This document is an excerpt from the EUR-Lex website
Document 02024R0482-20250108
Commission Implementing Regulation (EU) 2024/482 of 31 January 2024 laying down rules for the application of Regulation (EU) 2019/881 of the European Parliament and of the Council as regards the adoption of the European Common Criteria-based cybersecurity certification scheme (EUCC) (Text with EEA relevance)
Consolidated text: Reglamento de Ejecución (UE) 2024/482 de la Comisión, de 31 de enero de 2024, por el que se establecen disposiciones de aplicación del Reglamento (UE) 2019/881 del Parlamento Europeo y del Consejo en lo concerniente a la adopción del esquema europeo de certificación de la ciberseguridad basado en los criterios comunes (EUCC) (Texto pertinente a efectos del EEE)
Reglamento de Ejecución (UE) 2024/482 de la Comisión, de 31 de enero de 2024, por el que se establecen disposiciones de aplicación del Reglamento (UE) 2019/881 del Parlamento Europeo y del Consejo en lo concerniente a la adopción del esquema europeo de certificación de la ciberseguridad basado en los criterios comunes (EUCC) (Texto pertinente a efectos del EEE)
02024R0482 — ES — 08.01.2025 — 001.001
Este texto es exclusivamente un instrumento de documentación y no surte efecto jurídico. Las instituciones de la UE no asumen responsabilidad alguna por su contenido. Las versiones auténticas de los actos pertinentes, incluidos sus preámbulos, son las publicadas en el Diario Oficial de la Unión Europea, que pueden consultarse a través de EUR-Lex. Los textos oficiales son accesibles directamente mediante los enlaces integrados en este documento
|
REGLAMENTO DE EJECUCIÓN (UE) 2024/482 DE LA COMISIÓN de 31 de enero de 2024 por el que se establecen disposiciones de aplicación del Reglamento (UE) 2019/881 del Parlamento Europeo y del Consejo en lo concerniente a la adopción del esquema europeo de certificación de la ciberseguridad basado en los criterios comunes (EUCC) (Texto pertinente a efectos del EEE) (DO L 482 de 7.2.2024, p. 1) |
Modificado por:
|
|
|
Diario Oficial |
||
|
n° |
página |
fecha |
||
|
REGLAMENTO DE EJECUCIÓN (UE) 2024/3144 DE LA COMISIÓN de 18 de diciembre de 2024 |
L 3144 |
1 |
19.12.2024 |
|
REGLAMENTO DE EJECUCIÓN (UE) 2024/482 DE LA COMISIÓN
de 31 de enero de 2024
por el que se establecen disposiciones de aplicación del Reglamento (UE) 2019/881 del Parlamento Europeo y del Consejo en lo concerniente a la adopción del esquema europeo de certificación de la ciberseguridad basado en los criterios comunes (EUCC)
(Texto pertinente a efectos del EEE)
CAPÍTULO I
DISPOSICIONES GENERALES
Artículo 1
Objeto y ámbito de aplicación
El presente Reglamento establece el esquema europeo de certificación de la ciberseguridad basado en los criterios comunes (en lo sucesivo, «EUCC»).
El presente Reglamento se aplica a todos los productos de tecnologías de la información y la comunicación (en lo sucesivo, «TIC»), incluida su documentación, que se presenten para su certificación en virtud del EUCC, y a todos los perfiles de protección que se presenten para su certificación en el marco del proceso de TIC conducente a la certificación de productos de TIC.
Artículo 2
Definiciones
A efectos del presente Reglamento, se entenderá por:
«criterios comunes»: los criterios comunes para la evaluación de la seguridad de las tecnologías de la información, tal como se establecen en las normas ISO/IEC 15408-1:2022, ISO/IEC 15408-2:2022, ISO/IEC 15408-3:2022, ISO/IEC 15408-4:2022 o ISO/IEC 15408-5:2022, o bien en los criterios comunes para la evaluación de la seguridad de las tecnologías de la información, versión CC:2022, partes 1 a 5, publicados por los participantes en el Acuerdo sobre el reconocimiento de certificados de criterios comunes en el ámbito de la seguridad informática;
«metodología común de evaluación»: la metodología común para la evaluación de la seguridad de las tecnologías de la información, tal como se establece en la norma ISO/IEC 18045:2022, o la metodología común para la evaluación de la seguridad de las tecnologías de la información, versión CEM:2022, publicada por los participantes en el Acuerdo sobre el reconocimiento de certificados de criterios comunes en el ámbito de la seguridad informática;
«objeto de evaluación»: producto o parte de un producto de TIC, o perfil de protección dentro de un proceso de TIC, que se somete a una evaluación de ciberseguridad para obtener la certificación EUCC;
«declaración de seguridad»: alegación de requisitos de seguridad dependientes de la implementación con respecto a un determinado producto de TIC;
«perfil de protección»: proceso de TIC que establece los requisitos de seguridad para una categoría específica de productos de TIC, abordando necesidades de seguridad independientes de la implementación, y que puede utilizarse para evaluar productos de TIC pertenecientes a dicha categoría específica a efectos de su certificación;
«informe técnico de evaluación»: documento elaborado por una ITSEF para exponer las constataciones, opiniones y justificaciones obtenidas durante la evaluación de un producto de TIC o de un perfil de protección con arreglo a las normas y obligaciones establecidas en el presente Reglamento;
«ITSEF»: instalación de evaluación de la seguridad de las tecnologías de la información, que constituye un organismo de evaluación de la conformidad, según se define en el artículo 2, punto 13, del Reglamento (CE) n.o 765/2008, que desempeña actividades de evaluación;
«nivel AVA_VAN»: nivel de garantía de análisis de vulnerabilidades que indica el grado de actividades de evaluación de la ciberseguridad llevadas a cabo para determinar el nivel de resistencia ante el posible aprovechamiento de defectos o debilidades del objeto de evaluación en su entorno operativo, tal como se establece en los criterios comunes;
«certificado EUCC»: certificado de ciberseguridad expedido en virtud del EUCC a productos de TIC, o a perfiles de protección que puedan utilizarse exclusivamente en el proceso de certificación de productos de TIC;
«producto compuesto»: producto de TIC que se evalúa junto con otro producto de TIC subyacente que ya ha obtenido un certificado EUCC y de cuya funcionalidad de seguridad depende el producto de TIC compuesto;
«autoridad nacional de certificación de la ciberseguridad»: autoridad designada por un Estado miembro en virtud del artículo 58, apartado 1, del Reglamento (UE) 2019/881;
«organismo de certificación»: organismo de evaluación de la conformidad, según se define en el artículo 2, punto 13, del Reglamento (CE) n.o 765/2008, que desempeña actividades de certificación;
«ámbito técnico»: marco técnico común relacionado con una tecnología concreta para la certificación armonizada que presenta un conjunto de requisitos de seguridad característicos;
«documento del estado de la técnica»: documento que especifica los métodos, las técnicas y los instrumentos de evaluación aplicables a la certificación de productos de TIC o los requisitos de seguridad de una categoría genérica de productos de TIC, o cualquier otro requisito necesario para la certificación, con el fin de armonizar la evaluación, en concreto de los ámbitos técnicos o de los perfiles de protección;
«autoridad de vigilancia del mercado»: una autoridad según se define en el artículo 3, punto 4, del Reglamento (UE) 2019/1020.
Artículo 3
Normas de evaluación
Las evaluaciones efectuadas en el marco del esquema EUCC se regirán por las siguientes normas:
los criterios comunes;
la metodología común de evaluación.
Hasta el 31 de diciembre de 2027, podrá expedirse un certificado con arreglo al esquema EUCC que aplique cualquiera de las siguientes normas:
ISO/IEC 15408-1:2009, ISO/IEC 15408-2:2008 o ISO/IEC 15408-3:2008;
los criterios comunes para la evaluación de la seguridad de las tecnologías de la información, versión 3.1, revisión 5, publicados por los participantes en el Acuerdo sobre el reconocimiento de certificados de criterios comunes en el ámbito de la seguridad informática;
ISO/IEC 18045:2008;
la metodología común para la evaluación de la seguridad de las tecnologías de la información, revisión 5, versión 3.1, publicada por los participantes en el Acuerdo sobre el reconocimiento de certificados de criterios comunes en el ámbito de la seguridad informática;
También podrá expedirse en el marco del esquema EUCC un certificado que aplique las normas a que se refiere el apartado 1 declarado conforme con un perfil de protección que haya aplicado cualquiera de las siguientes normas, siempre que el uso de dicho perfil de protección sea obligatorio en virtud del Reglamento de Ejecución (UE) 2016/799 de la Comisión ( 1 ), el Reglamento (UE) n.o 910/2014 del Parlamento Europeo y del Consejo ( 2 )o la Decisión de Ejecución (UE) 2016/650 de la Comisión ( 3 ):
los criterios comunes para la evaluación de la seguridad de las tecnologías de la información, versión 3.1, revisiones 1 a 4, publicados por los participantes en el Acuerdo sobre el reconocimiento de certificados de criterios comunes en el ámbito de la seguridad informática;
la metodología común para la evaluación de la seguridad de las tecnologías de la información, versión 3.1, revisiones 1 a 4, publicada por los participantes en el Acuerdo sobre el reconocimiento de certificados de criterios comunes en el ámbito de la seguridad informática;
Artículo 4
Niveles de garantía
Artículo 5
Métodos de certificación de los productos de TIC
La certificación de un producto de TIC se llevará a cabo en función de su declaración de seguridad:
según la defina el solicitante, o
declarando la conformidad con un perfil de protección certificado en el marco del proceso de TIC, cuando el producto de TIC pertenezca a la categoría de productos de TIC cubierta por dicho perfil de protección.
Artículo 6
Autoevaluación de la conformidad
No se permitirá la autoevaluación de la conformidad en el sentido del artículo 53 del Reglamento (UE) 2019/881.
CAPÍTULO II
CERTIFICACIÓN DE PRODUCTOS DE TIC
Sección I
Normas y requisitos específicos para la evaluación
Artículo 7
Criterios y métodos de evaluación de los productos de TIC
Los productos de TIC que se presenten para su certificación se evaluarán, como mínimo, con arreglo a los siguientes aspectos:
los elementos aplicables de las normas a que se refiere el artículo 3;
las clases de requisitos de garantía de seguridad para la evaluación de vulnerabilidad y las pruebas funcionales independientes, según lo establecido en las normas de evaluación a que se refiere el artículo 3;
el nivel de riesgo asociado al uso previsto de los productos de TIC de que se trate de conformidad con el artículo 52 del Reglamento (UE) 2019/881 y sus funciones de seguridad que contribuyen a los objetivos de seguridad establecidos en el artículo 51 del citado Reglamento;
los documentos del estado de la técnica enumerados en el anexo I que resulten aplicables;
los perfiles de protección certificados enumerados en el anexo II que resulten aplicables.
La certificación de los productos de TIC en los niveles AVA_VAN.4 o AVA_VAN.5 solo será posible en los siguientes supuestos:
cuando el producto de TIC esté contemplado en cualquiera de los ámbitos técnicos enumerados en el anexo I, se evaluará de conformidad con los documentos del estado de la técnica pertinentes de dichos ámbitos técnicos que resulten aplicables,
cuando el producto de TIC pertenezca a una categoría de productos de TIC cubiertos por un perfil de protección certificado que incluya los niveles AVA_VAN.4 o AVA_VAN.5 y que haya sido incluido como un perfil de protección del estado de la técnica en el anexo II, se evaluará de conformidad con la metodología de evaluación que se haya determinado para dicho perfil de protección,
cuando las letras a) y b) del presente apartado no resulten aplicables y sea poco probable la inclusión de un ámbito técnico en el anexo I o de un perfil de protección certificado en el anexo II en un futuro próximo, y solo en casos excepcionales debidamente justificados, con sujeción a las condiciones establecidas en el apartado 4.
Sección II
Expedición, renovación y retirada de certificados EUCC
Artículo 8
Información necesaria para la certificación y la evaluación
Los solicitantes de certificación podrán presentar al organismo de certificación y a la ITSEF resultados de evaluación adecuados de certificaciones anteriores en virtud:
del presente Reglamento;
de otro esquema europeo de certificación de la ciberseguridad adoptado de conformidad con el artículo 49 del Reglamento (UE) 2019/881;
de un esquema nacional a que se refiere el artículo 49 del presente Reglamento.
Los solicitantes de la certificación también proporcionarán al organismo de certificación y a la ITSEF la siguiente información:
el enlace a su sitio web que contenga la información complementaria sobre ciberseguridad a que se refiere el artículo 55 del Reglamento (UE) 2019/881;
una descripción de los procedimientos de gestión de vulnerabilidades y divulgación de vulnerabilidades del solicitante.
Artículo 9
Condiciones para la expedición de un certificado EUCC
Los organismos de certificación expedirán un certificado EUCC cuando se cumplan todas las condiciones siguientes:
la categoría de producto de TIC está comprendida en el ámbito de aplicación de la acreditación y, en su caso, de la autorización, del organismo de certificación y de la ITSEF intervinientes en la certificación;
el solicitante de la certificación ha firmado una declaración en la que contrae todos los compromisos enumerados en el apartado 2;
la ITSEF ha concluido la evaluación sin objeciones con arreglo a las normas, los criterios y los métodos de evaluación a que se refieren los artículos 3 y 7;
el organismo de certificación ha concluido la revisión de los resultados de la evaluación sin objeciones;
el organismo de certificación ha verificado que los informes técnicos de evaluación presentados por la ITSEF son coherentes con las pruebas aportadas y que se han aplicado correctamente las normas, los criterios y los métodos de evaluación a que se refieren los artículos 3 y 7.
El solicitante de la certificación contraerá los siguientes compromisos:
proporcionar al organismo de certificación y a la ITSEF toda la información necesaria, completa y correcta, y facilitar la información adicional necesaria que se le solicite;
abstenerse de promocionar el producto de TIC como certificado conforme al EUCC antes de que se haya expedido el certificado correspondiente;
promocionar la certificación del producto de TIC únicamente con respecto al ámbito de aplicación establecido en el certificado EUCC;
dejar inmediatamente de promocionar la certificación del producto de TIC en caso de suspensión, retirada o expiración del certificado EUCC;
garantizar que los productos de TIC comercializados con referencia al certificado EUCC sean estrictamente idénticos al producto de TIC sujeto a la certificación;
respetar las normas de uso de la marca y la etiqueta establecidas para el certificado EUCC de conformidad con el artículo 11.
Artículo 10
Contenido y formato de los certificados EUCC
Artículo 11
Marca y etiqueta
La marca y la etiqueta figurarán en el anexo IX e incluirán:
el nivel de garantía y el nivel AVA_VAN del producto de TIC certificado;
la identificación única del certificado, consistente en:
el nombre del esquema;
el nombre y el número de referencia de la acreditación del organismo de certificación que haya expedido el certificado;
el año y el mes de emisión;
el número de identificación asignado por el organismo de certificación que haya expedido el certificado.
La marca y la etiqueta irán acompañadas de un código QR con un enlace a un sitio web que contenga, como mínimo:
la información sobre la validez del certificado;
la información necesaria sobre la certificación, con arreglo a lo dispuesto en los anexos V y VII;
la información que el titular del certificado debe poner a disposición del público de conformidad con el artículo 55 del Reglamento (UE) 2019/881;
cuando proceda, la información histórica relacionada con la certificación o certificaciones específicas del producto de TIC para permitir la trazabilidad.
Artículo 12
Período de validez de un certificado EUCC
Artículo 13
Revisión de un certificado EUCC
A partir de los resultados de la revisión y, en su caso, de la revaluación, el organismo de certificación:
confirmará el certificado EUCC;
retirará el certificado EUCC de conformidad con el artículo 14;
retirará el certificado EUCC de conformidad con el artículo 14 y expedirá un nuevo certificado EUCC con un ámbito de aplicación idéntico y un período de validez ampliado; o
retirará el certificado EUCC de conformidad con el artículo 14 y expedirá un nuevo certificado EUCC con un ámbito de aplicación diferente.
Artículo 14
Retirada de un certificado EUCC
CAPÍTULO III
CERTIFICACIÓN DE PERFILES DE PROTECCIÓN
Sección I
Normas y requisitos específicos para la evaluación
Artículo 15
Criterios y métodos de evaluación
Los perfiles de protección se evaluarán, como mínimo, con arreglo a los siguientes aspectos:
los elementos aplicables de las normas a que se refiere el artículo 3;
el nivel de riesgo asociado al uso previsto de los productos de TIC de que se trate de conformidad con el artículo 52 del Reglamento (UE) 2019/881 y sus funciones de seguridad que contribuyen a los objetivos de seguridad establecidos en el artículo 51 de dicho Reglamento;
los documentos del estado de la técnica enumerados en el anexo I que resulten aplicables. Los perfiles de protección contemplados en un ámbito técnico se certificarán con arreglo a los requisitos establecidos en dicho ámbito técnico.
Sección II
Expedición, renovación y retirada de certificados EUCC relativos a perfiles de protección
Artículo 16
Información necesaria para la certificación y la evaluación de perfiles de protección
El solicitante de la certificación de un perfil de protección proporcionará al organismo de certificación y a la ITSEF, o pondrá a disposición de ambos por otros medios, toda la información necesaria para las actividades de certificación y de evaluación de forma completa y correcta. El artículo 8, apartados 2, 3, 4 y 7, se aplicará mutatis mutandis.
Artículo 17
Expedición de certificados EUCC para perfiles de protección
▼M1 —————
Los perfiles de protección solo los certificará:
una autoridad nacional de certificación de la ciberseguridad u otro organismo público acreditado como organismo de certificación; o
un organismo de certificación, previa aprobación por parte de la autoridad nacional de certificación de la ciberseguridad de cada perfil de protección individual.
Artículo 18
Período de validez de los certificados EUCC relativos a perfiles de protección
Artículo 19
Revisión de los certificados EUCC relativos a perfiles de protección
A partir de los resultados de la revisión y, en su caso, de la revaluación, el organismo de certificación adoptará una de las siguientes medidas:
confirmará el certificado EUCC;
retirará el certificado EUCC de conformidad con el artículo 20;
retirará el certificado EUCC de conformidad con el artículo 20 y expedirá un nuevo certificado EUCC con un ámbito de aplicación idéntico y un período de validez ampliado;
retirará el certificado EUCC de conformidad con el artículo 20 y expedirá un nuevo certificado EUCC con un ámbito de aplicación diferente.
Artículo 20
Retirada de un certificado EUCC relativo a un perfil de protección
CAPÍTULO IV
Organismos de evaluación de la conformidad
Artículo 20 bis
Especificación de los requisitos para la acreditación de los organismos de evaluación de la conformidad
La acreditación de los organismos de evaluación de la conformidad tendrá en cuenta la especificación de los requisitos relativos a la acreditación de los organismos de certificación y las ITSEF, establecidos en los documentos del estado de la técnica aplicables enumerados en el punto 2 del anexo I.
Artículo 21
Requisitos adicionales o específicos aplicables a los organismos de certificación
La autoridad nacional de certificación de la ciberseguridad autorizará a un organismo de certificación a expedir certificados EUCC con un nivel de garantía «elevado» cuando dicho organismo demuestre que, además de reunir los requisitos previstos en el artículo 60, apartado 1, y en el anexo del Reglamento (UE) 2019/881 por lo que respecta a la acreditación de organismos de evaluación de la conformidad, cumple las siguientes condiciones:
posee los conocimientos especializados y las competencias necesarios para tomar una decisión de certificación con nivel de garantía «elevado»;
desarrolla sus actividades de certificación en cooperación con una ITSEF autorizada de conformidad con el artículo 22;
dispone de las competencias necesarias y ha adoptado medidas técnicas y operativas adecuadas para proteger eficazmente la información confidencial y delicada con nivel de garantía «elevado», además de los requisitos establecidos en el artículo 43.
En su evaluación, la autoridad nacional de certificación de la ciberseguridad podrá reutilizar cualquier prueba adecuada que proceda de una autorización previa o de actividades similares concedidas en virtud:
del presente Reglamento;
de otro esquema europeo de certificación de la ciberseguridad adoptado de conformidad con el artículo 49 del Reglamento (UE) 2019/881;
de un esquema nacional a que se refiere el artículo 49 del presente Reglamento.
Artículo 22
Requisitos adicionales o específicos aplicables a las ITSEF
La autoridad nacional de certificación de la ciberseguridad autorizará a una ITSEF a llevar a cabo la evaluación de productos de TIC sujetos a certificación con un nivel de garantía «elevado» cuando dicha ITSEF demuestre que, además de reunir los requisitos previstos en el artículo 60, apartado 1, y en el anexo del Reglamento (UE) 2019/881 por lo que respecta a la acreditación de organismos de evaluación de la conformidad, cumple todas las condiciones siguientes:
posee los conocimientos especializados necesarios para desempeñar las actividades de evaluación al objeto de determinar la resistencia a los ciberataques de última generación llevados a cabo por agentes con capacidades y recursos significativos;
con respecto a los ámbitos técnicos y los perfiles de protección, que forman parte del proceso de TIC para esos productos de TIC:
posee los conocimientos especializados necesarios para desempeñar las actividades de evaluación específicas necesarias para determinar metódicamente la resistencia de un objeto de evaluación frente a atacantes expertos en su entorno operativo, suponiendo un potencial de ataque «moderado» o «alto» con arreglo a lo dispuesto en las normas a que se refiere el artículo 3;
dispone de las competencias técnicas especificadas en los documentos del estado de la técnica enumerados en el anexo I;
dispone de las competencias necesarias y ha adoptado medidas técnicas y operativas adecuadas para proteger eficazmente la información confidencial y delicada con nivel de garantía «elevado», además de los requisitos establecidos en el artículo 43.
En su evaluación, la autoridad nacional de certificación de la ciberseguridad podrá reutilizar cualquier prueba adecuada que proceda de una autorización previa o de actividades similares concedidas en virtud:
del presente Reglamento;
de otro esquema europeo de certificación de la ciberseguridad adoptado de conformidad con el artículo 49 del Reglamento (UE) 2019/881;
de un esquema nacional a que se refiere el artículo 49 del presente Reglamento.
▼M1 —————
CAPÍTULO V
CONTROL, FALTA DE CONFORMIDAD E INCUMPLIMIENTO
Sección I
CONTROL DEL CUMPLIMIENTO
Artículo 25
Actividades de control por parte de la autoridad nacional de certificación de la ciberseguridad
Sin perjuicio de lo dispuesto en el artículo 58, apartado 7, del Reglamento (UE) 2019/881, la autoridad nacional de certificación de la ciberseguridad controlará el cumplimiento:
del organismo de certificación y la ITSEF con las obligaciones que les incumben en virtud del presente Reglamento y del Reglamento (UE) 2019/881;
de los titulares de certificados EUCC con las obligaciones que les incumben en virtud del presente Reglamento y del Reglamento (UE) 2019/881;
de los productos de TIC certificados con los requisitos establecidos en el EUCC;
de la garantía indicada en el certificado EUCC para abordar la evolución del panorama de amenazas.
La autoridad nacional de certificación de la ciberseguridad llevará a cabo sus actividades de control basándose en particular en:
la información procedente de los organismos de certificación, los organismos nacionales de acreditación y las autoridades de vigilancia del mercado pertinentes;
la información resultante de las auditorías e investigaciones realizadas por ella misma o por otra autoridad;
el muestreo llevado a cabo de conformidad con el apartado 3;
las reclamaciones recibidas.
La autoridad nacional de certificación de la ciberseguridad seleccionará la muestra de productos de TIC certificados que se inspeccionarán en función de criterios objetivos, entre ellos:
la categoría de producto;
los niveles de garantía de los productos;
el titular de un certificado;
el organismo de certificación y, en su caso, la ITSEF subcontratada;
cualquier otra información puesta en conocimiento de la autoridad.
Artículo 26
Actividades de control por parte del organismo de certificación
El organismo de certificación controlará:
el cumplimiento de los titulares de certificados con las obligaciones que les incumben en virtud del presente Reglamento y del Reglamento (UE) 2019/881 en relación con los certificados EUCC expedidos por el organismo de certificación;
el cumplimiento de los productos de TIC que haya certificado con sus respectivos requisitos de seguridad;
la garantía indicada en los perfiles de protección certificados.
El organismo de certificación llevará a cabo sus actividades de control basándose en:
la información facilitada en virtud de los compromisos del solicitante de la certificación a que se refiere el artículo 9, apartado 2;
la información resultante de las actividades de otras autoridades de vigilancia del mercado pertinentes;
las reclamaciones recibidas;
la información de vulnerabilidad que pueda afectar a los productos de TIC que haya certificado.
Artículo 27
Actividades de control por parte de los titulares de certificados
Los titulares de certificados EUCC llevarán a cabo las siguientes tareas para controlar la conformidad del producto de TIC certificado con sus requisitos de seguridad:
control de la información de vulnerabilidad relativa al producto de TIC certificado, incluidas las dependencias conocidas por sus propios medios, pero también teniendo en cuenta:
la publicación o presentación de información sobre vulnerabilidad por parte de un usuario o un investigador en materia de seguridad a que se refiere el artículo 55, apartado 1, letra c), del Reglamento (UE) 2019/881;
la presentación de información por cualquier otra fuente;
control de la garantía indicada en el certificado EUCC.
Sección II
CONFORMIDAD Y CUMPLIMIENTO
Artículo 28
Consecuencias de la falta de conformidad de un producto de TIC certificado o de un perfil de protección
Artículo 29
Consecuencias del incumplimiento por parte del titular de un certificado
Cuando el organismo de certificación constate que:
el titular de un certificado EUCC o el solicitante de una certificación no cumplen los compromisos y obligaciones que les incumben en virtud del artículo 9, apartado 2, el artículo 17, apartado 2, y los artículos 27 y 41; o que
el titular de un certificado EUCC no cumple lo dispuesto en el artículo 56, apartado 8, del Reglamento (UE) 2019/881 o en el capítulo VI del presente Reglamento;
fijará un plazo no superior a treinta días para que dicho titular adopte medidas correctoras.
Artículo 30
Suspensión de un certificado EUCC
Artículo 31
Consecuencias del incumplimiento por parte del organismo de evaluación de la conformidad
Cuando un organismo de certificación incumpla sus obligaciones, o el organismo de certificación pertinente detecte un incumplimiento por parte de una ITSEF, la autoridad nacional de certificación de la ciberseguridad deberá, sin demora indebida:
determinar, con la ayuda de la ITSEF interesada, los certificados EUCC potencialmente afectados;
en caso necesario, solicitar que se lleven a cabo actividades de evaluación de uno o varios productos de TIC o perfiles de protección, bien por parte de la ITSEF que realizó la evaluación, bien por cualquier otra ITSEF acreditada y, en su caso, autorizada, que pueda estar en mejores condiciones técnicas para contribuir a dicha determinación;
analizar los efectos del incumplimiento;
notificar el incumplimiento al titular del certificado EUCC afectado.
A partir de las medidas a que se refiere el apartado 1, el organismo de certificación adoptará una de las siguientes decisiones con respecto a cada certificado EUCC afectado:
mantener el certificado EUCC inalterado;
retirar el certificado EUCC de conformidad con el artículo 14 o artículo 20 y, en su caso, expedir un nuevo certificado EUCC.
Asimismo, a partir de las medidas a que se refiere el apartado 1, la autoridad nacional de certificación de la ciberseguridad deberá:
en caso necesario, informar al organismo nacional de acreditación del incumplimiento por parte del organismo de certificación o su respectiva ITSEF;
cuando proceda, determinar las posibles repercusiones en la autorización.
CAPÍTULO VI
GESTIÓN Y DIVULGACIÓN DE VULNERABILIDADES
Artículo 32
Ámbito de aplicación de la gestión de vulnerabilidades
El presente capítulo se aplica a los productos de TIC para los que se haya expedido un certificado EUCC.
Sección I
GESTIÓN DE VULNERABILIDADES
Artículo 33
Procedimientos de gestión de vulnerabilidades
Artículo 34
Evaluación de impacto de la vulnerabilidad
Artículo 35
Informe de la evaluación de impacto de la vulnerabilidad
El informe de la evaluación de impacto de la vulnerabilidad contendrá un análisis de los siguientes elementos:
el impacto de la vulnerabilidad en el producto de TIC certificado;
los posibles riesgos asociados a la proximidad o disponibilidad de un ataque;
si es posible subsanar la vulnerabilidad;
en caso de que pueda subsanarse la vulnerabilidad, las posibles resoluciones al respecto.
Artículo 36
Subsanación de vulnerabilidades
El titular de un certificado EUCC presentará al organismo de certificación una propuesta de medidas correctoras adecuadas. El organismo de certificación revisará el certificado de conformidad con el artículo 13. El alcance de dicha revisión vendrá determinado por la medida de subsanación de la vulnerabilidad que se haya propuesto.
Sección II
DIVULGACIÓN DE VULNERABILIDADES
Artículo 37
Información facilitada a la autoridad nacional de certificación de la ciberseguridad
Artículo 38
Cooperación con otras autoridades nacionales de certificación de la ciberseguridad
Artículo 39
Publicación de la vulnerabilidad
Tras la retirada del certificado, el titular del certificado EUCC divulgará y registrará toda vulnerabilidad conocida públicamente y subsanada en el producto de TIC en la base de datos europea de vulnerabilidades, creada de conformidad con el artículo 12 de la Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo ( 4 ) o en otros registros en línea a que se refiere el artículo 55, apartado 1, letra d), del Reglamento (UE) 2019/881.
CAPÍTULO VII
CONSERVACIÓN, DIVULGACIÓN Y PROTECCIÓN DE LA INFORMACIÓN
Artículo 40
Conservación de registros por parte de los organismos de certificación y las ITSEF
Artículo 41
Información puesta a disposición por el titular de un certificado
Los titulares de certificados EUCC conservarán de forma segura durante el período necesario para los fines del presente Reglamento y, como mínimo, durante los cinco años siguientes a la retirada de los correspondientes certificados EUCC los siguientes elementos:
registros de la información facilitada al organismo de certificación y a la ITSEF durante el proceso de certificación,
muestra del producto de TIC certificado.
Artículo 42
Información que debe publicar ENISA
ENISA publicará en el sitio web a que se refiere el artículo 50, apartado 1, del Reglamento (UE) 2019/881 la siguiente información:
todos los certificados EUCC;
información sobre el estado de un certificado EUCC, en particular si está en vigor, si se ha suspendido o retirado, o si ha expirado;
los informes de certificación correspondientes a cada certificado EUCC;
una lista de los organismos de evaluación de la conformidad acreditados;
una lista de los organismos de evaluación de la conformidad autorizados;
los documentos del estado de la técnica enumerados en el anexo I;
los dictámenes del Grupo Europeo de Certificación de la Ciberseguridad a que se refiere el artículo 62, apartado 4, letra c), del Reglamento (UE) 2019/881;
los informes de evaluación por pares emitidos de conformidad con el artículo 47.
Artículo 43
Protección de la información
Los organismos de evaluación de la conformidad, las autoridades nacionales de certificación de la ciberseguridad, el Grupo Europeo de Certificación de la Ciberseguridad, ENISA, la Comisión y todas las demás partes velarán por la seguridad y protección de los secretos empresariales y otra información confidencial, incluidos los secretos comerciales, así como por la preservación de los derechos de propiedad intelectual e industrial, y adoptarán las medidas técnicas y organizativas necesarias y adecuadas.
CAPÍTULO VIII
ACUERDOS DE RECONOCIMIENTO MUTUO CON TERCEROS PAÍSES
Artículo 44
Condiciones
Los acuerdos de reconocimiento mutuo a que se refiere el apartado 1 solo podrán celebrarse con terceros países que cumplan las siguientes condiciones:
disponer de una autoridad que:
sea un organismo público, independiente de las entidades que supervise y controle en materia de estructura organizativa y jurídica, recursos financieros y toma de decisiones;
cuente con las competencias adecuadas de supervisión y control para llevar a cabo investigaciones y esté facultada para adoptar las medidas correctoras oportunas para garantizar el cumplimiento;
posea un régimen sancionador eficaz, proporcionado y disuasorio para garantizar el cumplimiento;
acepte colaborar con el Grupo Europeo de Certificación de la Ciberseguridad y ENISA para intercambiar las mejores prácticas y la evolución pertinente en el ámbito de la certificación de la ciberseguridad y procurar una interpretación uniforme de los criterios y métodos de evaluación actualmente aplicables, entre otras cosas, mediante la utilización de documentación armonizada equivalente a los documentos del estado de la técnica enumerados en el anexo I;
contar con un organismo de acreditación independiente que lleve a cabo acreditaciones con arreglo a normas equivalentes a las mencionadas en el Reglamento (CE) n.o 765/2008;
comprometerse a que los procesos y procedimientos de evaluación y certificación se lleven a cabo con la debida profesionalidad, teniendo en cuenta el cumplimiento de las normas internacionales a que se refiere el presente Reglamento, en particular en su artículo 3;
tener la capacidad de notificar vulnerabilidades no detectadas anteriormente y haber establecido un procedimiento adecuado de gestión y divulgación de vulnerabilidades;
haber establecido procedimientos que le permitan presentar y tramitar eficazmente las reclamaciones y ofrecer vías de recurso efectivas a los reclamantes;
establecer un mecanismo de cooperación con otros organismos de la Unión y de los Estados miembros competentes en materia de certificación de la ciberseguridad en virtud del presente Reglamento, que comprenda la facilitación de información sobre posibles incumplimientos de los certificados, el seguimiento de la evolución pertinente en el ámbito de la certificación y la adopción de un enfoque conjunto con respecto al mantenimiento y la revisión de las certificaciones.
Además de las condiciones establecidas en el apartado 3, para poder celebrar un acuerdo de reconocimiento mutuo a que se refiere el apartado 1 que abarque el nivel de garantía «elevado» con un tercer país, también deberán cumplirse las siguientes condiciones:
que el tercer país disponga de una autoridad independiente y pública de certificación de la ciberseguridad que lleve a cabo o delegue las actividades de evaluación necesarias para permitir la certificación con un nivel de garantía «elevado» que sean equivalentes a los requisitos y procedimientos establecidos para las autoridades nacionales de ciberseguridad en el presente Reglamento y en el Reglamento (UE) 2019/881;
que el acuerdo de reconocimiento mutuo establezca un mecanismo conjunto equivalente a la evaluación por pares para la certificación EUCC con el fin de mejorar el intercambio de prácticas y resolver conjuntamente los problemas planteados en el ámbito de la evaluación y la certificación.
CAPÍTULO IX
EVALUACIÓN POR PARES DE ORGANISMOS DE CERTIFICACIÓN
Artículo 45
Procedimiento de evaluación por pares
La evaluación por pares podrá basarse en pruebas recabadas en el transcurso de anteriores evaluaciones por pares o procedimientos equivalentes del organismo de certificación sometido a dicha evaluación o la autoridad nacional de certificación de la ciberseguridad, siempre que:
los resultados no tengan más de cinco años;
los resultados vayan acompañados de una descripción de los procedimientos de evaluación por pares establecidos para dicho esquema cuando se refieran a una evaluación por pares realizada con arreglo a otro esquema de certificación;
el informe de evaluación por pares a que se refiere el artículo 47 especifique qué resultados se han reutilizado con o sin otra evaluación.
Artículo 46
Fases de la evaluación por pares
Artículo 47
Informe de evaluación por pares
El Grupo Europeo de Certificación de la Ciberseguridad adoptará un dictamen sobre el informe de evaluación por pares:
cuando el informe de evaluación por pares no detecte faltas de conformidad o cuando el organismo de certificación sometido a dicha evaluación las haya subsanado adecuadamente, el Grupo Europeo de Certificación de la Ciberseguridad podrá emitir un dictamen favorable y todos los documentos pertinentes se publicarán en el sitio web de certificación de ENISA;
cuando el organismo de certificación sometido a la evaluación por pares no subsane adecuadamente las faltas de conformidad dentro del plazo fijado, el Grupo Europeo de Certificación de la Ciberseguridad podrá emitir un dictamen negativo que se publicará en el sitio web de certificación de ENISA junto con el informe de evaluación por pares y todos los documentos pertinentes.
CAPÍTULO X
MANTENIMIENTO DEL ESQUEMA
Artículo 48
Mantenimiento del EUCC
CAPÍTULO XI
DISPOSICIONES FINALES
Artículo 49
Esquemas nacionales cubiertos por el EUCC
Artículo 50
Entrada en vigor
El presente Reglamento entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.
Será aplicable a partir del 27 de febrero de 2025.
El capítulo IV y el anexo V se aplicarán a partir de la fecha de entrada en vigor del presente Reglamento.
El presente Reglamento será obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro.
ANEXO I
Documentos del estado de la técnica en apoyo de los ámbitos técnicos y otros documentos del estado de la técnica
1. Documentos del estado de la técnica en apoyo de los ámbitos técnicos en los niveles AVA_VAN 4 o 5:
los siguientes documentos relacionados con la evaluación armonizada del ámbito técnico «tarjetas inteligentes y dispositivos similares» [disponibles en inglés]:
Minimum ITSEF requirements for security evaluations of smart cards and similar devices [«Requisitos mínimos aplicables a las ITSEF para las evaluaciones de seguridad de tarjetas inteligentes y dispositivos similares»], versión 1.1;
Minimum Site Security Requirements [«Requisitos mínimos de seguridad de las instalaciones»], versión 1.1;
Application of Common Criteria to integrated circuits [«Aplicación de los criterios comunes a los circuitos integrados»], versión 1.1;
Security Architecture requirements (ADV_ARC) for smart cards and similar devices [«Requisitos de arquitectura de seguridad (ADV_ARC) para tarjetas inteligentes y dispositivos similares»], versión 1.1;
Certification of «open» smart card products [«Certificación de productos de tarjeta inteligente “abierta”»], versión 1.1;
Composite product evaluation for smart cards and similar devices [«Evaluación de productos compuestos para tarjetas inteligentes y dispositivos similares»], versión 1.1;
Application of Attack Potential to Smartcards and Similar Devices [«Aplicación de potencial de ataque a tarjetas inteligentes y dispositivos similares»], versión 1.2;
los siguientes documentos relacionados con la evaluación armonizada del ámbito técnico “dispositivos de hardware con cajas de seguridad» [disponibles en inglés]:
Minimum ITSEF requirements for security evaluations of hardware devices with security boxes [«Requisitos mínimos aplicables a las ITSEF para las evaluaciones de seguridad de dispositivos de hardware con cajas de seguridad»], versión 1.1;
Minimum Site Security Requirements [«Requisitos mínimos de seguridad de las instalaciones»], versión 1.1;
Application of Attack Potential to Hardware Devices with Security Boxes [«Aplicación de potencial de ataque a dispositivos de hardware con cajas de seguridad»], versión 1.2;
2. Documentos del estado de la técnica relativos a la acreditación armonizada de los organismos de evaluación de la conformidad [disponibles en inglés]:
Accreditation of ITSEFs for the EUCC [«Acreditación de ITSEF a efectos del EUCC»], versión 1.1, para las acreditaciones expedidas antes del 8 de julio de 2025.
Accreditation of ITSEFs for the EUCC [«Acreditación de ITSEF a efectos del EUCC»], versión 1.6c, para las acreditaciones expedidas recientemente o revisadas después del 8 de julio de 2025.
Accreditation of CBs for the EUCC [«Acreditación de organismos de certificación para el EUCC»], versión 1.6b.
ANEXO II
Perfiles de protección certificados en los niveles AVA_VAN.4 o AVA_VAN.5
1. Para la categoría de dispositivos de creación de firmas y sellos cualificados a distancia:
UNE-EN 419241-2: 2019 «Sistemas confiables que permiten firma de servidor. Parte 2: Perfil de protección de QSCD para la firma del servidor»;
UNE-EN 419221-5:2018 «Perfiles de protección para los módulos criptográficos de proveedores de servicios de confianza. Parte 5: Módulo criptográfico para servicios de confianza»
2. Perfiles de protección adoptados como documentos del estado de la técnica:
[EN BLANCO]
ANEXO III
Perfiles de protección recomendados (ilustran los ámbitos técnicos del anexo I)
Perfiles de protección utilizados en la certificación de productos de TIC pertenecientes a las categorías de productos de TIC enumeradas a continuación:
para la categoría de documentos de viaje de lectura mecánica [disponibles en inglés]:
«PP for a Machine Readable Travel Document using Standard Inspection Procedure with PACE» [«Perfil de protección (PP) para documentos de viaje de lectura mecánica con procedimiento ordinario de inspección basado en PACE (establecimiento de conexión autenticada mediante contraseña)»], BSI-CC-PP-0068-V2-2011-MA-01;
«PP for a Machine Readable Travel Document with “ICAO Application” Extended Access Control» [«PP para documentos de viaje de lectura mecánica con control de acceso ampliado basado en la aplicación de las normas de la Organización de Aviación Civil Internacional (OACI)»], BSI-CC-PP-0056-2009;
«PP for a Machine Readable Travel Document with “ICAO Application” Extended Access Control with PACE» [«PP para documentos de viaje de lectura mecánica con control de acceso ampliado basado en la aplicación de las normas de la OACI con PACE»], BSI-CC-PP-0056-V2-2012-MA-02;
«PP for a Machine Readable Travel Document with “ICAO Application” Basic Access Control» [«PP para documentos de viaje de lectura mecánica con control de acceso básico basado en la aplicación de las normas de la OACI»], BSI-CC-PP-0055-2009;
para la categoría de dispositivos seguros de creación de firma:
UNE-EN 419211-1:2014 «Perfiles de protección para los dispositivos seguros de creación de firma. Parte 1: Visión general»
UNE-EN 419211-2:2013 «Perfiles de protección para los dispositivos seguros de creación de firma. Parte 2: Dispositivo con generación de claves»;
UNE-EN 419211-3:2013 «Perfiles de protección para los dispositivos seguros de creación de firma. Parte 3: Dispositivo con importación de claves»;
UNE-EN 419211-4:2013 «Perfiles de protección para los dispositivos seguros de creación de firma. Parte 4: Extensión para el dispositivo con generación de claves y canal seguro con la aplicación de generación de certificado»;
UNE-EN 419211-5:2013 «Perfiles de protección para los dispositivos seguros de creación de firma. Parte 5: Extensión para el dispositivo con generación de claves y canal seguro con la aplicación de creación de firma»;
UNE-EN 419211-6:2014 «Perfiles de protección para los dispositivos seguros de creación de firma. Parte 6: Extensión para el dispositivo con importación de claves y canal seguro con la aplicación de creación de firma»;
para la categoría de tacógrafos digitales:
tacógrafo digital: tarjeta de tacógrafo, tal como consta en el Reglamento de Ejecución (UE) 2016/799 de la Comisión, de 18 de marzo de 2016, por el que se ejecuta el Reglamento (UE) n.o 165/2014 (anexo 1 C);
tacógrafo digital: unidad intravehicular, tal como consta en el anexo I B del Reglamento (CE) n.o 1360/2002 de la Comisión, a saber, concebida para ser instalada en vehículos de transporte por carretera;
tacógrafo digital: dispositivo GNSS externo («PP EGF», por sus siglas en inglés), tal como consta en el anexo 1 C del Reglamento de Ejecución (UE) 2016/799 de la Comisión, de 18 de marzo de 2016, por el que se ejecuta el Reglamento (UE) n.o 165/2014 del Parlamento Europeo y del Consejo;
tacógrafo digital: sensor de movimiento («PP MoS», por sus siglas en inglés), tal como consta en el anexo 1 C del Reglamento de Ejecución (UE) 2016/799 de la Comisión, de 18 de marzo de 2016, por el que se ejecuta el Reglamento (UE) n.o 165/2014 del Parlamento Europeo y del Consejo;
para la categoría de circuitos integrados seguros, tarjetas inteligentes y dispositivos conexos [disponibles en inglés]:
«Security IC Platform PP» [«PP para plataformas de circuitos integrados de seguridad»], BSI-CC-PP-0084-2014;
«Java Card System – Open Configuration» [«Sistema Java Card: configuración abierta»], V3.0.5 BSI-CC-PP-0099-2017;
«Java Card System – Closed Configuration» [«Sistema Java Card: configuración cerrada»], BSI-CC-PP-0101-2017;
«PP for a PC Client Specific Trusted Platform Module Family 2.0 Level 0 Revision 1.16» [«PP para módulo de plataforma segura específico de PC clientes, familia 2.0, nivel 0, revisión 1.16»], ANSSI-CC-PP-2015/07;
«Universal SIM Java Card Platform» [«Plataforma de módulo de identificación de usuario (SIM) universal Java Card»], PU-2009-RT-79, ANSSI-CC-PP-2010/04;
«Embedded UICC (eUICC) for Machine-to-Machine Devices» [«Tarjeta universal de circuito integrado incorporada (eUICC) para dispositivos de máquina a máquina»], BSI-CC-PP-0089-2015;
para la categoría de puntos de interacción (de pago) y terminales de pago [disponibles en inglés]:
Punto de interacción «POI-CHIP-ONLY», ANSSI-CC-PP-2015/01;
Punto de interacción «POI-CHIP-ONLY and Open Protocol Package» [«POI-CHIP-ONLY y paquete de protocolos abiertos»], ANSSI-CC-PP-2015/02;
Punto de interacción «POI-COMPREHENSIVE», ANSSI-CC-PP-2015/03;
Punto de interacción «POI-COMPREHENSIVE and Open Protocol Package», ANSSI-CC-PP-2015/04;
Punto de interacción «POI-PED-ONLY», ANSSI-CC-PP-2015/05;
Punto de interacción «POI-PED-ONLY and Open Protocol Package», ANSSI-CC-PP-2015/06;
para la categoría de dispositivos de hardware con cajas de seguridad [disponibles en inglés]:
«Cryptographic Module for CSP Signing Operations with Backup – PP CMCSOB» [«Módulo criptográfico para operaciones de firma de proveedores de servicios de certificación (PSC) con copia de seguridad (“PP CMCSOB”, por sus siglas en inglés)»], PP HSM CMCSOB 14167-2, ANSSI-CC-PP-2015/08;
«Cryptographic Module for CSP key generation services – PP CMCKG» [«Módulo criptográfico para servicios de generación de claves de PSC (“PP CMCKG”, por sus siglas en inglés)»], PP HSM CMCKG 14167-3, ANSSI-CC-PP-2015/09;
Cryptographic Module for CSP Signing Operations without Backup – PP CMCSO [«Módulo criptográfico para operaciones de firma de PSC sin copia de seguridad» (“PP CMCSO”, por sus siglas en inglés)], PP HSM CMCKG 14167-4, ANSSI-CC-PP-2015/10.
ANEXO IV
Continuidad de la garantía y revisión de los certificados
IV.1 Continuidad de la garantía: ámbito de aplicación
1. Se aplicarán los siguientes requisitos para la continuidad de la garantía a las actividades de mantenimiento relacionadas con los siguientes aspectos:
una revaluación para determinar si un producto de TIC certificado que no haya sufrido modificaciones sigue cumpliendo sus requisitos de seguridad;
una evaluación de los efectos de las modificaciones de un producto de TIC certificado en su certificación;
si se incluye en la certificación, la aplicación de parches de seguridad con arreglo a un proceso de gestión de parches evaluado;
si se incluye, la revisión de los procesos de gestión del ciclo de vida o de producción del titular del certificado.
2. El titular de un certificado EUCC podrá solicitar la revisión del certificado en los siguientes casos:
cuando el certificado EUCC vaya a expirar en un plazo de nueve meses;
cuando se haya producido un cambio en el producto de TIC certificado o en otro factor que pueda afectar a su funcionalidad de seguridad;
cuando el titular del certificado solicite que se repita la evaluación de vulnerabilidad con el fin de volver a confirmar la garantía del certificado EUCC asociada a la resistencia del producto de TIC frente a los ciberataques actuales.
IV.2 Revaluación
1. Cuando sea necesario determinar los efectos de los cambios producidos en el entorno de amenazas de un producto de TIC certificado que no haya sufrido modificaciones, se presentará una solicitud de revaluación al organismo de certificación.
2. La revaluación será llevada a cabo por la misma ITSEF que participó en la evaluación anterior y se reutilizarán todos los resultados que sigan vigentes. La evaluación se centrará en las actividades de garantía que puedan verse afectadas por los cambios del entorno de amenazas del producto de TIC certificado, en particular la familia AVA_VAN pertinente y, además, la familia del ciclo de vida de la garantía («ALC», por sus siglas en inglés), en las que se volverán a recabar pruebas suficientes del mantenimiento del entorno de desarrollo.
3. La ITSEF describirá los cambios producidos y detallará los resultados de la revaluación con una actualización del informe técnico de evaluación anterior.
4. El organismo de certificación revisará el informe técnico de evaluación actualizado y elaborará un informe de revaluación. A continuación, se modificará el estado del certificado inicial con arreglo a lo dispuesto en el artículo 13.
5. El informe de revaluación y el certificado actualizado se transmitirán a la autoridad nacional de certificación de la ciberseguridad y a ENISA para su publicación en su sitio web de certificación de la ciberseguridad.
IV.3 Modificaciones de un producto de TIC certificado
1. Cuando un producto de TIC certificado haya sufrido modificaciones, el titular que desee mantener el certificado facilitará al organismo de certificación un informe de evaluación de impacto.
2. El informe de evaluación de impacto contendrá los siguientes elementos:
una introducción con la información necesaria para identificar el informe de evaluación de impacto y el objeto de evaluación modificado;
una descripción de las modificaciones introducidas en el producto;
la identificación de las pruebas aportadas por el desarrollador afectado;
una descripción de las modificaciones de las pruebas aportadas por el desarrollador;
las constataciones y conclusiones sobre los efectos de cada modificación en la garantía.
3. El organismo de certificación examinará las modificaciones descritas en el informe de evaluación de impacto para validar sus efectos en la garantía del objeto de evaluación certificado, tal como se proponga en las conclusiones del informe de evaluación de impacto.
4. Tras dicho examen, el organismo de certificación calificará la magnitud de cada modificación como menor o importante en función de sus efectos.
5. Cuando el organismo de certificación haya confirmado que las modificaciones son menores, no se expedirá un nuevo certificado para el producto de TIC modificado y se elaborará un informe de mantenimiento del informe de certificación inicial.
El informe de mantenimiento se incluirá como subconjunto del informe de evaluación de impacto y contendrá las siguientes secciones:
introducción;
descripción de las modificaciones;
pruebas aportadas por el desarrollador afectado.
6. El informe de mantenimiento a que se refiere el apartado 5 se transmitirá a ENISA para que lo publique en su sitio web de certificación de la ciberseguridad.
7. En caso de que se confirme que las modificaciones son importantes, se llevará a cabo una revaluación en el contexto de la evaluación anterior y se reutilizarán todos los resultados de esta última que sigan vigentes.
8. Una vez finalizada la evaluación del objeto de evaluación modificado, la ITSEF elaborará un nuevo informe técnico de evaluación. El organismo de certificación revisará el informe técnico de evaluación actualizado y, cuando proceda, elaborará un nuevo certificado con un nuevo informe de certificación.
9. El nuevo certificado y el nuevo informe de certificación se transmitirán a ENISA para su publicación.
IV.4 Gestión de parches
1. El procedimiento de gestión de parches prevé un proceso estructurado de actualización de un producto de TIC certificado. Dicho procedimiento, que incluye el mecanismo aplicado al producto de TIC por el solicitante de la certificación, puede utilizarse tras la certificación del producto de TIC bajo la responsabilidad del organismo de evaluación de la conformidad.
2. El solicitante de la certificación podrá incluir en la certificación del producto de TIC un mecanismo de parches como parte de un procedimiento de gestión certificado aplicado al producto de TIC cuando se cumpla una de las siguientes condiciones:
que las funcionalidades afectadas por el parche queden fuera del objeto de evaluación del producto de TIC certificado;
que el parche se refiera a una modificación menor predeterminada en el producto de TIC certificado;
que el parche se refiera a una vulnerabilidad confirmada con efectos críticos en la seguridad del producto de TIC certificado.
3. Si el parche está relacionado con una modificación importante del objeto de evaluación del producto de TIC certificado con respecto a una vulnerabilidad no detectada anteriormente que no tenga efectos críticos en la seguridad del producto de TIC, se aplicará lo dispuesto en el artículo 13.
4. El procedimiento de gestión de parches de un producto de TIC constará de los siguientes elementos:
el proceso de desarrollo y lanzamiento del parche para el producto de TIC;
el mecanismo técnico y las funciones para la aplicación del parche en el producto de TIC;
un conjunto de actividades de evaluación relacionadas con la eficacia y el rendimiento del mecanismo técnico.
5. En el proceso de certificación del producto de TIC:
el solicitante de la certificación del producto de TIC proporcionará la descripción del procedimiento de gestión de parches;
la ITSEF realizará las siguientes comprobaciones:
que el desarrollador haya implementado los mecanismos de parches en el producto de TIC con arreglo al procedimiento de gestión de parches presentado para su certificación;
que el perímetro del objeto de evaluación se haya delimitado de manera que los cambios introducidos en los procesos separados no afecten a la seguridad del objeto de evaluación;
que el mecanismo técnico de parches funcione de conformidad con lo dispuesto en la presente sección y con lo declarado por el solicitante;
el organismo de certificación incluirá en el informe de certificación el resultado de la evaluación del procedimiento de gestión de parches.
6. El titular del certificado podrá proceder a aplicar el parche elaborado de conformidad con el procedimiento de gestión de parches certificado al producto de TIC certificado de que se trate y adoptará las siguientes medidas en un plazo de cinco días laborables en los casos que se indican a continuación:
en el caso a que se refiere el punto 2, letra a), informará del parche de que se trate al organismo de certificación, que no modificará el certificado EUCC correspondiente;
en el caso a que se refiere el punto 2, letra b), presentará el parche de que se trate a la ITSEF para su revisión, y esta informará al organismo de certificación tras la recepción del parche para que adopte las medidas adecuadas con respecto a la expedición de una nueva versión del certificado EUCC correspondiente y la actualización del informe de certificación;
en el caso a que se refiere el punto 2, letra c), presentará el parche de que se trate a la ITSEF para su necesaria revaluación, pero podrá desplegarlo paralelamente; por su parte, la ITSEF informará al organismo de certificación, que procederá entonces a iniciar las actividades de certificación correspondientes.
ANEXO V
Contenido de los informes de certificación
V.1 Informe de certificación
1. A partir de los informes técnicos de evaluación facilitados por la ITSEF, el organismo de certificación elaborará un informe de certificación que se publicará junto con el certificado EUCC correspondiente.
2. El informe de certificación es la fuente de información detallada y práctica sobre el producto de TIC o la categoría de productos de TIC, y sobre el despliegue seguro de dicho producto o productos, por lo que incluirá toda la información públicamente accesible y compartible que resulte pertinente para los usuarios y las partes interesadas. También puede contener referencias a dicha información públicamente accesible y compartible.
3. El informe de certificación constará, como mínimo, de las siguientes secciones:
resumen;
identificación del producto de TIC o de la categoría de productos de TIC en el caso de los perfiles de protección;
servicios de seguridad;
hipótesis y aclaración del ámbito de aplicación;
información arquitectónica;
información complementaria sobre ciberseguridad, en su caso;
ensayo del producto de TIC, en caso de haberse realizado;
cuando proceda, identificación de los procesos de gestión del ciclo de vida y las instalaciones de producción del titular del certificado;
resultados de la evaluación e información relativa al certificado;
resumen de la declaración de seguridad del producto de TIC presentado para su certificación;
en su caso, la marca o etiqueta asociada al esquema;
bibliografía.
4. El resumen será una breve recapitulación de todo el informe de certificación. Ofrecerá una visión general clara y concisa de los resultados de la evaluación y contendrá la siguiente información:
denominación del producto de TIC evaluado, enumeración de los componentes del producto que forman parte de la evaluación y versión del producto de TIC;
nombre de la ITSEF que ha llevado a cabo la evaluación y, en su caso, lista de subcontratistas;
fecha de conclusión de la evaluación;
referencia al informe técnico de evaluación elaborado por la ITSEF;
breve descripción de los resultados del informe de certificación, que incluya:
la versión y, en su caso, edición de los criterios comunes aplicada a la evaluación;
los componentes de garantía de seguridad y el paquete de garantía de los criterios comunes, en particular el nivel AVA_VAN aplicado durante la evaluación y el respectivo nivel de garantía, con arreglo a lo dispuesto en el artículo 52 del Reglamento (UE) 2019/881, al que se refiere el certificado EUCC;
la funcionalidad de seguridad del producto de TIC evaluado;
un resumen de las amenazas y las políticas de seguridad organizativas abordadas por el producto de TIC evaluado;
requisitos especiales de configuración;
hipótesis sobre el entorno operativo;
en su caso, la presencia de un procedimiento de gestión de parches aprobado de conformidad con la sección IV.4 del anexo IV;
cláusula(s) de exención de responsabilidad.
5. El producto de TIC evaluado se identificará claramente, especificando en particular la siguiente información:
denominación del producto de TIC evaluado;
enumeración de los componentes del producto de TIC que forman parte de la evaluación;
número de versión de los componentes del producto de TIC;
determinación de requisitos adicionales para el entorno operativo del producto de TIC certificado;
nombre e información de contacto del titular del certificado EUCC;
en su caso, procedimiento de gestión de parches incluido en el certificado;
enlace al sitio web del titular del certificado EUCC en el que se facilita información complementaria sobre ciberseguridad con respecto al producto de TIC certificado, de conformidad con el artículo 55 del Reglamento (UE) 2019/881.
6. La información incluida en la presente sección será lo más precisa posible para garantizar una representación completa y precisa del producto de TIC que pueda reutilizarse en futuras evaluaciones.
7. La sección relativa a la política de seguridad contendrá la descripción de la política de seguridad del producto de TIC y de las políticas o normas que el producto de TIC evaluado deba aplicar o cumplir. Incluirá una referencia y una descripción de las siguientes políticas:
política de gestión de vulnerabilidades del titular del certificado;
política de continuidad de la garantía del titular del certificado.
8. Cuando proceda, la política podrá especificar las condiciones relativas al uso de un procedimiento de gestión de parches durante el período de validez del certificado.
9. La sección relativa a las hipótesis y la aclaración del ámbito de aplicación contendrá información exhaustiva sobre las circunstancias y los objetivos relacionados con el uso previsto del producto a que se refiere el artículo 7, apartado 1, letra c), en particular:
hipótesis sobre el uso y el despliegue del producto de TIC en forma de requisitos mínimos, como el cumplimiento de requisitos adecuados de instalación, configuración y hardware;
hipótesis sobre el entorno para el correcto funcionamiento del producto de TIC.
10. La información enumerada en el punto 9 será lo más comprensible posible para que los usuarios del producto de TIC certificado puedan tomar decisiones con conocimiento de causa sobre los riesgos asociados a su uso.
11. La sección de información arquitectónica contendrá una descripción de alto nivel del producto de TIC y sus principales componentes con arreglo al diseño de subsistemas ADV_TDS de los criterios comunes.
12. Se proporcionará una lista completa de la información complementaria sobre ciberseguridad del producto de TIC de conformidad con el artículo 55 del Reglamento (UE) 2019/881. Toda la documentación pertinente se indicará mediante los números de versión.
13. La sección de ensayo del producto de TIC incluirá la siguiente información:
nombre y punto de contacto de la autoridad u organismo que haya expedido el certificado, incluida la autoridad nacional de certificación de la ciberseguridad competente;
nombre de la ITSEF que haya llevado a cabo la evaluación, cuando difiera del organismo de certificación;
especificación de los componentes de garantía utilizados con arreglo a las normas a que se refiere el artículo 3;
versión del documento del estado de la técnica y demás criterios de evaluación de la seguridad utilizados en la evaluación;
configuración y ajustes completos y precisos del producto de TIC durante la evaluación, incluidas las notas operativas y las observaciones, en su caso;
todo perfil de protección que se haya utilizado, especificando la siguiente información:
autor del perfil de protección;
denominación e identificador del perfil de protección;
identificador del certificado del perfil de protección;
nombre y datos de contacto del organismo de certificación y de la ITSEF que haya participado en la evaluación del perfil de protección;
paquete o paquetes de garantía necesarios para que un producto se ajuste al perfil de protección.
14. La sección de resultados de la evaluación e información relativa al certificado contendrá la siguiente información:
confirmación del nivel de garantía alcanzado a que se refieren el artículo 4 del presente Reglamento y el artículo 52 del Reglamento (UE) 2019/881;
requisitos de garantía de las normas a que se refiere el artículo 3 que el producto de TIC o el perfil de protección cumpla realmente, incluido el nivel AVA_VAN;
descripción detallada de los requisitos de garantía, así como de la manera en que el producto cumple cada uno de ellos;
fecha de expedición y período de validez del certificado;
identificador único del certificado.
15. La declaración de seguridad se incluirá en el informe de certificación o se citará y resumirá en dicho informe y se adjuntará a este en relación con él a efectos de su publicación.
16. La declaración de seguridad podrá editarse con arreglo a lo dispuesto en la sección VI.2.
17. La marca o etiqueta asociada al EUCC podrá insertarse en el informe de certificación de conformidad con las normas y los procedimientos establecidos en el artículo 11.
18. La sección de bibliografía incluirá referencias a todos los documentos utilizados en la elaboración del informe de certificación. Dicha información incluirá, como mínimo, lo siguiente:
los criterios de evaluación de la seguridad, los documentos del estado de la técnica y otras especificaciones pertinentes utilizadas y su versión;
el informe técnico de evaluación;
el informe técnico de evaluación para la evaluación de un producto compuesto, en su caso;
la documentación de referencia técnica;
la documentación del desarrollador utilizada en el ejercicio de evaluación.
19. Con el fin de garantizar la reproducibilidad de la evaluación, toda la documentación citada debe identificarse de manera inequívoca con su respectiva fecha de publicación y su respectivo número de versión.
V.2 Edición de las declaraciones de seguridad para su publicación
1. Las declaraciones de seguridad que deban incluirse o citarse en el informe de certificación en virtud de la sección VI.1, punto 1, podrán editarse mediante la supresión o reformulación de información técnica de dominio privado.
2. Las declaraciones de seguridad editadas resultantes constituirán una representación real de su versión original completa. Esto significa que las declaraciones de seguridad editadas no pueden omitir la información necesaria para conocer las propiedades de seguridad del objeto de evaluación y el ámbito de aplicación de la evaluación.
3. El contenido de las declaraciones de seguridad editadas se atendrá a los siguientes requisitos mínimos:
la introducción no se editará, ya que en general no incluye información de dominio privado;
las declaraciones de seguridad editadas deben tener un identificador único distinto del correspondiente a la versión original completa;
la descripción del objeto de evaluación podrá resumirse, ya que es posible que incluya información detallada y de dominio privado sobre el diseño del objeto de evaluación que no debe publicarse;
la descripción del entorno de seguridad del objeto de evaluación (hipótesis, amenazas, políticas de seguridad organizativas) no se resumirá, en la medida en que dicha información sea necesaria para conocer el ámbito de aplicación de la evaluación;
los objetivos de seguridad no se resumirán, ya que toda esta información debe publicarse para dar a conocer la intención de la declaración de seguridad y del objeto de evaluación;
se publicarán todos los requisitos de seguridad: las notas de aplicación pueden proporcionar información sobre la manera en que se han utilizado los requisitos funcionales de los criterios comunes a que se refiere el artículo 3 para entender la declaración de seguridad;
el resumen de las especificaciones del objeto de evaluación incluirá todas sus funciones de seguridad, pero podrá editarse la información adicional de dominio privado;
se incluirán referencias a los perfiles de protección aplicados al objeto de evaluación;
la justificación podrá editarse para suprimir la información de dominio privado.
4. Aunque la declaración de seguridad editada no se evalúa formalmente con arreglo a las normas de evaluación a que se refiere el artículo 3, el organismo de certificación se cerciorará de que se atenga a la declaración de seguridad completa y evaluada, y se remitirá tanto a la declaración de seguridad completa como a la editada en el informe de certificación.
ANEXO VI
Ámbito de aplicación de las evaluaciones por pares y composición del equipo de evaluación
VI.1 Ámbito de aplicación de las evaluaciones por pares
1. Se contemplan los siguientes tipos de evaluaciones por pares:
Tipo 1: cuando un organismo de certificación lleve a cabo actividades de certificación con nivel AVA_VAN.3;
Tipo 2: cuando un organismo de certificación lleve a cabo actividades de certificación relacionadas con un ámbito técnico que figure como documento del estado de la técnica en el anexo I;
Tipo 3: cuando un organismo de certificación lleve a cabo actividades de certificación con un nivel superior a AVA_VAN.3 a partir de un perfil de protección que figure como documento del estado de la técnica en los anexos II o III.
2. El organismo de certificación sometido a una evaluación por pares presentará la lista de productos de TIC certificados que puedan ser candidatos a la revisión por parte del equipo de evaluación por pares, con arreglo a las siguientes normas:
los productos candidatos abarcarán el ámbito técnico de la autorización del organismo de certificación, del que se someterán a la evaluación por pares, como mínimo, las evaluaciones de dos productos diferentes con un nivel de garantía «elevado», y un perfil de protección si el organismo de certificación ha expedido un certificado con nivel de garantía «elevado»;
para las evaluaciones por pares de tipo 2, el organismo de certificación presentará, como mínimo, un producto por ámbito técnico y por ITSEF interesada;
para las evaluaciones por pares de tipo 3, se evaluará, como mínimo, un producto candidato de conformidad con los perfiles de protección aplicables y pertinentes.
VI.2 Equipo de evaluación por pares
1. El equipo de evaluación constará, como mínimo, de dos expertos seleccionados de dos organismos de certificación diferentes de distintos Estados miembros que expidan certificados con nivel de garantía «elevado». Los expertos deben demostrar que poseen los conocimientos especializados pertinentes en relación con las normas a que se refiere el artículo 3 y con los documentos del estado de la técnica comprendidos en el ámbito de aplicación de la evaluación por pares.
2. En los casos de delegación de la expedición de certificados o de aprobación previa de estos a que se refiere el artículo 56, apartado 6, del Reglamento (UE) 2019/881, también podrá participar en el equipo de expertos seleccionado de conformidad con el apartado 1 de la presente sección un experto de la autoridad nacional de certificación de la ciberseguridad relacionada con el organismo de certificación interesado.
3. Para las evaluaciones por pares de tipo 2, los miembros del equipo se seleccionarán a partir de los organismos de certificación autorizados en el ámbito técnico de que se trate.
4. Cada miembro del equipo de evaluación deberá tener, como mínimo, dos años de experiencia en la realización de actividades de certificación en un organismo de certificación.
5. En el caso de las evaluaciones por pares de tipo 2 o 3, cada miembro del equipo de evaluación deberá tener, como mínimo, dos años de experiencia en la realización de actividades de certificación en el ámbito técnico o perfil de protección pertinentes y demostrar que dispone de conocimientos especializados y que ha participado en la autorización de una ITSEF.
6. Participarán en la evaluación por pares en calidad de observadoras la autoridad nacional de certificación de la ciberseguridad que controle y supervise al organismo de certificación sometido a la evaluación por pares y, al menos, una autoridad nacional de certificación de la ciberseguridad cuyo organismo de certificación no esté sujeto a la citada evaluación. ENISA también podrá participar en la evaluación por pares en calidad de observadora.
7. La composición del equipo de evaluación por pares se presenta al organismo de certificación evaluado, que, en casos justificados, podrá impugnar la composición de dicho equipo y solicitar su revisión.
ANEXO VII
Contenido de los certificados EUCC
El certificado EUCC contendrá, como mínimo:
un identificador único establecido por el organismo de certificación que expida el certificado;
información relacionada con el producto de TIC o el perfil de protección certificados y con el titular del certificado, en particular:
denominación del producto de TIC o del perfil de protección y, en su caso, del objeto de evaluación;
tipo de producto de TIC o de perfil de protección y, en su caso, del objeto de evaluación;
versión del producto de TIC o del perfil de protección;
nombre, dirección e información de contacto del titular del certificado;
enlace al sitio web del titular del certificado que contenga la información complementaria sobre ciberseguridad a que se refiere el artículo 55 del Reglamento (UE) 2019/881;
información relacionada con la evaluación y certificación del producto de TIC o el perfil de protección, en particular:
nombre, dirección e información de contacto del organismo de certificación que haya expedido el certificado;
si difiere del organismo de certificación, nombre de la ITSEF que haya llevado a cabo la evaluación;
nombre de la autoridad nacional de certificación de la ciberseguridad competente;
una referencia al presente Reglamento;
una referencia al informe de certificación asociado al certificado a que se refiere el anexo V;
el nivel de garantía aplicable de conformidad con el artículo 4;
una referencia a la versión de las normas utilizadas para la evaluación a que se refiere el artículo 3;
identificación del nivel o paquete de garantía especificado en las normas a que se refiere el artículo 3 y con arreglo a lo dispuesto en el anexo VIII, incluidos los componentes de garantía utilizados y el nivel AVA_VAN cubierto;
en su caso, una referencia al perfil o perfiles de protección que cumpla el producto de TIC o el perfil de protección;
la fecha de expedición;
el período de validez del certificado;
la marca y la etiqueta asociadas al certificado de conformidad con el artículo 11.
ANEXO VIII
Declaración del paquete de garantía
1. Contrariamente a las definiciones que figuran en los criterios comunes, las ampliaciones:
no se indicarán con la abreviatura «+»;
se detallarán mediante una lista de todos los componentes afectados;
se describirán minuciosamente en el informe de certificación.
2. El nivel de garantía confirmado en un certificado EUCC podrá complementarse con el nivel de garantía de la evaluación especificado en el artículo 3 del presente Reglamento.
3. Si el nivel de garantía confirmado en un certificado EUCC no se refiere a una ampliación, se indicará en el certificado uno de los siguientes paquetes:
«paquete de garantía específico»;
«paquete de garantía conforme a un perfil de protección» en caso de remitir a un perfil de protección sin un nivel de garantía de evaluación.
ANEXO IX
Marca y etiqueta
1. Formato de la marca y la etiqueta:
2. Si se reducen o amplían la marca y la etiqueta, deberán respetarse las proporciones del modelo facilitado.
3. En caso de presencia física, la marca y la etiqueta tendrán una altura mínima de 5 mm.
( 1 ) Reglamento de Ejecución (UE) 2016/799 de la Comisión, de 18 de marzo de 2016, por el que se ejecuta el Reglamento (UE) n.o 165/2014 del Parlamento Europeo y del Consejo, que establece los requisitos para la construcción, ensayo, instalación, funcionamiento y reparación de los tacógrafos y de sus componentes (DO L 139 de 26.5.2016, p. 1, ELI: http://data.europa.eu/eli/reg_impl/2016/799/oj).
( 2 ) Reglamento (UE) n.o 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por la que se deroga la Directiva 1999/93/CE (DO L 257 de 28.8.2014, p. 73, ELI: http://data.europa.eu/eli/reg/2014/910/oj).
( 3 ) Decisión de Ejecución (UE) 2016/650 de la Comisión, de 25 de abril de 2016, por la que se fijan las normas para la evaluación de la seguridad de los dispositivos cualificados de creación de firmas y sellos con arreglo al artículo 30, apartado 3, y al artículo 39, apartado 2, del Reglamento (UE) n.o 910/2014 del Parlamento Europeo y del Consejo, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior (DO L 109 de 26.4.2016, p. 40, ELI: http://data.europa.eu/eli/dec_impl/2016/650/oj).
( 4 ) Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión, por la que se modifican el Reglamento (UE) n.o 910/2014 y la Directiva (UE) 2018/1972 y por la que se deroga la Directiva (UE) 2016/1148 (Directiva SRI 2) (DO L 333 de 27.12.2022, p. 80).