37649b7f-0dd6-4f97-8d1a-c9158bf5f26f

Certificiranje za kibernetsko varnost pomeni potrditev, da so bili proizvodi, storitve in postopki IKT ocenjeni v skladu z veljavnimi evropskimi certifikacijskimi shemami za kibernetsko varnost iz izvedbenih aktov Evropske komisije, sprejetimi na podlagi 49. člena Uredbe 2019/881/EU (v nadaljnjem besedilu: evropske certifikacijske sheme za kibernetsko varnost), in da izpolnjujejo v teh shemah določene varnostne zahteve.

Pristojni nacionalni organ je pristojni nacionalni certifikacijski organ za kibernetsko varnost iz prvega odstavka 58. člena Uredbe 2019/881/EU.

Samoocenjevanje skladnosti, za katero je v celoti odgovoren proizvajalec ali ponudnik proizvodov, storitev ali postopkov IKT, in izdaja izjave EU o skladnosti se izvajata v skladu s 53. členom Uredbe 2019/881/EU.

Naloge nacionalnega akreditacijskega organa iz Uredbe 2019/881/EU v Republiki Sloveniji opravlja javni zavod Slovenska akreditacija, ta tudi akreditira organe za ugotavljanje skladnosti, ki izpolnjujejo pogoje iz navedene uredbe.

Organ za ugotavljanje skladnosti v Republiki Sloveniji se določi po postopku in na način iz IV. poglavja Zakona o tehničnih zahtevah za proizvode in o ugotavljanju skladnosti (Uradni list RS, št. 17/11 in 29/23), pri čemer ta organ izpolnjuje zahteve po prej navedenem zakonu in dodatne zahteve iz priloge Uredbe 2019/881/EU.

Organ za ugotavljanje skladnosti iz prejšnjega odstavka lahko na podlagi Uredbe 2019/881/EU izda evropski certifikat kibernetske varnosti, ki se nanaša na osnovno ali znatno raven zanesljivosti, in to na podlagi meril, vključenih v evropsko certifikacijsko shemo za kibernetsko varnost.

Ne glede na prejšnji odstavek je v primeru, ko evropska certifikacijska shema za kibernetsko varnost določa, da lahko evropske certifikate kibernetske varnosti izdajajo izključno javni organi, za izdajo takšnih certifikatov v Republiki Sloveniji pristojen organ za ugotavljanje skladnosti iz petega odstavka tega člena, če je ta organ subjekt javnega prava. Če takšnega organa ni, je za izdajo teh certifikatov pristojen nacionalni certifikacijski organ za kibernetsko varnost.

Kadar evropska certifikacijska shema za kibernetsko varnost zahteva visoko raven zanesljivosti, lahko v Republiki Sloveniji evropski certifikat kibernetske varnosti na podlagi te sheme izda nacionalni certifikacijski organ za kibernetsko varnost.

Ne glede na sedmi in osmi odstavek tega člena lahko evropski certifikat kibernetske varnosti izda organ za ugotavljanje skladnosti, če nacionalni certifikacijski organ za kibernetsko varnost to predhodno odobri za vsak posamezni evropski certifikat kibernetske varnosti posebej ali na podlagi splošnega prenosa naloge izdajanja takih evropskih certifikatov kibernetske varnosti na organ za ugotavljanje skladnosti.

Nacionalni certifikacijski organ za kibernetsko varnost lahko na podlagi predhodnega soglasja vlade prenese pooblastilo za izdajanje evropskih certifikatov kibernetske varnosti za visoko raven zanesljivosti iz svoje pristojnosti tudi na pristojni nacionalni certifikacijski organ za kibernetsko varnost druge države članice Evropske unije. V tem primeru nacionalni certifikacijski organ odloči o priznanju tako izdanega evropskega certifikata kibernetske varnosti za visoko raven zanesljivosti.

Nacionalni certifikacijski organ za kibernetsko varnost odloča o vlogah za priznanje evropskega certifikata kibernetske varnosti, ki ga imajo fizične ali pravne osebe in so podale vlogo za takšno priznanje v Republiki Sloveniji. Poleg tega lahko z odločbo prekliče evropski certifikat kibernetske varnosti, ki ga izda pristojni organ iz šestega, sedmega ali desetega odstavka tega člena, kadar tak certifikat ni v skladu z Uredbo 2019/881/EU ali z evropskimi certifikacijskimi shemami za kibernetsko varnost, sprejetimi na podlagi 49. člena Uredbe 2019/881/EU.

Fizične in pravne osebe, ki so stranke ali stranski udeleženci postopka iz šestega, sedmega ali osmega odstavka tega člena, lahko pri organu, pristojnem za izdajo evropskega certifikata kibernetske varnosti, vložijo pritožbo zoper evropski certifikat kibernetske varnosti ali zoper molk organa. Kadar se pritožba nanaša na evropski certifikat kibernetske varnosti, ki ga je izdal organ za ugotavljanje skladnosti v skladu s sedmim odstavkom tega člena, se takšna pritožba vloži pri nacionalnem certifikacijskem organu za kibernetsko varnost.

Organ, pri katerem je bila vložena pritožba, preizkusi vsebino pritožbe in obvesti pritožnika o poteku postopka ali o odstopu pritožbe v reševanje nacionalnemu certifikacijskemu organu za kibernetsko varnost, ki odloči o pritožbi. Zoper odločbo pritožbenega organa je dovoljen upravni spor.

Kadar na podlagi sedmega ali osmega odstavka tega člena o izdaji evropskega certifikata kibernetske varnosti odloča nacionalni certifikacijski organ za kibernetsko varnost, je zoper evropski certifikat kibernetske varnosti ali zoper molk organa dovoljen upravni spor.

Sodno varstvo iz trinajstega in štirinajstega odstavka tega člena vključuje tudi nepravilno izdajo, opustitev izdaje ali priznanje evropskega certifikata kibernetske varnosti, ki ga imajo fizične ali pravne osebe, ki so stranke ali stranski udeleženci postopka, in molk organa.

Za obvladovanje tveganj za varnost omrežij in informacijskih sistemov bistveni in pomembni subjekti pri izvajanju ukrepov iz 22. člena tega zakona prednostno uporabljajo kvalificirane storitve zaupanja in tiste proizvode, storitve ali postopke IKT, ki so jih razvili bistveni ali pomembni subjekti ali so bili kupljeni pri drugih subjektih in so certificirani na podlagi evropskih certifikacijskih shem za kibernetsko varnost, sprejetih na podlagi 49. člena Uredbe 2019/881/EU.