European flag

Diario Oficial
de la Unión Europea

ES

Serie L

2025/37

15.1.2025

REGLAMENTO (UE) 2025/37 DEL PARLAMENTO EUROPEO Y DEL CONSEJO

de 19 de diciembre de 2024

por el que se modifica el Reglamento (UE) 2019/881 en lo que se refiere a los servicios de seguridad gestionados

(Texto pertinente a efectos del EEE)

EL PARLAMENTO EUROPEO Y EL CONSEJO DE LA UNIÓN EUROPEA,

Visto el Tratado de Funcionamiento de la Unión Europea, y en particular su artículo 114,

Vista la propuesta de la Comisión Europea,

Previa transmisión del proyecto de acto legislativo a los Parlamentos nacionales,

Visto el dictamen del Comité Económico y Social Europeo (1),

Previa consulta al Comité de las Regiones,

De conformidad con el procedimiento legislativo ordinario (2),

Considerando lo siguiente:

(1)

El Reglamento (UE) 2019/881 del Parlamento Europeo y del Consejo (3) establece un marco para la creación de esquemas europeos de certificación de la ciberseguridad, a efectos de garantizar un nivel adecuado de ciberseguridad de los productos, servicios y procesos de las tecnologías de la información y la comunicación (TIC) en la Unión, así como de evitar la fragmentación del mercado interior respecto a los esquemas de certificación de la ciberseguridad en la Unión.

(2)

A fin de garantizar la resiliencia de la Unión frente a los ciberataques y prevenir cualquier vulnerabilidad en el mercado interior, el presente Reglamento complementará el marco regulador horizontal que establece requisitos globales de ciberseguridad para los productos con elementos digitales en virtud del Reglamento (UE) 2024/2847 del Parlamento Europeo y del Consejo (4), estableciendo requisitos esenciales para los servicios de seguridad gestionados, así como la aplicación y fiabilidad de dichos servicios.

(3)

Los servicios de seguridad gestionados son prestados por proveedores de servicios de seguridad gestionados tal como se definen en el artículo 6, punto 40, de la Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo (5). Por lo tanto, la definición de servicios de seguridad gestionados en el presente Reglamento debe ser coherente con la de proveedores de servicios de seguridad gestionados establecida en la Directiva (UE) 2022/2555. Dichos servicios consisten en llevar a cabo o prestar asistencia para actividades relacionadas con la gestión de los riesgos de ciberseguridad de los clientes de tales servicios y han ido adquiriendo cada vez más importancia en el contexto de la prevención y atenuación de los efectos de incidentes. En consecuencia, los proveedores de dichos servicios se consideran, de conformidad con la Directiva (UE) 2022/2555, entidades esenciales o importantes pertenecientes a un sector de alta criticidad. Como se indica en el considerando 86 de la citada Directiva, los proveedores de servicios de seguridad gestionados en ámbitos como la respuesta a incidentes, las pruebas de penetración, las auditorías de seguridad y la consultoría desempeñan un papel especialmente importante prestando asistencia a las entidades en sus esfuerzos de prevención, detección, respuesta y recuperación en relación con los incidentes. No obstante, los propios proveedores de servicios de seguridad gestionados también han sido víctimas de ciberataques y plantean un riesgo especial como consecuencia de su estrecha integración en las actividades de sus clientes. Por lo tanto, es importante que las entidades que se consideren esenciales e importantes de acuerdo con la Directiva (UE) 2022/2555 redoblen su diligencia a la hora de seleccionar proveedores de servicios de seguridad gestionados.

(4)

La definición de servicios de seguridad gestionados en el presente Reglamento incluye una lista no exhaustiva de servicios de seguridad gestionados que podrían acogerse a esquemas europeos de certificación de la ciberseguridad, como la respuesta a incidentes, las pruebas de penetración, las auditorías de seguridad y la consultoría, relacionada con la asistencia técnica. Los servicios de seguridad gestionados podrían abarcar servicios de ciberseguridad que ayudan en la preparación, la prevención, la detección, el análisis, la atenuación de los efectos, la respuesta y la recuperación de incidentes. El suministro de información sobre ciberamenazas y la evaluación de riesgos relacionados con la asistencia técnica también podrían considerarse servicios de seguridad gestionados. Pueden existir diferentes esquemas europeos de certificación de la ciberseguridad para diferentes servicios de seguridad gestionados. Los certificados europeos de ciberseguridad expedidos de conformidad con dichos esquemas deben referirse a servicios de seguridad gestionados específicos de un proveedor específico de tales servicios.

(5)

Los proveedores de servicios de seguridad gestionados también pueden desempeñar un papel importante en relación con las acciones de apoyo a la respuesta y recuperación inicial de la Unión en caso de incidentes significativos e incidentes de ciberseguridad a gran escala, basándose en servicios de proveedores de confianza y en la realización de pruebas de entidades críticas para detectar posibles vulnerabilidades basadas en las evaluaciones coordinadas de riesgos a escala de la Unión. La certificación de los servicios de seguridad gestionados puede ser pertinente en la selección de los proveedores de confianza de servicios de seguridad gestionados tal como se define en el Reglamento (UE) 2025/38 del Parlamento Europeo y del Consejo (6).

(6)

La certificación de los servicios de seguridad gestionados no solo es pertinente en el marco del proceso de selección de la Reserva de Ciberseguridad de la UE establecida por el Reglamento (UE) 2025/38 sino que constituye también un indicador de calidad fundamental para las entidades públicas y privadas que tengan intención de contratar esos servicios. En vista de la criticidad de los servicios de seguridad gestionados y de la sensibilidad de los datos tratados, la certificación podría proporcionar importantes orientaciones y garantías sobre la fiabilidad de esos servicios a los clientes potenciales. Se pretende que los esquemas europeos de certificación de la ciberseguridad en relación con los servicios de seguridad gestionados contribuyan a evitar la fragmentación del mercado interior. Por consiguiente, el presente Reglamento tiene por objeto mejorar el funcionamiento del mercado interior.

(7)

Los esquemas europeos de certificación de la ciberseguridad en relación con los servicios de seguridad gestionados deben conducir a la adopción de dichos servicios y a una mayor competencia entre los proveedores de servicios de seguridad gestionados. Sin perjuicio del objetivo de garantizar unos niveles suficientes y adecuados de conocimientos técnicos pertinentes e integridad profesional de dichos proveedores, dichos esquemas de certificación deben, por tanto, facilitar la entrada en el mercado y la oferta de servicios de seguridad gestionados, simplificando, en la medida de lo posible, la potencial carga normativa, administrativa y financiera que podría recaer en los proveedores, en particular las pequeñas y medianas empresas (pymes), incluidas las microempresas, al ofrecer servicios de seguridad gestionados. Además, con el fin de fomentar la adopción de servicios de seguridad gestionados y estimular la demanda de tales servicios, los esquemas europeos de certificación de la ciberseguridad deben contribuir a su accesibilidad, en particular para los agentes más pequeños, como las pymes, incluidas las microempresas, así como para las autoridades locales y regionales que tienen capacidades y recursos limitados, pero que tienen más probabilidades de verse afectadas por vulneraciones de la ciberseguridad con implicaciones financieras, jurídicas, de reputación y operativas.

(8)

Es importante ofrecer apoyo a las pymes, incluidas las microempresas en la aplicación del presente Reglamento y en la obtención de las capacidades y capacidades especializadas en materia de ciberseguridad necesarios para prestar servicios de seguridad gestionados de conformidad con los requisitos establecidos en el presente Reglamento. El Programa Europa Digital establecido por el Reglamento (UE) 2021/694 del Parlamento Europeo y del Consejo (7) y otros programas pertinentes de la Unión disponen que la Comisión establezca un apoyo financiero y técnico que permita a esas empresas contribuir al crecimiento de la economía de la Unión y al fortalecimiento de un nivel común de ciberseguridad en la Unión, incluido a través de la racionalización del apoyo financiero del Programa Europa Digital y otros programas pertinentes de la Unión y apoyando a las pymes, incluidas las microempresas.

(9)

Los esquemas europeos de certificación de la ciberseguridad en relación con los servicios de seguridad gestionados deben contribuir a la disponibilidad de servicios seguros y de alta calidad que garanticen una transición digital segura y a la consecución de los objetivos establecido en el Programa Estratégico de la Década Digital para 2030 establecido por la Decisión (UE) 2022/2481 del Parlamento Europeo y del Consejo (8), en particular en lo que se refiere al objetivo de que el 75 % de las empresas de la Unión empiecen a utilizar servicios de computación en nube, macrodatos («big data») o inteligencia artificial, de que más del 90 % de las pymes, incluidas las microempresas, alcancen al menos un nivel básico de intensidad digital y de que los servicios públicos esenciales sean accesibles en línea.

(10)

Además de la implementación de productos, servicios o procesos de TIC, los servicios de seguridad gestionados a menudo ofrecen características adicionales que dependen de las competencias, conocimientos especializados y experiencia del personal de los proveedores de dichos servicios. A fin de garantizar que los servicios de seguridad gestionados que se presten sean de muy alta calidad, debe exigirse, dentro de los objetivos de seguridad, un nivel muy elevado de dichas competencias, conocimientos especializados y experiencia, así como unos procedimientos internos adecuados. Para asegurar que todos los aspectos de los servicios de seguridad gestionados puedan estar incluidos en los esquemas europeos de certificación de la ciberseguridad específicos, es necesario, por tanto, modificar el Reglamento (UE) 2019/881. Deben tenerse en cuenta los resultados y recomendaciones de la evaluación y revisión previstas en el Reglamento (UE) 2019/881.

(11)

Con el fin de facilitar el crecimiento de un mercado interior fiable, al tiempo que se crean asociaciones con terceros países afines, el proceso de certificación previsto en el marco europeo de certificación de la ciberseguridad previsto en el Reglamento (UE) 2019/881 debe ejecutarse de manera que facilite el reconocimiento internacional y la armonización con las normas internacionales.

(12)

La Unión se enfrenta a una brecha de talento, caracterizada por una escasez de profesionales cualificados, y a un panorama de amenazas en rápida evolución, como se reconoce en la Comunicación de la Comisión, de 18 de abril de 2023, titulada «Colmar la brecha de talento en materia de ciberseguridad para impulsar la competitividad, el crecimiento y la resiliencia de la UE (“Academia de Cibercapacidades”)». Los recursos educativos y la oferta de formación formal difieren y los conocimientos pueden adquirirse de diversas maneras: formalmente, por ejemplo, a través de la universidad o cursos o no formalmente, por ejemplo, mediante la formación en el puesto de trabajo o la experiencia profesional en el ámbito pertinente. Por consiguiente, a fin de facilitar la aparición de servicios de seguridad gestionados de alta calidad y tener una mejor visión de conjunto de la composición de la mano de obra de la Unión en materia de ciberseguridad, es importante reforzar la cooperación entre los Estados miembros, la Comisión, la Agencia de la Unión Europea para la Ciberseguridad establecida por el Reglamento (UE) 2019/881 (ENISA) y las partes interesadas, incluidas las provenientes del sector privado y del mundo académico, mediante el desarrollo de asociaciones público-privadas, el apoyo a iniciativas de investigación e innovación, el desarrollo y el reconocimiento mutuo de normas comunes y la certificación de capacidades en materia de ciberseguridad, también a través del marco europeo de capacidades en ciberseguridad. Tal cooperación también facilitaría la movilidad de los profesionales de la ciberseguridad dentro de la Unión, así como la integración de los conocimientos y la formación en materia de ciberseguridad en los programas educativos, garantizando al mismo tiempo el acceso de las personas jóvenes a períodos de prácticas y aprendizaje profesional, incluidas las personas que viven en regiones desfavorecidas, como las islas y las zonas escasamente pobladas, rurales y remotas. Es importante que dicha cooperación tenga el objetivo de atraer a más mujeres y niñas a este ámbito y contribuya a superar la brecha de género en la ciencia, la tecnología, la ingeniería y las matemáticas, y que el sector privado trate de impartir formación en el puesto de trabajo que aborde las capacidades más demandadas, con la participación de la administración pública y las empresas emergentes, así como las pymes, incluidas las microempresas. Asimismo, es importante que los proveedores y los Estados miembros colaboren y contribuyan a la recopilación de datos sobre la situación y la evolución del mercado laboral en el ámbito de la ciberseguridad.

(13)

ENISA desempeña un papel importante en la preparación de las propuestas de esquemas europeos de certificación de la ciberseguridad. Al preparar el proyecto de presupuesto general de la Unión, la Comisión debe evaluar los recursos presupuestarios necesarios para la plantilla de personal de ENISA, de conformidad con el procedimiento establecido en el artículo 29 del Reglamento (UE) 2019/881.

(14)

El presente Reglamento prevé modificaciones específicas del Reglamento (UE) 2019/881 para permitir el establecimiento de esquemas europeos de certificación de la ciberseguridad para los servicios de seguridad gestionados. Al hacerlo, también especifica y aclara determinadas disposiciones de dicho Reglamento relativas a la preparación y el funcionamiento de todos los esquemas europeos de certificación de la ciberseguridad con vistas a garantizar su transparencia y apertura. Estas últimas modificaciones, que se limitan a la especificación o aclaración del Reglamento (UE) 2019/881, en particular las modificaciones relativas a la información que debe facilitar ENISA al transmitir la propuesta de esquema, a los grupos de trabajo ad hoc creados para cada propuesta de esquema, y a la información y consulta sobre los esquemas europeos de certificación de la ciberseguridad, no deben perjudicar en modo alguno la evaluación y revisión más amplias de dicho Reglamento que se exigen en virtud del artículo 67 de dicho Reglamento, en particular la evaluación de los efectos, la eficacia y la eficiencia del título de dicho Reglamento relativo al marco de certificación de la ciberseguridad. La evaluación y revisión de dicho título deben basarse en una consulta amplia a las partes interesadas y en un análisis completo y exhaustivo de los procedimientos pertinentes.

(15)

Dado que el objetivo del presente Reglamento, a saber, facilitar el establecimiento de esquemas europeos de certificación de la ciberseguridad para los servicios de seguridad gestionados, no puede ser alcanzado de manera suficiente por los Estados miembros, sino que, debido a su dimensión y efectos, puede lograrse mejor a escala de la Unión, esta puede adoptar medidas, de acuerdo con el principio de subsidiariedad establecido en el artículo 5 del Tratado de la Unión Europea. De conformidad con el principio de proporcionalidad establecido en el mismo artículo, el presente Reglamento no excede de lo necesario para alcanzar dicho objetivo.

(16)

El Supervisor Europeo de Protección de Datos, al que se consultó de conformidad con el artículo 42, apartado 1, del Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo (9), emitió su dictamen el 10 de enero de 2024.

HAN ADOPTADO EL PRESENTE REGLAMENTO:

Artículo 1

Modificaciones del Reglamento (UE) 2019/881

El Reglamento (UE) 2019/881 se modifica como sigue:

1)

En el artículo 1, apartado 1, párrafo primero, la letra b) se sustituye por el texto siguiente:

«b)

un marco para la creación de esquemas europeos de certificación de la ciberseguridad, a efectos de garantizar un nivel adecuado de ciberseguridad de los productos, servicios y procesos de TIC y los servicios de seguridad gestionados en la Unión, así como de evitar la fragmentación del mercado interior respecto a los esquemas de certificación de la ciberseguridad en la Unión.».

2)

El artículo 2 se modifica como sigue:

a)

los puntos 9, 10 y 11 se sustituyen por el texto siguiente:

«9)

“esquema europeo de certificación de la ciberseguridad”: conjunto completo de disposiciones, requisitos técnicos, normas y procedimientos establecidos a escala de la Unión y que se aplican a la certificación o a la evaluación de la conformidad de productos, servicios o procesos de TIC o servicios de seguridad gestionados específicos;

10)

“esquema nacional de certificación de la ciberseguridad”: conjunto completo de disposiciones, requisitos técnicos, normas y procedimientos desarrollados y adoptados por una autoridad pública nacional y que se aplican a la certificación o a la evaluación de la conformidad de los productos, servicios y procesos de TIC o los servicios de seguridad gestionados incluidos en el ámbito de aplicación del esquema específico;

11)

“certificado europeo de ciberseguridad”: documento expedido por un organismo pertinente que certifica que un determinado producto, servicio o proceso de TIC o servicio de seguridad gestionado ha sido evaluado para verificar que cumple los requisitos específicos de seguridad establecidos en un esquema europeo de certificación de la ciberseguridad;»

;

b)

se inserta el punto siguiente:

«14 bis)

“servicio de seguridad gestionado”: servicio prestado a un tercero que consiste en llevar a cabo o prestar asistencia para actividades relacionadas con la gestión de riesgos de ciberseguridad, como, por ejemplo, la gestión de incidentes, las pruebas de penetración, las auditorías de seguridad y la consultoría relacionada con la asistencia técnica, incluidos los conocimientos específicos;»

;

c)

los puntos 20, 21 y 22 se sustituyen por el texto siguiente:

«20)

“especificación técnica”: documento que prescribe los requisitos técnicos que debe cumplir un producto, servicio o proceso de TIC o un servicio de seguridad gestionado, o los procedimientos de evaluación de la conformidad relativos a estos;

21)

“nivel de garantía”: fundamento que permite garantizar que un producto, servicio o proceso de TIC o un servicio de seguridad gestionado cumple los requisitos de seguridad de un esquema europeo de certificación de la ciberseguridad específico; indica el nivel en el que se ha evaluado un producto, servicio o proceso de TIC o un servicio de seguridad gestionado, pero, como tal, no mide la seguridad del producto, servicio o proceso de TIC o del servicio de seguridad gestionado en cuestión;

22)

“autoevaluación de la conformidad”: acción realizada por un fabricante o proveedor de productos, servicios o procesos de TIC o servicios de seguridad gestionados para evaluar si estos cumplen los requisitos de un esquema europeo de certificación de la ciberseguridad específico.».

3)

En el artículo 4, el apartado 6 se sustituye por el texto siguiente:

«6.   ENISA promoverá el uso de la certificación europea de ciberseguridad, con vistas a evitar la fragmentación del mercado interior. ENISA contribuirá a la creación y al mantenimiento de un marco europeo de certificación de la ciberseguridad de conformidad con el título III del presente Reglamento, con el fin de aumentar la transparencia de la ciberseguridad de los productos, servicios y procesos de TIC y los servicios de seguridad gestionados y reforzar así la confianza en el mercado interior digital y su competitividad.».

4)

El artículo 8 se modifica como sigue:

a)

el apartado 1 se modifica como sigue:

i)

la parte introductoria se sustituye por el texto siguiente:

«1.   ENISA apoyará y promoverá el desarrollo y la aplicación de la política de la Unión en materia de certificación de la ciberseguridad de productos, servicios y procesos de TIC y servicios de seguridad gestionados, según lo establecido en el título III del presente Reglamento, por los siguientes medios:»

;

ii)

la letra b) se sustituye por el texto siguiente:

«b)

preparar propuestas de esquemas europeos de certificación de la ciberseguridad (en lo sucesivo, “propuestas de esquemas”) para productos, servicios y procesos de TIC y servicios de seguridad gestionados de conformidad con el artículo 49;»

;

b)

el apartado 3 se sustituye por el texto siguiente:

«3.   ENISA recopilará y publicará directrices y formulará buenas prácticas en relación con los requisitos de ciberseguridad de los productos, servicios y procesos de TIC y los servicios de seguridad gestionados, en cooperación con las autoridades nacionales de certificación de la ciberseguridad y con el sector, de una manera formal, estructurada y transparente.»

;

c)

el apartado 5 se sustituye por el texto siguiente:

«5.   ENISA facilitará el establecimiento y la adopción de normas europeas e internacionales para la gestión de riesgos y para la seguridad de los productos, servicios y procesos de TIC y los servicios de seguridad gestionados.».

5)

El artículo 46 se sustituye por el texto siguiente:

«Artículo 46

Marco europeo de certificación de la ciberseguridad

1.   Se crea el marco europeo de certificación de la ciberseguridad con el fin de mejorar las condiciones de funcionamiento del mercado interior incrementando el nivel de ciberseguridad en el seno de la Unión y haciendo posible que, a escala de la Unión, se adopte un planteamiento armonizado de esquemas europeos de certificación de la ciberseguridad, con el objetivo de crear un mercado único digital para los productos, servicios y procesos de TIC y los servicios de seguridad gestionados.

2.   El marco europeo de certificación de la ciberseguridad definirá un mecanismo destinado a instaurar esquemas europeos de certificación de la ciberseguridad y a confirmar que los productos, servicios y procesos de TIC que hayan sido evaluados con arreglo a dichos esquemas cumplen los requisitos de seguridad especificados con el objetivo de proteger la disponibilidad, autenticidad, integridad o confidencialidad de los datos almacenados, transmitidos o tratados o las funciones o servicios que ofrecen, o a los que permitan acceder, dichos productos, servicios y procesos durante todo su ciclo de vida. Además, confirmará que los servicios de seguridad gestionados que hayan sido evaluados con arreglo a dichos esquemas cumplen los requisitos de seguridad especificados con el objetivo de proteger la disponibilidad, autenticidad, integridad y confidencialidad de los datos consultados, tratados, almacenados o transmitidos en relación con la prestación de tales servicios, y que tales servicios son prestados en todo momento con la competencia, pericia y experiencia necesarias por personal que posee un nivel suficiente y adecuado de los conocimientos técnicos pertinentes y de integridad profesional.».

6)

El artículo 47 se modifica como sigue:

a)

el apartado 2 se sustituye por el texto siguiente:

«2.   El programa de trabajo evolutivo de la Unión incluirá, en particular, una lista de productos, servicios y procesos de TIC, y de servicios de seguridad gestionados o de categorías de estos, que pudieran beneficiarse de la inclusión en el ámbito de aplicación de un esquema europeo de certificación de la ciberseguridad.»

;

b)

el apartado 3 se sustituye por el texto siguiente:

i)

la parte introductoria se sustituye por el texto siguiente:

«3.   La inclusión de productos, servicios y procesos de TIC específicos, o de servicios de seguridad gestionados, o de categorías de estos, en el programa de trabajo evolutivo de la Unión se justificará sobre la base de uno o más de los siguientes motivos:»

;

ii)

la letra a) se sustituye por el texto siguiente:

«a)

la disponibilidad y el desarrollo de esquemas nacionales de certificación de la ciberseguridad que incluyan cualquier categoría específica de productos, servicios o procesos de TIC o servicios de seguridad gestionados y, en particular, en lo que se refiere al riesgo de fragmentación;»

;

iii)

se inserta la letra siguiente:

«c bis)

los avances tecnológicos y la disponibilidad y el desarrollo de esquemas de certificación de la ciberseguridad internacionales y normas internacionales y normas empleadas por la industria;»

;

7)

El artículo 49 se modifica como sigue:

a)

los apartados 1 a 4 se sustituyen por el texto siguiente:

«1.   Tras recibir una solicitud de la Comisión con arreglo al artículo 48, ENISA preparará una propuesta de esquema que cumpla los requisitos aplicables establecidos en los artículos 51, 51 bis, 52 y 54.

2.   Tras recibir una solicitud del GECC con arreglo al artículo 48, apartado 2, ENISA podrá preparar una propuesta de esquema que cumpla los requisitos aplicables establecidos en los artículos 51, 51 bis, 52 y 54. Cuando ENISA rechace una solicitud, motivará su decisión. Toda decisión de rechazar dicha solicitud será adoptada por el Consejo de Administración.

3.   A la hora de preparar las propuestas de esquema, ENISA consultará a todas las partes interesadas de manera oportuna mediante un proceso de consulta formal, abierto, transparente e inclusivo. Al transmitir la propuesta de esquema a la Comisión con arreglo al apartado 6, ENISA facilitará información sobre la forma en que ha cumplido lo dispuesto en el presente apartado.

4.   Para cada propuesta de esquema, ENISA creará un grupo de trabajo ad hoc con arreglo al artículo 20, apartado 4, con el objetivo de facilitar a ENISA asesoramiento y conocimientos específicos. Dichos grupos de trabajo incluirán, según proceda y sin perjuicio de los procedimientos y la discrecionalidad establecidos en el artículo 20, apartado 4, expertos de las administraciones públicas de los Estados miembros, de las instituciones, órganos y organismos de la Unión y del sector privado.»

;

b)

el apartado 7 se sustituye por el texto siguiente:

«7.   La Comisión, sobre la base de la propuesta de esquema preparada por ENISA, podrá adoptar actos de ejecución que establezcan esquemas de certificación de la ciberseguridad europeos para productos, servicios y procesos de TIC y servicios de seguridad gestionados que cumplan los requisitos pertinentes de los artículos 51, 51 bis, 52 y 54. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 66, apartado 2.».

8)

Se inserta el artículo siguiente:

«Artículo 49 bis

Información y consulta sobre los esquemas europeos de certificación de la ciberseguridad

1.   La Comisión hará pública la información sobre su solicitud a ENISA para que esta prepare una propuesta de esquema o revise un esquema europeo de certificación de la ciberseguridad existente a que se refiere el artículo 48.

2.   Durante la preparación de una propuesta de esquema por parte de ENISA en virtud del artículo 49, el Parlamento Europeo, el Consejo o ambos, podrán solicitar a la Comisión, en su calidad de presidenta del GECC, y a ENISA, que presente trimestralmente información pertinente sobre una propuesta de esquema. A petición del Parlamento Europeo o del Consejo, ENISA, de acuerdo con la Comisión, y sin perjuicio de lo dispuesto en el artículo 27, podrá poner a disposición del Parlamento Europeo y del Consejo las partes pertinentes de una propuesta de esquema de un modo que se ajuste al nivel de confidencialidad requerido y, en su caso, de forma restringida.

3.   Con el fin de reforzar el diálogo entre las instituciones de la Unión y contribuir a un proceso de consulta formal, abierto, transparente e inclusivo, el Parlamento Europeo, el Consejo o ambos, podrán invitar a la Comisión y a ENISA a debatir cuestiones relativas al funcionamiento de los esquemas europeos de certificación de la ciberseguridad para productos, servicios y procesos de TIC o servicios de seguridad gestionados.

4.   La Comisión tendrá en cuenta, en su caso, los elementos derivados de las opiniones expresadas por el Parlamento Europeo y el Consejo, o por uno de ellos, sobre las cuestiones a que se refiere el apartado 3 del presente artículo al evaluar el presente Reglamento en virtud del artículo 67.».

9)

El artículo 51 se modifica como sigue:

a)

el título se sustituye por el texto siguiente:

«Objetivos de seguridad de los esquemas europeos de certificación de la ciberseguridad en relación con los productos, servicios y procesos de TIC»

;

b)

la parte introductoria se sustituye por el texto siguiente:

«Los esquemas europeos de certificación de la ciberseguridad en relación con los productos, servicios o procesos de TIC deberán diseñarse para cumplir, según proceda, al menos los objetivos de seguridad siguientes:».

10)

Se inserta el artículo siguiente:

«Artículo 51 bis

Objetivos de seguridad de los esquemas europeos de certificación de la ciberseguridad en relación con los servicios de seguridad gestionados

Los esquemas europeos de certificación de la ciberseguridad en relación con los servicios de seguridad gestionados deberán diseñarse para cumplir, según proceda, al menos los objetivos de seguridad siguientes:

a)

que los servicios de seguridad gestionados se presten con la competencia, pericia y experiencia necesarias, y, en particular, que el personal encargado de prestar dichos servicios posea un nivel suficiente y adecuado de competencia y conocimientos técnicos en el ámbito específico, así como una experiencia suficiente y adecuada, y actúe con el máximo nivel de integridad profesional;

b)

que el proveedor disponga de procedimientos internos adecuados para asegurar que los servicios de seguridad gestionados se presten en todo momento con un nivel de calidad suficiente y adecuado;

c)

que se protejan los datos consultados, almacenados, transmitidos o tratados de otro modo en relación con la prestación de servicios de seguridad gestionados frente al acceso, almacenamiento, revelación, destrucción u otro tipo de tratamiento accidentales o no autorizados, la pérdida o la alteración, o la falta de disponibilidad;

d)

que se restauren la disponibilidad y el acceso a los datos, servicios y funciones de forma rápida en caso de incidente físico o técnico;

e)

que las personas, programas o máquinas autorizados puedan acceder exclusivamente a los datos, servicios o funciones a que se refiere su derecho de acceso;

f)

que se lleve un registro y esté disponible para evaluar los datos, servicios o funciones que han sido objeto de acceso, uso u otro tratamiento, en qué momentos y por quién;

g)

que los productos, servicios y procesos de TIC que se implementen en el contexto de la prestación de los servicios de seguridad gestionados sean seguros desde el diseño y por defecto, y, cuando proceda, incluyan las últimas actualizaciones de seguridad y no contengan vulnerabilidades conocidas públicamente.».

11)

El artículo 52 se modifica como sigue:

a)

el apartado 1 se sustituye por el texto siguiente:

«1.   Los esquemas europeos de certificación de la ciberseguridad podrán especificar uno o más de los niveles de garantía siguientes para los productos, servicios y procesos de TIC y los servicios de seguridad gestionados: “básico”, “sustancial” o “elevado”. El nivel de garantía deberá reflejar el nivel del riesgo asociado al uso previsto del producto, servicio o proceso de TIC o servicio de seguridad gestionado, en términos de probabilidad y repercusiones de un incidente.»

;

b)

el apartado 3 se sustituye por el texto siguiente:

«3.   Los requisitos de seguridad relativos a cada nivel de garantía se precisarán en el esquema europeo de certificación de la ciberseguridad pertinente, incluidas las correspondientes funcionalidades de seguridad y el correspondiente rigor y profundidad necesarios para evaluar un producto, servicio o proceso de TIC o un servicio de seguridad gestionado.»

;

c)

los apartados 5, 6 y 7 se sustituyen por el texto siguiente:

«5.   Un certificado europeo de ciberseguridad o una declaración de conformidad de la UE que se refiere a un nivel de garantía “básico” ofrece garantías de que los productos, servicios y procesos de TIC o los servicios de seguridad gestionados para los cuales se expide cumplen los correspondientes requisitos de seguridad, incluidas las funcionalidades de seguridad, y de que se han evaluado hasta un nivel que pretende minimizar los riesgos básicos conocidos de incidentes y ciberataques. Las actividades de evaluación que deberán efectuar incluirán al menos una revisión de la documentación técnica. Cuando dicha revisión no sea apropiada, se emprenderán actividades de evaluación de la sustitución con efecto equivalente.

6.   Un certificado europeo de ciberseguridad que se refiere a un nivel de garantía “sustancial” ofrece garantías de que los productos, servicios y procesos de TIC o los servicios de seguridad gestionados para los cuales se expide dicho certificado cumplen los requisitos de seguridad correspondientes, incluidas las funcionalidades de seguridad, y de que se han evaluado hasta un nivel que pretende minimizar los riesgos relacionados con la ciberseguridad conocidos, los riesgos de incidentes y los ciberataques cometidos por agentes con capacidades y recursos limitados. Las actividades de evaluación que deberán efectuarse incluirán al menos: la revisión para demostrar la ausencia de vulnerabilidades conocidas públicamente y la comprobación de que los productos, servicios o procesos de TIC o los servicios de seguridad gestionados aplican correctamente las funcionalidades de seguridad necesarias. Cuando dichas actividades de evaluación no sean apropiadas, se emprenderán actividades de evaluación de la sustitución con efecto equivalente.

7.   Un certificado europeo de ciberseguridad que se refiere a un nivel de garantía “elevado” ofrecerá garantías de que los productos, servicios y procesos de TIC o los servicios de seguridad gestionados para los cuales se expide dicho certificado cumplen los requisitos de seguridad correspondientes, incluidas las funcionalidades de seguridad, y de que se han evaluado hasta nivel que pretende minimizar el riesgo de ciberataques sofisticados cometidos por agentes con capacidades y recursos considerables. Las actividades de evaluación que deberán efectuarse incluirán al menos: la revisión para demostrar la improcedencia de las vulnerabilidades conocidas públicamente, la comprobación de que los productos, procesos o servicios de TIC o los servicios de seguridad gestionados aplican correctamente la funcionalidad de seguridad más con las tecnologías de vanguardia necesarias, y la evaluación de su resistencia a atacantes expertos mediante pruebas de penetración. Cuando dichas actividades de evaluación no sean apropiadas, se emprenderán actividades de evaluación de la sustitución con efecto equivalente.».

12)

En el artículo 53, los apartados 1, 2 y 3 se sustituyen por el texto siguiente:

«1.   Un esquema europeo de certificación de la ciberseguridad podrá permitir realizar una autoevaluación de la conformidad bajo la responsabilidad exclusiva del fabricante o proveedor de productos, servicios o procesos de TIC o servicios de seguridad gestionados. La autoevaluación de la conformidad únicamente se autorizará en relación con los productos, servicios y procesos de TIC o los servicios de seguridad gestionados que presenten un riesgo bajo correspondientes al nivel de garantía “básico”.

2.   El fabricante o proveedor de productos, servicios o procesos de TIC o servicios de seguridad gestionados puede expedir una declaración de conformidad de la UE en la que se indique que ha quedado demostrado el cumplimiento de los requisitos establecidos en el esquema. Al expedir dicha declaración, el fabricante o proveedor de productos, servicios o procesos de TIC o servicios de seguridad gestionados asumirá la responsabilidad de la conformidad del producto, servicio o proceso de TIC o servicio de seguridad gestionado con los requisitos que establezca dicho esquema.

3.   El fabricante o proveedor de productos, servicios o procesos de TIC o servicios de seguridad gestionados deberá poner a disposición de la autoridad nacional de certificación de la ciberseguridad designada en virtud del artículo 58, durante el plazo previsto en el esquema europeo de certificación de la ciberseguridad correspondiente, la declaración de conformidad de la UE, la documentación técnica y toda otra información pertinente relativa a la conformidad de los productos, servicios o procesos de TIC o los servicios de seguridad gestionados con el esquema. Deberá presentarse a la autoridad nacional de certificación de la ciberseguridad y a ENISA una copia de la declaración de conformidad de la UE.».

13)

En el artículo 54, el apartado 1 se modifica como sigue:

a)

la letra a) se sustituye por el texto siguiente:

«a)

el objeto y el alcance del esquema de certificación, incluido el tipo o categoría de productos, servicios y procesos de TIC y servicios de seguridad gestionados cubiertos;»

;

b)

la letra g) se sustituye por el texto siguiente:

«g)

los criterios y métodos de evaluación específicos que deben ser utilizados, incluidos los tipos de evaluación, para demostrar el logro de los objetivos de seguridad aplicables a que se refieren los artículos 51 y 51 bis

;

c)

la letra j) se sustituye por el texto siguiente:

«j)

las normas para controlar el cumplimiento de los productos, servicios y procesos de TIC o los servicios de seguridad gestionados de los requisitos de los certificados europeos de ciberseguridad o de la declaración de conformidad de la UE, incluidos los mecanismos que permitan demostrar la conformidad permanente con los requisitos de ciberseguridad especificados;»

;

d)

la letra l) se sustituye por el texto siguiente:

«l)

las normas relativas a las consecuencias para los productos, servicios y procesos de TIC o los servicios de seguridad gestionados que han sido certificados o para los que se haya expedido una declaración de conformidad de la UE, pero que no sean conformes con los requisitos del esquema;»

;

e)

la letra o) se sustituye por el texto siguiente:

«o)

la identificación de los esquemas nacionales o internacionales de certificación de la ciberseguridad que cubran el mismo tipo o categoría de productos, servicios y procesos de TIC o servicios de seguridad gestionados, requisitos de seguridad, criterios y métodos de evaluación y niveles de garantía;»

;

f)

la letra q) se sustituye por el texto siguiente:

«q)

el período de disponibilidad de la declaración de conformidad de la UE, la documentación técnica y cualquier otra información pertinente que deba facilitar el fabricante o proveedor de productos, servicios o procesos de TIC o servicios de seguridad gestionados;».

14)

El artículo 56 se modifica como sigue:

a)

el apartado 1 se sustituye por el texto siguiente:

«1.   Los productos, servicios y procesos de TIC y los servicios de seguridad gestionados que hayan sido certificados en virtud de un esquema europeo de certificación de la ciberseguridad adoptado con arreglo al artículo 49 se considerarán conformes con los requisitos de dicho esquema.»

;

b)

el apartado 3 se modifica como sigue:

i)

el párrafo primero se sustituye por el texto siguiente:

«La Comisión evaluará periódicamente la eficacia y la utilización de los esquemas europeos de certificación de la ciberseguridad adoptados, así como si un determinado esquema europeo de certificación de la ciberseguridad debe convertirse en obligatorio mediante el Derecho de la Unión aplicable para garantizar un nivel adecuado de ciberseguridad de los productos, servicios y procesos de TIC y, a partir del 4 de febrero de 2025, los servicios de seguridad gestionados en la Unión y mejorar el funcionamiento del mercado interior. La primera de tales evaluaciones se efectuará a más tardar el 31 de diciembre de 2023, y las evaluaciones posteriores, como mínimo cada dos años. La Comisión deberá, a partir de los resultados de las evaluaciones, determinar los productos, servicios y procesos de TIC y los servicios de seguridad gestionados cubiertos por un esquema de certificación existente que deban estar cubiertos por un esquema de certificación obligatorio.»

;

ii)

el párrafo tercero se modifica como sigue:

la letra a) se sustituye por el texto siguiente:

«a)

tener en cuenta las repercusiones de las medidas sobre los fabricantes o proveedores de dichos productos, servicios o procesos de TIC o servicios de seguridad gestionados y sobre los usuarios, en términos de costes, así como los beneficios sociales o económicos que se deriven del refuerzo previsto del nivel de seguridad de los productos, servicios o procesos de TIC o los servicios de seguridad gestionados de que se trate;»
;

la letra d) se sustituye por el texto siguiente:

«d)

tener en cuenta los plazos de aplicación, así como los períodos y medidas transitorios, en particular, respecto de las posibles repercusiones de la medida sobre los fabricantes o los proveedores de productos, servicios y procesos de TIC o servicios de seguridad gestionados, incluidos los intereses y necesidades específicos de las pymes, incluidas las microempresas;»
;

c)

los apartados 7 y 8 se sustituyen por el texto siguiente:

«7.   La persona física o jurídica que presenta los productos, servicios o procesos de TIC o servicios de seguridad gestionados para la certificación pondrá a disposición de la autoridad nacional de certificación de la ciberseguridad designada en virtud del artículo 58, si dicha autoridad es el organismo que expide el certificado europeo de ciberseguridad, o del organismo de evaluación de la conformidad a que se refiere el artículo 60, toda la información necesaria para llevar a cabo el procedimiento de certificación.

8.   El titular de un certificado europeo de ciberseguridad informará a la autoridad o al organismo a que se refiere el apartado 7 de cualquier vulnerabilidad o irregularidad que se detecte posteriormente relativa a la seguridad de los productos, servicios o procesos de TIC o los servicios de seguridad gestionados certificados que pueda afectar al cumplimiento de los requisitos de certificación. Dicha autoridad u organismo transmitirá la información sin demora indebida a la autoridad nacional de certificación de la ciberseguridad de que se trate.».

15)

En el artículo 57, los apartados 1 y 2 se sustituyen por el texto siguiente:

«1.   Sin perjuicio de lo dispuesto en el apartado 3 del presente artículo, los esquemas nacionales de certificación de la ciberseguridad y los procedimientos correspondientes para los productos, servicios y procesos de TIC y los servicios de seguridad gestionados cubiertos por un esquema europeo de certificación de la ciberseguridad dejarán de surtir efectos a partir de la fecha establecida en el acto de ejecución adoptado con arreglo al artículo 49, apartado 7. Los esquemas nacionales de certificación de la ciberseguridad y los procedimientos conexos para los productos, servicios y procesos de TIC y los servicios de seguridad gestionados que no estén cubiertos por un esquema europeo de certificación de la ciberseguridad seguirán existiendo.

2.   Los Estados miembros se abstendrán de introducir nuevos esquemas nacionales de certificación de la ciberseguridad para los productos, servicios y procesos de TIC y los servicios de seguridad gestionados cubiertos por un esquema europeo de certificación de la ciberseguridad en vigor.».

16)

El artículo 58 se modifica como sigue:

a)

el apartado 7 se modifica como sigue:

i)

las letras a) y b) se sustituyen por el texto siguiente:

«a)

supervisarán y velarán por la aplicación de las normas recogidas en los esquemas europeos de certificación de la ciberseguridad en virtud del artículo 54, apartado 1, letra j), para controlar la conformidad de los productos, servicios y procesos de TIC y los servicios de seguridad gestionados con los requisitos de los certificados europeos de ciberseguridad que hayan sido expedidos en sus respectivos territorios, en cooperación con otras autoridades de vigilancia del mercado pertinentes;

b)

controlarán el cumplimiento y velarán por la aplicación de las obligaciones de los fabricantes o proveedores de productos, servicios o procesos de TIC o servicios de seguridad gestionados que estén establecidos en sus respectivos territorios y que llevan a cabo autoevaluaciones de la conformidad, en particular, controlarán el cumplimiento y la aplicación de las obligaciones de dichos fabricantes y proveedores que figuran en el artículo 53, apartados 2 y 3, y en el correspondiente esquema europeo de certificación de la ciberseguridad;»

;

ii)

la letra h) se sustituye por el texto siguiente:

«h)

cooperarán con otras autoridades nacionales de certificación de la ciberseguridad u otras autoridades públicas, en particular, mediante el intercambio de información sobre productos, servicios y procesos de TIC o servicios de seguridad gestionados que no se ajusten a los requisitos del presente Reglamento o de esquemas europeos de certificación de la ciberseguridad específicos, y;»

;

b)

el apartado 9 se sustituye por el texto siguiente:

«9.   Las autoridades nacionales de certificación de la ciberseguridad cooperarán entre ellas y con la Comisión, y, en particular, intercambiarán información, experiencias y buenas prácticas en relación con la certificación de la ciberseguridad y las cuestiones técnicas relativas a la ciberseguridad de los productos, servicios y procesos de TIC y los servicios de seguridad gestionados.».

17)

En el artículo 59, apartado 3, las letras b) y c) se sustituyen por el texto siguiente:

«b)

los procedimientos de supervisión y cumplimiento de las normas para controlar la conformidad de los productos, servicios y procesos de TIC y los servicios de seguridad gestionados con los certificados europeos de ciberseguridad con arreglo al artículo 58, apartado 7, letra a);

c)

los procedimientos de control y cumplimiento de las obligaciones de los fabricantes o proveedores de productos, servicios o procesos de TIC o servicios de seguridad gestionados con arreglo al artículo 58, apartado 7, letra b);».

18)

En el artículo 67, los apartados 2 y 3 se sustituyen por el texto siguiente:

«2.   En la evaluación se analizarán también los efectos, la eficacia y la eficiencia de las disposiciones del título III del presente Reglamento, incluidos los procedimientos que conducen a la adopción de esquemas europeos de certificación de la ciberseguridad y sus bases empíricas, en relación con los objetivos de garantizar un nivel adecuado de ciberseguridad de los productos, servicios y procesos de TIC y los servicios de seguridad gestionados en la Unión y de mejorar el funcionamiento del mercado interior.

3.   En la evaluación se analizará la necesidad de establecer requisitos esenciales de ciberseguridad para el acceso al mercado interior a fin de evitar que se introduzcan en el mercado interior productos, servicios y procesos de TIC o servicios de seguridad gestionados que no sean conformes con los requisitos básicos en materia de ciberseguridad.».

19)

El anexo se modifica de conformidad con el anexo del presente Reglamento.

Artículo 2

El presente Reglamento entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.

El presente Reglamento será obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro.

Hecho en Bruselas, el 19 de diciembre de 2024.

Por el Parlamento Europeo

La Presidenta

R. METSOLA

Por el Consejo

El Presidente

BÓKA J.

(1)   DO C 349 de 29.9.2023, p. 167.

(2)  Posición del Parlamento Europeo de 24 de abril de 2024 (pendiente de publicación en el Diario Oficial) y Decisión del Consejo de 2 de diciembre de 2024.

(3)  Reglamento (UE) 2019/881 del Parlamento Europeo y del Consejo, de 17 de abril de 2019, relativo a ENISA (Agencia de la Unión Europea para la Ciberseguridad) y a la certificación de la ciberseguridad de las tecnologías de la información y la comunicación y por el que se deroga el Reglamento (UE) n.o 526/2013 («Reglamento sobre la Ciberseguridad») (DO L 151 de 7.6.2019, p. 15).

(4)  Reglamento (UE) 2024/2847 del Parlamento Europeo y del Consejo, de 23 de octubre de 2024, relativo a los requisitos horizontales de ciberseguridad para los productos con elementos digitales y por el que se modifica el Reglamento (UE) n.o 168/2013 y el Reglamento (UE) 2019/1020 y la Directiva (UE) 2020/1828 (Reglamento de Ciberresiliencia) (DO L, 2024/2847, 20.11.2024, ELI: http://data.europa.eu/eli/reg/2024/2847/oj).

(5)  Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión, por la que se modifican el Reglamento (UE) n.o 910/2014 y la Directiva (UE) 2018/1972 y por la que se deroga la Directiva (UE) 2016/1148 (Directiva SRI 2) (DO L 333 de 27.12.2022, p. 80).

(6)  Reglamento (UE) 2025/38 del Parlamento Europeo y del Consejo de 19 de diciembre de 2024 por el que se establecen medidas destinadas a reforzar la solidaridad y las capacidades en la Unión a fin de detectar ciberamenazas e incidentes, prepararse y responder a ellos y por el que se modifica el Reglamento (UE) 2021/694 (Reglamento de Cibersolidaridad) (DO L, 2025/38, 15.1.2025, ELI: http://data.europa.eu/eli/reg/2025/38/oj).

(7)  Reglamento (UE) 2021/694 del Parlamento Europeo y del Consejo, de 29 de abril de 2021, por el que se establece el Programa Europa Digital y por el que se deroga la Decisión (UE) 2015/2240 (DO L 166 de 11.5.2021, p. 1).

(8)  Decisión (UE) 2022/2481 del Parlamento Europeo y del Consejo de 14 de diciembre de 2022 por la que se establece el programa estratégico de la Década Digital para 2030 (DO L 323 de 19.12.2022, p. 4).

(9)  Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.o 45/2001 y la Decisión n.o 1247/2002/CE (DO L 295 de 21.11.2018, p. 39).

ANEXO

El anexo del Reglamento (UE) 2019/881 se modifica como sigue:

1)

Los puntos 2 a 5 se sustituyen por el texto siguiente:

«2.

El organismo de evaluación de la conformidad será un organismo tercero independiente de la organización, o de los productos, servicios o procesos de TIC o de los servicios de seguridad gestionados que evalúa.

3.

Podrá tratarse de un organismo pertenecientes a una asociación empresarial o una federación profesional que represente a las empresas que participan en el diseño, la fabricación, el suministro, el montaje, el uso o el mantenimiento de los productos, servicios o procesos de TIC o los servicios de seguridad gestionados que evalúa, a condición de que se demuestre su independencia y la ausencia de conflictos de intereses.

4.

El organismo de evaluación de la conformidad, sus máximos directivos y el personal responsable de la realización de las tareas de evaluación de la conformidad no serán el diseñador, el fabricante, el proveedor, el instalador, el comprador, el propietario, el usuario ni el encargado del mantenimiento del producto, servicio o proceso de TIC o del servicio de seguridad gestionado que debe evaluarse, o el representante autorizado de ninguno de ellos. Dicha prohibición no será óbice para que se utilicen los productos de TIC evaluados necesarios para las actividades del organismo de evaluación de la conformidad o para que se utilicen dichos productos de TIC para fines personales.

5.

El organismo de evaluación de la conformidad, sus máximos directivos y el personal responsable de la realización de las tareas de evaluación de la conformidad no intervendrán directamente en el diseño, la fabricación o construcción, la prestación, la comercialización, la instalación, el uso o el mantenimiento de los productos, servicios o procesos de TIC o de los servicios de seguridad gestionados que son evaluados, ni representarán a las partes que participan en estas actividades. Los organismos de evaluación de la conformidad, sus máximos directivos y las personas responsables de la realización de las tareas de evaluación de la conformidad no efectuarán ninguna actividad que pueda entrar en conflicto con su independencia de criterio o su integridad en relación con las actividades de evaluación de la conformidad para las que estén notificados. Dicha prohibición se aplicará, en particular, a los servicios de consultoría.».

2)

El punto 10 se modifica como sigue:

a)

la parte introductoria se sustituye por el texto siguiente:

«10.

En todo momento, respecto a cada procedimiento de evaluación de la conformidad y cada tipo, categoría o subcategoría de productos, servicios o procesos de TIC o de servicios de seguridad gestionados, el organismo de evaluación de la conformidad dispondrá de:»;

b)

la letra c) se sustituye por el texto siguiente:

«c)

los procedimientos necesarios para desempeñar sus actividades teniendo debidamente en cuenta el tamaño de una empresa, el sector en que opera, su estructura, el grado de complejidad de la tecnología del producto, servicio o proceso de TIC o servicio de seguridad gestionado de que se trate y si el proceso de producción es en serie.».

3)

Los puntos 19 y 20 se sustituyen por el texto siguiente:

«19.

Los organismos de evaluación de la conformidad cumplirán los requisitos de la norma armonizada pertinente tal como se define en el artículo 2, punto 9, del Reglamento (CE) n.o 765/2008 para la acreditación de los organismos de evaluación de la conformidad que certifiquen productos, servicios o procesos de TIC o servicios de seguridad gestionados.

20.

Los organismos de evaluación de la conformidad velarán por que los laboratorios de ensayo utilizados con fines de evaluación de la conformidad cumplan los requisitos de la norma armonizada pertinente tal como se define en el artículo 2, punto 9, del Reglamento (CE) n.o 765/2008 para la acreditación de los laboratorios que realicen ensayos.».

Se ha realizado una declaración con respecto a este acto y se puede encontrar en [completado por la oficina del DO: DO C, C/2025/307, 15.1.2025, ELI: http://data.europa.eu/eli/C/2025/307/oj.

ELI: http://data.europa.eu/eli/reg/2025/37/oj

ISSN 1977-0685 (electronic edition)