kom (2017) 0477 - Ingen titel

Europaudvalget 2017
KOM (2017) 0477
Offentligt

EUROPA-

KOMMISSIONEN

Bruxelles, den 13.9.2017

COM(2017) 477 final

ANNEX 1

BILAG

til forslag til

EUROPA-PARLAMENTETS OG RÅDETS FORORDNING

om ENISA, "EU's Agentur for Cybersikkerhed", om ophævelse af forordning (EU)

nr. 526/2013 og om cybersikkerhedscertificering af informations- og

kommunikationsteknologi ("forordningen om cybersikkerhed")

{SWD(2017) 500 final}

{SWD(2017) 501 final}

{SWD(2017) 502 final}

kom (2017) 0477 - Ingen titel

KRAV, DER SKAL OPFYLDES AF

OVERENSSTEMMELSESVURDERINGSORGANER

Overensstemmelsesvurderingsorganer, som ønsker at blive akkrediteret skal opfylde følgende

krav:

1. Et overensstemmelsesvurderingsorgan skal oprettes i henhold til national lovgivning og

være en juridisk person.

2. Et overensstemmelsesvurderingsorgan skal være et tredjepartsorgan, der er uafhængigt af

den organisation eller de IKT-produkter eller -tjenester, det vurderer.

3. Et organ, der er medlem af en erhvervsorganisation og/eller brancheforening, som

repræsenterer virksomheder, der er involveret i konstruktion, fremstilling, levering,

sammenbygning, brug eller vedligeholdelse af IKT-produkter eller -tjenester, som det

vurderer, kan, forudsat at det er påvist, at det er uafhængigt, og at der ikke er tale om

interessekonflikter, anses for at være et overensstemmelsesvurderingsorgan.

4. Et overensstemmelsesvurderingsorgan, dets øverste ledelse og det personale, der er

ansvarligt for udførelsen af overensstemmelsesvurderingsopgaverne, må ikke være

konstruktør, fabrikant, leverandør, installatør, køber, ejer, bruger eller vedligeholder af de

produkter, der vurderes, eller repræsentere nogen af disse parter. Dette udelukker ikke, at

overensstemmelsesvurderingsorganet bruger vurderede produkter, der er nødvendige for, at

det kan udføre sit arbejde, eller personlig brug af sådanne produkter.

5. Et overensstemmelsesvurderingsorgan, dets øverste ledelse og det personale, der er

ansvarligt for at udføre overensstemmelsesvurderingsopgaverne, må ikke være direkte

involveret i udformning, fremstilling eller konstruktion, markedsføring, installering,

anvendelse eller vedligeholdelse af IKT-produkterne eller -tjenesterne eller repræsentere

parter, der er involveret i disse aktiviteter. De må ikke deltage i aktiviteter, som kan være i

strid

med

deres

objektivitet

integritet

forbindelse

med

overensstemmelsesvurderingsaktiviteter, de er bemyndiget til at udføre. Dette gælder navnlig

rådgivningstjenester.

6. Overensstemmelsesvurderingsorganet skal sikre, at dets dattervirksomheders eller

underentreprenørers aktiviteter ikke påvirker fortroligheden, objektiviteten og uvildigheden af

dets overensstemmelsesvurderingsaktiviteter.

Overensstemmelsesvurderingsorganet

dets

personale

skal

udføre

overensstemmelsesvurderingsaktiviteterne med den størst mulige faglige integritet og den

nødvendige tekniske kompetence på det specifikke område og ikke påvirkes af nogen form for

pression og incitament, herunder af økonomisk art, som kan have indflydelse på deres

afgørelser eller resultaterne af deres overensstemmelsesvurderingsaktiviteter, særlig fra

personer eller grupper af personer, som har en interesse i resultaterne af disse aktiviteter.

overensstemmelsesvurderingsorgan

skal

kunne

gennemføre

alle

overensstemmelsesvurderingsopgaver, som pålægges det i henhold til denne forordning,

kom (2017) 0477 - Ingen titel

uanset om disse opgaver udføres af overensstemmelsesvurderingsorganet selv eller på dets

vegne og på dets ansvar.

9. Til enhver tid og for hver overensstemmelsesvurderingsprocedure og hver art, kategori eller

underkategori af IKT-produkter og -tjenester skal overensstemmelsesvurderingsorganet have

følgende til rådighed:

a) personale med teknisk viden og tilstrækkelig og relevant erfaring til at udføre

overensstemmelsesvurderingsopgaverne

b) beskrivelser af de procedurer, i overensstemmelse med hvilke

overensstemmelsesvurdering foretages, og som sikrer gennemsigtighed i og mulighed

for at reproducere disse procedurer. Det skal have indført hensigtsmæssige politikker

og procedurer, som skelner mellem de opgaver, som det udfører i sin egenskab af

bemyndiget organ, og andre aktiviteter

c) procedurer, der sætter det i stand til at udføre sine aktiviteter under behørig

hensyntagen til en virksomheds størrelse, den sektor, som den opererer inden for, og

dens struktur, til det pågældende IKT-produkts eller -tjenestes kompleksitet og til

fremstillingsprocessens seriemæssige karakter.

10. Et overensstemmelsesvurderingsorgan skal have de fornødne midler til at udføre de

tekniske

administrative

opgaver

forbindelse

med

overensstemmelsesvurderingsaktiviteterne på en egnet måde og skal have adgang til alt

nødvendigt udstyr og alle nødvendige faciliteter.

11. Det personale, som skal udføre overensstemmelsesvurderingsaktiviteterne, skal have:

god

teknisk

faglig

overensstemmelsesvurderingsaktiviteter

uddannelse

omfattende

alle

b) et tilstrækkeligt kendskab til kravene vedrørende de vurderinger, de foretager, og

den nødvendige bemyndigelse til at udføre sådanne vurderinger

c) et tilstrækkeligt kendskab til og en tilstrækkelig forståelse af de gældende krav og

prøvningsstandarder

d) den nødvendige færdighed i at udarbejde de attester, redegørelser og rapporter, som

dokumenterer, at vurderingerne er blevet foretaget.

12. Der skal være sikkerhed for overensstemmelsesvurderingsorganernes, deres øverste

ledelses og vurderingspersonalets uvildighed.

13. Aflønningen af et overensstemmelsesvurderingsorgans øverste ledelse og

vurderingspersonale må ikke afhænge af, hvor mange vurderinger de udfører, eller hvordan

vurderingerne falder ud.

kom (2017) 0477 - Ingen titel

14. Overensstemmelsesvurderingsorganer skal tegne en ansvarsforsikring, medmindre staten

er ansvarlig i henhold til national lovgivning, eller medlemsstaten selv er direkte ansvarlig for

overensstemmelsesvurderingen.

15. Et overensstemmelsesvurderingsorgans personale har tavshedspligt med hensyn til alle

oplysninger, det kommer i besiddelse af ved udførelsen af dets opgaver i henhold til denne

forordning eller enhver bestemmelse i en national lov, som gennemfører den, undtagen over

for de kompetente myndigheder i den medlemsstat, hvor aktiviteterne udføres.

16. Overensstemmelsesvurderingsorganer skal opfylde kravene i standard EN ISO/IEC

17065:2012.

17. Overensstemmelsesvurderingsorganer skal sikre, at forsøgslaboratorier, der anvendes til

overensstemmelsesvurdering, opfylder kravene i standard EN ISO/IEC 17025:2005.