art. 54

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2019/881 z dnia 17 kwietnia 2019 r. w sprawie ENISA (Agencji Unii Europejskiej ds. Cyberbezpieczeństwa) oraz certyfikacji cyberbezpieczeństwa w zakresie technologii informacyjno-komunikacyjnych oraz uchylenia rozporządzenia (UE) nr 526/2013 (akt o cyberbezpieczeństwie) (Tekst mający znaczenie dla EOG)

32019R0881

Treść przepisu

Artykuł 54 Elementy europejskich programów certyfikacji cyberbezpieczeństwa 1.   Europejski program certyfikacji cyberbezpieczeństwa obejmuje co najmniej następujące elementy: a) przedmiot i zakres programu certyfikacji, w tym rodzaj lub kategorie objętych danym programem produktów ICT, usług ICT i procesów ICT; b) jasny opis celu programu i tego, jak wybrane normy, metody oceny i poziomy uzasadnienia zaufania odpowiadają potrzebom przewidywanych użytkowników programu; c) odesłanie do międzynarodowych, europejskich lub krajowych norm stosowanych podczas oceny lub, w przypadku braku takich norm lub gdy nie są one odpowiednie, odesłanie do specyfikacji technicznych spełniających wymogi określone w załączniku II do rozporządzenia (UE) nr 1025/2012 lub w przypadku braku takich specyfikacji odesłanie do specyfikacji technicznych lub innych wymogów cyberbezpieczeństwa określonych w tym europejskim programie certyfikacji cyberbezpieczeństwa; d) w stosownych przypadkach jeden lub więcej poziomów uzasadnienia zaufania; e) wskazanie, czy w ramach sytemu dozwolona jest ocena zgodności przez stronę pierwszą; f) w stosownych przypadkach szczegółowe lub dodatkowe wymogi, którym podlegają jednostki oceniające zgodność w celu zagwarantowania ich kwalifikacji technicznych odnośnie do oceny wymogów cyberbezpieczeństwa; g) szczegółowe kryteria oceny i metody, w tym rodzaje oceny, stosowane w celu wykazania, że zostały osiągnięte cele w zakresie bezpieczeństwa, o których mowa w art. 51; h) w stosownych przypadkach niezbędne do celów certyfikacji informacje, które wnioskodawca ma dostarczyć lub udostępnić w inny sposób jednostkom oceniającym zgodność; i) w przypadku gdy program przewiduje stosowanie znaków lub etykiet – warunki, na jakich takie znaki lub etykiety mogą być stosowane; j) zasady monitorowania zgodności produktów ICT, usług ICT i procesów ICT z wymogami europejskich certyfikatów cyberbezpieczeństwa lub unijnymi deklaracjami zgodności, w tym mechanizmy służące wykazaniu ciągłej zgodności z określonymi wymogami cyberbezpieczeństwa; k) w stosownych przypadkach warunki wydawania, utrzymywania, kontynuowania i odnawiania europejskich certyfikatów cyberbezpieczeństwa, a także warunki rozszerzania lub ograniczenia zakresu certyfikacji; l) zasady dotyczące skutków dla produktów ICT, usług ICT i procesów ICT, które uzyskały certyfikację lub w przypadku których wydana została unijna deklaracja zgodności, które jednak nie spełniają wymogów programu; m) zasady dotyczące sposobu zgłaszania uprzednio niewykrytych, a wpływających na cyberbezpieczeństwo podatności produktów ICT, usług ICT i procesów ICT oraz sposobu postępowania z nimi; n) w stosownych przypadkach zasady dotyczące przechowywania dokumentów przez jednostki oceniające zgodność; o) identyfikacja krajowych lub międzynarodowych programów certyfikacji cyberbezpieczeństwa, obejmujących ten sam rodzaj lub te same kategorie produktów ICT, usług ICT i procesów ICT, wymogów bezpieczeństwa, kryteriów i metod oceny oraz poziomów uzasadnienia zaufania; p) treść i format wydawanych europejskich certyfikatów cyberbezpieczeństwa i unijnych deklaracji zgodności; q) okres dostępności unijnej deklaracji zgodności, dokumentacji technicznej oraz wszelkich innych istotnych informacji, przez jaki mają je udostępniać wytwórcy lub dostawcy produktów ICT, usług ICT lub procesów ICT; r) maksymalny okres ważności europejskich certyfikatów cyberbezpieczeństwa wydawanych w ramach programu; s) polityka dotycząca ujawniania informacji na temat europejskich certyfikatów cyberbezpieczeństwa, które zostały wydane, zmienione lub cofnięte w ramach programów; t) warunki wzajemnego uznawania programów certyfikacji z państwami trzecimi; u) w stosownych przypadkach zasady dotyczące ustanowionego w danym programie mechanizmu wzajemnej oceny dla organów lub jednostek wydających europejskie certyfikaty cyberbezpieczeństwa o poziomie uzasadnienia zaufania „wysoki” zgodnie z art. 56 ust. 6. Mechanizm taki pozostaje bez uszczerbku dla wzajemnego przeglądu, o którym mowa w art. 59; v) format i procedury, jakie mają stosować wytwórcy lub dostawcy produktów ICT, usług ICT lub procesów ICT przy dostarczaniu i aktualizowaniu dodatkowych informacji na temat cyberbezpieczeństwa zgodnie z art. 55. 2.   Określone wymogi europejskiego programu certyfikacji cyberbezpieczeństwa muszą być zgodne z obowiązującymi wymogami prawnymi, w szczególności z wymogami wynikającymi ze zharmonizowanego prawa Unii. 3.   W przypadku gdy przewiduje to dany akt prawny Unii, certyfikat lub unijna deklaracja zgodności wydane w ramach europejskiego programu certyfikacji cyberbezpieczeństwa mogą być stosowane do wykazania domniemania zgodności z wymogami tego aktu prawnego. 4.   W przypadku braku zharmonizowanego prawa Unii prawo państwa członkowskiego może również stanowić, że europejski programy certyfikacji cyberbezpieczeństwa może być stosowany do ustanowienia domniemania zgodności z wymogami prawnymi.

© Unia Europejska, źródło: EUR-Lex (eur-lex.europa.eu), pozyskano 12.07.2026. Autentyczne są wyłącznie wersje opublikowane w Dz. Urz. UE. · PDF źródłowy