Nou Regulamentul 2540/09-dec-2025 de stabilire a normelor de aplicare a Regulamentului (UE) 2019/881 al Parlamentului European şi al Consiliului în ceea ce priveşte stabilirea planului de evaluare inter pares
Acte UE
Jurnalul Oficial seria L
Neintrat în vigoare Versiune de la: 12 Decembrie 2025
Regulamentul 2540/09-dec-2025 de stabilire a normelor de aplicare a Regulamentului (UE) 2019/881 al Parlamentului European şi al Consiliului în ceea ce priveşte stabilirea planului de evaluare inter pares
Dată act: 9-dec-2025
Emitent: Comisia Europeana
(Text cu relevanţă pentru SEE)
COMISIA EUROPEANĂ,
având în vedere Tratatul privind funcţionarea Uniunii Europene,
având în vedere Regulamentul (UE) 2019/881 al Parlamentului European şi al Consiliului din 17 aprilie 2019 privind ENISA (Agenţia Uniunii Europene pentru Securitate Cibernetică) şi privind certificarea securităţii cibernetice pentru tehnologia informaţiei şi comunicaţiilor şi de abrogare a Regulamentului (UE) nr. 526/2013 (Regulamentul privind securitatea cibernetică) (1), în special articolul 59 alineatul (5),
(1)JO L 151, 7.6.2019, p. 15, ELI: http://data.europa.eu/eli/reg/2019/881/oj.
Întrucât:
(1)În temeiul articolului 59 alineatul (4) din Regulamentul (UE) 2019/881, evaluările inter pares ale autorităţilor naţionale de certificare a securităţii cibernetice (ANCSC) trebuie efectuate de două ANCSC-uri din alte state membre şi de către Comisie. În vederea obţinerii unor standarde echivalente cu privire la certificatele europene de securitate cibernetică şi la declaraţiile de conformitate UE, Comisia ar trebui să monitorizeze aspectele legate de conformitatea cu acest regulament şi să se asigure că evaluările inter pares sunt efectuate în mod consecvent pe tot teritoriul Uniunii. Pentru a contribui la identificarea bunelor practici, a provocărilor şi a lecţiilor învăţate din punerea în aplicare a sistemelor europene de certificare a securităţii cibernetice, Agenţia Uniunii Europene pentru Securitate Cibernetică (ENISA) ar trebui să aibă posibilitatea de a participa la evaluările inter pares în calitate de observator. De asemenea, pentru a sprijini punerea în aplicare armonizată a dispoziţiilor regulamentului, ENISA ar trebui să fie autorizată să elaboreze modele în cooperare cu Comisia şi cu Grupul european pentru certificarea securităţii cibernetice (ECCG).
(2)Pentru a asigura planificarea previzibilă şi alocarea eficientă a resurselor, evaluările inter pares ale fiecărei ANCC ar trebui efectuate în conformitate cu un calendar stabilit. ANCSC ar trebui să aibă posibilitatea de a solicita amânarea evaluării sale inter pares în circumstanţe excepţionale, cum ar fi lipsa neaşteptată de personal sau cazurile de forţă majoră. În acest scop, este necesar să se stabilească modalităţi de evaluare a solicitării respective care să asigure respectarea calendarului general şi să nu compromită obiectivele mecanismului de evaluare inter pares.
(3)Pentru a se asigura că toate statele membre contribuie la punerea în aplicare a mecanismului de evaluare inter pares, precum şi că pot beneficia de pe urma învăţării reciproce, ANCSC-urile din fiecare stat membru ar trebui să efectueze două evaluări inter pares în decursul a cinci ani. Prin urmare, ar trebui instituit un sistem de rotaţie care să dea posibilitatea ANCSC-urilor din toate statele membre să îşi organizeze participarea. De asemenea, este necesar să se stabilească o serie de criterii pe care ANCSC-urile să le ia în considerare atunci când selectează reprezentanţii care urmează să efectueze evaluările inter pares, cu scopul de a se asigura că aceştia deţin expertiza şi competenţa adecvate. Totodată, ANCSC-urile ar trebui să poată participa la evaluări inter pares în calitate de observatori, cu scopul de a monitoriza procesul şi de a învăţa din acesta. În astfel de cazuri, reprezentantul lor nu ar trebui să fie obligat să aibă acelaşi nivel de expertiză şi de competenţă care le este impus reprezentanţilor ANCSC-urilor evaluatoare.
(4)Pentru a se asigura că o ANCSC este evaluată inter pares de cel puţin o ANCSC care utilizează aceeaşi abordare privind eliberarea certificatelor care atestă nivelul "ridicat", ENISA ar trebui să indice, atunci când invită ANCSC-urile să îşi exprime interesul de a fi evaluatori, dacă ANCSC evaluată eliberează direct certificatele respective, dacă utilizează modelul de aprobare prealabilă menţionat la articolul 56 alineatul (6) litera (a) din Regulamentul (UE) 2019/881, dacă acordă o delegare generală în conformitate cu litera (b) de la alineatul respectiv sau dacă prezintă o combinaţie a acestor caracteristici.
(5)În vederea asigurării unor criterii şi proceduri comune de evaluare pentru efectuarea evaluărilor inter pares pe tot cuprinsul Uniunii, fiecare evaluare inter pares ar trebui să includă întotdeauna un chestionar de autoevaluare, o analiză a documentaţiei şi o vizită la faţa locului, însoţite de interviuri. După vizita la faţa locului, echipa de evaluare inter pares ar trebui să discute constatările cu ANCSC evaluată şi să întocmească un proiect de raport pe care să îl transmită ANCSC evaluate în vederea formulării de observaţii, cu scopul de a se ajunge la un consens ori de câte ori este posibil. Echipa de evaluare ar trebui să prezinte ECCG raportul final, care poate include orientări sau recomandări menite să ajute la îmbunătăţirea ANCSC evaluate. De asemenea, la propunerea echipei de evaluare, ECCG ar trebui să aprobe un raport de sinteză care să fie pus la dispoziţia publicului.
(6)Pentru a asigura securitatea gestionării informaţiilor obţinute prin procesul de evaluare inter pares, echipa de evaluare ar trebui să se asigure că foloseşte canale de comunicare securizate, cum ar fi o platformă securizată pentru stocarea şi partajarea documentelor, precum şi că utilizează garanţii adecvate pentru datele confidenţiale partajate între membrii echipei. La rândul său, ţinând seama de cele mai bune practici existente ale ANCSC-urilor, ENISA ar trebui să poată elabora orientări privind asigurarea securităţii comunicaţiilor, în special pentru a se asigura că nivelul de securitate aplicat de echipa de evaluare inter pares atunci când colectează, partajează şi prelucrează informaţii este aliniat la nevoile în materie de securitate ale ANCSC evaluate.
(7)Pentru a facilita cooperarea şi schimbul efectiv de informaţii între ANCSC-uri, ECCG, în special subgrupul său privind evaluarea inter pares, ar trebui să contribuie la elaborarea de modele şi să asiste Comisia în punerea în aplicare a prezentului regulament.
(8)Mecanismul de evaluare inter pares constituie un serviciu public digital transeuropean în sensul Regulamentului (UE) 2024/903 al Parlamentului European şi al Consiliului (2). Prezentul regulament introduce noi cerinţe obligatorii care afectează serviciul respectiv şi, ca atare, face obiectul obligaţiei de evaluare a interoperabilităţii prevăzute la articolul 3 din Regulamentul (UE) 2024/903. În consecinţă, a fost efectuată o evaluare a interoperabilităţii, iar raportul întocmit în urma acesteia urmează să fie publicat pe portalul Europa interoperabilă.
(2)Regulamentul (UE) 2024/903 al Parlamentului European şi al Consiliului din 13 martie 2024 de stabilire a unor măsuri pentru un nivel ridicat de interoperabilitate a sectorului public în întreaga Uniune (Regulamentul privind Europa interoperabilă) (JO L, 2024/903, 22.3.2024, ELI: http://data.europa.eu/eli/reg/2024/903/oj).
(9)La elaborarea prezentului regulament, Comisia a ţinut seama de opiniile ECCG, inclusiv de cele ale subgrupului său privind evaluarea inter pares.
(10)Măsurile prevăzute în prezentul regulament sunt conforme cu avizul comitetului instituit în temeiul articolului 66 din Regulamentul (UE) 2019/881,
ADOPTĂ PREZENTUL REGULAMENT:
-****-
Art. 1: Calendarul, frecvenţa şi costul evaluărilor inter pares
(1)Evaluările inter pares ale autorităţilor naţionale de certificare a securităţii cibernetice (ANCSC) se efectuează în conformitate cu calendarul prevăzut în anexa I. Fiecare evaluare inter pares se finalizează până la data indicată în calendarul respectiv şi, ulterior, se efectuează o dată la cinci ani.
(2)În circumstanţe excepţionale, o ANCSC care face obiectul unei evaluări inter pares poate transmite Comisiei o cerere justificată în mod corespunzător de amânare a evaluării sale inter pares până după data indicată în calendarul prevăzut în anexa I. Comisia, în cooperare cu Grupul european pentru certificarea securităţii cibernetice (ECCG) instituit prin articolul 62 din Regulamentul (UE) 2019/881, evaluează solicitarea şi informează toate părţile relevante, în timp util, cu privire la rezultat.
(3)În cazul în care un stat membru, în conformitate cu articolul 58 alineatul (1) din Regulamentul (UE) 2019/881:
a)a desemnat mai multe ANCSC-uri de pe teritoriul său, toate ANCSC-urile din statul membru respectiv trebuie evaluate inter pares în paralel;
b)a desemnat ANCSC(-urile) dintr-un alt stat membru, autoritatea sau autorităţile respective pot face obiectul unei evaluări inter pares fie conform calendarului stabilit pentru statul membru care a făcut desemnarea, fie conform celui stabilit pentru statul membru al ANCSC(-urilor) desemnate, ţinând seama de atribuţiile de supraveghere îndeplinite în statul membru care a făcut desemnarea.
(4)Agenţia Uniunii Europene pentru Securitate Cibernetică (ENISA) pune următoarele informaţii la dispoziţia publicului pe site-ul referitor la sistemele europene de certificare a securităţii cibernetice creat în temeiul articolului 50 din Regulamentul (UE) 2019/881:
a)informaţiile privind calendarul prevăzut în anexa I;
b)lista ANCSC-urilor evaluatoare, menţinută conform articolului 2 alineatul (5).
(5)Fiecare ANCSC implicată în procesul de evaluare inter pares suportă costurile propriei participări.
Art. 2: Sistemul de rotaţie a ANCSC-urilor evaluatoare
(1)În conformitate cu articolul 59 alineatul (4) din Regulamentul (UE) 2019/881, fiecare evaluare inter pares se efectuează de către două ANCSC-uri evaluatoare din alte state membre şi de către Comisie. ANCSC-urile din fiecare stat membru participă la evaluarea inter pares a cel puţin două ANCSC-uri în fiecare dintre perioadele prevăzute în anexa I.
(2)ANCSC-urile din alte state membre pot participa la evaluarea inter pares în calitate de observatori cu unul sau mai mulţi reprezentanţi, cu acordul ANCSC evaluate, al ANCSC evaluatoare şi al Comisiei.
(3)La evaluarea inter pares poate participa şi un reprezentant al ENISA, în calitate de observator. De asemenea, pot participa şi reprezentanţi suplimentari, cu acordul ANCSC evaluate, al ANCSC evaluatoare şi al Comisiei.
(4)Observatorii au acces la aceleaşi informaţii ca şi ceilalţi membri ai echipei de evaluare inter pares, dar nu îndeplinesc atribuţii legate de executarea evaluării propriu-zise.
(5)În cooperare cu Comisia şi cu ECCG, ENISA propune şi menţine lista ANCSC-urilor care urmează să efectueze evaluările inter pares conform calendarului prevăzut în anexa I. În cursul fiecărui an, ENISA, în cooperare cu Comisia, solicită ANCSC-urilor să îşi exprime interesul de a efectua evaluări inter pares sau de a participa în calitate de observatori la cele efectuate de ANCSC-urile înscrise în anexa I în anul următor.
(6)În cazul în care mai mult de două ANCSC-uri se arată interesate de a evalua aceeaşi ANCSC, Comisia şi ENISA consultă ANCSC-urile interesate şi decid care dintre acestea urmează să participe la evaluare.
(7)În cazul în care, într-un anumit an, se înregistrează un număr insuficient de ANCSC-uri evaluatoare care să îşi exprime interesul de a efectua evaluările inter pares, Comisia, după consultarea ECCG, selectează ANCSC-urile care urmează să efectueze evaluările. Atunci când efectuează selecţia, Comisia ţine seama de obligaţia ANCSC-urilor din fiecare stat membru de a participa la evaluarea inter pares a cel puţin două ANCSC-uri, menţionată la alineatul (1).
Art. 3: Criterii privind componenţa echipei de evaluare inter pares
(1)Cu suficient timp înainte de începerea evaluării inter pares, fiecare ANCSC evaluatoare desemnează un reprezentant care să efectueze evaluarea. ANCSC-urile evaluatoare pot desemna mai mulţi reprezentanţi în cazul în care este necesar pentru a se asigura că echipa de evaluare inter pares are competenţele necesare pentru a efectua evaluarea.
(2)Cu excepţia reprezentanţilor ANCSC-urilor care participă în calitate de observatori, reprezentantul unei ANCSC evaluatoare trebuie să îndeplinească următoarele criterii:
a)să aibă cel puţin doi ani de experienţă de lucru în cadrul ANCSC evaluatoare sau să fi participat la cel puţin două evaluări inter pares în calitate de observator;
b)să deţină cunoştinţe suficiente cu privire la cadrul de certificare a securităţii cibernetice instituit prin Regulamentul (UE) 2019/881;
c)să aibă o bună capacitate de a lucra în limba engleză şi, dacă este posibil, în una sau mai multe limbi vorbite în statul membru al ANCSC evaluate;
d)să acţioneze independent de ANCSC evaluată.
(3)ANCSC evaluatoare se asigură că orice risc de conflict de interese în ceea ce priveşte reprezentanţii desemnaţi este comunicat celorlalte ANCSC-uri, Comisiei şi ENISA înainte de începerea procedurii de evaluare inter pares. ANCSC evaluată se poate opune desemnării anumitor reprezentanţi, în conformitate cu alineatul (5).
(4)ANCSC-urile evaluatoare aleg din cadrul lor un reprezentant ("liderul echipei") care să coordoneze evaluarea inter pares.
(5)Înainte de începerea procedurii de evaluare inter pares, Comisia transmite ANCSC evaluate numele şi datele de contact ale reprezentanţilor ANCSC-urilor evaluatoare. În cazul în care ANCSC evaluată doreşte să se opună numirii unuia sau a mai multor reprezentanţi, aceasta are la dispoziţie două săptămâni pentru a prezenta Comisiei o justificare clară, a informa ENISA şi ECCG şi a solicita ca ANCSC evaluatoare să desemneze un alt reprezentant.
(6)În cazul în care procedura prevăzută la alineatul (5) cauzează întârzieri nejustificate în lansarea evaluării inter pares din cauza unor circumstanţe excepţionale, componenţa echipei de evaluare inter pares este hotărâtă de Comisie, în consultare cu ENISA şi cu ECCG.
Art. 4: Metodologia evaluării inter pares
(1)Evaluarea inter pares examinează aspectele enumerate în anexa II, în conformitate cu articolul 59 alineatul (3) din Regulamentul (UE) 2019/881.
(2)În cooperare cu ECCG şi cu Comisia, ENISA poate elabora modele pentru examinarea proceselor instituite de ANCSC evaluată.
(3)Evaluarea inter pares include următoarele elemente:
a)un chestionar de autoevaluare;
b)o evaluare a documentaţiei relevante;
c)interviuri online, fizice sau de ambele tipuri;
d)o vizită la faţa locului.
(4)Durata evaluării inter pares poate fi convenită în prealabil între echipa de evaluare şi ANCSC evaluată, în funcţie de amploarea şi complexitatea activităţilor ANCSC evaluate. Vizita la faţa locului nu trebuie să dureze mai mult de trei zile lucrătoare.
(5)Cu excepţia cazului în care echipa de evaluare inter pares, ANCSC evaluată şi Comisia convin altfel, cooperarea are loc în limba engleză. Raportul de evaluare inter pares menţionat la articolul 5 se redactează cel puţin în limba engleză.
(6)ANCSC evaluată cooperează cu echipa de evaluare inter pares şi îi oferă acces la informaţiile şi documentele necesare pentru efectuarea evaluării. ANCSC evaluată transmite chestionarul de autoevaluare şi cel mai recent raport anual de sinteză adoptat în conformitate cu articolul 58 alineatul (7) litera (g) din Regulamentul (UE) 2019/881 cu cel puţin 21 de zile înainte de data vizitei la faţa locului. La solicitarea echipei de evaluare inter pares, se prezintă documente suplimentare în termen de 7 zile de la primirea solicitării.
(7)Documentele se pun la dispoziţie în limba engleză, cu excepţia cazului în care se convine altfel în conformitate cu alineatul (5). În cazul în care documentele furnizate nu sunt în limba engleză, echipa de evaluare poate solicita ca documentele necesare pentru efectuarea evaluării să fie traduse în limba engleză.
(8)Înainte de a întocmi raportul de evaluare inter pares în conformitate cu articolul 5, echipa de evaluare discută constatările preliminare cu ANCSC evaluată.
Art. 5: Raportul de evaluare inter pares
(1)În termen de 21 de zile de la efectuarea evaluării inter pares, echipa de evaluare întocmeşte un proiect de raport de evaluare inter pares, care include detalii privind statul membru al ANCSC evaluate, ANCSC-urile evaluatoare, Comisia şi eventualii observatori, precum şi constatările şi concluziile evaluării. Dacă este necesar, raportul include recomandări care să faciliteze îmbunătăţirea aspectelor vizate de evaluarea inter pares.
(2)În cooperare cu Comisia şi cu ECCG, ENISA poate elabora un model pentru raportul de evaluare inter pares.
(3)După întocmirea proiectului de raport de evaluare inter pares în conformitate cu alineatul (1), echipa de evaluare îl transmite către ANCSC evaluată pentru ca aceasta să formuleze observaţii în termen de 14 zile. Echipa evaluează observaţiile şi, dacă este posibil, le integrează în raportul final, în vederea asigurării consensului. În caz de dezacord, răspunsul ANCSC evaluate se anexează la raportul final.
(4)Raportul final se transmite ECCG în termen de două luni de la efectuarea evaluării inter pares, însoţit de un rezumat destinat publicării. În conformitate cu articolul 59 alineatul (6) din Regulamentul (UE) 2019/881, ECCG examinează raportul şi aprobă rezumatul acestuia, care se publică pe site-ul referitor la sistemele europene de certificare a securităţii cibernetice creat în temeiul articolului 50 din Regulamentul (UE) 2019/881. Rezumatul trebuie să includă şi răspunsul ANCSC evaluate sau anumite părţi ale acestuia, de comun acord cu ANCSC evaluată.
(5)Înainte de a difuza raportul de evaluare inter pares în exteriorul său, echipa de evaluare anonimizează eventualele date cu caracter personal colectate în timpul evaluării.
Art. 6: Confidenţialitate
(1)Toate părţile implicate în evaluarea inter pares respectă confidenţialitatea informaţiilor şi a datelor obţinute în îndeplinirea atribuţiilor şi a activităţilor lor, într-un mod care să protejeze în special:
a)drepturile de proprietate intelectuală şi informaţiile comerciale confidenţiale sau secretele comerciale ale unei persoane fizice sau juridice, inclusiv codul sursă, cu excepţia cazurilor menţionate la articolul 5 din Directiva (UE) 2016/943 a Parlamentului European şi a Consiliului (3);
(3)Directiva (UE) 2016/943 a Parlamentului European şi a Consiliului din 8 iunie 2016 privind protecţia know-how-ului şi a informaţiilor de afaceri nedivulgate (secrete comerciale) împotriva dobândirii, utilizării şi divulgării ilegale (JO L 157, 15.6.2016, p. 1, ELI: http://data.europa.eu/eli/dir/2016/943/oj).
b)punerea efectivă în aplicare a prezentului regulament;
c)interesele securităţii publice şi naţionale;
d)integritatea procedurilor penale sau administrative.
(2)Echipa de evaluare inter pares se asigură că toate informaţiile obţinute în decursul procesul de evaluare sunt tratate în condiţii de securitate. După întocmirea raportului final şi a rezumatului menţionate la articolul 5 alineatul (4), membrii echipei de evaluare inter pares, inclusiv eventualii observatori, şterg sau distrug toate documentele care au fost colectate sau generate în cadrul procesului de evaluare inter pares, cu excepţia raportului final şi a rezumatului.
(3)În cooperare cu ECCG şi ţinând seama de cele mai bune practici existente ale ANCSC-urilor, ENISA poate să elaboreze orientări privind comunicaţiile securizate şi confidenţiale.
Art. 7: Consolidarea capacităţilor
ENISA analizează rezultatele agregate ale evaluărilor inter pares şi evidenţiază lecţiile învăţate şi cele mai bune practici, urmărind să contribuie astfel la consolidarea capacităţilor ANCSC-urilor şi la întreţinerea sistemelor europene de certificare a securităţii cibernetice. După caz, această analiză poate viza inclusiv cursurile de formare şi orientările suplimentare pentru ANCSC-uri elaborate în cooperare cu ECCG.
Art. 8: Intrarea în vigoare
Prezentul regulament intră în vigoare în a douăzecea zi de la data publicării în Jurnalul Oficial al Uniunii Europene.
Prezentul regulament este obligatoriu în toate elementele sale şi se aplică direct în toate statele membre.
-****-
Adoptat la Bruxelles, 9 decembrie 2025.
Pentru Comisie Preşedinta Ursula VON DER LEYEN |
ANEXA I:Calendarul autorităţilor naţionale de certificare a securităţii cibernetice (ANCSC) care fac obiectul unei evaluări inter pares
ANCSC-urile următoarelor state membre sunt evaluate inter pares până la 31 decembrie 2026 şi, ulterior, o dată la cinci ani:
Suedia, Belgia, Slovacia, Germania, Malta, Cehia
ANCSC-urile următoarelor state membre sunt evaluate inter pares până la 31 decembrie 2027 şi, ulterior, o dată la cinci ani:
Ungaria, Grecia, Estonia, Slovenia, Ţările de Jos, Italia
ANCSC-urile următoarelor state membre sunt evaluate inter pares până la 31 decembrie 2028 şi, ulterior, o dată la cinci ani:
Croaţia, Danemarca, Lituania, Spania, Bulgaria, Irlanda
ANCSC-urile următoarelor state membre sunt evaluate inter pares până la 31 decembrie 2029 şi, ulterior, o dată la cinci ani:
Finlanda, Austria, România, Luxemburg, Letonia, Polonia
ANCSC-urile următoarelor state membre şi ţări SEE/AELS sunt evaluate inter pares până la 31 decembrie 2030 şi, ulterior, o dată la cinci ani:
Cipru, Franţa, Portugalia, Liechtenstein, Norvegia, Islanda
ANEXA II:Metodologia evaluării inter pares
1.II.1. Separarea dintre activităţile de certificare şi cele de supraveghere
Atunci când examinează separarea dintre activităţile de certificare şi activităţile de supraveghere efectuate de ANCSC evaluată, astfel cum sunt menţionate la articolul 59 alineatul (3) litera (a) din Regulamentul (UE) 2019/881, evaluarea inter pares analizează cel puţin următoarele aspecte:
(a)o descriere detaliată a funcţionării ANCSC evaluate, identificând în mod clar diferitele entităţi şi/sau departamente implicate în punerea în aplicare a Regulamentului (UE) 2019/881;
(b)o cartografiere a activităţilor ANCSC evaluate, în raport cu activităţile enumerate la articolul 58 alineatul (7) din Regulamentul (UE) 2019/881;
(c)în cazul în care ANCSC evaluată eliberează certificate, o explicaţie care să demonstreze că nu există nicio interferenţă între activităţile sale de certificare şi activităţile sale de supraveghere identificate la litera (b).
2.II.2. Supravegherea şi asigurarea respectării normelor de monitorizare a conformităţii cu certificatele
Atunci când examinează procedurile instituite de ANCSC evaluată pentru supravegherea şi asigurarea respectării normelor de monitorizare a conformităţii produselor TIC, a serviciilor TIC, a proceselor TIC şi a serviciilor de securitate gestionate cu certificatele europene de securitate cibernetică, astfel cum sunt menţionate la articolul 59 alineatul (3) litera (b) din Regulamentul (UE) 2019/881, evaluarea inter pares analizează cel puţin următoarele aspecte:
(a)calitatea şi nivelul de detaliu al descrierii proceselor şi procedurilor respective, precum şi măsura în care sunt documentate acestea;
(b)dacă şi în ce măsură procesele şi procedurile respective acoperă sistemele europene relevante de certificare a securităţii cibernetice;
(c)dacă ANCSC evaluată deţine efectiv autorizaţiile necesare pentru a inspecta organismele de evaluare a conformităţii care eliberează certificate şi, după caz, pentru a asigura retragerea certificatelor;
(d)gradul de cooperare a ANCSC evaluate cu autorităţile relevante de supraveghere a pieţei;
(e)dacă ANCSC evaluată a instituit mecanismul de tratare a plângerilor depuse de persoane fizice sau juridice prevăzut la articolul 58 alineatul (7) litera (f) din Regulamentul (UE) 2019/881, incluzând dovezi care să ateste dacă persoanele fizice şi juridice au dreptul de a depune plângeri şi de a exercita o cale de atac eficientă în conformitate cu articolele 63 şi, respectiv, 64 din regulamentul menţionat.
3.II.3. Monitorizarea şi asigurarea respectării obligaţiilor producătorilor sau furnizorilor
Atunci când se examinează procedurile instituite de ANCSC evaluată pentru monitorizarea şi asigurarea respectării obligaţiilor producătorilor sau furnizorilor care efectuează autoevaluări ale conformităţii, astfel cum sunt menţionate la articolul 59 alineatul (3) litera (c) din Regulamentul (UE) 2019/881, evaluarea inter pares analizează cel puţin următoarele aspecte:
(a)dacă ANCSC evaluată a instituit astfel de proceduri şi măsura în care sunt documentate acestea, în special dacă a instituit un mecanism de primire şi prelucrare a informaţiilor din surse externe;
(b)dacă şi în ce măsură procedurile respective acoperă sistemele europene relevante de certificare a securităţii cibernetice;
(c)dacă şi în ce măsură ANCSC evaluată efectuează propriile investigaţii şi dacă domeniul de aplicare al investigaţiilor acoperă obligaţiile producătorilor prevăzute la articolul 53 alineatele (2) şi (3) din Regulamentul (UE) 2019/881 şi în sistemele europene corespunzătoare de certificare a securităţii cibernetice;
(d)dacă există o procedură de schimb de informaţii între activităţile de certificare şi activităţile de supraveghere ale ANCSC evaluate care prezintă relevanţă pentru monitorizarea şi asigurarea respectării obligaţiilor producătorilor sau furnizorilor.
4.II.4. Monitorizarea, autorizarea şi supravegherea organismelor de evaluare a conformităţii
Atunci când examinează procedurile instituite de ANCSC evaluată pentru monitorizarea, autorizarea şi supravegherea activităţilor desfăşurate de organismele de evaluare a conformităţii, astfel cum sunt menţionate la articolul 59 alineatul (3) litera (d) din Regulamentul (UE) 2019/881, evaluarea inter pares analizează cel puţin următoarele aspecte:
(a)calitatea şi nivelul de detaliu al descrierii procedurilor respective, precum şi măsura în care sunt documentate acestea, inclusiv în vederea cooperării cu organismul naţional de acreditare;
(b)principalele statistici privind numărul de autorizaţii acordate, suspendate sau retrase, numărul total de organisme de evaluare a conformităţii aflate în activitate, numărul de certificate eliberate şi numărul de acţiuni corective întreprinse de ANCSC evaluată;
(c)în cazul în care ANCSC evaluată permite eliberarea de certificate europene de securitate cibernetică prin care se atestă un nivel "ridicat", pe baza unei aprobări prealabile sau a unei delegări generale a atribuţiei, astfel cum se prevede la articolul 56 alineatul (6) din Regulamentul (UE) 2019/881, expertiza personalului şi procedurile prin care ANCSC evaluată monitorizează şi supraveghează activităţile organismelor de evaluare a conformităţii.
Publicat în Jurnalul Oficial seria L din data de 12 decembrie 2025