Artikel 53 Conformiteitszelfbeoordeling

In een Europese cyberbeveiligingscertificeringsregeling mag worden bepaald dat een conformiteitszelfbeoordeling uitsluitend onder de verantwoordelijkheid van de fabrikant of aanbieder van ICT-producten, -diensten of -processen of beheerde beveiligingsdiensten wordt uitgevoerd. Conformiteitszelfbeoordelingen worden uitsluitend toegestaan voor ICT-producten, -diensten en -processen of beheerde beveiligingsdiensten met een laag risico dat overeenkomt met het zekerheidsniveau ‘basis’.

De fabrikant of aanbieder van ICT-producten, -diensten of -processen of beheerde beveiligingsdiensten kan een EU-conformiteitsverklaring afgeven waarin wordt verklaard dat is aangetoond dat aan de voorschriften van de regeling is voldaan. Door een dergelijke verklaring op te stellen, aanvaardt de fabrikant of aanbieder van ICT-producten, -diensten of -processen of beheerde beveiligingsdiensten verantwoordelijkheid voor de conformiteit van het ICT-product, de ICT-dienst, het ICT-proces of de beheerde beveiligingsdienst met de in die regeling bepaalde voorschriften.

De fabrikant of aanbieder van ICT-producten, -diensten of -processen of beheerde beveiligingsdiensten stelt de EU-conformiteitsverklaring, de technische documenten en alle andere relevante informatie over de conformiteit van de ICT-producten, ICT-diensten, ICT-processen of beheerde beveiligingsdiensten met de regeling ter beschikking van de overeenkomstig artikel 58 aangewezen nationale cyberbeveiligingscertificeringsautoriteit gedurende de termijn die is vastgesteld in de betrokken Europese cyberbeveiligingscertificeringsregeling. Aan de nationale cyberbeveiligingscertificeringsautoriteit en aan Enisa wordt een kopie van de EU-conformiteitsverklaring voorgelegd.

De afgifte van een EU-conformiteitsverklaring geschiedt op basis van vrijwilligheid, tenzij in de wetgeving van de Unie of de lidstaten anders is bepaald.

EU-conformiteitsverklaringen worden in alle lidstaten erkend.