Newsletter
 
 
united kingdom
ukraine
poland
Prawo.pl
  1. Akty Prawne
  2. Dziennik Urzędowy Unii Europejskiej - Seria L
  3. Dz.U.UE.L.2024.3143

Rozporządzenie wykonawcze 2024/3143 ustanawiające okoliczności, formaty i procedury dotyczące notyfikacji zgodnie z art. 61 ust. 5 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2019/881 w sprawie ENISA (Agencji Unii Europejskiej ds. Cyberbezpieczeństwa) oraz certyfikacji cyberbezpieczeństwa w zakresie technologii informacyjno-komunikacyjnych

ROZPORZĄDZENIE WYKONAWCZE KOMISJI (UE) 2024/3143
z dnia 18 grudnia 2024 r.
ustanawiające okoliczności, formaty i procedury dotyczące notyfikacji zgodnie z art. 61 ust. 5 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2019/881 w sprawie ENISA (Agencji Unii Europejskiej ds. Cyberbezpieczeństwa) oraz certyfikacji cyberbezpieczeństwa w zakresie technologii informacyjno-komunikacyjnych
(Tekst mający znaczenie dla EOG)

KOMISJA EUROPEJSKA,

uwzględniając Traktat o funkcjonowaniu Unii Europejskiej,

uwzględniając rozporządzenie Parlamentu Europejskiego i Rady (UE) 2019/881 z dnia 17 kwietnia 2019 r. w sprawie ENISA (Agencji Unii Europejskiej ds. Cyberbezpieczeństwa) oraz certyfikacji cyberbezpieczeństwa w zakresie technologii informacyjno-komunikacyjnych oraz uchylenia rozporządzenia (UE) nr 526/2013 (akt o cyberbezpieczeństwie) 1 , w szczególności jego art. 61 ust. 5,

a także mając na uwadze, co następuje:

(1) Zgodnie z art. 61 ust. 1 rozporządzenia (UE) 2019/881 (akt o cyberbezpieczeństwie) krajowe organy ds. certyfikacji cyberbezpieczeństwa notyfikują Komisji jednostki oceniające zgodność, które zostały akredytowane i którym, w stosownych przypadkach, udzielono zezwolenia na wydawanie europejskich certyfikatów cyberbezpieczeństwa na określonych poziomach uzasadnienia zaufania, przy czym notyfikacja ta powinna być aktualizowana. Ponadto zgodnie z art. 61 ust. 2 rozporządzenia (UE) 2019/881 Komisja jest zobowiązana opublikować w Dzienniku Urzędowym Unii Europejskiej wykaz jednostek oceniających zgodność notyfikowanych w ramach europejskiego programu certyfikacji cyberbezpieczeństwa rok po jego wejściu w życie. Aby zapewnić zharmonizowane podejście do notyfikacji i ułatwić krajowym organom ds. certyfikacji cyberbezpieczeństwa ten proces, w niniejszym rozporządzeniu należy doprecyzować okoliczności, formaty i procedury dotyczące notyfikacji. Aspekty te należy wyjaśnić z myślą o stosowaniu pierwszego europejskiego programu certyfikacji cyberbezpieczeństwa opartego na wspólnych kryteriach (EUCC), ustanowionego rozporządzeniem wykonawczym Komisji (UE) 2024/482 2 .

(2) Niniejsze rozporządzenie uznaje synergię między rozporządzeniem (UE) 2019/881 a odpowiednim unijnym prawodawstwem harmonizacyjnym, w tym rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2024/2847 (akt dotyczący cyberodporności) 3 . Proponuje się zatem, aby krajowe organy ds. certyfikacji cyberbezpieczeństwa notyfikowały Komisję za pośrednictwem elektronicznego narzędzia notyfikacji, opracowanego i zarządzanego przez Komisję, o którym mowa w decyzji Parlamentu Europejskiego i Rady nr 768/2008/WE 4 . Nie naruszając spoczywającego na Komisji obowiązku publikowania wykazu notyfikowanych jednostek oceniających zgodność w Dzienniku Urzędowym Unii Europejskiej, wykaz ten powinien być również publicznie dostępny w elektronicznym narzędziu notyfikacji opracowanym i zarządzanym przez Komisję.

(3) Notyfikacja jednostek oceniających zgodność, które zostały akredytowane i którym, w stosownych przypadkach, udzielono zezwolenia, oznacza, że jednostkom tym można zaufać w odniesieniu do prowadzenia działań w zakresie oceny i certyfikacji zgodnie z rozporządzeniem (UE) 2019/881, co przyczynia się do ogólnej reputacji europejskich programów certyfikacji cyberbezpieczeństwa. Zasadnicze znaczenie ma zatem zapewnienie, aby notyfikowane jednostki oceniające zgodność spełniały wymagania i wypełniały swoje obowiązki z biegiem czasu. Opublikowany wykaz notyfikowanych jednostek oceniających zgodność powinien być dokładny i aktualny, i odzwierciedlać ich zgodność z wymogami określonymi w rozporządzeniu (UE) 2019/881 oraz, w stosownych przypadkach, ze szczegółowymi lub dodatkowymi wymogami w ramach europejskiego programu certyfikacji cyberbezpieczeństwa. W tym celu konieczne jest, aby krajowe organy ds. certyfikacji cyberbezpieczeństwa bez zbędnej zwłoki powiadamiały Komisję o wszelkich zmianach w notyfikacji, zgodnie z art. 61 ust. 1 rozporządzenia (UE) 2019/881.

(4) Krajowe organy ds. certyfikacji cyberbezpieczeństwa są odpowiedzialne za zapewnienie zgodności jednostek oceniających zgodność z rozporządzeniem (UE) 2019/881 i europejskimi programami certyfikacji cyberbezpieczeństwa oraz za zapewnienie w tym kontekście dokładności notyfikacji. Działania te podlegają wzajemnym przeglądom, których wynik powinien pomóc w określeniu wszelkich niezbędnych zmian w celu zwiększenia ich skuteczności. W wyniku zgłoszenia obaw w różnych okolicznościach krajowe organy ds. certyfikacji cyberbezpieczeństwa mogą stwierdzić, że jednostka oceniająca zgodność przestała spełniać odpowiednie wymagania. W stosownych przypadkach ustalenia wynikające z mechanizmów wzajemnego przeglądu powinny pomagać krajowym organom ds. certyfikacji cyberbezpieczeństwa w monitorowaniu ciągłości kompetencji notyfikowanych jednostek oceniających zgodność. Ponadto inne krajowe organy ds. certyfikacji cyberbezpieczeństwa, Komisja lub zainteresowane strony mogą zgłaszać do notyfikującego krajowego organu ds. certyfikacji cyberbezpieczeństwa obawy dotyczące ciągłości kompetencji notyfikowanych jednostek oceniających zgodność.

(5) Podejmując decyzję o zawieszeniu, ograniczeniu lub wycofaniu notyfikacji jednostki oceniającej zgodność, notyfikujący krajowy organ ds. certyfikacji cyberbezpieczeństwa ma współpracować z krajową jednostką akredytującą wyznaczoną na podstawie rozporządzenia Parlamentu Europejskiego i Rady (WE) nr 765/2008 5 . Jest to zgodne z rozporządzeniem (UE) 2019/881, które stanowi, że krajowe organy ds. certyfikacji cyberbezpieczeństwa powinny aktywnie pomagać krajowym jednostkom akredytującym, wspierać je i współpracować z nimi w swoich działaniach monitorujących i nadzorczych. Ograniczenie notyfikacji powinno odnosić się do przypadku, w którym zakres akredytacji lub, w stosownych przypadkach, zakres zezwolenia i w związku z tym - notyfikacji - został zmniejszony.

(6) Zgodnie z art. 54 ust. 1 lit. n) rozporządzenia (UE) 2019/881 każdy europejski program certyfikacji cyberbezpieczeństwa musi zawierać, w stosownych przypadkach, zasady dotyczące przechowywania dokumentów przez jednostki oceniające zgodność. Konieczne jest zatem, aby w przypadku ograniczenia, zawieszenia lub wycofania notyfikacji, lub w przypadku zaprzestania działalności przez notyfikowaną jednostkę oceniającą zgodność notyfikujący krajowy organ ds. certyfikacji cyberbezpieczeństwa zapewnił, aby dokumentacja tej jednostki oceniającej zgodność była przechowywana w sposób bezpieczny i przez niezbędny okres, zgodnie z wymogami europejskiego programu certyfikacji cyberbezpieczeństwa.

(7) Środki przewidziane w niniejszym rozporządzeniu są zgodne z opinią komitetu ustanowionego na mocy art. 66 rozporządzenia (UE) 2019/881,

PRZYJMUJE NINIEJSZE ROZPORZĄDZENIE:

Artykuł  1

Przedmiot

W niniejszym rozporządzeniu ustanawia się okoliczności, formaty i procedury dotyczące notyfikacji jednostek oceniających zgodność przez krajowe organy ds. certyfikacji cyberbezpieczeństwa zgodnie z art. 61 ust. 1 rozporządzenia (UE) 2019/881.

Artykuł  2

Procedury dotyczące notyfikacji

1. 
Zgodnie z art. 61 ust. 1 rozporządzenia (UE) 2019/881 krajowe organy ds. certyfikacji cyberbezpieczeństwa notyfikują Komisji jednostki oceniające zgodność, które spełniły wymogi określone w rozporządzeniu (UE) 2019/881 oraz, w stosownych przypadkach, szczegółowe lub dodatkowe wymogi w ramach europejskiego programu certyfikacji cyberbezpieczeństwa.
2. 
Krajowy organ ds. certyfikacji cyberbezpieczeństwa notyfikuje Komisję za pomocą elektronicznego narzędzia notyfikacji opracowanego i zarządzanego przez Komisję, o którym mowa w decyzji nr 768/2008/WE.
3. 
Notyfikacja zawiera informacje wymienione w załączniku.
Artykuł  3

Numery identyfikacyjne i wykaz jednostek oceniających zgodność

1. 
Komisja przydziela notyfikowanej jednostce oceniającej zgodność numer identyfikacyjny. Przydziela ona jeden taki numer, nawet jeśli dana jednostka jest notyfikowana na podstawie kilku europejskich programów certyfikacji cyberbezpieczeństwa lub aktów Unii.
2. 
Udostępniając wykaz notyfikowanych jednostek oceniających zgodność za pomocą elektronicznego narzędzia notyfikacji opracowanego i zarządzanego przez Komisję, Komisja uwzględnia numery identyfikacyjne, które zostały przydzielone notyfikowanym jednostkom oceniającym zgodność, oraz rodzaje działalności, w związku z którymi zostały one notyfikowane.
3. 
ENISA udostępnia informacje dotyczące notyfikowanych jednostek oceniających zgodność na swojej specjalnej stronie internetowej poświęconej europejskim programom certyfikacji cyberbezpieczeństwa, o której mowa w art. 50 ust. 1 rozporządzenia (UE) 2019/881.
Artykuł  4

Zmiany w notyfikacjach

1. 
Krajowe organy ds. certyfikacji cyberbezpieczeństwa bez zbędnej zwłoki powiadamiają Komisję o wszelkich późniejszych zmianach w notyfikacji, o której mowa w art. 2, za pośrednictwem elektronicznego narzędzia notyfikacji opracowanego i zarządzanego przez Komisję, zgodnie z art. 61 ust. 1 rozporządzenia (UE) 2019/881.
2. 
W przypadku gdy krajowy organ ds. certyfikacji cyberbezpieczeństwa stwierdzi, we współpracy z krajową jednostką akredytującą, jak przewidziano w rozporządzeniu (UE) 2019/881, że notyfikowana jednostka oceniająca zgodność przestała spełniać wymagania lub obowiązki, którym podlega, krajowy organ ds. certyfikacji cyberbezpieczeństwa ogranicza, zawiesza lub cofa notyfikację, stosownie do sytuacji, w zależności od wagi niespełnienia tych wymagań lub niewypełnienia tych obowiązków. Powiadamia on o tym Komisję bez zbędnej zwłoki za pośrednictwem elektronicznego narzędzia notyfikacji opracowanego i zarządzanego przez Komisję.
3. 
W przypadku ograniczenia, zawieszenia lub wycofania notyfikacji lub w przypadku zaprzestania działalności przez notyfikowaną jednostkę oceniającą zgodność notyfikujący krajowy organ ds. certyfikacji cyberbezpieczeństwa podejmuje stosowne działania w celu zapewnienia, aby dokumentacja tej jednostki oceniającej zgodność była przechowywana w sposób bezpieczny i przez niezbędny okres, zgodnie z wymogami europejskiego programu certyfikacji cyberbezpieczeństwa.
Artykuł  5

Wejście w życie

Niniejsze rozporządzenie wchodzi w życie dwudziestego dnia po jego opublikowaniu w Dzienniku Urzędowym Unii Europejskiej.

Niniejsze rozporządzenie wiąże w całości i jest bezpośrednio stosowane we wszystkich państwach członkowskich.

Sporządzono w Brukseli dnia 18 grudnia 2024 r.

ZAŁĄCZNIK

Informacje, które należy uwzględnić w notyfikacji jednostki oceniającej zgodność w ramach europejskiego programu certyfikacji cyberbezpieczeństwa na podstawie art. 61 ust. 1 rozporządzenia (UE) 2019/881, o których mowa w art. 2 ust. 3 niniejszego rozporządzenia

1.
Informacje ogólne:
1)
Tytuł programu certyfikacji cyberbezpieczeństwa
2)
Poziom lub poziomy uzasadnienia zaufania, w stosownych przypadkach, oraz związane z nimi procedury oceny zgodności (np. podstawowy, istotny, wysoki)
3)
Zakres (np. zakres akredytacji, kategorie lub rodzaje produktów, usług, procesów)
2.
Informacje na temat notyfikującego krajowego organu ds. certyfikacji cyberbezpieczeństwa:
1)
Nazwa
2)
Państwo
3)
Adres pocztowy
4)
Adres(-y) e-mail
5)
Numer(-y) telefonu
6)
Strona internetowa
3.
Informacje dotyczące notyfikowanej jednostki oceniającej zgodność:
1)
Nazwa
2)
Państwo
3)
Adres pocztowy
4)
Adres(-y) e-mail
5)
Numer(-y) telefonu
6)
Strona internetowa
4.
Informacje na temat akredytacji:
1)
Akredytacja:
a)
Data akredytacji
b)
Numer referencyjny akredytacji
c)
Zakres akredytacji
d)
Okres ważności akredytacji
2)
Krajowa jednostka akredytująca
a)
Nazwa
b)
Państwo
c)
Adres pocztowy
d)
Adres(-y) e-mail
e)
Numer(-y) telefonu
f)
Strona internetowa
5.
Informacje dotyczące zezwolenia (w stosownych przypadkach):
1)
Zezwolenie:
a)
Data udzielenia zezwolenia
b)
Numer referencyjny zezwolenia
c)
Zakres zezwolenia
d)
Okres ważności zezwolenia
2)
Krajowy organ ds. cyberbezpieczeństwa udzielający zezwolenia (jeżeli jest inny niż notyfikujący krajowy organ ds. certyfikacji cyberbezpieczeństwa):
a)
Nazwa
b)
Państwo
c)
Adres pocztowy
d)
Adres(-y) e-mail
e)
Numer(-y) telefonu
f)
Strona internetowa
6.
Informacje dodatkowe:
1)
Wszelkie dodatkowe informacje wymagane w konkretnym europejskim programie certyfikacji cyberbezpieczeństwa
2)
Wszelkie dokumenty uzupełniające
1 Dz.U. L 151 z 7.6.2019, s. 15, ELI: http://data.europa.eu/eli/reg/2019/881/oj.
2 Rozporządzenie wykonawcze Komisji (UE) 2024/482 z dnia 31 stycznia 2024 r. ustanawiające zasady stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2019/881 w odniesieniu do przyjęcia europejskiego programu certyfikacji cyberbezpieczeństwa opartego na wspólnych kryteriach (EUCC) (Dz.U. L, 2024/482, 7.2.2024, ELI: http://data.europa.eu/eli/reg_impl/2024/482/oj).
3 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/2847 z dnia 23 października 2024 r. w sprawie horyzontalnych wymagań w zakresie cyberbezpieczeństwa w odniesieniu do produktów z elementami cyfrowymi oraz w sprawie zmiany rozporządzeń (UE) nr 168/2013 i (UE) 2019/1020 i dyrektywy (UE) 2020/1828 (akt o cyberodporności) (Dz.U. L, 2024/2847, 20.11.2024, ELI: http://data.europa.eu/eli/reg/2024/2847/oj).
4 Decyzja Parlamentu Europejskiego i Rady nr 768/2008/WE z dnia 9 lipca 2008 r. w sprawie wspólnych ram dotyczących wprowadzania produktów do obrotu, uchylająca decyzję Rady 93/465/EWG (Dz.U. L 218 z 13.8.2008, s. 82, ELI: http://data.europa. eu/eli/dec/2008/768(1)/oj).
5 Rozporządzenie Parlamentu Europejskiego i Rady (WE) nr 765/2008 z dnia 9 lipca 2008 r. ustanawiające wymagania w zakresie akredytacji i nadzoru rynku odnoszące się do warunków wprowadzania produktów do obrotu i uchylające rozporządzenie (EWG) nr 339/93 (Dz.U. L 218 z 13.8.2008, s. 30, ELI: http://data.europa.eu/eli/reg/2008/765/oj).

Zmiany w prawie

Ważne zmiany w zakresie ZFŚS
Ważne zmiany w zakresie ZFŚS

W piątek, 19 grudnia 2025 roku, Senat przyjął bez poprawek uchwalone na początku grudnia przez Sejm bardzo istotne zmiany w przepisach dla pracodawców obowiązanych do tworzenia Zakładowego Funduszu Świadczeń Socjalnych. Odnoszą się one do tych podmiotów, w których nie działają organizacje związkowe. Ustawa trafi teraz na biurko prezydenta.

Marek Rotkiewicz 19.12.2025
Wymiar urlopu wypoczynkowego po zmianach w stażu pracy
Wymiar urlopu wypoczynkowego po zmianach w stażu pracy

Nowe okresy wliczane do okresu zatrudnienia mogą wpłynąć na wymiar urlopów wypoczynkowych osób, które jeszcze nie mają prawa do 26 dni urlopu rocznie. Pracownicy nie nabywają jednak prawa do rozliczenia urlopu za okres sprzed dnia objęcia pracodawcy obowiązkiem stosowania art. 302(1) Kodeksu pracy, wprowadzającego zaliczalność m.in. okresów prowadzenia działalności gospodarczej czy wykonywania zleceń do stażu pracy.

Marek Rotkiewicz 19.12.2025
To będzie rewolucja u każdego pracodawcy
To będzie rewolucja u każdego pracodawcy

Wszyscy pracodawcy, także ci zatrudniający choćby jednego pracownika, będą musieli dokonać wartościowania stanowisk pracy i określić kryteria służące ustaleniu wynagrodzeń pracowników, poziomów wynagrodzeń i wzrostu wynagrodzeń. Jeszcze więcej obowiązków będą mieli średni i duzi pracodawcy, którzy będą musieli raportować lukę płacową. Zdaniem prawników, dla mikro, małych i średnich firm dostosowanie się do wymogów w zakresie wartościowania pracy czy ustalenia kryteriów poziomu i wzrostu wynagrodzeń wymagać będzie zewnętrznego wsparcia.

Grażyna J. Leśniak 18.12.2025
Są rozporządzenia wykonawcze do KSeF
Są rozporządzenia wykonawcze do KSeF

Minister finansów i gospodarki podpisał cztery rozporządzenia wykonawcze dotyczące funkcjonowania KSeF – potwierdził we wtorek resort finansów. Rozporządzenia określają m.in.: zasady korzystania z KSeF, w tym wzór zawiadomienia ZAW-FA, przypadki, w których nie ma obowiązku wystawiania faktur ustrukturyzowanych, a także zasady wystawiania faktur uproszczonych.

Krzysztof Koślicki 16.12.2025
Od stycznia nowe zasady prowadzenia PKPiR
Od stycznia nowe zasady prowadzenia PKPiR

Od 1 stycznia 2026 r. zasadą będzie prowadzenie podatkowej księgi przychodów i rozchodów przy użyciu programu komputerowego. Nie będzie już można dokumentować zakupów, np. środków czystości lub materiałów biurowych, za pomocą paragonów bez NIP nabywcy. Takie zmiany przewiduje nowe rozporządzenie w sprawie PKPiR.

Marcin Szymankiewicz 15.12.2025
Senat poprawia reformę orzecznictwa lekarskiego w ZUS
Senat poprawia reformę orzecznictwa lekarskiego w ZUS

Senat zgłosił w środę poprawki do reformy orzecznictwa lekarskiego w ZUS. Zaproponował, aby w sprawach szczególnie skomplikowanych możliwe było orzekanie w drugiej instancji przez grupę trzech lekarzy orzeczników. W pozostałych sprawach, zgodnie z ustawą, orzekać będzie jeden. Teraz ustawa wróci do Sejmu.

Grażyna J. Leśniak 10.12.2025
Metryka aktu
Identyfikator:

Dz.U.UE.L.2024.3143
Rodzaj: Rozporządzenie
Tytuł: Rozporządzenie wykonawcze 2024/3143 ustanawiające okoliczności, formaty i procedury dotyczące notyfikacji zgodnie z art. 61 ust. 5 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2019/881 w sprawie ENISA (Agencji Unii Europejskiej ds. Cyberbezpieczeństwa) oraz certyfikacji cyberbezpieczeństwa w zakresie technologii informacyjno-komunikacyjnych
Data aktu: 18/12/2024
Data ogłoszenia: 19/12/2024
Data wejścia w życie: 08/01/2025