Overensstemmelsesvurderingsorganer, som ønsker at blive akkrediteret, skal opfylde følgende krav:
1. Et overensstemmelsesvurderingsorgan skal oprettes i henhold til national lovgivning og være en juridisk person.
2. Et overensstemmelsesvurderingsorgan skal være et tredjepartsorgan, der er uafhængigt af den organisation eller de IKT-produkter, -tjenester eller -processer, som det vurderer.
3. Et organ, der er medlem af en erhvervsorganisation og/eller brancheforening, som repræsenterer virksomheder, der er involveret i udformning, fremstilling, levering, sammenbygning, brug eller vedligeholdelse af IKT-produkter, -tjenester eller -processer, som det vurderer, kan anses for at være et overensstemmelsesvurderingsorgan, forudsat at det er påvist, at det er uafhængigt, og at der ikke foreligger nogen interessekonflikt.
4. Overensstemmelsesvurderingsorganerne, deres øverste ledelse og de personer, der er ansvarligefor udførelsen af overensstemmelsesvurderingsopgaverne, må ikke være konstruktør, producent, leverandør, installatør, køber, ejer, bruger eller vedligeholder af det IKT-produkt, den IKT-tjeneste eller den IKT-proces, der vurderes, eller repræsentere nogen af disse parter. Dette forbud udelukker ikke, at overensstemmelsesvurderingsorganet bruger de IKT-produkter, der er vurderet og nødvendige for, at det kan udføre sit arbejde, eller brug af sådanne IKT-produkter til personlige formål.
5. Overensstemmelsesvurderingsorganerne, deres øverste ledelse og de personer, der er ansvarlige for at udføre overensstemmelsesvurderingsopgaverne, må ikke være direkte involveret i udformning, fremstilling eller konstruktion, markedsføring, installation, anvendelse eller vedligeholdelse af de IKT-produkter, -tjenester eller -processer, der vurderes. eller repræsentere parter, der er involveret i disse aktiviteter. Overensstemmelsesvurderingsorganerne, deres øverste ledelse og de personer, der er ansvarlige for at udføre overensstemmelsesvurderingsopgaverne, må ikke deltage i aktiviteter, som kan være i strid med deres objektivitet og integritet i forbindelse med deres overensstemmelsesvurderingsaktiviteter. Dette forbud gælder navnlig rådgivningstjenester.
6. Hvis et overensstemmelsesvurderingsorgan ejes eller drives af en offentlig enhed eller institution, skal der sikres uafhængighed og fravær af interessekonflikter mellem den nationale cybersikkerhedscertificeringsmyndighed og overensstemmelsesvurderingsorganet, og dette skal dokumenteres.
7. Overensstemmelsesvurderingsorganet skal sikre, at dets dattervirksomheders og underentreprenørers aktiviteter ikke påvirker fortroligheden, objektiviteten og uvildigheden af dets overensstemmelsesvurderingsaktiviteter.
8. Overensstemmelsesvurderingsorganet og dets personale skal udføre overensstemmelsesvurderingsaktiviteter med den størst mulige faglige integritet og den nødvendige tekniske kompetence på det specifikke område og ikke påvirkes af nogen form for pression og incitament, som kan have indflydelse på deres afgørelser eller resultaterne af deres overensstemmelsesvurderingsaktiviteter, herunder pression og incitament af økonomisk art, særlig fra personer eller grupper af personer, som har en interesse i resultaterne af disse aktiviteter.
9. Et overensstemmelsesvurderingsorgan skal kunne gennemføre alle de overensstemmelsesvurderingsopgaver, som det pålægges i henhold til denne forordning, uanset om disse opgaver udføres af overensstemmelsesvurderingsorganet selv eller på dets vegne og på dets ansvar. Enhver underentreprise eller høring af eksternt personale skal dokumenteres behørigt, må ikke omfatte mellemmænd og skal være genstand for en skriftlig aftale, som blandt andet dækker fortrolighed og interessekonflikter. Det pågældende overensstemmelsesvurderingsorgan skal påtage sig det fulde ansvar for de opgaver, der udføres.
10. Et overensstemmelsesvurderingsorgan skal til enhver tid og for hver overensstemmelsesvurderingsprocedure og hver type, kategori eller underkategori af IKT-produkter, -tjenester eller -processer have følgende til rådighed i nødvendigt omfang:
a) personale med teknisk viden og tilstrækkelig og relevant erfaring til at udføre overensstemmelsesvurderingsopgaverne
b) beskrivelser af de procedurer, i overensstemmelse med hvilke overensstemmelsesvurdering skal foretages, for at sikre gennemsigtighed i og mulighed for at reproducere disse procedurer. Det skal have indført hensigtsmæssige politikker og procedurer, som skelner mellem de opgaver, som det udfører i sin egenskab af organ anmeldt i henhold til artikel 61, og dets andre aktiviteter
c) procedurer, der sætter det i stand til at udføre sine aktiviteter under behørig hensyntagen til en virksomheds størrelse, den sektor, som den opererer inden for, og dens struktur, til graden af kompleksitet af det pågældende IKT-produkts, den pågældende IKT-tjenestes eller den pågældende IKT-proces teknologi og til fremstillingsprocessens karakter af masse- eller serieproduktion.
11. Et overensstemmelsesvurderingsorgan skal have de fornødne midler til at udføre de tekniske og administrative opgaver i forbindelse med overensstemmelsesvurderingsaktiviteterne på en egnet måde og skal have adgang til alt nødvendigt udstyr og alle nødvendige faciliteter.
12. De personer, som skal udføre overensstemmelsesvurderingsaktiviteterne, skal have:
a) en solid teknisk og faglig uddannelse omfattende alle overensstemmelsesvurderingsaktiviteter
b) et tilstrækkeligt kendskab til kravene vedrørende de overensstemmelsesvurderinger, de foretager, og den nødvendige bemyndigelse til at udføre sådanne vurderinger
c) et tilstrækkeligt kendskab til og en tilstrækkelig forståelse af de gældende krav og prøvningsstandarder
d) den nødvendige færdighed i at udarbejde de attester, redegørelser og rapporter, som dokumenterer, at overensstemmelsesvurderingerne er blevet foretaget.
13. Der skal være garanti for uvildigheden af overensstemmelsesvurderingsorganerne, deres øverste ledelse, de personer, der er ansvarlige for at udføre overensstemmelsesvurderingsaktiviteterne, og eventuelle underleverandører.
14. Aflønningen af et overensstemmelsesvurderingsorgans øverste ledelse og af de personer, der er ansvarlige for at udføre overensstemmelsesvurderingsaktiviteterne, må ikke afhænge af, hvor mange overensstemmelsesvurderinger det udfører, eller hvordan vurderingerne falder ud.
15. Overensstemmelsesvurderingsorganer skal tegne en ansvarsforsikring, medmindre medlemsstaten er ansvarlig i henhold til sin nationale ret, eller medlemsstaten selv er direkte ansvarlig for overensstemmelsesvurderingen.
16. Et overensstemmelsesvurderingsorgan og dets personale, udvalg, dattervirksomheder, underentreprenører og eventuelle tilknyttede organer eller personalet i et overensstemmelsesvurderingsorgans eksterne organer skal opretholde fortrolighed og har tavshedspligt med hensyn til alle oplysninger, de kommer i besiddelse af ved udførelsen af deres overensstemmelsesvurderingsopgaver i henhold til denne forordning eller enhver bestemmelse i national ret, som gennemfører denne forordning, undtagen hvis offentliggørelse kræves i henhold til EU-retten eller en medlemsstats ret, som sådanne personer er omfattet af, og undtagen over for de kompetente myndigheder i den medlemsstat, hvor aktiviteterne udføres. Intellektuelle ejendomsrettigheder skal beskyttes. Overensstemmelsesvurderingsorganet skal have indført dokumenterede procedurer for så vidt angår kravene i dette punkt.
17. Med undtagelse af punkt 16 forhindrer kravene i dette bilag, at der udveksles tekniske oplysninger og reguleringsmæssig vejledning mellem et overensstemmelsesvurderingsorgan og en person, der ansøger om certificering, eller der overvejer at ansøge om certificering.
18. Overensstemmelsesvurderingsorganer skal fungere i henhold til et sæt konsekvente, retfærdige og rimelige vilkår og betingelser under hensyntagen til interesserne for SMV'er for så vidt angår gebyrer.
19. Overensstemmelsesvurderingsorganer skal opfylde kravene i den relevante standard, som er blevet harmoniseret i henhold til forordning (EF) nr. 765/2008 med henblik på akkrediteringen af overensstemmelsesvurderingsorganer, der foretager certificering af IKT-produkter, -tjenester eller -processer.
20. Overensstemmelsesvurderingsorganer skal sikre, at prøvningslaboratorier, der anvendes til overensstemmelsesvurdering, opfylder kravene i den relevante standard, som er blevet harmoniseret i henhold til forordning (EF) nr. 765/2008 med henblik på akkrediteringen af laboratorier, der gennemfører prøvning.