art. 54
32019R0881
Treść przepisu
Artykuł 54
Elementy europejskich programów certyfikacji cyberbezpieczeństwa
1. Europejski program certyfikacji cyberbezpieczeństwa obejmuje co najmniej następujące elementy:
a)
przedmiot i zakres programu certyfikacji, w tym rodzaj lub kategorie objętych danym programem produktów ICT, usług ICT i procesów ICT;
b)
jasny opis celu programu i tego, jak wybrane normy, metody oceny i poziomy uzasadnienia zaufania odpowiadają potrzebom przewidywanych użytkowników programu;
c)
odesłanie do międzynarodowych, europejskich lub krajowych norm stosowanych podczas oceny lub, w przypadku braku takich norm lub gdy nie są one odpowiednie, odesłanie do specyfikacji technicznych spełniających wymogi określone w załączniku II do rozporządzenia (UE) nr 1025/2012 lub w przypadku braku takich specyfikacji odesłanie do specyfikacji technicznych lub innych wymogów cyberbezpieczeństwa określonych w tym europejskim programie certyfikacji cyberbezpieczeństwa;
d)
w stosownych przypadkach jeden lub więcej poziomów uzasadnienia zaufania;
e)
wskazanie, czy w ramach sytemu dozwolona jest ocena zgodności przez stronę pierwszą;
f)
w stosownych przypadkach szczegółowe lub dodatkowe wymogi, którym podlegają jednostki oceniające zgodność w celu zagwarantowania ich kwalifikacji technicznych odnośnie do oceny wymogów cyberbezpieczeństwa;
g)
szczegółowe kryteria oceny i metody, w tym rodzaje oceny, stosowane w celu wykazania, że zostały osiągnięte cele w zakresie bezpieczeństwa, o których mowa w art. 51;
h)
w stosownych przypadkach niezbędne do celów certyfikacji informacje, które wnioskodawca ma dostarczyć lub udostępnić w inny sposób jednostkom oceniającym zgodność;
i)
w przypadku gdy program przewiduje stosowanie znaków lub etykiet – warunki, na jakich takie znaki lub etykiety mogą być stosowane;
j)
zasady monitorowania zgodności produktów ICT, usług ICT i procesów ICT z wymogami europejskich certyfikatów cyberbezpieczeństwa lub unijnymi deklaracjami zgodności, w tym mechanizmy służące wykazaniu ciągłej zgodności z określonymi wymogami cyberbezpieczeństwa;
k)
w stosownych przypadkach warunki wydawania, utrzymywania, kontynuowania i odnawiania europejskich certyfikatów cyberbezpieczeństwa, a także warunki rozszerzania lub ograniczenia zakresu certyfikacji;
l)
zasady dotyczące skutków dla produktów ICT, usług ICT i procesów ICT, które uzyskały certyfikację lub w przypadku których wydana została unijna deklaracja zgodności, które jednak nie spełniają wymogów programu;
m)
zasady dotyczące sposobu zgłaszania uprzednio niewykrytych, a wpływających na cyberbezpieczeństwo podatności produktów ICT, usług ICT i procesów ICT oraz sposobu postępowania z nimi;
n)
w stosownych przypadkach zasady dotyczące przechowywania dokumentów przez jednostki oceniające zgodność;
o)
identyfikacja krajowych lub międzynarodowych programów certyfikacji cyberbezpieczeństwa, obejmujących ten sam rodzaj lub te same kategorie produktów ICT, usług ICT i procesów ICT, wymogów bezpieczeństwa, kryteriów i metod oceny oraz poziomów uzasadnienia zaufania;
p)
treść i format wydawanych europejskich certyfikatów cyberbezpieczeństwa i unijnych deklaracji zgodności;
q)
okres dostępności unijnej deklaracji zgodności, dokumentacji technicznej oraz wszelkich innych istotnych informacji, przez jaki mają je udostępniać wytwórcy lub dostawcy produktów ICT, usług ICT lub procesów ICT;
r)
maksymalny okres ważności europejskich certyfikatów cyberbezpieczeństwa wydawanych w ramach programu;
s)
polityka dotycząca ujawniania informacji na temat europejskich certyfikatów cyberbezpieczeństwa, które zostały wydane, zmienione lub cofnięte w ramach programów;
t)
warunki wzajemnego uznawania programów certyfikacji z państwami trzecimi;
u)
w stosownych przypadkach zasady dotyczące ustanowionego w danym programie mechanizmu wzajemnej oceny dla organów lub jednostek wydających europejskie certyfikaty cyberbezpieczeństwa o poziomie uzasadnienia zaufania „wysoki” zgodnie z art. 56 ust. 6. Mechanizm taki pozostaje bez uszczerbku dla wzajemnego przeglądu, o którym mowa w art. 59;
v)
format i procedury, jakie mają stosować wytwórcy lub dostawcy produktów ICT, usług ICT lub procesów ICT przy dostarczaniu i aktualizowaniu dodatkowych informacji na temat cyberbezpieczeństwa zgodnie z art. 55.
2. Określone wymogi europejskiego programu certyfikacji cyberbezpieczeństwa muszą być zgodne z obowiązującymi wymogami prawnymi, w szczególności z wymogami wynikającymi ze zharmonizowanego prawa Unii.
3. W przypadku gdy przewiduje to dany akt prawny Unii, certyfikat lub unijna deklaracja zgodności wydane w ramach europejskiego programu certyfikacji cyberbezpieczeństwa mogą być stosowane do wykazania domniemania zgodności z wymogami tego aktu prawnego.
4. W przypadku braku zharmonizowanego prawa Unii prawo państwa członkowskiego może również stanowić, że europejski programy certyfikacji cyberbezpieczeństwa może być stosowany do ustanowienia domniemania zgodności z wymogami prawnymi.
© Unia Europejska, źródło: EUR-Lex (eur-lex.europa.eu), pozyskano 12.07.2026. Autentyczne są wyłącznie wersje opublikowane w Dz. Urz. UE. · PDF źródłowy