Ga verder naar contentGa verder naar content en skip ook inhoudsopgave
In- en Uitvoer
Home

Uitvoeringsverordening (EU) 2025/2462 van de Commissie van 8 december 2025 tot wijziging van Uitvoeringsverordening (EU) 2024/482 wat betreft definities, certificering van ICT-productreeksen, continuïteit van de zekerheid en documenten over de huidige stand van de techniek

Uitvoeringsverordening (EU) 2025/2462 van de Commissie van 8 december 2025 tot wijziging van Uitvoeringsverordening (EU) 2024/482 wat betreft definities, certificering van ICT-productreeksen, continuïteit van de zekerheid en documenten over de huidige stand van de techniek

DE EUROPESE COMMISSIE,

Gezien het Verdrag betreffende de werking van de Europese Unie,

Gezien Verordening (EU) 2019/881 van het Europees Parlement en de Raad van 17 april 2019 inzake Enisa (het Agentschap van de Europese Unie voor cyberbeveiliging), en inzake de certificering van de cyberbeveiliging van informatie- en communicatietechnologie en tot intrekking van Verordening (EU) nr. 526/2013 (de cyberbeveiligingsverordening)(1), en met name artikel 49, lid 7,

Overwegende hetgeen volgt:

  1. Uitvoeringsverordening (EU) 2024/482 van de Commissie(2) specificeert de rollen, regels en verplichtingen, alsook de structuur van de Europese op gemeenschappelijke criteria gebaseerde cyberbeveiligingscertificeringsregeling (EUCC) overeenkomstig het Europees kader voor cyberbeveiligingscertificering dat is vastgesteld in Verordening (EU) 2019/881.

  2. De gemeenschappelijke evaluatiemethodologie bij de gemeenschappelijke criteria (CC), een internationale norm voor de evaluatie van informatiebeveiliging, maakt het mogelijk de beveiliging van ICT-producten voor certificeringsdoeleinden te evalueren. In dit verband kunnen sommige ICT-producten op dezelfde functionele basis berusten om op verschillende platforms of apparaten soortgelijke beveiligingsfuncties te bieden; dit wordt ook wel productreeks genoemd. Het ontwerp en de hardware, firmware of software kunnen echter per ICT-product verschillen. Het is aan de certificeringsinstantie om per geval te beslissen of een productreeks kan worden gecertificeerd. De voorwaarden voor de certificering van productreeksen kunnen nader worden geïllustreerd in ondersteunende EUCC-richtsnoeren.

  3. Om de betrouwbaarheid van gecertificeerde producten te handhaven, is het van essentieel belang te bepalen wat een belangrijke en wat een geringe wijziging is aan het onderwerp van evaluatie of zijn omgeving, met inbegrip van zijn operationele of ontwikkelomgeving. Daarom moeten die begrippen worden gepreciseerd, waarbij rekening wordt gehouden met bestaande en algemeen gebruikte technische specificaties van de Groep van Hoge Ambtenaren voor de beveiliging van informatiesystemen (SOG-IS) en de deelnemers aan de regeling ter erkenning van certificaten van gemeenschappelijke criteria op het gebied van IT-beveiliging (CCRA).

  4. Geringe wijzigingen worden vaak gekenmerkt door hun beperkte effect op de verklaring met betrekking tot de zekerheid in het afgegeven EUCC-certificaat. Daarom moeten geringe wijzigingen worden beheerd in het kader van onderhoudsprocedures en vereisen zij geen herevaluatie van de beveiligingsfuncties van het product. Voorbeelden van geringe wijzigingen die in het kader van onderhoud moeten worden doorgevoerd, zijn redactionele wijzigingen, wijzigingen aan de omgeving van het onderwerp van evaluatie die het gecertificeerde onderwerp van evaluatie niet wijzigen, en wijzigingen aan het gecertificeerde onderwerp van evaluatie die niet van invloed zijn op de zekerheidsbewijzen. Wijzigingen aan de ontwikkelomgeving kunnen ook als gering worden beschouwd, mits zij niet doorwegen op bestaande zekerheidsmaatregelen. In sommige gevallen kan bij dergelijke wijzigingen echter een gedeeltelijke evaluatie van de relevante maatregelen vereist zijn.

  5. Een belangrijke wijziging is een wijziging van het gecertificeerde onderwerp van evaluatie of zijn omgeving die een negatief effect kan hebben op de in het EUCC-certificaat gegeven zekerheid en daarom een herevaluatie vereist. Voorbeelden van belangrijke wijzigingen zijn wijzigingen aan de reeks gestelde eisen inzake zekerheid, met uitzondering van de eisen inzake zekerheid van de CC ALC_FLR-familie (herstel van tekortkomingen); wijzigingen aan de vertrouwelijkheids- of integriteitscontroles van de ontwikkelomgeving indien dergelijke wijzigingen van invloed kunnen zijn op de beveiligde ontwikkeling of productie van het onderwerp van evaluatie, of wijzigingen aan het onderwerp van evaluatie om een exploiteerbare kwetsbaarheid op te lossen. Daarnaast kan een verzameling geringe wijzigingen die tezamen aanzienlijke impact op de beveiliging hebben, ook als een belangrijke wijziging worden aangemerkt. Ook moet worden erkend dat een foutcorrectie weliswaar misschien slechts één specifiek aspect van het onderwerp van evaluatie beïnvloedt, maar vanwege de onvoorspelbaarheid en mogelijke gevolgen voor de zekerheid ervan toch een belangrijke wijziging kan zijn als deze de door de certificering geboden beveiligingsborging in gevaar brengt.

  6. Bij wijzigingen aan het dreigingslandschap van een ongewijzigd gecertificeerd ICT-product kan een herbeoordeling vereist zijn. De mogelijke resultaten van een dergelijk herbeoordelingsproces moeten duidelijk worden vastgesteld, met name het effect ervan op het EUCC-certificaat. Als een herbeoordeling met succes wordt afgerond, moet de certificeringsinstantie het certificaat bevestigen of een nieuw certificaat met een verlengde geldigheidsduur afgeven. Als een herbeoordelingsproces niet succesvol is, moet de certificeringsinstantie het certificaat intrekken en mogelijk een nieuw certificaat met een ander toepassingsgebied afgeven. Dergelijke bepalingen moeten van overeenkomstige toepassing zijn op de herbeoordeling van beveiligingsprofielen.

  7. Bijlage I bij Uitvoeringsverordening (EU) 2024/482 bevat een lijst van toepasselijke documenten over de huidige stand van de techniek voor de evaluatie van ICT-producten en beveiligingsprofielen. Die documenten over de huidige stand van de techniek moeten worden geactualiseerd om rekening te houden met de recentste ontwikkelingen, zoals die met betrekking tot technologische ontwikkelingen, het cyberdreigingslandschap, sectorale praktijken of internationale normen. Een dergelijke actualisering is wenselijk voor de documenten over de huidige stand van de techniek met betrekking tot minimumeisen voor de beveiliging van locaties, de toepassing van aanvalspotentieel op smartcards, de toepassing van aanvalspotentieel op hardwarecomponenten met beveiligingsboxen, de toepassing van gemeenschappelijke criteria op geïntegreerde schakelingen en de evaluatie van samengestelde producten voor smartcards en soortgelijke componenten. Bovendien zijn er geen documenten over de huidige stand van de techniek met betrekking tot de evaluatie en certificering van samengestelde producten aan de hand van de nieuwste versie van de gemeenschappelijke criteria, hergebruik van evaluatieresultaten van audits ter plaatse en verduidelijkingen wat betreft de interpretatie van beveiligingsprofielen in verband met gekwalificeerde middelen voor het aanmaken van elektronische handtekeningen, tachografen en hardwarebeveiligingsmodules. Om een uniforme evaluatie van ICT-producten in het kader van de EUCC te waarborgen, moet bijlage I worden gewijzigd om daarin die geactualiseerde en nieuwe documenten over de huidige stand van de techniek op te nemen na de goedkeuring ervan door de Europese Groep voor cyberbeveiligingscertificering (EGC).

  8. Daarnaast moet het document over de huidige stand van de techniek “ADV_SPM.1 interpretation for CC:2022 transition” aan de regeling worden toegevoegd om ervoor te zorgen dat certificeringsprocessen op basis van specifieke beveiligingsprofielen gebruik kunnen blijven maken van formele modellering (ADV_SPM.1) totdat de bijbehorende beveiligingsprofielen worden geactualiseerd, bijvoorbeeld met de toevoeging van een CC:2022-conforme beveiligingsprofielconfiguratie voor meervoudige zekerheid die ADV_SPM.1 ondersteunt. Om de markt voldoende tijd te geven om op de geactualiseerde gemeenschappelijke criteria over te schakelen, moeten specifieke overgangsregels worden vastgesteld voor de beveiligingsprofielen Security IC Platform PP with Augmentation Packages (v1.0), BSI-CC-PP-0084-2014, Java Card System — Closed Configuration (v3.1), BSI-CC-PP-0101-V2-2020, of Java Card System — Open Configuration (v3.1), BSI-CC-PP-0099-V2-2020. Om marktverstoringen te voorkomen, moet worden bepaald dat het document over de huidige stand van de techniek “ADV_SPM.1 interpretation for CC:2022 transition” van toepassing is op certificeringsprocessen die vóór de vaststelling van deze verordening zijn geïnitieerd. De toepassing van dit document moet echter strikt beperkt blijven tot wat nodig is, gezien de tijd die nodig is om de actualisering van de desbetreffende beveiligingsprofielen af te ronden. Meer in het bijzonder moet voor certificeringsprocessen waarbij gebruik wordt gemaakt van beveiligingsprofiel Security IC Platform PP with Augmentation Packages (v1.0), BSI-CC-PP-0084-2014, of Java Card System — Closed Configuration (v3.1), BSI-CC-PP-0101-V2-2020, het document over de huidige stand van de techniek van toepassing zijn op de processen die vóór 1 oktober 2026 zijn geïnitieerd. Voor certificeringsprocessen waarbij gebruik wordt gemaakt van het beveiligingsprofiel Java Card System — Open Configuration (v3.1), BSI-CC-PP-0099-V2-2020, mag het document over de huidige stand van de techniek alleen van toepassing zijn op processen die zijn geïnitieerd vóór de datum van inwerkingtreding van deze verordening, aangezien er al een nieuwe versie van het beveiligingsprofiel Java Card System — Open Configuration beschikbaar is.

  9. Een wijziging in de documenten over de huidige stand van de techniek tijdens een certificeringsproces kan de evaluatie van het product verstoren en de afgifte van het certificaat vertragen. Er zijn daarom passende overgangsregels nodig voor nieuwe of geactualiseerde documenten over de huidige stand van de techniek, zodat verkopers, ITSEF’s, certificeringsinstanties en andere belanghebbenden de nodige aanpassingen kunnen doorvoeren. Toepasselijke geactualiseerde en nieuwe documenten over de huidige stand van de techniek moeten betrekking hebben op certificeringsaanvragen, met inbegrip van aanvragen voor herbeoordeling en herevaluatie, terwijl het voor lopende certificeringsprocessen mogelijk moet zijn om gebruik te blijven maken van eerdere versies van de documenten over de huidige stand van de techniek.

  10. De bijlagen II en III bij Uitvoeringsverordening (EU) 2024/482 bevatten respectievelijk de op AVA_VAN-niveau 4 of 5 gecertificeerde beveiligingsprofielen en de aanbevolen beveiligingsprofielen. Diverse verwijzingen zijn onvolledig of achterhaald als gevolg van een actualisering van de beveiligingsprofielen. Die verwijzingen moeten worden aangevuld en daarnaast moeten nieuwe verwijzingen worden toegevoegd om te zorgen voor een uitgebreidere dekking van beveiligde geïntegreerde schakelingen, smartcards en aanverwante apparaten en trusted computing.

  11. Artikel 19 van Uitvoeringsverordening (EU) 2024/482 moet worden gewijzigd om te verduidelijken dat bijlage IV, met de nodige wijzigingen, van toepassing is op de herziening van EUCC-certificaten voor beveiligingsprofielen.

  12. Aangezien de beveiligingsdoelstelling van essentieel belang is om het toepassingsgebied van een certificeringsproces te kunnen begrijpen, is het ook noodzakelijk dat Enisa de beveiligingsdoelstelling voor elk EUCC-certificaat op zijn website publiceert.

  13. Voorts moeten de certificeringsinstanties Enisa een Engelse versie van de beveiligingsdoelstelling en het certificeringsverslag verstrekken om het agentschap in staat te stellen die informatie in het Engels beschikbaar te stellen op de desbetreffende website, overeenkomstig artikel 42, lid 2, van Uitvoeringsverordening (EU) 2024/482. Aanvragers van certificering moeten de certificeringsinstanties daarom op verzoek een Engelse versie van de beveiligingsdoelstelling doen toekomen.

  14. De verwijzing naar de naam van de certificeringsinstantie hoeft niet te worden vermeld in de unieke identificatie van het certificaat, aangezien het identificatienummer van de certificeringsinstantie volstaat om deze instantie op unieke wijze te identificeren. De maand van afgifte hoeft evenmin te worden vermeld, aangezien de certificaten jaarlijks worden geteld. Ter vereenvoudiging moet die eis daarom worden geschrapt. Aangezien het jaar van afgifte van het certificaat betrekking heeft op de afgifte van het eerste certificaat, moet diezelfde datum worden vermeld in de unieke identificatie op certificaten die na een herziening worden afgegeven, om de traceerbaarheid te waarborgen.

  15. Uitvoeringsverordening (EU) 2024/482 moet daarom dienovereenkomstig worden gewijzigd.

  16. De in deze verordening vervatte maatregelen zijn in overeenstemming met het advies van het bij artikel 66 van Verordening (EU) 2019/881 opgerichte comité,

HEEFT DE VOLGENDE VERORDENING VASTGESTELD:

Artikel 1

Uitvoeringsverordening (EU) 2024/482 wordt als volgt gewijzigd:

  1. aan artikel 2 worden de volgende punten 16), 17) en 18) toegevoegd:

    1. “productreeks”: een reeks ICT-producten van een aanvrager die, teneinde in dezelfde beveiligingsbehoeften te voorzien, op dezelfde functionele basis berusten, waarbij het ontwerp en de hardware, firmware of software per ICT-product kunnen verschillen;

    2. “geringe wijziging”: een wijziging aan het gecertificeerde onderwerp van evaluatie of zijn omgeving die geen negatieve invloed heeft op de in het EUCC-certificaat gegeven zekerheid;

    3. “belangrijke wijziging”: een wijziging aan het gecertificeerde onderwerp van evaluatie of zijn omgeving die een negatieve invloed kan hebben op de in het EUCC-certificaat gegeven zekerheid.”;

  2. aan artikel 5 wordt het volgende lid 3 toegevoegd:

    “3.

    Een certificeringsinstantie kan de certificering van een productreeks toestaan.”

    ;

  3. artikel 9, lid 2, punt a), wordt vervangen door:

    1. de certificeringsinstantie en de ITSEF alle nodige volledige en correcte informatie te verstrekken en desgevraagd aanvullende informatie te verstrekken, met inbegrip van een Engelse versie van de beveiligingsdoelstelling;”;

  4. artikel 11, lid 3, punt b), wordt vervangen door:

    1. de unieke identificatie van het certificaat, bestaande uit:

      1. de naam van de regeling;

      2. het identificatienummer, overeenkomstig artikel 3 van Uitvoeringsverordening (EU) 2024/3143, van de certificeringsinstantie die het certificaat heeft afgegeven;

      3. jaar van afgifte van het oorspronkelijke certificaat;

      4. het identificatienummer dat is toegewezen door de certificeringsinstantie die het certificaat heeft afgegeven.”;

  5. artikel 19, lid 1, wordt vervangen door:

    “1.

    Op verzoek van de houder van het certificaat of om andere gerechtvaardigde redenen kan de certificeringsinstantie besluiten het EUCC-certificaat voor een beveiligingsprofiel te herzien. De herziening wordt in overeenstemming met bijlage IV uitgevoerd. De certificeringsinstantie bepaalt de omvang van de herziening. Wanneer dat voor de herziening nodig is, verzoekt de certificeringsinstantie de ITSEF om het gecertificeerde beveiligingsprofiel opnieuw te evalueren.”

    ;

  6. artikel 42 wordt als volgt gewijzigd:

    1. aan lid 1 wordt het volgende punt i) toegevoegd:

      1. de beveiligingsdoelstelling voor elk EUCC-certificaat;”;

    2. lid 2 wordt vervangen door:

      “2.

      De in lid 1 bedoelde informatie wordt ten minste in het Engels beschikbaar gesteld. Daartoe doen de certificeringsinstanties Enisa de oorspronkelijke taalversies van de certificeringsverslagen en beveiligingsdoelstellingen toekomen en verstrekken zij bovendien onverwijld de Engelse versie van die documenten.”

      ;

  7. artikel 48, lid 4, wordt vervangen door:

    “4.

    Tenzij in bijlage I of II anders is bepaald, zijn de documenten over de huidige stand van de techniek van toepassing op certificeringsprocessen, met inbegrip van herbeoordeling en herevaluatie, die zijn gestart op of na de datum van toepassing van de wijzigingshandeling waarbij de documenten over de huidige stand van de techniek in bijlage I of II zijn opgenomen.”

    ;

  8. bijlage I wordt vervangen door de tekst in bijlage I bij deze verordening;

  9. bijlage II wordt vervangen door de tekst in bijlage II bij deze verordening;

  10. bijlage III wordt vervangen door de tekst in bijlage III bij deze verordening;

  11. bijlage IV wordt gewijzigd overeenkomstig bijlage IV bij deze verordening;

  12. bijlage V wordt gewijzigd overeenkomstig bijlage V bij deze verordening;

  13. bijlage IX wordt vervangen door de tekst in bijlage VI bij deze verordening.

Artikel 2

Deze verordening treedt in werking op de twintigste dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie.

Deze verordening is verbindend in al haar onderdelen en is rechtstreeks toepasselijk in elke lidstaat.

Gedaan te Brussel, 8 december 2025.

Voor de Commissie

De voorzitter

Ursula von der Leyen

BIJLAGE I

BIJLAGE I

Documenten over de huidige stand van de techniek ter ondersteuning van technische domeinen en andere documenten over de huidige stand van de techniek

1. Documenten over de huidige stand van de techniek ter ondersteuning van technische domeinen op AVA_VAN-niveau 4 of 5:

  1. de volgende documenten met betrekking tot de geharmoniseerde evaluatie van het technische domein “smartcards en soortgelijke componenten”:

    1. “Minimum ITSEF requirements for security evaluations of smart cards and similar devices”, versie 1.1;

    2. “Minimum Site Security Requirements”, versie 2;

    3. “Reusing evaluation results of site audits (STAR)”, versie 1;

    4. “Application of Common Criteria to integrated circuits”, versie 2;

    5. “Security Architecture requirements (ADV_ARC) for smart cards and similar devices”, versie 1.1;

    6. “Certification of ‘open’ smart card products”, versie 1.1;

    7. “Composite product evaluation for smart cards and similar devices for CC3.1”, versie 2;

    8. “Composite product evaluation and certification for CC:2022”, versie 1;

    9. “Application of Attack Potential to Smartcards and Similar Devices”, versie 2;

    10. “Security Evaluation and Certification of Qualified Electronic Signature/Seal Creation Devices”, versie 1;

    11. “ADV_SPM.1 interpretation for CC:2022 transition”, versie 1.1, voor certificeringsprocessen waarbij gebruik wordt gemaakt van de volgende beveiligingsprofielen:

      1. Security IC Platform PP with Augmentation Packages (v1.0), BSI-CC-PP-0084-2014, of Java Card System — Closed Configuration (v3.1), BSI-CC-PP-0101-V2-2020, geïnitieerd vóór 1 oktober 2026;

      2. Java Card System — Open Configuration (v3.1), BSI-CC-PP-0099-V2-2020, geïnitieerd vóór 29 december 2025;

  2. de volgende documenten met betrekking tot de geharmoniseerde evaluatie van het technische domein “hardwarecomponenten met beveiligingsboxen”:

    1. “Minimum ITSEF requirements for security evaluations of hardware devices with security boxes”, versie 1.1;

    2. “Minimum Site Security Requirements”, versie 2;

    3. “Reusing evaluation results of site audits (STAR)”, versie 1;

    4. “Application of Attack Potential to hardware devices with security boxes”, versie 2;

    5. “Hardware assessment in EN 419221-5 (HSM PP)”, versie 1;

    6. “JIL Tachograph MS PP Clarification”, versie 1.

2. Documenten over de huidige stand van de techniek met betrekking tot de geharmoniseerde accreditatie van conformiteitsbeoordelingsinstanties:

  1. “Accreditation of ITSEFs for the EUCC”, versie 1.1, voor accreditaties die zijn afgegeven vóór 8 juli 2025;

  2. “Accreditation of ITSEFs for the EUCC”, versie 1.6c, voor accreditaties die nieuw zijn afgegeven of herzien na 8 juli 2025;

  3. “Accreditation of CBs for the EUCC”, versie 1.6b.

BIJLAGE IDocumenten over de huidige stand van de techniek ter ondersteuning van technische domeinen en andere documenten over de huidige stand van de techniek

BIJLAGE II

BIJLAGE IIBeveiligingsprofielen gecertificeerd op AVA_VAN-niveau 4 of 5

BIJLAGE III

BIJLAGE IIIAanbevolen beveiligingsprofielen

BIJLAGE IV

BIJLAGE V

BIJLAGE VI

BIJLAGE IXMerkteken en label