De collegiale toetsingen van de nationale autoriteiten voor cyberbeveiligingscertificering (NCCA’s) worden verricht overeenkomstig het tijdschema in bijlage I. Iedere collegiale toetsing wordt voltooid op de in dat schema vermelde datum en vervolgens om de vijf jaar.
Uitvoeringsverordening (EU) 2025/2540 van de Commissie van 9 december 2025 tot vaststelling van uitvoeringsbepalingen voor Verordening (EU) 2019/881 van het Europees Parlement en de Raad betreffende de vaststelling van het plan voor collegiale toetsingen
Uitvoeringsverordening (EU) 2025/2540 van de Commissie van 9 december 2025 tot vaststelling van uitvoeringsbepalingen voor Verordening (EU) 2019/881 van het Europees Parlement en de Raad betreffende de vaststelling van het plan voor collegiale toetsingen
DE EUROPESE COMMISSIE,
Gezien het Verdrag betreffende de werking van de Europese Unie,
Gezien Verordening (EU) 2019/881 van het Europees Parlement en de Raad van 17 april 2019 inzake Enisa (het Agentschap van de Europese Unie voor cyberbeveiliging), en inzake de certificering van de cyberbeveiliging van informatie- en communicatietechnologie en tot intrekking van Verordening (EU) nr. 526/2013 (de cyberbeveiligingsverordening)(1), en met name artikel 59, lid 5,
Overwegende hetgeen volgt:
(1) Overeenkomstig artikel 59, lid 4, van Verordening (EU) 2019/881 moeten collegiale toetsingen van nationale cyberbeveiligingscertificeringsautoriteiten (NCCA’s) worden verricht door ten minste twee NCCA’s van andere lidstaten en de Commissie. Om gelijkwaardige normen met betrekking tot Europese cyberbeveiligingscertificaten en EU-conformiteitsverklaringen te bereiken, moet de Commissie toezicht houden op aspecten in verband met de naleving van deze verordening en waarborgen dat collegiale toetsingen in de Unie consistent worden verricht. Om een beeld te krijgen van de goede praktijken, uitdagingen en lessen die zijn getrokken uit de uitvoering van Europese cyberbeveiligingscertificeringsregelingen moet het Agentschap van de Europese Unie voor cyberbeveiliging (Enisa) als waarnemer aan de collegiale toetsingen kunnen deelnemen. Om de uitvoering van deze verordening geharmoniseerd te laten plaatsvinden, moet Enisa, in samenwerking met de Commissie en de Europese Groep voor cyberbeveiligingscertificering (ECCG), ook modellen kunnen ontwikkelen.
(2) Om een voorspelbare planning en een efficiënte toewijzing van middelen te waarborgen, moeten de collegiale toetsingen van iedere NCCA volgens een welbepaald tijdschema worden verricht. Een NCCA moet in uitzonderlijke gevallen, zoals onverwachte personeelstekorten of overmacht, om uitstel van haar collegiale toetsing kunnen verzoeken. Daartoe moeten er regels voor de beoordeling van dat verzoek worden vastgesteld, waarbij moet worden gewaarborgd dat het overkoepelende tijdschema wordt gehandhaafd en de doelstellingen van het mechanisme voor collegiale toetsing niet in het gedrang komen.
(3) Om te waarborgen dat alle lidstaten aan de uitvoering van het mechanisme voor collegiale toetsing bijdragen en om hen van hun gelijken te laten leren, moeten de NCCA’s van iedere lidstaat gedurende vijf jaar twee collegiale toetsingen verrichten. Daarom moet een toerbeurtsysteem worden opgezet om de NCCA’s van alle lidstaten hun deelname te laten organiseren. Ook moeten er criteria worden vastgesteld die de NCCA’s bij de selectie van vertegenwoordigers voor collegiale toetsingen in aanmerking moeten nemen, om voor voldoende deskundigheid en bekwaamheid te zorgen. De NCCA’s moeten ook als waarnemers aan collegiale toetsingen kunnen deelnemen om toezicht te houden op het proces en ervan te leren. In die gevallen hoeft van hun vertegenwoordiger niet te worden verlangd dat hij over dezelfde deskundigheid en bekwaamheid beschikt als de vertegenwoordigers van de NCCA’s die de collegiale toetsingen verrichten.
(4) Opdat een NCCA intercollegiaal wordt getoetst door ten minste één NCCA met dezelfde aanpak voor de afgifte van certificaten op niveau “hoog”, moet Enisa, wanneer het NCCA’s uitnodigt hun belangstelling als collegiaal toetsende NCCA kenbaar te maken, aangeven of de collegiaal getoetste NCCA rechtstreeks certificaten op niveau “hoog” afgeeft, gebruikmaakt van het in artikel 56, lid 6, punt a), van Verordening (EU) 2019/881 bedoelde model van voorafgaande goedkeuring, een algemene delegatie verleent overeenkomstig punt b) van dat lid, of een combinatie van die kenmerken heeft.
(5) Om te waarborgen dat voor collegiale toetsingen in de Unie gemeenschappelijke evaluatiecriteria en procedures worden gebruikt, moet iedere collegiale toetsing altijd een vragenlijst voor zelfbeoordeling, een beoordeling van de documentatie en een bezoek ter plaatse, met interviews, omvatten. Na het bezoek ter plaatse moet het collegiale toetsingsteam de bevindingen met de collegiaal getoetste NCCA bespreken, een ontwerpverslag opstellen en dit voor commentaar aan de collegiaal getoetste NCCA voorleggen, om waar mogelijk consensus te bereiken. Het collegiale toetsingsteam moet het eindverslag, dat richtsnoeren of aanbevelingen voor verbetering voor de collegiaal getoetste NCCA kan bevatten, bij de ECCG indienen. De ECCG moet, op voorstel van het collegiale toetsingsteam, ook een samenvattend verslag goedkeuren dat openbaar moet worden gemaakt.
(6) Opdat de via het proces van collegiale toetsing verkregen informatie veilig wordt verwerkt, moet het collegiale toetsingsteam zorgen voor het gebruik van beveiligde communicatiekanalen, zoals een beveiligd platform voor de opslag en het delen van stukken, en voor het gebruik van passende waarborgen voor vertrouwelijke gegevens die tussen de leden van het collegiale toetsingsteam worden gedeeld. Met inachtneming van de bestaande beste praktijken van de NCCA’s moet Enisa ook richtsnoeren kunnen ontwikkelen over de wijze waarop veilige communicatie kan worden gewaarborgd, met name om te waarborgen dat het beveiligingsniveau dat door het collegiaal toetsingsteam wordt toegepast bij het verzamelen, delen en verwerken van informatie wordt afgestemd op de beveiligingsbehoeften van de collegiaal getoetste NCCA.
(7) Om de samenwerking en de doeltreffende uitwisseling van informatie tussen de NCCA’s te vergemakkelijken, moet de ECCG, met name haar subgroep voor collegiale toetsing, bijdragen aan de ontwikkeling van modellen en de Commissie bij de uitvoering van deze verordening bijstaan.
(8) Het mechanisme voor collegiale toetsing is een trans-Europese digitale openbare dienst in de zin van Verordening (EU) 2024/903 van het Europees Parlement en de Raad(2). Deze verordening voert nieuwe bindende eisen in die van invloed zijn op die dienst en is als zodanig onderworpen aan de verplichte interoperabiliteitsbeoordeling overeenkomstig artikel 3 van Verordening (EU) 2024/903. Bijgevolg is een interoperabiliteitsbeoordeling uitgevoerd en moet het daaruit voortvloeiende verslag op het Interoperable Europe-portaal worden gepubliceerd.
(9) Bij de voorbereiding van deze verordening heeft de Commissie de standpunten van de ECCG, met inbegrip van haar subgroep inzake collegiale toetsing, in aanmerking genomen.
(10) De in deze verordening vervatte maatregelen zijn in overeenstemming met het advies van het bij artikel 66 van Verordening (EU) 2019/881 opgerichte comité,
HEEFT DE VOLGENDE VERORDENING VASTGESTELD:
Artikel 1 Tijdschema, frequentie en kosten van collegiale toetsing
1.
2.
In uitzonderlijke omstandigheden kan een collegiaal getoetste NCCA bij de Commissie een gemotiveerd verzoek indienen om haar collegiale toetsing uit te stellen tot na de in het tijdschema in bijlage I vermelde datum. De Commissie beoordeelt het verzoek in samenwerking met de bij artikel 62 van Verordening (EU) 2019/881 opgerichte Europese Groep voor cyberbeveiligingscertificering (ECCG) en stelt alle betrokken partijen tijdig in kennis van het resultaat.
3.
Indien een lidstaat overeenkomstig artikel 58, lid 1, van Verordening (EU) 2019/881:
-
meer dan één NCCA op zijn grondgebied heeft aangewezen, worden alle NCCA’s van die lidstaat in parallel aan collegiale toetsing onderworpen;
-
de NCCA of de NCCA’s van een andere lidstaat heeft aangewezen, kan die NCCA of kunnen die NCCA’s collegiaal worden getoetst conform het tijdschema dat voor de aanwijzende lidstaat of voor de lidstaat van de aangewezen NCCA of NCCA’s is vastgesteld met betrekking tot de toezichthoudende taken die in de aanwijzende lidstaat worden uitgevoerd.
4.
Het Agentschap van de Europese Unie voor cyberbeveiliging (Enisa) publiceert de volgende informatie op de overeenkomstig artikel 50 van Verordening (EU) 2019/881 opgezette website over Europese cyberbeveiligingscertificeringsregelingen:
-
de informatie over het in bijlage I opgenomen schema;
-
de overeenkomstig artikel 2, lid 5, bijgehouden lijst van collegiaal toetsende NCCA’s.
5.
Iedere NCCA die bij het proces van collegiale toetsing betrokken is, draagt haar eigen kosten voor deelname.
Artikel 2 Roulatiesysteem voor collegiaal toetsende NCCA’s
1.
Overeenkomstig artikel 59, lid 4, van Verordening (EU) 2019/881 worden collegiale toetsingen verricht door twee collegiaal toetsende NCCA’s van andere lidstaten en de Commissie. De NCCA’s van iedere lidstaat nemen deel aan de collegiale toetsing van ten minste twee NCCA’s gedurende iedere in bijlage I vermelde periode.
2.
De NCCA’s van andere lidstaten kunnen als waarnemer deelnemen aan de collegiale toetsing met een of meer vertegenwoordigers, met instemming van de collegiaal getoetste NCCA, de collegiaal toetsende NCCA’s en de Commissie.
3.
Eén vertegenwoordiger van Enisa kan als waarnemer aan de collegiale toetsing deelnemen. Met instemming van de collegiaal getoetste NCCA, de collegiaal toetsende NCCA’s en de Commissie kunnen ook andere vertegenwoordigers deelnemen.
4.
Waarnemers hebben toegang tot dezelfde informatie als de andere leden van het collegiale toetsingsteam, maar verrichten geen taken met betrekking tot de uitvoering van de collegiale toetsing.
5.
Enisa stelt, in samenwerking met de Commissie en de ECCG, de lijst van collegiaal toetsende NCCA’s voor die het schema van bijlage I moeten uitvoeren, en houdt die lijst bij. In de loop van een bepaald jaar verzoekt Enisa, in samenwerking met de Commissie, de NCCA’s hun belangstelling kenbaar te maken voor het verrichten van, of als waarnemer deel te nemen aan de collegiale toetsingen van NCCA’s volgens de planning voor het volgende jaar in bijlage I.
6.
Indien meer dan twee NCCA’s belangstelling tonen voor de collegiale toetsing van dezelfde NCCA, raadplegen de Commissie en Enisa de geïnteresseerde NCCA’s en beslissen zij wie aan de collegiale toetsing deelneemt.
7.
Indien er in een bepaald jaar niet voldoende collegiaal toetsende NCCA’s belangstelling tonen voor collegiale toetsingen, selecteert de Commissie, na raadpleging van de ECCG, NCCA’s om de collegiale toetsingen te verrichten. Bij haar selectie houdt de Commissie rekening met de verplichting van de NCCA’s van iedere lidstaat om deel te nemen aan de in lid 1 genoemde collegiale toetsing van ten minste twee NCCA’s.
Artikel 3 Criteria voor de samenstelling van het collegiale toetsingsteam
1.
Tijdig vóór het begin van de collegiale toetsing wijst iedere collegiaal toetsende NCCA één vertegenwoordiger aan om de collegiale toetsing te verrichten. Collegiaal toetsende NCCA’s kunnen meer dan één vertegenwoordiger aanwijzen indien dat nodig is om het collegiale toetsingsteam over de nodige competenties te laten beschikken om de collegiale toetsing te verrichten.
2.
De vertegenwoordiger van de collegiaal toetsende NCCA’s, met uitzondering van vertegenwoordigers van NCCA’s die als waarnemer deelnemen, voldoet aan de volgende criteria:
-
ten minste twee jaar werkervaring bij de collegiaal toetsende NCCA of deelname als waarnemer aan ten minste twee collegiale toetsingen;
-
voldoende kennis van het bij Verordening (EU) 2019/881 vastgestelde kader voor cyberbeveiligingscertificering;
-
goede praktische kennis van het Engels en, indien mogelijk, een of meer van de talen die in de lidstaat van de collegiaal getoetste NCCA’s worden gesproken;
-
onafhankelijkheid van de collegiaal getoetste NCCA.
3.
De collegiaal toetsende NCCA’s waarborgen dat risico’s op belangenconflicten met betrekking tot de aangewezen vertegenwoordigers vóór het begin van het collegiale toetsingsproces aan de andere NCCA’s, de Commissie en Enisa worden geopenbaard. De collegiaal getoetste NCCA kan bezwaar maken tegen de aanwijzing van bepaalde vertegenwoordigers overeenkomstig lid 5.
4.
De collegiaal toetsende NCCA’s kiezen uit hun midden één vertegenwoordiger (“de teamleider”) om de collegiale toetsing te coördineren.
5.
De Commissie verstrekt de collegiaal getoetste NCCA vóór het begin van het collegiale toetsingsproces de namen en contactgegevens van de vertegenwoordigers van de collegiaal toetsende NCCA’s. Indien de collegiaal getoetste NCCA bezwaar wil maken tegen de benoeming van een of meer vertegenwoordigers, verstrekt zij binnen twee weken een duidelijke motivering aan de Commissie, stelt zij Enisa en de ECCG daarvan in kennis en verzoekt zij de collegiaal toetsende NCCA een andere vertegenwoordiger aan te wijzen.
6.
Indien de procedure van lid 5 leidt tot onnodige vertragingen bij het begin van de collegiale toetsing wegens uitzonderlijke omstandigheden, neemt de Commissie, in overleg met Enisa en de ECCG, een besluit over de samenstelling van het collegiale toetsingsteam.
Artikel 4 Methode voor collegiale toetsing
1.
Bij de collegiale toetsing worden de in bijlage II vermelde elementen beoordeeld overeenkomstig artikel 59, lid 3, van Verordening (EU) 2019/881.
2.
Enisa kan, in samenwerking met de ECCG en de Commissie, modellen ontwikkelen voor de beoordeling van de door de collegiaal getoetste NCCA vastgestelde processen.
3.
De collegiale toetsing houdt het volgende in:
-
een vragenlijst voor zelfbeoordeling;
-
een evaluatie van relevante documentatie;
-
online- of fysieke interviews, of beide;
-
een bezoek ter plaatse.
4.
De duur van de collegiale toetsing kan vooraf worden overeengekomen tussen het collegiale toetsingsteam en de collegiaal getoetste NCCA, afhankelijk van de omvang en de complexiteit van de activiteiten van de collegiaal getoetste NCCA. Het bezoek ter plaatse duurt niet langer dan drie werkdagen.
5.
Tenzij anders overeengekomen door het collegiale toetsingsteam, de collegiaal getoetste NCCA en de Commissie, is de samenwerkingstaal het Engels. Het in artikel 5 bedoelde verslag van collegiale toetsing wordt in ieder geval in het Engels opgesteld.
6.
De collegiaal getoetste NCCA werkt samen met het collegiale toetsingsteam en verleent het toegang tot de informatie en stukken die nodig zijn om de collegiale toetsing te verrichten. De collegiaal getoetste NCCA dient de vragenlijst voor zelfbeoordeling en het recentste overeenkomstig artikel 58, lid 7, punt g), van Verordening (EU) 2019/881 goedgekeurde samenvattende jaarverslag ten minste 21 dagen vóór de datum van het bezoek ter plaatse in. Op verzoek van het collegiale toetsingsteam worden binnen zeven dagen na ontvangst van een zodanig verzoek aanvullende stukken verstrekt.
7.
De stukken worden in het Engels verstrekt, tenzij overeenkomstig lid 5 anders is overeengekomen. Indien stukken niet in het Engels worden verstrekt, kan het collegiale toetsingsteam verzoeken dat de stukken die nodig zijn om de collegiale toetsing te verrichten, in het Engels worden vertaald.
8.
Alvorens het verslag van collegiale toetsing overeenkomstig artikel 5 op te stellen, bespreekt het collegiale toetsingsteam de voorlopige bevindingen met de collegiaal getoetste NCCA.