Nou Regulamentul 2462/08-dec-2025 de modificare a Regulamentului de punere în aplicare (UE) 2024/482 în ceea ce priveşte definiţiile, certificarea seriilor de produse TIC, continuitatea asigurării şi documentele ce reflectă stadiul actual al tehnologiei

Acte UE

Jurnalul Oficial seria L

Neintrat în vigoare
Versiune de la: 9 Decembrie 2025
Regulamentul 2462/08-dec-2025 de modificare a Regulamentului de punere în aplicare (UE) 2024/482 în ceea ce priveşte definiţiile, certificarea seriilor de produse TIC, continuitatea asigurării şi documentele ce reflectă stadiul actual al tehnologiei
Dată act: 8-dec-2025
Emitent: Comisia Europeana
(Text cu relevanţă pentru SEE)
COMISIA EUROPEANĂ,
având în vedere Tratatul privind funcţionarea Uniunii Europene,
având în vedere Regulamentul (UE) 2019/881 al Parlamentului European şi al Consiliului din 17 aprilie 2019 privind ENISA (Agenţia Uniunii Europene pentru Securitate Cibernetică) şi privind certificarea securităţii cibernetice pentru tehnologia informaţiei şi comunicaţiilor şi de abrogare a Regulamentului (UE) nr. 526/2013 (Regulamentul privind securitatea cibernetică) (1), în special articolul 49 alineatul (7),
(1)JO L 151, 7.6.2019, p. 15, ELI: http://data.europa.eu/eli/reg/2019/881/oj.
Întrucât:
(1)Regulamentul de punere în aplicare (UE) 2024/482 al Comisiei (2) precizează rolurile, normele şi obligaţiile, precum şi structura sistemului european de certificare a securităţii cibernetice bazat pe criterii comune (EUCC) în conformitate cu cadrul european de certificare a securităţii cibernetice prevăzut în Regulamentul (UE) 2019/881.
(2)Regulamentul de punere în aplicare (UE) 2024/482 al Comisiei din 31 ianuarie 2024 de stabilire a normelor de aplicare a Regulamentului (UE) 2019/881 al Parlamentului European şi al Consiliului în ceea ce priveşte adoptarea sistemului european de certificare a securităţii cibernetice bazat pe criterii comune (EUCC) (JO L, 2024/482, 7.2.2024, ELI: http://data.europa.eu/eli/reg_impl/2024/482/oj).
(2)Metodologia comună de evaluare care însoţeşte criteriile comune (CC), un standard internaţional pentru evaluarea securităţii informaţiilor, permite evaluarea securităţii produselor TIC în scopul certificării. În acest context, unele produse TIC, denumite şi serii de produse, pot fi construite pe aceeaşi bază funcţională pentru a oferi funcţionalităţi de securitate similare pe platforme sau aparate diferite. Cu toate acestea, proiectarea, hardware-ul, firmware-ul sau software-ul pot varia de la un produs TIC la altul. Este de competenţa organismului de certificare să decidă, de la caz la caz, dacă este posibilă certificarea unei serii de produse. Condiţiile pentru certificarea seriilor de produse ar putea fi ilustrate mai în detaliu în orientările EUCC aferente.
(3)Pentru a menţine fiabilitatea produselor certificate, este esenţial să se definească ceea ce constituie o modificare majoră şi minoră a obiectivului evaluării sau a mediului său, inclusiv a mediilor sale operaţionale sau de dezvoltare. Prin urmare, este necesar să se specifice noţiunile respective, luând în considerare specificaţiile tehnice existente şi utilizate pe scară largă ale Grupul înalţilor funcţionari pentru securitatea sistemelor informatice (SOG-IS) şi ale participanţilor la Acordurile privind recunoaşterea certificatelor privind criteriile comune în domeniul securităţii informatice (CCRA).
(4)Modificările minore sunt adesea caracterizate de efectul lor limitat asupra declaraţiei de asigurare a produsului furnizate de certificatul EUCC emis. Astfel, modificările minore ar trebui gestionate în cadrul procedurilor de întreţinere şi nu necesită o reevaluare a funcţionalităţilor de securitate ale produsului. Printre exemplele de modificări minore care ar trebui abordate prin întreţinere se numără, fără a se limita la acestea, modificările de redactare, modificările aduse ţintei mediului de evaluare care nu modifică ţinta certificată a evaluării şi modificările aduse ţintei certificate de evaluare care nu afectează dovezile de asigurare. Modificările aduse mediului de dezvoltare pot fi, de asemenea, considerate minore, cu condiţia ca acestea să nu aibă niciun impact ulterior asupra măsurilor de asigurare existente. Cu toate acestea, în unele cazuri, acestea pot necesita o evaluare parţială a măsurilor relevante.
(5)O modificare majoră este orice modificare a obiectivului certificat de evaluare sau a mediului său care ar putea avea un impact negativ asupra asigurării exprimate în certificatul EUCC şi, prin urmare, ar trebui să necesite o reevaluare. Printre exemplele de modificări majore se numără, fără a se limita la acestea, modificările aduse setului de cerinţe de asigurare declarate, cu excepţia cerinţelor de asigurare ale familiei CC ALC_FLR (remedierea deficienţelor), modificările controalelor privind confidenţialitatea sau integritatea mediului de dezvoltare, în cazul în care astfel de modificări ar putea afecta dezvoltarea sau producerea în condiţii de siguranţă a ţintei de evaluare sau modificările ţintei de evaluare pentru a soluţiona o vulnerabilitate exploatabilă. În plus, o serie de modificări minore care exercită în mod colectiv un impact semnificativ asupra securităţii pot fi, de asemenea, calificate drept modificări majore. De asemenea, este important să se recunoască faptul că, deşi o soluţie greşită poate afecta doar un anumit aspect al obiectivului evaluării, imprevizibilitatea şi impactul potenţial asupra asigurării pot face ca aceasta să fie o modificare majoră în cazul în care compromite asigurările securităţii oferite de certificare.
(6)Evoluţiile ameninţărilor din mediul unui produs TIC certificat nemodificat ar putea necesita o reevaluare. Ar trebui să fie clar stabilite rezultatele posibile ale unui astfel de proces de reevaluare, în special impactul său asupra certificatului EUCC. În cazul în care o reevaluare este finalizată cu succes, organismul de certificare ar trebui să confirme certificatul sau să elibereze un nou certificat cu o dată de expirare prelungită. În cazul în care un proces de reevaluare nu este finalizat cu succes, organismul de certificare ar trebui să retragă certificatul şi, eventual, să elibereze un nou certificat cu un domeniu diferit de aplicare. Aceste dispoziţii ar trebui să se aplice mutatis mutandis reevaluării profilurilor de protecţie.
(7)Anexa I la Regulamentul de punere în aplicare (UE) 2024/482 enumeră documentele aplicabile ce reflectă stadiul actual al tehnologiei pentru evaluarea produselor TIC şi a profilurilor de protecţie. Aceste documente ce reflectă stadiul actual al tehnologiei ar trebui actualizate pentru a reflecta cele mai recente evoluţii, cum ar fi cele legate de evoluţiile tehnologice, de peisajul ameninţărilor cibernetice, de practicile industriale sau de standardele internaţionale. O astfel de actualizare este oportună pentru documentele ce reflectă stadiul actual al tehnologiei referitoare la cerinţele minime de securitate a site-ului, aplicarea potenţialelor de atac la cardurile inteligente, aplicarea potenţialelor de atac asupra dispozitivelor hardware cu casete de securitate, aplicarea unor criterii comune pentru circuitele integrate şi evaluarea produselor compozite pentru cardurile inteligente şi dispozitivele similare. În plus, nu sunt incluse documentele ce reflectă stadiul actual al tehnologiei referitoare la evaluarea şi certificarea produselor compozite care utilizează cea mai recentă versiune a standardelor bazate pe criteriile comune, reutilizarea rezultatelor evaluării auditurilor la faţa locului şi clarificări cu privire la interpretarea profilurilor de protecţie referitoare la dispozitivele de creare a semnăturilor electronice calificate, tahografe şi modulele de securitate hardware. Pentru a asigura o evaluare uniformă a produselor TIC în cadrul EUCC, anexa I ar trebui modificată pentru a include aceste noi documente ce reflectă stadiul actual al tehnologiei, în urma aprobării lor de către Grupul european pentru certificarea securităţii cibernetice (ECCG).
(8)În plus, documentul ce reflectă stadiul actual al tehnologiei intitulat "ADV_SPM.1 interpretation for CC:2022 transition" ar trebui adăugat la sistem pentru a se asigura că procesele de certificare care se bazează pe profiluri de protecţie specifice pot continua să utilizeze modelarea formală (ADV_SPM.1) până la actualizarea profilurilor de protecţie corespunzătoare, de exemplu prin adăugarea unei configuraţii conforme a profilului de protecţie multiasigurare CC: 2022 care sprijină ADV_SPM.1. Pentru a oferi pieţei suficient timp pentru a trece la standardele actualizate bazate pe criteriile comune, trebuie prevăzute norme de tranziţie specifice pentru profilurile de protecţie Security IC Platform PP with Augmentation Packages (v1.0), BSI-CC-PP-0084-2014, Java Card System - Closed Configuration (v3.1), BSI-CC-PP-0101-V2-2020, sau Java Card System - Open Configuration (v3.1), BSI-CC-PP-0099-V2-2020. Pentru a evita orice perturbare a pieţei, este oportun să se stabilească faptul că documentul ce reflectă stadiul actual al tehnologiei privind interpretarea "ADV_SPM.1 interpretation for CC: 2022 transition" se aplică proceselor de certificare care au fost iniţiate înainte de adoptarea prezentului regulament. Cu toate acestea, aplicarea acestui document ar trebui să fie strict limitată la ceea ce este necesar, având în vedere timpul necesar pentru finalizarea actualizării profilurilor de protecţie corespunzătoare. Mai precis, pentru procesele de certificare care utilizează profilurile de protecţie Security IC Platform PP with Augmentation Packages (v1.0), BSI-CC-PP-0084-2014, sau Java Card System - Closed Configuration (v3.1), BSI-CC-PP-0101-V2-2020, documentul ce reflectă stadiul actual al tehnologiei ar trebui să se aplice proceselor care au fost iniţiate înainte de 1 octombrie 2026. Pentru procesele de certificare care utilizează profilul de protecţie Java Card System - Open Configuration (v3.1), BSI-CC-PP-0099-V2-2020, documentul ce reflectă stadiul actual al tehnologiei ar trebui să se aplice numai proceselor iniţiate înainte de data intrării în vigoare a prezentului regulament, având în vedere că este deja disponibilă o nouă versiune a profilului de protecţie Java Card System - Open Configuration.
(9)O modificare a documentelor ce reflectă stadiul actual al tehnologiei în cursul unui proces de certificare ar putea perturba evaluarea produsului şi ar putea întârzia eliberarea certificatului. Prin urmare, sunt necesare norme de tranziţie adecvate pentru documentele noi sau actualizate ce reflectă stadiul actual al tehnologiei, pentru a permite vânzătorilor, ITSEF, organismelor de certificare şi altor părţi interesate să efectueze ajustările necesare. Documentele noi şi actualizate ce reflectă stadiul actual al tehnologiei aplicabile ar trebui să vizeze cererile de certificare, inclusiv cererile de reevaluare şi reevaluare, în timp ce procesele de certificare în curs ar trebui să poată utiliza în continuare versiuni anterioare ale documentelor ce reflectă stadiul actual al tehnologiei.
(10)Anexele II şi III la Regulamentul de punere în aplicare (UE) 2024/482 enumeră profilurile de protecţie certificate la nivelul AVA_VAN 4 sau 5 şi, respectiv, profilurile de protecţie recomandate. Mai multe referinţe sunt incomplete sau caduce, din cauza unei actualizări a profilurilor de protecţie. Aceste referinţe ar trebui completate şi, în plus, ar trebui incluse noi referinţe pentru a asigura o acoperire mai cuprinzătoare a circuitelor integrate securizate, a cardurilor inteligente şi a dispozitivelor conexe, precum şi a sistemelor informatice de încredere.
(11)Este necesar să se aducă modificări articolului 19 din Regulamentul de punere în aplicare (UE) 2024/482 pentru a clarifica faptul că anexa IV se aplică, cu modificările necesare, revizuirii certificatelor EUCC pentru profilurile de protecţie.
(12)Având în vedere că obiectivul de securitate este un element-cheie pentru înţelegerea domeniului de aplicare al unui proces de certificare, este, de asemenea, necesar ca ENISA să publice obiectivul de securitate corespunzător fiecărui certificat EUCC pe site-ul său web.
(13)În plus, organismele de certificare ar trebui să furnizeze ENISA o versiune în limba engleză a obiectivului de securitate şi a raportului de certificare pentru a permite agenţiei să pună la dispoziţie informaţiile respective în limba engleză pe site-ul corespunzător, în temeiul articolului 42 alineatul (2) din Regulamentul de punere în aplicare (UE) 2024/482. Din acest motiv, solicitanţii de certificare ar trebui să furnizeze organismelor de certificare o versiune în limba engleză a obiectivului de securitate, ori de câte ori li se solicită acest lucru.
(14)Nu este necesar ca trimiterea la denumirea organismului de certificare să apară în identificarea unică a certificatului, deoarece numărul de identificare al organismului de certificare este suficient pentru a identifica acest organism într-un mod unic. Nici luna eliberării nu trebuie să apară, deoarece numărarea certificatelor se face anual. Prin urmare, această cerinţă ar trebui eliminată, din motive de simplificare. Întrucât anul eliberării certificatului corespunde eliberării primului certificat, aceeaşi dată ar trebui să figureze în identificarea unică de pe certificatele eliberate după o revizuire, pentru a se asigura trasabilitatea.
(15)Prin urmare, Regulamentul de punere în aplicare (UE) 2024/482 trebuie modificat în consecinţă.
(16)Măsurile prevăzute în prezentul regulament sunt conforme cu avizul comitetului instituit în temeiul articolului 66 din Regulamentul (UE) 2019/881,
ADOPTĂ PREZENTUL REGULAMENT:
-****-
Art. 1
Regulamentul de punere în aplicare (UE) 2024/482 se modifică după cum urmează:
1.la articolul 2, se adaugă următoarele puncte 16, 17 şi 18:
"16. «serie de produse» înseamnă un set de produse TIC ale unui solicitant, construit pe aceeaşi bază funcţională pentru a răspunde aceloraşi nevoi în materie de securitate, având un proiect, un hardware, un firmware sau un software care poate varia de la un produs TIC la altul;
17.«modificare minoră» înseamnă orice modificare a obiectivului certificat de evaluare sau a mediului său care nu are un impact negativ asupra asigurării exprimate în certificatul EUCC;
18.«modificare majoră» înseamnă orice modificare a obiectivului certificat de evaluare sau a mediului său care poate avea un impact negativ asupra asigurării exprimate în certificatul EUCC."
2.la articolul 5, se adaugă următorul alineat (3):
"(3) Un organism de certificare poate permite certificarea unei serii de produse."
3.la articolul 9 alineatul (2), litera (a) se înlocuieşte cu următorul text:
"(a) să furnizeze organismului de certificare şi unităţii ITSEF toate informaţiile necesare, complete şi corecte şi să furnizeze informaţii suplimentare necesare, la cerere, inclusiv o versiune în limba engleză a obiectivului de securitate;"
4.la articolul 11 alineatul (3), litera (b) se înlocuieşte cu următorul text:
"(b) identificarea unică a certificatului, constând în:
1. denumirea sistemului;
2. numărul de identificare, în conformitate cu articolul 3 din Regulamentul de punere în aplicare (UE) 2024/3143, al organismului de certificare care a eliberat certificatul;
3. anul eliberării certificatului iniţial;
4. numărul de identificare atribuit de organismul de certificare care a eliberat certificatul."
5.la articolul 19, alineatul (1) se înlocuieşte cu următorul text:
"(1) La cererea titularului certificatului sau din alte motive justificate, organismul de certificare poate decide să revizuiască un certificat EUCC pentru un profil de protecţie. Revizuirea se efectuează în conformitate cu anexa IV. Organismul de certificare stabileşte amploarea revizuirii. În cazul în care acest lucru este necesar pentru revizuire, organismul de certificare solicită unităţii ITSEF să efectueze o reevaluare a profilului de protecţie certificat."
6.articolul 42 se modifică după cum urmează:
(a)la alineatul (1) se adaugă următoarea literă (i):
"(i) obiectivul de securitate corespunzător fiecărui certificat EUCC;"
(b)alineatul (2) se înlocuieşte cu următorul text:
"(2) Informaţiile menţionate la alineatul (1) trebuie să fie puse la dispoziţie cel puţin în limba engleză. În acest scop, organismele de certificare furnizează ENISA versiunile în limba originală ale rapoartelor de certificare şi ale obiectivelor de securitate şi, în plus, furnizează, de asemenea, versiunea în limba engleză a acestor documente, fără întârzieri nejustificate."
7.la articolul 48, alineatul (4) se înlocuieşte cu următorul text:
"(4) Cu excepţia cazului în care se prevede altfel în anexa I sau II, documentele ce reflectă stadiul actual al tehnologiei se aplică proceselor de certificare, inclusiv reevaluării, lansate de la data aplicării actului de modificare prin care au fost încorporate documentele ce reflectă stadiul actual al tehnologiei în anexa I sau II."
8.anexa I se înlocuieşte cu textul anexei I la prezentul regulament;
9.anexa II se înlocuieşte cu textul anexei II la prezentul regulament;
10.anexa III se înlocuieşte cu textul anexei III la prezentul regulament;
11.anexa IV se modifică în conformitate cu anexa IV la prezentul regulament;
12.anexa V se modifică în conformitate cu anexa V la prezentul regulament;
13.anexa IX se înlocuieşte cu textul din anexa VI la prezentul regulament.
Art. 2
Prezentul regulament intră în vigoare în a douăzecea zi de la data publicării în Jurnalul Oficial al Uniunii Europene.
Prezentul regulament este obligatoriu în toate elementele sale şi se aplică direct în toate statele membre.
-****-
Adoptat la Bruxelles, 8 decembrie 2025.

Pentru Comisie

Preşedinta

Ursula VON DER LEYEN

ANEXA I:
"- ANEXA I: Documente ce reflectă stadiul actual al tehnologiei şi sprijină domeniile tehnice şi alte documente ce reflectă stadiul actual al tehnologiei
I. Documente ce reflectă stadiul actual al tehnologiei şi sprijină domeniile tehnice la nivelul 4 sau 5 al AVA_VAN:
(a) următoarele documente referitoare la evaluarea armonizată a domeniului tehnic «carduri inteligente şi dispozitive similare»:
1. «Minimum ITSEF requirements for security evaluations of smart cards and similar devices», versiunea 1.1;
2. «Minimum Site Security Requirements», versiunea 2;
3. «Reusing evaluation results of site audits (STAR)», versiunea 1;
4. «Application of Common Criteria to integrated circuits», versiunea 2;
5. «Security Architecture requirements (ADV_ARC) for smart cards and similar devices», versiunea 1.1;
6. «Certification of ‘open’ smart card products», versiunea 1.1;
7. «Composite product evaluation for smart cards and similar devices for CC3.1», versiunea 2;
8. «Composite product evaluation and certification for CC:2022», versiunea 1;
9. «Application of Attack Potential to Smartcards and Similar Devices», versiunea 2;
10. «Security Evaluation and Certification of Qualified Electronic Signature/Seal Creation Devices», versiunea 1;
11. «ADV_SPM.1 interpretation for CC:2022 transition», versiunea 1.1, aplicabilă proceselor de certificare care utilizează profiluri de protecţie după cum urmează:
a) profiluri de protecţie Security IC Platform PP with Augmentation Packages (v1.0), BSI-CC-PP-0084-2014 sau Java Card System - Closed Configuration (v3.1), BSI-CC-PP-0101-V2-2020, iniţiate înainte de 1 octombrie 2026;
b) profilul de protecţie Java Card System - Open Configuration (v3.1), BSI-CC-PP-0099-V2-2020, iniţiat înainte de 29 decembrie 2025;
(b) următoarele documente referitoare la evaluarea armonizată a domeniului tehnic «dispozitive hardware cu casete de securitate»:
1. «Minimum ITSEF requirements for security evaluations of hardware devices with security boxes», versiunea 1.1;
2. «Minimum Site Security Requirements», versiunea 2;
3. «Reusing evaluation results of site audits (STAR)», versiunea 1;
4. «Application of Attack Potential to hardware devices with security boxes», versiunea 2;
5. «Hardware assessment in EN 419221-5 (HSM PP)», versiunea 1;
6. «JIL Tachograph MS PP Clarification», versiunea 1.
II. Documente ce reflectă stadiul actual al tehnologiei referitoare la acreditarea armonizată a organismelor de evaluare a conformităţii:
(a) «Accreditation of ITSEFs for the EUCC», versiunea 1.1, pentru acreditările emise înainte de 8 iulie 2025;
(b) «Accreditation of ITSEFs for the EUCC», versiunea 1.6c, pentru acreditările nou emise sau revizuite după 8 iulie 2025;
(c) «Accreditation of CBs for the EUCC», versiunea 1.6b."
ANEXA II:
"- ANEXA II: Profiluri de protecţie certificate la nivelul AVA_VAN 4 sau 5
1. Pentru dispozitivele calificate de creare a semnăturii şi a sigiliului la distanţă:
(a) EN 419241-2: 2019 - Sisteme fiabile de susţinere a semnăturii prin server - Partea 2: profilul de protecţie pentru QSCD pentru semnătura prin server (v0.16), ANSSI-CC-PP-2018/02-M01;
(b) EN 419221-5:2018 - Profiluri de protecţie pentru modulele criptografice ale prestatorilor de servicii de încredere - Partea 5: modulul criptografic pentru serviciile de încredere (v0.15), ANSSI-CC-PP-2016/05-M01.
2. Profilurile de protecţie care au fost adoptate ca documente ce reflectă stadiul actual al tehnologiei:
[NECOMPLETAT]."
ANEXA III:
"- ANEXA III: Profiluri de protecţie recomandate
Profiluri de protecţie utilizate în certificarea produselor TIC, inclusiv a produselor din domeniile tehnice:
I. Carduri inteligente şi dispozitive similare
(a) paşaport:
1. PP Machine Readable Travel Document with «ICAO Application» Basic Access Control (v1.10), BSI-CC-PP-0055-2009;
2. PP Machine Readable Travel Document using Standard Inspection Procedure with PACE (PACE_PP) (v1), BSI-CC-PP-0068-V2-2011-MA-01;
3. PP Machine Readable Travel Document with «ICAO Application» Extended Access Control with PACE (v1.3), BSI-CC-PP-0056-V2-2012-MA-02;
(b) dispozitive securizate de creare a semnăturii (SSCD):
1. EN 419211-2:2013 - Profiluri de protecţie pentru dispozitive securizate de creare a semnăturii - Partea 2: dispozitiv cu generare de cheie (v1.03), BSI-CC-PP-0059-2009-MA-02;
2. EN 419211-3:2013 - Profiluri de protecţie pentru dispozitive securizate de creare a semnăturii - Partea 3: dispozitiv cu import de cheie (v1.0.2), BSI-CC-PP-0075-2012-MA-01;
3. EN 419211-4:2013 - Profiluri de protecţie pentru dispozitive securizate de creare a semnăturii - Partea 4: extensie pentru dispozitive cu generare de cheie şi comunicaţie securizată cu aplicaţia de generare de certificate (v1.0.1), BSI-CC-PP-0071-2012-MA-01;
4. EN 419211-5:2013 - Profiluri de protecţie pentru dispozitive securizate de creare a semnăturii - Partea 5: extensie pentru dispozitive cu generare de cheie şi comunicaţie securizată cu aplicaţia de creare a semnăturii (v1.0.1), BSI-CC-PP-0072-2012-MA-01;
5. EN 419211-6:2014 - Profiluri de protecţie pentru dispozitive securizate de creare a semnăturii - Partea 6: extensie pentru dispozitive cu import de cheie şi comunicaţie securizată cu aplicaţia de creare a semnăturii (v1.0.4), BSI-CC-PP-0076-2013-MA-01;
(c) tahograf: Digital Tachograph - Tachograph Card (TC PP) (v1.0), BSI-CC-PP-0091-2017;
(d) CI securizat, platforma Java Card şi eUICC:
1. Universal SIM Java Card Platform Protection Profile Basic and SCWS Configurations (v2.0.2), ANSSI-CC-PP-2010/04 (Basic), ANSSI-CC-PP-2010/05 (Basic and SCWS);
2. Security IC Platform PP with Augmentation Packages (v1.0), BSI-CC-PP-0084-2014;
3. Embedded UICC (eUICC) for Machine-to-Machine Devices (v1.1), BSI-CC-PP-0089-2015;
4. Cryptographic Service Provider - CSP (v0.9.8), BSI-CC-PP-0104-2019;
5. Cryptographic Service Provider - Time Stamp Service and Audit (PPC-CSP-TS-Au) Version 0.9.5, BSI-CC-PP-0107-2019;
6. Configuration Cryptographic Service Provider - Time Stamp Service, Audit and Clustering (PPC-CSP-TS-Au-Cl) Version 0.9.4, BSI-CC-PP-0108-2019;
7. Java Card System - Closed Configuration (v3.1), BSI-CC-PP-0101-V2-2020;
8. Secure Element Protection Profile - GPC_SPE_174 (v1.0), CCN-CC-PP-5-2021;
9. Secure Sub-System in System-on-Chip (3S in SoC) Protection Profile (v1.8), BSI-CC-PP-0117-V2-2023;
10. Java Card System - Open Configuration (v3.2), BSI-CC-PP-0099-V3-2024;
11. Embedded UICC for Consumer Devices Protection Profile (v2.1), BSI-CC-PP-0100-V2-2025;
(e) Trusted Platform Module: Protection Profile PC Client Specific Trusted Platform Module Specification Family 2.0; Level 0; Revision 1.59 (v1.3), ANSSI-CC-PP-2021/02.
II. Dispozitive hardware cu casete de securitate
(a) puncte de interacţiune (de plată) şi terminale de plăţi (POI):
1. Punctul de interacţiune «POI-CHIP-ONLY» (v4.0), ANSSI-CC-PP-2015/01;
2. Punctul de interacţiune «POI-CHIP-ONLY and Open Protocol Package» (v4.0), ANSSI-CC-PP-2015/02;
3. Punctul de interacţiune «POI-COMPREHENSIVE» (v4.0), ANSSI-CC-PP-2015/03;
4. Punctul de interacţiune «POI-COMPREHENSIVE and Open Protocol Package» (v4.0), ANSSI-CC-PP-2015/04;
5. Punctul de interacţiune «POI-PED-ONLY» (v4.0), ANSSI-CC-PP-2015/05;
6. Punctul de interacţiune «POI-PED-ONLY and Open Protocol Package» (v4.0), ANSSI-CC-PP-2015/06;
(b) modulul de securitate hardware:
1. Cryptographic Module for CSP Signing Operations with Backup - PP CMCSOB 14167-2 (v0.35), ANSSI-CC-PP-2015/08;
2. Cryptographic Module for CSP Key Generation Services - PP CMCKG 14167-3 (v0.20), ANSSI-CC-PP-2015/09;
3. Cryptographic Module for CSP Signing Operations without Backup - PP CMCSO 14167-4 (v0.32), ANSSI-CC-PP-2015/10;
(c) tahograf:
1. Digital Tachograph - Motion Sensor (MS PP) (v1.0), BSI-CC-PP-0093-2017;
2. Digital Tachograph - Vehicle Unit (VU PP) (v1.15), BSI-CC-PP-0094-V2-2021;
3. Digital Tachograph - External GNSS Facility (EGF PP) (v1.10), BSI-CC-PP-0092-V2-2021.
3. Altele: Trusted Execution Environment Protection Profile - GPD_SPE_021 (v1.3), ANSSI-CC-PP-2014/01-M02."
ANEXA IV:
- Anexa IV la Regulamentul de punere în aplicare (UE) 2024/482 se modifică după cum urmează:
1.la punctul IV.2, subpunctul 4 se înlocuieşte cu următorul text:
"4. Organismul de certificare examinează raportul tehnic de evaluare actualizat şi întocmeşte un raport de reevaluare. Statutul certificatului iniţial se modifică apoi în conformitate cu articolul 13 sau cu articolul 19. În cazul în care procesul de reevaluare este realizat cu succes, articolul 13 alineatul (2) literele (a) sau (c) se aplică în cazul certificării unui produs, iar articolul 19 alineatul (2) litera (a) sau (c) se aplică în cazul certificării unui profil de protecţie. În cazul în care procesul de reevaluare nu este realizat cu succes, articolul 13 alineatul (2) literele (b) sau (d) se aplică în cazul certificării unui produs, iar articolul 19 alineatul (2) litera (b) sau (d) se aplică în cazul certificării unui profil de protecţie."
2.punctul IV.3 se modifică după cum urmează:
(a)titlul IV.3 se înlocuieşte cu următorul text:
"IV.3 Modificări ale unui produs TIC certificat - întreţinere şi reevaluare"
(b)punctele 4 şi 5 se înlocuiesc cu următorul text:
"4. În urma examinării, organismul de certificare stabileşte amploarea unei modificări ca fiind minoră sau majoră, în funcţie de impactul acesteia asupra asigurării prevăzute în certificatul EUCC.
5. În cazul în care modificările au fost confirmate de organismul de certificare ca fiind minore, nu se eliberează niciun nou certificat pentru produsul TIC modificat în conformitate cu articolul 13 alineatul (2) litera (a) sau cu articolul 19 alineatul (2) litera (a) şi se întocmeşte un raport de menţinere a raportului de certificare iniţial."
(c)se inserează următorul punct 5a:
"5a. În cazul oricăror modificări ale măsurilor de asigurare în mediul de dezvoltare, inclusiv adăugarea unor cerinţe de asigurare ale familiei CC ALC_FLR (remedierea deficienţelor), organismul de certificare poate solicita ITSEF să efectueze o evaluare a unui subansamblu al măsurilor de asigurare afectate. ITSEF emite un raport tehnic de evaluare parţială, pe baza căruia organismul de certificare confirmă că modificările sunt minore sau majore. În cazul în care modificările au fost confirmate de organismul de certificare ca fiind minore, se aplică anexa IV.3 punctul 5. În cazul în care modificările au fost confirmate de organismul de certificare ca fiind majore, se aplică anexa IV.3 punctul 7."
ANEXA V:
Punctul V.1 din anexa V la Regulamentul de punere în aplicare (UE) 2024/482 se înlocuieşte cu următorul text:
"V.1 Raportul de certificare

1.

Pe baza rapoartelor tehnice de evaluare furnizate de ITSEF, organismul de certificare întocmeşte un raport de certificare care urmează să fie publicat împreună cu certificatul EUCC şi cu obiectivul de securitate aferente.

2.

Raportul de certificare este sursa de informaţii detaliate şi practice cu privire la produsul TIC şi la implementarea în condiţii de siguranţă a produsului TIC. Prin urmare, acesta include toate informaţiile care sunt publice şi pot fi comunicate relevante pentru utilizatori şi părţile interesate. Informaţiile care sunt publice şi pot fi comunicate pot fi menţionate în raportul de certificare.

3.

Raportul de certificare conţine cel puţin următoarele informaţii:

(a) rezumatul;

(b) identificarea produsului TIC;

(c) datele de contact referitoare la evaluarea produsului TIC;

(d) politici de securitate;

(e) ipotezele şi clarificarea sferei de aplicare;

(f) informaţii privind arhitectura informatică;

(g) informaţii suplimentare în materie de securitate cibernetică, dacă este cazul;

(h) rezumatul evaluării produselor TIC şi configuraţia evaluată;

(i) rezultatele evaluării şi informaţii privind certificatul;

(j) observaţii şi recomandări, dacă este cazul;

(k) anexe, dacă este cazul;

(l) o trimitere la obiectivul de securitate al produsului TIC supus certificării;

(m) atunci când este disponibilă, marca sau eticheta asociată sistemului;

(n) glosarul, dacă este cazul;

(o) bibliografia.

4.

Rezumatul menţionat la punctul 3 litera (a) este un rezumat succint al întregului raport de certificare. Acesta oferă o imagine de ansamblu clară şi concisă a rezultatelor evaluării şi include următoarele informaţii:

(a) denumirea produsului TIC evaluat;

(b) denumirea ITSEF care a efectuat evaluarea;

(c) data finalizării evaluării;

(d) data eliberării certificatului;

(e) dacă este cazul, data eliberării certificatului iniţial;

(f) perioada de valabilitate;

(g) identificarea unică a certificatului, astfel cum se descrie la articolul 11;

(h) scurtă descriere a rezultatelor raportului de certificare, inclusiv:

(i) versiunea şi, dacă este cazul, ediţia criteriilor comune aplicate evaluării;

(ii) pachetul aferent asigurării sau lista componentelor asigurării securităţii din criteriile comune, inclusiv nivelul AVA_VAN aplicat în timpul evaluării şi nivelul de asigurare corespunzător, astfel cum se prevede la articolul 52 din Regulamentul (UE) 2019/881, la care se referă certificatul EUCC;

(iii) după caz, profilul (profilurile) de protecţie cu care produsul TIC declară conformitatea;

(iv) trimiterea la politica de securitate a produsului TIC evaluat;

(v) declaraţie (declaraţii) de declinare a responsabilităţii, dacă este cazul.

5.

Identificarea menţionată la punctul 3 litera (b) identifică în mod clar produsul TIC evaluat şi conţine inclusiv următoarele informaţii:

(a) identificatorul unic al produsului TIC evaluat;

(b) enumerarea componentelor produsului TIC care fac parte din evaluare cu numărul versiunii fiecărei componente;

(c) trimiterea la cerinţele suplimentare pentru mediul operaraţional al produsului TIC certificat;

6.

Datele de contact menţionate la punctul 3 litera (c) includ cel puţin următoarele informaţii:

(a) denumirea dezvoltatorului;

(b) denumirea şi datele de contact ale titularului certificatului EUCC;

(c) denumirea organismului de certificare care a eliberat certificatul;

(d) autoritatea naţională competentă de certificare a securităţii cibernetice;

(e) denumirea unităţii ITSEF care a efectuat evaluarea şi, după caz, lista subcontractanţilor;

7.

Secţiunea privind politica de securitate menţionată la punctul 3 litera (d) conţine descrierea politicii de securitate a produsului TIC ca ansamblu de servicii de securitate şi a politicilor sau normelor pe care produsul TIC evaluat trebuie să le aplice sau să le respecte. Aceasta trebuie să conţină următoarele informaţii:

(a) o descriere a procedurilor de gestionare a vulnerabilităţilor şi de divulgare a vulnerabilităţilor ale titularului certificatului, care trebuie completată exclusiv cu informaţii care pot fi făcute publice;

(b) politica de continuitate a asigurării a titularului certificatului, inclusiv, după caz, descrierea proceselor de gestionare a ciclului de viaţă sau de producţie ale titularului certificatului, în conformitate cu secţiunea IV.1 din anexa IV;

(c) dacă este cazul, prezenţa procedurii de gestionare a corecţiilor şi rezultatul evaluării sale în conformitate cu secţiunea IV.4 din anexa IV.

8.

Ipotezele şi clarificarea domeniului de aplicare menţionate la punctul 3 litera (e) conţin informaţii privind circumstanţele şi obiectivele legate de utilizarea preconizată a produsului, astfel cum se menţionează la articolul 7 alineatul (1) litera (c), şi includ următoarele:

(a) ipoteze privind utilizarea şi implementarea produsului TIC sub forma unor cerinţe minime, cum ar fi cerinţele de instalare şi configurare corespunzătoare şi cerinţele de hardware care sunt îndeplinite;

(b) ipoteze privind mediul necesar pentru funcţionarea conformă a produsului TIC;

(c) descrierea oricăror ameninţări la adresa produsului TIC care nu sunt contracarate de funcţiile de securitate evaluate ale produsului în funcţie de utilizarea preconizată, dacă se consideră că sunt relevante pentru un potenţial utilizator al produsului TIC.

Informaţiile menţionate la primul paragraf trebuie să fie cât mai clare şi mai uşor de înţeles pentru, a permite potenţialilor utilizatori ai produsului TIC certificat să ia decizii în cunoştinţă de cauză cu privire la riscurile asociate utilizării acestuia.

9.

Informaţiile arhitecturale menţionate la punctul 3 litera (f) includ o descriere de nivel înalt a produsului TIC şi a principalelor sale componente, pe baza rezultatelor definite în familia de asigurare a criteriilor comune: Development - TOE Design (ADV_TDS).

10.

Informaţiile suplimentare privind securitatea cibernetică menţionate la punctul 3 litera (g) includ linkul către site-ul web al titularului certificatului EUCC menţionat la articolul 55 din Regulamentul (UE) 2019/881.

11.

Evaluarea şi configuraţia produselor TIC menţionate la punctul 3 litera (h) descriu efortul de testare atât al dezvoltatorului, cât şi al evaluatorului, subliniind abordarea, configuraţia şi amploarea testării. Acestea includ cel puţin următoarele informaţii:

(a) o identificare a componentelor de asigurare utilizate în standardele menţionate la articolul 3;

(b) versiunea documentelor ce reflectă stadiul actual al tehnologiei şi criteriile suplimentare de evaluare a securităţii utilizate în evaluare;

(c) setările şi configuraţia obiectivului de evaluare utilizat pentru testare şi analiza vulnerabilităţii;

(d) orice profil de protecţie care a fost utilizat, inclusiv următoarele informaţii: denumirea, versiunea, data şi certificatul profilului de protecţie.

12.

Rezultatele evaluării şi informaţiile privind certificatul menţionat la punctul 3 litera (i) includ informaţii privind nivelul de asigurare atins, astfel cum se menţionează la articolul 4 din prezentul regulament şi la articolul 52 din Regulamentul (UE) 2019/881.

13.

Observaţiile şi recomandările menţionate la punctul 3 litera (j) sunt utilizate pentru a furniza informaţii suplimentare cu privire la rezultatele evaluării. Aceste observaţii şi recomandări pot consta în deficienţe ale produsului TIC descoperite în timpul evaluării sau în menţiuni ale unor caracteristici deosebit de utile.

14.

Anexele menţionate la punctul 3 litera (k) sunt utilizate pentru a evidenţia orice informaţii suplimentare care ar putea fi utile publicului raportului, dar care nu se încadrează din punct de vedere logic în secţiunile prevăzute ale raportului, inclusiv în cazul unei descrieri complete a politicii de securitate.

15.

Obiectivul de securitate menţionat la punctul 3 litera (l) menţionează obiectivul de securitate evaluat. Obiectivul de securitate evaluat este însoţit de raportul de certificare în scopul publicării pe site-ul web menţionat la articolul 50 alineatul (1) din Regulamentul (UE) 2019/881. În cazul în care este necesară sanitizarea obiectivului de securitate evaluat înainte de publicare, aceasta se realizează în conformitate cu punctul V.2 din anexa V la prezentul regulament.

16.

Mărcile sau etichetele asociate sistemului EUCC menţionate la punctul 3 litera (m) se încorporează în raportul de certificare în conformitate cu normele şi procedurile prevăzute la articolul 11.

17.

Glosarul menţionat la punctul 3 litera (n) este utilizat pentru a spori lizibilitatea raportului prin furnizarea unor definiţii ale acronimelor sau termenilor ale căror semnificaţii ar putea să nu fie uşor vizibile.

18.

Secţiunea bibliografică menţionată la punctul 3 litera (o) include trimiteri la toate documentele utilizate pentru întocmirea raportului de certificare. Informaţiile respective includ cel puţin următoarele:

(a) criteriile de evaluare a securităţii, documentele ce reflectă stadiul actual al tehnologiei şi specificaţiile relevante suplimentare utilizate;

(b) raportul tehnic de evaluare;

(c) raportul tehnic de evaluare pentru evaluarea compozită, dacă este cazul;

(d) documentaţia tehnică de referinţă;

(e) orientări în materie de securitate ale dezvoltatorului;

(f) lista de configuraţie pentru dezvoltatori.

Pentru a garanta reproductibilitatea evaluării, toate documentele la care se face referire trebuie să fie identificate în mod unic cu ajutorul datei exacte a publicării şi al numărului exact al versiunii.

"
ANEXA VI:
"- ANEXA IX: Marca şi eticheta
1. Forma mărcii şi a etichetei:
2. În caz de micşorare sau de mărire a mărcii şi a etichetei, trebuie respectate proporţiile menţionate la punctul 1.
3. În cazul în care sunt prezente fizic, marca şi eticheta trebuie să aibă o înălţime de cel puţin 5 mm."
Publicat în Jurnalul Oficial seria L din data de 9 decembrie 2025