art. 56

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2019/881 z dnia 17 kwietnia 2019 r. w sprawie ENISA (Agencji Unii Europejskiej ds. Cyberbezpieczeństwa) oraz certyfikacji cyberbezpieczeństwa w zakresie technologii informacyjno-komunikacyjnych oraz uchylenia rozporządzenia (UE) nr 526/2013 (akt o cyberbezpieczeństwie) (Tekst mający znaczenie dla EOG)

32019R0881

Treść przepisu

Artykuł 56 Certyfikacja cyberbezpieczeństwa 1.   Przyjmuje się, że produkty ICT, usługi ICT i procesy ICT, które uzyskały certyfikację w ramach przyjętego na podstawie art. 49 europejskiego programu certyfikacji cyberbezpieczeństwa, są zgodne z wymogami takiego programu. 2.   Certyfikacja cyberbezpieczeństwa jest dobrowolna, o ile prawo Unii lub prawo państwa członkowskiego nie stanowi inaczej. 3.   Komisja ocenia regularnie wydajność i użyteczność przyjętych europejskich programów certyfikacji cyberbezpieczeństwa oraz to, czy określony europejski program certyfikacji cyberbezpieczeństwa należy uczynić obowiązkowym za pomocą odpowiedniego prawa Unii w celu zapewnienia w Unii odpowiedniego poziomu cyberbezpieczeństwa produktów ICT, procesów ICT i usług ICT oraz w celu poprawy funkcjonowania rynku wewnętrznego. Pierwszą taką ocenę przeprowadza się nie później niż 31 grudnia 2023 r., a kolejne oceny przeprowadza się co najmniej raz na 2 lata. W oparciu o wynik tych ocen Komisja zidentyfikuje te produkty ICT, usługi ICT i procesy ICT objęte jednym z istniejących programów certyfikacji, które należy objąć obowiązkowym programem certyfikacji. W pierwszej kolejności Komisja skoncentruje się na sektorach wymienionych w załączniku II do dyrektywy (UE) 2016/1148, które zostaną ocenione najpóźniej dwa lata po przyjęciu pierwszego europejskiego programu certyfikacji cyberbezpieczeństwa. Przygotowując ocenę, Komisja: a) bierze pod uwagę wpływ danych środków na wytwórców lub dostawców takich produktów ICT, usług ICT lub procesów ICT oraz na użytkowników pod względem kosztów tych środków oraz korzyści społecznych lub gospodarczych wynikających z przewidywanego zwiększonego poziomu bezpieczeństwa wskazanych produktów ICT, usług ICT lub procesów ICT; b) bierze pod uwagę istnienie i wdrożenie odpowiednich przepisów państwa członkowskiego i państwa trzeciego; c) prowadzi otwarty, przejrzysty i integracyjny proces konsultacji ze wszystkimi odpowiednimi interesariuszami i państwami członkowskimi; d) bierze pod uwagę terminy wdrożenia, środki i okresy przejściowe, w szczególności pod względem ewentualnego wpływu danego środka na wytwórców lub dostawców produktów ICT, usług ICT lub procesów ICT, w tym na MŚP; e) proponuje najszybszy i najbardziej skuteczny sposób przejścia z dobrowolnego programu certyfikacji na program obowiązkowy. 4.   Jednostki oceniające zgodność, o których mowa w art. 60, wydają europejskie certyfikaty cyberbezpieczeństwa na podstawie niniejszego artykułu, wskazując na poziom uzasadnienia zaufania „podstawowy” lub „istotny” w oparciu o kryteria zawarte w danym europejskim programie certyfikacji cyberbezpieczeństwa przyjętym przez Komisję na podstawie art. 49. 5.   Na zasadzie odstępstwa od ust. 4, w należycie uzasadnionych przypadkach, europejski program certyfikacji cyberbezpieczeństwa może przewidywać, że europejskie certyfikaty cyberbezpieczeństwa otrzymywane na podstawie tego programu są wydawane jedynie przez podmiot publiczny. Takim podmiotem musi być jeden z wymienionych poniżej podmiotów: a) krajowy organ ds. certyfikacji cyberbezpieczeństwa, o którym mowa w art. 58 ust. 1; lub b) podmiot publiczny akredytowany jako jednostka oceniająca zgodność na podstawie art. 60 ust. 1. 6.   W przypadku gdy europejski program certyfikacji cyberbezpieczeństwa przyjęty na podstawie art. 49 wymaga poziomu uzasadnienia zaufania „wysoki”, europejski certyfikat cyberbezpieczeństwa wydawany w ramach tego programu może być wydany wyłącznie przez krajowy organ ds. certyfikacji cyberbezpieczeństwa lub – w następujących przypadkach – przez jednostkę oceniającą zgodność: a) po uprzednim zatwierdzeniu przez krajowy organ ds. certyfikacji cyberbezpieczeństwa każdego europejskiego certyfikatu cyberbezpieczeństwa wydanego przez daną jednostkę oceniającą zgodność; lub b) na podstawie ogólnego powierzenia przez krajowy organ ds. certyfikacji cyberbezpieczeństwa zadania polegającego na wydawaniu takich europejskich certyfikatów cyberbezpieczeństwa jednostce oceniającej zgodność. 7.   Osoba fizyczna lub prawna, która poddaje produkty ICT, usługi ICT lub procesy ICT certyfikacji, udostępnia krajowemu organowi ds. certyfikacji cyberbezpieczeństwa, o którym mowa w art. 58 – w przypadku gdy organ ten jest podmiotem wydającym europejski certyfikat cyberbezpieczeństwa – lub jednostce oceniającej zgodność, o której mowa w art. 60, wszelkie informacje niezbędne to przeprowadzenia certyfikacji. 8.   Posiadacz europejskiego certyfikatu cyberbezpieczeństwa informuje organ lub jednostkę, o których mowa w ust. 7, o wszelkich wykrytych następnie podatnościach lub nieprawidłowościach związanych z bezpieczeństwem certyfikowanych produktów ICT, usług ICT lub procesów ICT, które mogą mieć wpływ na zgodność z wymogami z zakresu certyfikacji. Organ lub jednostka przekazuje bez zbędnej zwłoki te informacje zainteresowanemu krajowemu organowi ds. certyfikacji cyberbezpieczeństwa. 9.   Europejski certyfikat cyberbezpieczeństwa wydaje się na okres przewidziany w europejskim programie certyfikacji cyberbezpieczeństwa i może być on odnowiony, o ile nadal są spełnione odpowiednie wymogi. 10.   Europejski certyfikat cyberbezpieczeństwa wydany na podstawie niniejszego artykułu jest uznawany we wszystkich państwach członkowskich.

© Unia Europejska, źródło: EUR-Lex (eur-lex.europa.eu), pozyskano 12.07.2026. Autentyczne są wyłącznie wersje opublikowane w Dz. Urz. UE. · PDF źródłowy