фізичні та юридичні особи;
(b) невжиття заходів щодо розгляду скарги, поданої до органів, зазначених у статті 63(1).
2. Такий розгляд скарги, зазначений у цій статті, передають до судів держави-члена, у якій розташований орган, проти якого ведеться судове провадження.
Стаття 65. Санкції
Держави-члени встановлюють правила щодо санкцій, застосовних у разі порушень цього розділу та у разі порушень європейських схем сертифікації кібербезпеки, та вживають усіх необхідних заходів для забезпечення їх виконання. Передбачені санкції повинні бути дієвими, пропорційними і стримувальними. Держави-члени повинні невідкладно повідомляти Комісію про такі правила та такі заходи, а також повинні повідомляти її про будь-які подальші зміни, які на них впливають.
РОЗДІЛ IV
ПРИКІНЦЕВІ ПОЛОЖЕННЯ
Стаття 66. Процедура комітету
1. Комісії допомагає комітет. Цей комітет є комітетом у розумінні Регламенту (ЄС) № 182/2011.
2. У разі покликання на цей параграф застосовують пункт (b) статті 5 (4) Регламенту (ЄС) № 182/2011.
Стаття 67. Оцінювання й перегляд
1. До 28 червня 2024 року та кожні наступні п’ять років Комісія оцінює вплив та ефективність ENISA та його методів роботи, можливу необхідність зміни мандату та фінансові наслідки будь-якої такої зміни. В оцінюванні враховують будь-який зворотній зв’язок, наданий ENISA стосовно його діяльності. Якщо Комісія вважає, що продовження діяльності ENISA більше не є обґрунтованим з огляду на цілі, мандат та завдання, покладені на нього, тоді Комісія може запропонувати внесення змін до цього Регламенту, що стосуються пов’язаних із ENISA положень.
2. У ході оцінювання оцінюють вплив та дієвість положень розділу III цього Регламенту стосовно цілей із забезпечення належного рівня кібербезпеки продуктів ІКТ, послуг ІКТ та процесів ІКТ в Союзі та покращення функціонування внутрішнього ринку.
3. У ході оцінювання оцінюють, чи необхідні суттєві вимоги кібербезпеки для доступу до внутрішнього ринку, щоб запобігти надходженню на ринок Союзу продуктів ІКТ, послуг ІКТ та процесів ІКТ, які не відповідають базовим вимогам кібербезпеки.
4. До 28 червня 2024 року та кожні наступні п’ять років Комісія передає звіт про оцінювання разом зі своїми висновками Європейському Парламенту, Раді та Правлінню. Інформацію, зазначену в такому звіті, оприлюднюють.
Стаття 68. Скасування та правонаступництво
1. Регламент (ЄС) № 526/2013 скасовано з 27 червня 2019 року.
2. Покликання на Регламент (ЄС) № 526/2013 та на ENISA, як визначено в зазначеному Регламенті, необхідно тлумачити як покликання на цей Регламент та на ENISA, як визначено в цьому Регламенті.
3. ENISA, створене відповідно до цього Регламенту, є наступником ENISA, створеного відповідно до Регламенту (ЄС) № 526/2013, стосовно всіх прав власності, угод, юридичних зобов’язань, трудових договорів, фінансових зобов’язань та відповідальності. Усі рішення Правління та Виконавчої ради, ухвалені відповідно до Регламенту (ЄС) № 526/2013, залишаються чинними, якщо вони відповідають цьому Регламенту.
4. ENISA створюють на невизначений період з 27 червня 2019 року.
5. Виконавчий директор, призначений відповідно до статті 24(4) Регламенту (ЄС) № 526/2013, залишається на посаді та виконує обов’язки виконавчого директора, як зазначено в статті 20 цього Регламенту, до завершення терміну перебування на посаді виконавчого директора. Інші умови його або її договору залишаються незмінними.
6. Члени Правління та їхні заступники, призначені відповідно до статті 6 Регламенту (ЄС) № 526/2013, залишаються на посаді та виконують функції Правління, як зазначено в статті 15 цього Регламенту; до завершення терміну їхнього перебування на посаді.
Стаття 69. Набуття чинності
1. Цей Регламент набуває чинності на двадцятий день після його публікації в Офіційному віснику Європейського Союзу.
2. Статті 58, 60, 61, 63, 64 та 65 застосовуються з 28 червня 2021 року.
Цей Регламент обов'язковий у повному обсязі та підлягає прямому застосуванню в усіх державах-членах.
| Вчинено у Страсбурзі 17 квітня 2019 року. |
| | За Європейський Парламент Президент A. TAJANI |
| | За Раду Президент G. CIAMBA |
__________
(-1) OB C 227, 28.06.2018, с. 86.
(-2) OB C 176, 23.05.2018, с. 29.
(-3) Позиція Європейського Парламенту від 12 березня 2019 року (ще не опублікована в Офіційному віснику) та рішення Ради від 9 квітня 2019 року.
(-4) Рекомендація Комісії від 6 травня 2003 року щодо визначення мікропідприємств, малих і середніх підприємств (OB L 124, 20.05.2003, с. 36).
(-5) Регламент Європейського Парламенту і Ради (ЄС) № 526/2013 від 21 травня 2013 року про Європейське агентство з питань мережевої та інформаційної безпеки (ENISA) та про скасування Регламенту (ЄС) № 460/2004 (OВ L 165, 18.06.2013, с. 41).
(-6) Регламент Європейського Парламенту і Ради (ЄС) № 460/2004 від 10 березня 2004 року про створення Агентства з питань мережевої та інформаційної безпеки (OB L 77, 13.03.2004, с. 1).
(-7) Регламент Європейського Парламенту і Ради (ЄС) № 1007/2008 від 24 вересня 2008 року про внесення змін до Регламенту (ЄС) № 460/2004 про створення Агентства з питань мережевої та інформаційної безпеки у частині його тривалості (OB L 293, 31.10.2008, с. 1).
(-8) Регламент Європейського Парламенту і Ради (ЄС) № 580/2011 від 8 червня 2011 року про внесення змін до Регламенту (ЄС) № 460/2004 про створення Агентства з питань мережевої та інформаційної безпеки у частині його тривалості (OB L 165, 24.06.2011, с. 3).
(-9) Директива Європейського Парламенту і Ради (ЄС) 2016/1148 від 6 липня 2016 року про заходи для високого спільного рівня безпеки мережевих та інформаційних систем на території Союзу (OВ L 194, 19.07.2016, с. 1).
(-10) Регламент Європейського Парламенту і Ради (ЄС) 2016/679 від 27 квітня 2016 року про захист фізичних осіб у зв'язку з опрацюванням персональних даних і про вільний рух таких даних, та про скасування Директиви 95/46/ЄС (Загальний регламент про захист даних) (OB L 119, 04.05.2016, с. 1).
(-11) Директива Європейського Парламенту і Ради (ЄС) 2002/58/ЄС від 12 липня 2002 року про опрацювання персональних даних і захист приватності у секторі електронних комунікацій (Директива про приватність та електронні комунікації) (OВ L 201, 31.07.2002, с. 37).
(-12) Директива Європейського Парламенту і Ради (ЄС) 2018/1972 від 11 грудня 2018 року про запровадження Європейського кодексу електронних комунікацій (OB L 321, 17.12.2018, с. 36).
(-13) Рішення 2004/97/ЄС, Євратом, ухвалене за спільною згодою представників держав-членів на засіданні на рівні голів держав або урядів, від 13 грудня 2003 року про розташування головних офісів певних організацій та агентств Європейського Союзу (OВ L 29, 03.02.2004, с. 15).
(-14) OB C 12, 13.01.2018, с. 1.
(-15) Рекомендація Комісії (ЄС) 2017/1584 від 13 вересня 2017 року про скоординовану відповідь на широкомасштабні інциденти та кризи у секторі кібербезпеки (OB L 239, 19.09.2017, с. 36).
(-16) Регламент Європейського Парламенту і Ради (ЄС) № 765/2008 від 9 липня 2008 року про встановлення вимог до акредитації та ринкового нагляду, пов'язаних з реалізацією продуктів, та про скасування Регламенту (ЄЕС) № 339/93 (OB L 218, 13.08.2008. с. 30).
(-17) Регламент Європейського Парламенту і Ради (ЄС) № 1049/2001 від 30 травня 2001 року стосовно публічного доступу до документів Європейського Парламенту, Ради та Комісії (OB L 145, 31.05.2001, с. 43).
(-18) Регламент Європейського Парламенту і Ради (ЄС) 2018/1725 від 23 жовтня 2018 року про захист фізичних осіб у зв’язку з опрацюванням персональних даних установами, органами, офісами та агентствами Союзу, та про вільний рух таких даних, а також про скасування Регламенту (ЄС) № 45/2001 та Рішення № 1247/2002/ЄС (OВ L 295, 21.11.2018, с. 39).
(-19) Регламент Європейського Парламенту і Ради (ЄС) № 1025/2012 від 25 жовтня 2012 року про європейську стандартизацію та про внесення змін до директив Ради 89/686/ЄЕС та 93/15/ЄЕС та директив Європейського Парламенту і Ради 94/9/ЄС, 94/25/ЄС, 95/16/ЄС, 97/23/ЄС, 98/34/ЄС, 2004/22/ЄС, 2007/23/ЄС, 2009/23/ЄС та 2009/105/ЄС, а також про скасування Рішення Ради 87/95/ЄЕС та Рішення Європейського Парламенту і Ради № 1673/2006/ЄС (OB L 316, 14.11.2012, с. 12).
(-20) Директива Європейського Парламенту і Ради (ЄС) 2015/1535 від 9 вересня 2015 року про встановлення порядку надання інформації у сфері технічних регламентів та правил стосовно послуг інформаційного суспільства (OB L 241, 17.09.2015, с. 1).
(-21) Директива Європейського Парламенту і Ради 2014/24/ЄС від 26 лютого 2014 року про публічні закупівлі та про скасування Директиви 2004/18/ЄС (OB L 94, 28.03.2014, с. 65).
(-22) Регламент Європейського Парламенту і Ради (ЄС) № 182/2011 від 16 лютого 2011 року про встановлення правил і загальних принципів стосовно механізмів контролю державами-членами здійснення Комісією виконавчих повноважень (OB L 55, 28.02.2011, с. 13).
(-23) Регламент Європейського Парламенту і Ради (ЄС) № 910/2014 від 23 липня 2014 року про електронну ідентифікацію та довірчі послуги для електронних транзакцій на внутрішньому ринку та про скасування Директиви 1999/93/ЄС (OВ L 257, 28.08.2014, с. 73).
(-24) OB L 56, 04.03.1968, с. 1.
(-25) Делегований регламент Комісії (ЄС) № 1271/2013 від 30 вересня 2013 року про рамковий фінансовий регламент для органів, зазначених у статті 208 Регламенту (ЄС, Євратом) № 966/2012 Європейського Парламенту та Ради (OB L 328, 07.12.2013, с. 42).
(-26) Рішення Комісії (ЄС, Євратом) 2015/443 від 13 березня 2015 року про безпеку в Комісії (OВ L 72, 17.03.2015, с. 41).
(-27) Рішення Комісії (ЄС, Євратом) 2015/444 від 13 березня 2015 року про правила безпеки для захисту засекреченої ЄС інформації (OB L 72, 17.03.2015, с. 53).
(-28) Регламент Європейського Парламенту і Ради (ЄС, Євратом) 2018/1046 від 18 липня 2018 року про фінансові правила, що застосовуються до загального бюджету Союзу, про внесення змін до регламентів (ЄС) № 1296/2013, (ЄС) № 1301/2013, (ЄС) № 1303/2013, (ЄС) № 1304/2013, (ЄС) № 1309/2013, (ЄС) № 1316/2013, (ЄС) № 223/2014, (ЄС) № 283/2014, і Рішення № 541/2014/ЄС та про скасування Регламенту (ЄС, Євратом) № 966/2012 (OВ L 193, 30.07.2018, с. 1).
(-29) Регламент Європейського Парламенту і Ради (ЄС, Євратом) № 883/2013 від 11 вересня 2013 року щодо розслідувань, які проводить Європейське бюро боротьби із шахрайством (OLAF), та про скасування Регламенту Європейського Парламенту і Ради (ЄС) № 1073/1999 та Регламенту Ради (Євратом) № 1074/1999 (OB L 248, 18.09.2013, с. 1).
(-30) OB L 136, 31.05.1999, с. 15.
(-31) Регламент Ради (Євратом, ЄС) № 2185/96 від 11 листопада 1996 року про виїзні перевірки та інспектування, які проводить Комісія для захисту фінансових інтересів Європейських Співтовариств від шахрайства та інших порушень (OВ L 292, 15.11.1996, с. 2).
(-32) Регламент Ради № 1 про визначення мов, які належить використовувати у Європейському економічному співтоваристві (ОВ 17, 06.10.1958, с. 385/58).
ДОДАТОК
ВИМОГИ, ЯКІ ПОВИННІ ВИКОНУВАТИ ОРГАНИ З ОЦІНЮВАННЯ ВІДПОВІДНОСТІ
Органи з оцінювання відповідності, які бажають отримати акредитацію, повинні відповідати таким вимогам:
1. Орган з оцінювання відповідності повинен бути створений відповідно до національного права і мати правосуб'єктність.
2. Орган з оцінювання відповідності є стороннім органом, який є незалежним від організації або продуктів ІКТ, послуг ІКТ чи процесів ІКТ, які він оцінює.
3. Орган, що належить до бізнес-асоціації або професійної федерації, яка представляє підприємства, залучені у процеси проєктування, виробництва, постачання, складання, використання або технічного обслуговування продуктів ІКТ, послуг ІКТ чи процесів ІКТ, які він оцінює, може вважатися органом з оцінювання відповідності за умови підтвердження його незалежності та відсутності будь-якого конфлікту інтересів.
4. Органи з оцінювання відповідності, їхній вищий рівень керівництва та співробітники, відповідальні за виконання завдань з оцінювання відповідності, повинні не бути проєктувальником, чи виробником, постачальником, монтажником, покупцем, власником, користувачем або спеціалістом з обслуговування продукту ІКТ, послуги ІКТ чи процесу ІКТ, що його оцінюють, чи уповноваженим представником будь-якої із зазначених сторін. Зазначена заборона не повинна перешкоджати використанню оцінених продуктів ІКТ, необхідних для діяльності органу з оцінювання відповідності, або використанню таких продуктів ІКТ для особистих цілей.
5. Органи з оцінювання відповідності, їхній вищий рівень керівництва та співробітники, відповідальні за виконання завдань з оцінювання відповідності, повинні не бути безпосередньо залученими у проєктування, виробництво або побудову, реалізацію, монтаж, використання або технічне обслуговування таких продуктів ІКТ, послуг ІКТ чи процесів ІКТ, або не бути представником сторін, залучених у такі види діяльності. Органи з оцінювання відповідності, їхній вищий рівень керівництва та співробітники, відповідальні за виконання завдань з оцінювання відповідності, не повинні брати участі в будь-якій діяльності, яка може суперечити незалежності їхніх суджень або їхній доброчесності стосовно діяльності з оцінювання відповідності. Ця заборона застосовується, зокрема, до консультаційних послуг.
6. Якщо орган з оцінювання відповідності належить державній установі або перебуває під її управлінням, повинна бути забезпечена та задокументована незалежність і відсутність конфлікту інтересів між національним органом з сертифікації кібербезпеки та органом з оцінювання відповідності.
7. Органи з оцінювання відповідності повинні забезпечити, щоб діяльність їхніх дочірніх підприємств та підрядників не впливала на конфіденційність, об’єктивність чи неупередженість їхньої діяльності з оцінювання відповідності.
8. Органи з оцінювання відповідності та їхні співробітники повинні виконувати функції з оцінювання відповідності з найвищим рівнем професійної сумлінності та необхідною технічною компетенцією у спеціальній сфері та повинні бути вільними від тиску і стимулів, які могли б вплинути на їхнє рішення або результати їхньої діяльності з оцінювання відповідності, зокрема тиску або стимулів фінансового характеру, особливо що стосується осіб або груп осіб, зацікавлених у результатах зазначеної діяльності.
9. Орган з оцінювання відповідності повинен бути здатним виконати всі завдання з оцінювання відповідності, доручені йому відповідно до цього Регламенту, незалежно від того, чи виконує орган з оцінювання відповідності такі завдання самостійно, чи їх здійснюють від його імені або під його відповідальність. Будь-який субпідряд чи консультації із зовнішнім персоналом повинні бути належним чином задокументовані, не повинні передбачати участі посередників, а також повинні бути оформлені в письмовій угоді, що регулює, серед іншого, питання конфіденційності та конфлікту інтересів. Відповідний орган з оцінювання відповідності повинен нести повну відповідальність за завдання, які він виконує.
10. У будь-який час та для будь-якої процедури з оцінювання відповідності для кожного типу, категорії або підкатегорії продуктів ІКТ, послуг ІКТ чи процесів ІКТ, орган з оцінювання відповідності повинен мати:
(a) персонал з технічними знаннями та достатнім відповідним досвідом для виконання завдань з оцінювання відповідності;
(b) необхідний опис процедур, на підставі яких проводиться оцінювання відповідності, із забезпеченням прозорості таких процедур та можливості їх відтворення. Він повинен мати належні стратегії і процедури, які б розрізняли завдання, які він виконує як орган, нотифікований відповідно до статті 61, та інші види діяльності;
(c) процедури щодо виконання завдань, які належним чином враховують розмір підприємства, сектор, у якому воно працює, його структуру, ступінь складності технології певного продукту ІКТ, послуги ІКТ або процесу ІКТ, а також масовий або серійний характер процесу виробництва.
11. Орган з оцінювання відповідності повинен мати засоби, необхідні для виконання технічних та адміністративних завдань, пов'язаних із діяльністю щодо оцінювання відповідності, та мати доступ до всього необхідного обладнання та споруд.
12. Співробітники, відповідальні за проведення діяльності з оцінювання відповідності, повинні мати:
(a) належну технічну і професійну підготовку, що охоплює всі види діяльності з оцінювання відповідності;
(b) задовільне знання вимог щодо оцінювання відповідності, яке вони здійснюють, та відповідні повноваження для його здійснення;
(c) належні знання та розуміння застосовних вимог та стандартів випробувань;
(d) здатність складати сертифікати, протоколи та звіти на підтвердження того, що оцінювання відповідності було проведено.
13. Повинна бути гарантована неупередженість органів з оцінювання відповідності, їхнього вищого рівня керівництва та їхніх співробітників, відповідальних за діяльність з оцінювання відповідності, а також будь-яких субпідрядників.
14. Оплата праці вищого рівня керівництва та співробітників, які відповідають за здійснення оцінювання відповідності, не повинна залежати від кількості проведених оцінювань відповідності або результатів таких оцінювань.
15. Органи з оцінювання відповідності повинні оформлювати страхування відповідальності, крім випадків, коли держава-член бере на себе цю відповідальність відповідно до свого національного права або безпосередньо відповідає за оцінювання відповідності.
16. Орган з оцінювання відповідності та його персонал, його комітети, його філії, його субпідрядники та будь-які асоційовані органи чи персонал зовнішніх органів такого органу з оцінювання відповідності повинні дотримуватися конфіденційності та зберігати професійну таємницю стосовно всієї інформації, отриманої під час виконання своїх завдань з оцінювання відповідності згідно з цим Регламентом, або відповідно до будь-якого положення національного законодавства, ухваленого на виконання цього Регламенту, крім випадків, коли розкриття вимагається згідно з правом Союзу або держави-члена, яке поширюється на таких осіб, та за винятком випадків, коли це стосується компетентних органів держав-членів, на території яких здійснюють такі види діяльності. Права інтелектуальної власності повинні бути захищені. Орган з оцінювання відповідності повинен мати задокументовані процедури щодо дотримання вимог цього пункту.
17. За винятком умов, визначених у пункті 16, вимоги цього додатка не перешкоджають обміну технічною інформацією та регуляторними інструкціями між органами з оцінювання відповідності та особами, які застосовують сертифікацію або які розглядають можливість звернутися за сертифікацією.
18. Стосовно зборів орган з оцінювання відповідності повинен діяти згідно з набором послідовних, справедливих та обґрунтованих умов і положень з урахуванням інтересів МСП.
19. Органи з оцінювання відповідності повинні відповідати вимогам застосовного стандарту, який згармонізовано згідно з Регламентом (ЄС) № 765/2008, у частині акредитації органів з оцінювання відповідності, які займаються сертифікацією продуктів ІКТ, послуг ІКТ або процесів ІКТ.
20. Органи з оцінювання відповідності повинні забезпечити, щоб випробувальні лабораторії, які використовуються для цілей оцінювання відповідності, відповідали вимогам застосовного стандарту, який згармонізовано згідно з Регламентом (ЄС) № 765/2008, у частині акредитації лабораторій, які здійснюють випробування.
( Джерело: Урядовий портал (Переклади актів acquis ЄС) https://www.kmu.gov.ua )