Art. 6. 1. Produkt ICT, usługa ICT, proces ICT, usługa zarządzana w zakresie bezpieczeństwa, system zarządzania cyberbezpieczeństwem lub wiedza i umiejętności praktyczne osoby fizycznej z zakresu cyberbezpieczeństwa mogą być pod- dane ocenie zgodności zgodnie z danym krajowym schematem certyfikacji cyberbezpieczeństwa. 2. Produkt ICT, usługa ICT, proces ICT lub usługa zarządzana w zakresie bezpieczeństwa w ramach oceny zgodności, o której mowa w ust. 1, podlegają ocenie zgodności ze szczegółowymi wymogami określonymi w danym krajowym schemacie certyfikacji cyberbezpieczeństwa na podstawie umowy zawartej przez dostawcę i jednostkę oceniającą zgodność. 3. System zarządzania cyberbezpieczeństwem w ramach oceny zgodności, o której mowa w ust. 1, podlega ocenie zgodności ze szczegółowymi wymogami określonymi w danym krajowym schemacie certyfikacji cyberbezpieczeństwa, na podstawie umowy zawartej przez podmiot, o którym mowa w art. 3 ust. 2 pkt 6, i jednostkę oceniającą zgodność. 4. Wiedza i umiejętności praktyczne osoby fizycznej z zakresu cyberbezpieczeństwa w ramach oceny zgodności, o której mowa w ust. 1, podlegają ocenie zgodności ze szczegółowymi wymogami określonymi w danym krajowym schemacie certyfikacji cyberbezpieczeństwa na podstawie umowy zawartej przez tę osobę i jednostkę oceniającą zgodność. 5. Umowa, o której mowa w ust. 2–4, określa w szczególności produkt ICT, usługę ICT, proces ICT, usługę zarządzaną w zakresie bezpieczeństwa, system zarządzania cyberbezpieczeństwem lub osobę fizyczną, które mają zostać poddane ocenie zgodności, zakres certyfikacji, krajowy schemat certyfikacji cyberbezpieczeństwa, w ramach którego ma być wydany krajowy certyfikat, obowiązki stron związane z certyfikacją oraz obowiązki związane z ochroną informacji przekazywanych jednostce oceniającej zgodność, a zwłaszcza sposób ochrony tajemnic handlowych i innych informacji poufnych, w tym tajemnic przedsiębiorstwa, a także ochrony praw własności intelektualnej.