a także mając na uwadze, co następuje:(1) W niniejszym rozporządzeniu określono role, zasady i obowiązki, a także strukturę europejskiego programu certyfikacji cyberbezpieczeństwa opartego na wspólnych kryteriach (EUCC) zgodnie z europejskimi ramami certyfikacji cyberbezpieczeństwa określonymi w rozporządzeniu (UE) 2019/881. EUCC opiera się na umowie o wzajemnym uznawaniu certyfikatów bezpieczeństwa technologii informacyjnych zatwierdzonej przez Grupę Wyższych Urzędników ds. Bezpieczeństwa Systemów Informatycznych 2 ("SOG-IS") z wykorzystaniem wspólnych kryteriów, w tym procedur i dokumentów grupy.
(2) Program powinien opierać się na ustalonych normach międzynarodowych. Wspólne kryteria to międzynarodowa norma dotycząca oceny bezpieczeństwa informacji, opublikowana na przykład jako ISO/IEC 15408 Bezpieczeństwo informacji, cyberbezpieczeństwo i ochrona prywatności - Kryteria oceny zabezpieczeń informatycznych. Opiera się ona na ocenie dokonanej przez osobę trzecią i obejmuje siedem poziomów uzasadnienia zaufania ("EAL"). Wspólnym kryteriom towarzyszy wspólna metodyka oceny, opublikowana na przykład jako ISO/IEC 18045 - Bezpieczeństwo informacji, cyberbezpieczeństwo i ochrona prywatności - Kryteria oceny zabezpieczeń informatycznych - Metodyka oceny zabezpieczeń informatycznych. Specyfikacje i dokumenty, w których stosuje się przepisy niniejszego rozporządzenia, mogą odnosić się do publicznie dostępnej normy, która odzwierciedla normę stosowaną w certyfikacji na podstawie niniejszego rozporządzenia, taką jak wspólne kryteria oceny bezpieczeństwa technologii informacyjnych i wspólna metodyka oceny bezpieczeństwa technologii informacyjnych.
(3) EUCC wykorzystuje rodzinę oceny podatności (AVA_VAN) według wspólnych kryteriów, komponenty 1-5. Te pięć komponentów zapewnia wszystkie główne wyznaczniki i zależności do analizy podatności produktów ICT. Ponieważ komponenty odpowiadają poziomom uzasadnienia zaufania określonym w niniejszym rozporządzeniu, pozwalają one na świadomy wybór uzasadnienia zaufania na podstawie przeprowadzonych ocen wymogów bezpieczeństwa i ryzyka związanego z przewidzianym stosowaniem produktu ICT. Wnioskodawca ubiegający się o certyfikat EUCC powinien przedstawić dokumentację związaną z przewidzianym stosowaniem produktu ICT oraz analizę poziomów ryzyka związanego z takim stosowaniem, aby umożliwić jednostce oceniającej zgodność ocenę odpo- wiedniości wybranego poziomu uzasadnienia zaufania. W przypadku gdy działania w zakresie oceny i certyfikacji wykonuje ta sama jednostka oceniająca zgodność, wnioskodawca powinien przedłożyć wymagane informacje tylko raz.
(4) Domena techniczna to ramy odniesienia obejmujące grupę produktów ICT, które mają określone i podobne funkcje bezpieczeństwa ograniczające ataki, których cechy są wspólne dla danego poziomu uzasadnienia zaufania. Domena techniczna opisuje w dokumentach odzwierciedlających stan wiedzy określone wymagania bezpieczeństwa, a także dodatkowe metody, techniki i narzędzia oceny, które mają zastosowanie do certyfikacji produktów ICT objętych tą domeną techniczną. Domena techniczna sprzyja zatem również harmonizacji oceny objętych nią produktów ICT. W przypadku certyfikacji na poziomach AVA_VAN.4 i AVA_VAN.5 obecnie stosuje się powszechnie dwie domeny techniczne. Pierwszą domeną techniczną jest domena techniczna "Karty elektroniczne i podobne urządzenia", w której znaczna część wymaganych funkcji bezpieczeństwa zależy od konkretnych, dostosowanych do potrzeb elementów sprzętu, które często można rozdzielić (np. sprzęt do kart elektronicznych, układy scalone, produkty złożone kart elektronicznych, moduły zaufanej platformy stosowane w ramach zaufanego przetwarzania danych lub karty do tachografów cyfrowych). Drugą domeną techniczną jest domena "Urządzenie sprzętowe ze skrzynkami bezpieczeństwa", w której znaczna część wymaganych funkcji bezpieczeństwa zależy od fizycznej obudowy sprzętu (zwanej "skrzynką bezpieczeństwa") zaprojektowanej tak, aby była odporna na bezpośrednie ataki, np. terminale płatnicze, przyrządy rejestrujące tachografów, inteligentne liczniki, terminale kontroli dostępu i sprzętowe moduły bezpieczeństwa.
(5) Składając wniosek o certyfikację, wnioskodawca powinien odnieść swoje uzasadnienie wyboru poziomu uzasadnienia zaufania do celów określonych w art. 51 rozporządzenia (UE) 2019/881 oraz do wyboru komponentów z katalogu funkcjonalnych wymogów bezpieczeństwa i wymogów uzasadnienia zaufania do bezpieczeństwa zawartych we wspólnych kryteriach. Jednostka certyfikująca powinna ocenić adekwatność wybranego poziomu uzasadnienia zaufania i zapewnić, aby wybrany poziom był proporcjonalny do poziomu ryzyka związanego z przewidzianym stosowaniem produktu ICT.
(6) Zgodnie ze wspólnymi kryteriami certyfikację przeprowadza się w odniesieniu do celu bezpieczeństwa, który obejmuje określenie problemu w zakresie bezpieczeństwa produktu ICT, a także celów bezpieczeństwa, które przeciwdziałają problemowi w zakresie bezpieczeństwa. Problem w zakresie bezpieczeństwa dostarcza szczegółowych informacji na temat przewidzianego stosowania produktu ICT i zagrożeń związanych z takim stosowaniem. Wybrany zestaw wymogów bezpieczeństwa odpowiada zarówno problemowi w zakresie bezpieczeństwa, jak i celom bezpieczeństwa produktu ICT.
(7) Profile zabezpieczeń są skutecznym sposobem wstępnego określenia wspólnych kryteriów, które mają zastosowanie do danej kategorii produktów ICT, a zatem są również istotnym elementem procesu certyfikacji produktów ICT objętych profilem zabezpieczeń. Profil zabezpieczeń wykorzystuje się do oceny przyszłych celów bezpieczeństwa, które wchodzą w zakres danej kategorii produktów ICT objętych tym profilem zabezpieczeń. Usprawniają one i zwiększają efektywność procesu certyfikacji produktów ICT oraz pomagają użytkownikom w prawidłowym i skutecznym określeniu funkcjonalności produktu ICT. Profile zabezpieczeń należy zatem uważać za integralną część procesu ICT prowadzącego do certyfikacji produktów ICT.
(8) Aby profile zabezpieczeń mogły pełnić swoją rolę w procesie ICT wspierającym rozwijanie i dostarczanie certyfikowanego produktu ICT, powinna istnieć możliwość ich certyfikacji niezależnie od certyfikacji określonego produktu ICT objętego odpowiednim profilem zabezpieczeń. W celu zapewnienia wysokiego poziomu cyberbezpieczeństwa konieczne jest zatem stosowanie co najmniej takiego samego poziomu kontroli do profili zabezpieczeń i do celów bezpieczeństwa. Profile zabezpieczeń należy oceniać i certyfikować oddzielnie od powiązanego produktu ICT i wyłącznie poprzez zastosowanie klasy uzasadnienia zaufania określonej we wspólnych kryteriach i wspólnej metodyce oceny w odniesieniu do profili zabezpieczeń (APE) oraz, w stosownych przypadkach, konfiguracji profili zabezpieczeń (ACE). Ze względu na ich ważną i delikatną rolę jako punktu odniesienia w certyfikacji produktów ICT powinny one być certyfikowane wyłącznie przez organy publiczne lub przez jednostkę certyfikującą, która uzyskała uprzednią zgodę krajowego organu ds. certyfikacji cyberbezpieczeństwa w odniesieniu do danego profilu zabezpieczeń. Ze względu na ich zasadniczą rolę w certyfikacji na poziomie uzasadnienia zaufania "wysoki", w szczególności poza domenami technicznymi, profile zabezpieczeń należy opracowywać jako dokumenty odzwierciedlające stan wiedzy, które powinny zostać zatwierdzone przez Europejską Grupę ds. Certyfikacji Cyberbezpieczeństwa.
(9) Certyfikowane profile zabezpieczeń należy uwzględniać przy monitorowaniu zgodności z EUCC i jego przestrzegania przez krajowe organy ds. certyfikacji cyberbezpieczeństwa. W przypadku gdy metodyka, narzędzia i umiejętności stosowane w podejściach do oceny produktów ICT są dostępne w odniesieniu do konkretnych certyfikowanych profili zabezpieczeń, domeny techniczne mogą opierać się na tych konkretnych profilach zabezpieczeń.
(10) Aby osiągnąć wysoki poziom zaufania i uzasadnienia zaufania w odniesieniu do certyfikowanych produktów ICT, na podstawie niniejszego rozporządzenia nie należy zezwalać na ocenę przez stronę pierwszą. Powinna być dozwolona wyłącznie ocena zgodności przez stronę trzecią dokonywana przez ITSEF i jednostki certyfikujące.
(11) Społeczność SOG-IS zapewniła wspólne interpretacje i podejścia w zakresie stosowania wspólnych kryteriów i wspólną metodykę oceny w certyfikacji, w szczególności w odniesieniu do poziomu uzasadnienia zaufania "wysoki" zapewnianego przez domeny techniczne "Karty elektroniczne i podobne urządzenia" oraz "Urządzenie sprzętowe ze skrzynkami bezpieczeństwa". Ponowne wykorzystanie takich dokumentów pomocniczych w programie EUCC zapewnia płynne przejście od wdrożonych na szczeblu krajowym programów SOG-IS do zharmonizowanego programu EUCC. W związku z tym w niniejszym rozporządzeniu należy uwzględnić zharmonizowane metodyki oceny o ogólnym znaczeniu dla wszystkich działań w zakresie certyfikacji. Ponadto Komisja powinna mieć możliwość zwrócenia się do Europejskiej Grupy ds. Certyfikacji Cyberbezpieczeństwa o przyjęcie opinii zatwierdzającej i zalecającej stosowanie metodyk oceny określonych w dokumentach odzwierciedlających stan wiedzy dotyczących certyfikacji produktu ICT lub profilu zabezpieczeń w ramach programu EUCC. W załączniku I do niniejszego rozporządzenia wymieniono zatem dokumenty odzwierciedlające stan wiedzy dotyczące działań w zakresie oceny prowadzonych przez jednostki oceniające zgodność. Europejska Grupa ds. Certyfikacji Cyberbezpieczeństwa powinna zatwierdzać i utrzymywać dokumenty odzwierciedlające stan wiedzy. Dokumenty odzwierciedlające stan wiedzy należy wykorzystywać przy certyfikacji. Jednostka oceniająca zgodność może ich nie wykorzystać wyłącznie w wyjątkowych i należycie uzasadnionych przypadkach, z zastrzeżeniem spełnienia określonych warunków, w szczególności zatwierdzenia przez krajowy organ ds. certyfikacji cyberbezpieczeństwa.
(12) Certyfikacja produktów ICT na poziomie AVA_VAN 4 lub 5 powinna być możliwa wyłącznie na określonych warunkach i w przypadku gdy dostępna jest szczegółowa metodyka oceny. Szczegółowa metodyka oceny może być zapisana w dokumentach odzwierciedlających stan wiedzy właściwych dla danej domeny technicznej lub w szczególnych profilach zabezpieczeń przyjętych jako dokument odzwierciedlający stan wiedzy właściwych dla danej kategorii produktu. Certyfikacja na tych poziomach uzasadnienia zaufania powinna być możliwa wyłącznie w wyjątkowych i należycie uzasadnionych przypadkach, z zastrzeżeniem szczególnych warunków, w szczególności zatwierdzenia przez krajowy organ ds. certyfikacji cyberbezpieczeństwa, w tym w odniesieniu do mającej zastosowanie metodyki oceny. Takie wyjątkowe i należycie uzasadnione przypadki mogą wystąpić, gdy przepisy unijne lub krajowe wymagają certyfikacji produktu ICT na poziomie AVA_VAN 4 lub 5. Podobnie w wyjątkowych i należycie uzasadnionych przypadkach profile zabezpieczeń mogą być certyfikowane bez zastosowania odpowiednich dokumentów odzwierciedlających stan wiedzy, z zastrzeżeniem szczególnych warunków, w szczególności zatwierdzenia przez krajowy organ ds. certyfikacji cyberbezpieczeństwa, w tym w odniesieniu do mającej zastosowanie metodyki oceny.
(13) Znaki i etykiety stosowane w ramach EUCC mają na celu wykazanie użytkownikom wiarygodności certyfikowanego produktu ICT i umożliwienie im dokonania świadomego wyboru przy zakupie produktów ICT. Stosowanie znaków i etykiet powinno również podlegać regułom i warunkom określonym w normie ISO/IEC 17065 oraz, w stosownych przypadkach, normie ISO/IEC 17030 wraz z odpowiednimi wytycznymi.
(14) Jednostki certyfikujące powinny decydować o okresie ważności certyfikatów, biorąc pod uwagę cykl życia danego produktu ICT. Okres ważności nie powinien przekraczać 5 lat. Krajowe organy ds. certyfikacji cyberbezpieczeństwa powinny pracować nad ujednoliceniem okresu ważności w Unii.
(15) W przypadku zmniejszenia zakresu istniejącego certyfikatu EUCC certyfikat ten zostaje wycofany i należy wydać nowy certyfikat mający nowy zakres, aby zapewnić jasne informowanie użytkowników o obecnym zakresie i poziomie uzasadnienia zaufania certyfikatu danego produktu ICT.
(16) Certyfikacja profili zabezpieczeń różni się od certyfikacji produktów ICT, ponieważ dotyczy procesu ICT. Ponieważ profil zabezpieczeń obejmuje kategorię produktów ICT, jego oceny i certyfikacji nie można przeprowadzić na podstawie pojedynczego produktu ICT. Ponieważ profil zabezpieczeń ujednolica ogólne wymogi bezpieczeństwa dotyczące kategorii produktów ICT i jest niezależny od tego, w jaki sposób produkt ICT jest przedstawiany przez jego sprzedawcę, okres ważności certyfikatu EUCC dla profilu zabezpieczeń powinien zasadniczo wynosić co najmniej 5 lat i może zostać przedłużony na cały okres obowiązywania profilu zabezpieczeń.
(17) Jednostkę oceniającą zgodność definiuje się jako jednostkę, która wykonuje czynności z zakresu oceny zgodności, w tym wzorcowanie, badanie, certyfikację i inspekcję. Aby zapewnić wysoką jakość usług, w niniejszym rozporządzeniu określono, że działalność w zakresie wzorcowania, z jednej strony, oraz działalność w zakresie certyfikacji i inspekcji, z drugiej strony, powinna być prowadzona przez podmioty działające niezależnie od siebie, a mianowicie, odpowiednio, jednostki oceniające bezpieczeństwo technologii informacyjnych ("ITSEF") i jednostki certyfikujące. Oba rodzaje jednostek oceniających zgodność powinny zostać akredytowane i, w stosownych przypadkach, należy udzielić im zezwolenia.
(18) Jednostka certyfikująca powinna być akredytowana zgodnie z normą ISO/IEC 17065 przez krajową jednostkę akredytującą dla poziomów uzasadnienia zaufania "istotny" i "wysoki". Oprócz akredytacji zgodnie z rozporządzeniem (UE) 2019/881 w związku z rozporządzeniem (WE) nr 765/2008 jednostki oceniające zgodność powinny spełniać określone wymogi, stanowiące gwarancję ich kwalifikacji technicznych do oceny wymogów cyberbezpieczeństwa w ramach poziomu uzasadnienia zaufania "wysoki" EUCC, co jest potwierdzane "zezwoleniem". Aby wesprzeć proces udzielania zezwoleń, odpowiednie dokumenty odzwierciedlające stan wiedzy powinny zostać opracowane i powinny zostać opublikowane przez ENISA po zatwierdzeniu przez Europejską Grupę ds. Certyfikacji Cyberbez- pieczeństwa.
(19) Kwalifikacje techniczne ITSEF należy oceniać poprzez akredytację laboratorium badawczego zgodnie z normą ISO/IEC 17025 i uzupełnić normą ISO/IEC 23532-1 w odniesieniu do pełnego zestawu działań w zakresie oceny, które są istotne dla poziomu uzasadnienia zaufania i określone w normie ISO/IEC 18045 w związku z normą ISO/IEC 15408. Zarówno jednostka certyfikująca, jak i ITSEF powinny ustanowić i utrzymywać odpowiedni system zarządzania kompetencjami personelu, który to system opiera się na normie ISO/IEC 19896-1 w odniesieniu do elementów i poziomów kompetencji oraz oceny kompetencji. W odniesieniu do poziomu wiedzy, umiejętności, doświadczenia i wykształcenia, mające zastosowanie wymogi wobec osób oceniających powinny wynikać z normy ISO/IEC 19896-3. Należy wykazać równoważne przepisy i środki dotyczące odstępstw od takich systemów zarządzania kompetencjami, zgodnie z celami systemu.
(20) Aby uzyskać zezwolenie, ITSEF powinna wykazać swoją zdolność do określenia braku znanych podatności, prawidłowego i spójnego wdrożenia nowoczesnych funkcjonalności bezpieczeństwa dla danej technologii oraz odporności wskazanego produktu ICT na zaawansowane ataki. Ponadto w przypadku zezwoleń w domenie technicznej "Karty elektroniczne i podobne urządzenia" ITSEF powinna również wykazać zdolności techniczne niezbędne do działań w zakresie oceny i powiązanych zadań określonych w dokumencie uzupełniającym "Minimalne wymogi ITSEF dotyczące ocen bezpieczeństwa kart elektronicznych i podobnych urządzeń" 3 zgodnie ze wspólnymi kryteriami. W przypadku zezwolenia w domenie technicznej "Urządzenie sprzętowe ze skrzynkami bezpieczeństwa" ITSEF powinna ponadto wykazać minimalne wymogi techniczne niezbędne do przeprowadzania działań w zakresie oceny i powiązanych zadań dotyczących urządzeń sprzętowych ze skrzynkami bezpieczeństwa, zgodnie z zaleceniami ECCG. W kontekście minimalnych wymogów ITSEF musi mieć możliwość przeprowadzania poszczególnych rodzajów ataków określonych w dokumencie uzupełniającym "Zastosowanie potencjału ataku do urządzeń sprzętowych ze skrzynkami bezpieczeństwa" zgodnie ze wspólnymi kryteriami. Możliwości te obejmują wiedzę i umiejętności osoby oceniającej oraz sprzęt i metody oceny potrzebne do określenia i oceny poszczególnych rodzajów ataków.
(21) Krajowy organ ds. certyfikacji cyberbezpieczeństwa powinien monitorować wypełnianie przez jednostki certyfikujące, ITSEF i posiadaczy certyfikatów obowiązków wynikających z niniejszego rozporządzenia i rozporządzenia (UE) 2019/881. Krajowy organ ds. certyfikacji cyberbezpieczeństwa powinien wykorzystywać w tym celu wszelkie odpowiednie źródła informacji, w tym informacje otrzymane od uczestników procesu certyfikacji oraz własne dochodzenia.
(22) Jednostki certyfikujące powinny współpracować z odpowiednimi organami nadzoru rynku i uwzględniać wszelkie informacje o podatnościach, które mogą być istotne dla produktów ICT, dla których wydały certyfikaty. Jednostki certyfikujące powinny monitorować certyfikowane przez nie profile zabezpieczeń w celu ustalenia, czy wymogi bezpieczeństwa określone dla danej kategorii produktów ICT nadal odzwierciedlają najnowsze zmiany w krajobrazie zagrożeń.
(23) Aby wspierać monitorowanie zgodności, krajowe organy ds. certyfikacji cyberbezpieczeństwa powinny współpracować z odpowiednimi organami nadzoru rynku zgodnie z art. 58 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2019/881 i rozporządzenia Parlamentu Europejskiego i Rady (UE) 2019/1020 4 . Podmioty gospodarcze w Unii mają obowiązek wymiany informacji i współpracy z organami nadzoru rynku zgodnie z art. 4 ust. 3 rozporządzenia 2019/1020.
(24) Jednostki certyfikujące powinny monitorować przestrzeganie wymogów przez posiadaczy certyfikatów oraz zgodność wszystkich certyfikatów wydanych w ramach EUCC. Monitorowanie powinno zapewniać, aby wszystkie sprawozdania z oceny przedstawiane przez ITSEF oraz wnioski w nich zawarte, a także kryteria i metody oceny były stosowane w sposób jednolity i prawidłowy we wszystkich działaniach w zakresie certyfikacji.
(25) W przypadku wykrycia potencjalnych przypadków niezgodności, które mają wpływ na certyfikowany produkt ICT, ważne jest zapewnienie proporcjonalnej reakcji. Certyfikaty mogą zatem zostać zawieszone. Zawieszenie powinno wiązać się z określonymi ograniczeniami dotyczącymi promowania i użytkowania danego produktu ICT, ale nie powinno wpływać na ważność certyfikatu. O zawieszeniu nabywcy danych produktów ICT powinni zostać powiadomieni przez posiadacza certyfikatu UE, natomiast odpowiednie organy nadzoru rynku powinny zostać powiadomione przez właściwy krajowy organ ds. certyfikacji cyberbezpieczeństwa. Aby poinformować opinię publiczną, ENISA powinna opublikować informacje o zawieszeniu na specjalnej stronie internetowej.
(26) Posiadacz certyfikatu EUCC powinien wdrożyć niezbędne procedury zarządzania podatnościami i zapewnić, aby procedury te stanowiły integralną część jego organizacji. Po uzyskaniu informacji na temat potencjalnej podatności posiadacz certyfikatu EUCC powinien przeprowadzić analizę skutków podatności. W przypadku gdy analiza skutków podatności potwierdzi, że podatność może zostać wykorzystana, posiadacz certyfikatu powinien przesłać sprawozdanie z oceny do jednostki certyfikującej, która z kolei powinna poinformować krajowy organ ds. certyfikacji cyberbezpieczeństwa. Sprawozdanie powinno zawierać informacje na temat skutków podatności, niezbędnych zmian lub rozwiązań naprawczych, które są wymagane, w tym możliwych szerszych skutków podatności, a także rozwiązań naprawczych dotyczących innych produktów. W stosownych przypadkach procedurę ujawniania podatności powinna uzupełniać norma EN ISO/IEC 29147.
(27) Do celów certyfikacji jednostki oceniające zgodność i krajowe organy ds. certyfikacji cyberbezpieczeństwa uzyskują poufne i wrażliwe dane oraz tajemnice handlowe, również dotyczące własności intelektualnej lub monitorowania zgodności, które wymagają odpowiedniej ochrony. Powinny one zatem posiadać niezbędne kompetencje techniczne i wiedzę techniczną oraz ustanowić systemy ochrony informacji. Wymogi i warunki ochrony informacji powinny być spełnione zarówno w odniesieniu do akredytacji, jak i zezwolenia.
(28) ENISA powinna udostępnić wykaz certyfikowanych profili zabezpieczeń na swojej stronie internetowej poświęconej certyfikacji cyberbezpieczeństwa i wskazywać ich status zgodnie z rozporządzeniem (UE) 2019/881.
(29) W niniejszym rozporządzeniu określa się warunki dotyczące umów o wzajemnym uznawaniu z państwami trzecimi. Takie umowy o wzajemnym uznawaniu mogą mieć charakter dwu- lub wielostronny i powinny zastąpić podobne obecnie obowiązujące umowy. W celu ułatwienia płynnego przejścia do takich umów o wzajemnym uznawaniu państwa członkowskie mogą przez ograniczony okres kontynuować istniejące porozumienia o współpracy z państwami trzecimi.
(30) Jednostki certyfikujące wydające certyfikaty EUCC o poziomie uzasadnienia zaufania "wysoki", a także odpowiednie powiązane ITSEF powinny być poddawane wzajemnej ocenie. Celem wzajemnych ocen powinno być ustalenie, czy struktura i procedury jednostki certyfikującej poddanej wzajemnej ocenie dalej spełniają wymogi programu EUCC. Wzajemne oceny różnią się od wzajemnych ocen przeprowadzanych przez krajowe organy ds. certyfikacji cyberbez- pieczeństwa, jak przewidziano w art. 59 rozporządzenia (UE) 2019/881. Wzajemne oceny powinny służyć upewnieniu się, że jednostki certyfikujące działają w sposób zharmonizowany i wydają certyfikaty tej samej jakości, oraz powinny służyć zidentyfikowaniu wszelkich potencjalnych mocnych lub słabych stron w funkcjonowaniu jednostek certyfikujących, również z myślą o wymianie najlepszych praktyk. Ponieważ istnieją różne rodzaje jednostek certyfikujących, należy dopuścić różne rodzaje wzajemnej oceny. W bardziej złożonych przypadkach, jak na przykład w odniesieniu do jednostek certyfikujących wydających certyfikaty na różnych poziomach AVA_VAN, można stosować różne rodzaje wzajemnej oceny pod warunkiem spełnienia wszystkich wymogów.
(31) Europejska Grupa ds. Certyfikacji Cyberbezpieczeństwa powinna odgrywać ważną rolę w utrzymaniu programu. Działania te powinny być prowadzone między innymi w drodze współpracy z sektorem prywatnym, tworzenia wyspecjalizowanych podgrup oraz odpowiednich prac przygotowawczych i udzielania pomocy, o którą prosi Komisja. Europejska Grupa ds. Certyfikacji Cyberbezpieczeństwa odgrywa ważną rolę w zatwierdzaniu dokumentów odzwierciedlających stan wiedzy. Przy zatwierdzaniu i przyjmowaniu dokumentów odzwierciedlających stan wiedzy należy odpowiednio uwzględnić elementy, o których mowa w art. 54 ust. 1 lit. c) rozporządzenia (UE) 2019/881. Domeny techniczne powinny być publikowane w załączniku I do niniejszego rozporządzenia. Profile zabezpieczeń, które przyjęto jako dokumenty odzwierciedlające stan wiedzy powinno być publikowane w załączniku II. Aby zapewnić dynamikę tych załączników, Komisja może je zmieniać - zgodnie z procedurą określoną w art. 66 ust. 2 rozporządzenia (UE) 2019/881 oraz z uwzględnieniem opinii Europejskiej Grupy ds. Certyfikacji Cyberbezpieczeń- stwa. Załącznik III zawiera zalecane profile zabezpieczeń, które w momencie wejścia w życie niniejszego rozporządzenia nie są dokumentami odzwierciedlającymi stan wiedzy. Powinny one być publikowane na stronie internetowej ENISA, o której mowa w art. 50 ust. 1 rozporządzenia (UE) 2019/881.
(32) Niniejsze rozporządzenie powinno stosować się od dnia przypadającego 12 miesięcy po jego wejściu w życie. Wymogi rozdziału IV i załącznika V nie wymagają okresu przejściowego i w związku z tym powinny mieć zastosowanie od dnia wejścia w życie niniejszego rozporządzenia.
(33) Środki przewidziane w niniejszym rozporządzeniu są zgodne z opinią Europejskiego Komitetu ds. Certyfikacji Cyberbezpieczeństwa ustanowionego na mocy art. 66 rozporządzenia (UE) 2019/881,
PRZYJMUJE NINIEJSZE ROZPORZĄDZENIE:
