Art. 25
Actividades de control por parte de la autoridad nacional de certificación de la ciberseguridad
En vigor desde 31 ene 2024
Artículo 25
Actividades de control por parte de la autoridad nacional de certificación de la ciberseguridad
1. Sin perjuicio de lo dispuesto en el artículo 58, apartado 7, del Reglamento (UE) 2019/881, la autoridad nacional de certificación de la ciberseguridad controlará el cumplimiento:
a)
del organismo de certificación y la ITSEF con las obligaciones que les incumben en virtud del presente Reglamento y del Reglamento (UE) 2019/881;
b)
de los titulares de certificados EUCC con las obligaciones que les incumben en virtud del presente Reglamento y del Reglamento (UE) 2019/881;
c)
de los productos de TIC certificados con los requisitos establecidos en el EUCC;
d)
de la garantía indicada en el certificado EUCC para abordar la evolución del panorama de amenazas.
2. La autoridad nacional de certificación de la ciberseguridad llevará a cabo sus actividades de control basándose en particular en:
a)
la información procedente de los organismos de certificación, los organismos nacionales de acreditación y las autoridades de vigilancia del mercado pertinentes;
b)
la información resultante de las auditorías e investigaciones realizadas por ella misma o por otra autoridad;
c)
el muestreo llevado a cabo de conformidad con el apartado 3;
d)
las reclamaciones recibidas.
3. La autoridad nacional de certificación de la ciberseguridad, en cooperación con otras autoridades de vigilancia del mercado, muestreará anualmente, como mínimo, el 4 % de los certificados EUCC, según determine una evaluación de riesgos. Previa solicitud y actuando en nombre de la autoridad nacional de certificación de la ciberseguridad competente, los organismos de certificación y, en caso necesario, la ITSEF asistirán a dicha autoridad en el control del cumplimiento.
4. La autoridad nacional de certificación de la ciberseguridad seleccionará la muestra de productos de TIC certificados que se inspeccionarán en función de criterios objetivos, entre ellos:
a)
la categoría de producto;
b)
los niveles de garantía de los productos;
c)
el titular de un certificado;
d)
el organismo de certificación y, en su caso, la ITSEF subcontratada;
e)
cualquier otra información puesta en conocimiento de la autoridad.
5. La autoridad nacional de certificación de la ciberseguridad informará a los titulares de certificados EUCC acerca de los productos de TIC seleccionados y los criterios de selección.
6. El organismo de certificación que haya certificado el producto de TIC muestreado, previa solicitud de la autoridad nacional de certificación de la ciberseguridad, con la asistencia de la respectiva ITSEF, llevará a cabo una revisión adicional con arreglo al procedimiento establecido en el anexo IV, sección IV.2, e informará de los resultados a la autoridad nacional de certificación de la ciberseguridad.
7. Cuando la autoridad nacional de certificación de la ciberseguridad tenga motivos suficientes para creer que un producto de TIC certificado ya no cumple el presente Reglamento o el Reglamento (UE) 2019/881, podrá llevar a cabo investigaciones o ejercer cualquier otra competencia de control prevista en el artículo 58, apartado 8, del Reglamento (UE) 2019/881.
8. La autoridad nacional de certificación de la ciberseguridad informará al organismo de certificación y a la ITSEF correspondientes de las investigaciones en curso relativas a los productos de TIC seleccionados.
9. Cuando la autoridad nacional de certificación de la ciberseguridad constate que una investigación en curso se refiere a productos de TIC certificados por organismos de certificación establecidos en otros Estados miembros, informará de ello a las autoridades nacionales de certificación de la ciberseguridad de los Estados miembros pertinentes con el fin de colaborar en las investigaciones, cuando proceda. Asimismo, dicha autoridad nacional de certificación de la ciberseguridad deberá notificar al Grupo Europeo de Certificación de la Ciberseguridad la realización de investigaciones transfronterizas y los resultados subsiguientes.
Historial de versiones
Este artículo no ha sufrido modificaciones desde su publicación.
Tus anotaciones
Proeli:reg_impl:2024:482:oj#art-25