Art. 35
Informe de la evaluación de impacto de la vulnerabilidad
En vigor desde 31 ene 2024
Artículo 35
Informe de la evaluación de impacto de la vulnerabilidad
1. El titular elaborará un informe del análisis del impacto de la vulnerabilidad cuando en este se revele que la vulnerabilidad puede repercutir en la conformidad del producto de TIC con su certificado.
2. El informe de la evaluación de impacto de la vulnerabilidad contendrá un análisis de los siguientes elementos:
a)
el impacto de la vulnerabilidad en el producto de TIC certificado;
b)
los posibles riesgos asociados a la proximidad o disponibilidad de un ataque;
c)
si es posible subsanar la vulnerabilidad;
d)
en caso de que pueda subsanarse la vulnerabilidad, las posibles resoluciones al respecto.
3. El informe de la evaluación de impacto de la vulnerabilidad contendrá, en su caso, información sobre las maneras en que puede aprovecharse la vulnerabilidad. Dicha información se tratará con arreglo a las medidas de seguridad adecuadas para proteger su confidencialidad y garantizar, en caso necesario, su limitada difusión.
4. El titular del certificado EUCC transmitirá sin demora indebida un informe del análisis del impacto de la vulnerabilidad al organismo de certificación o a la autoridad nacional de certificación de la ciberseguridad de conformidad con el artículo 56, apartado 8, del Reglamento (UE) 2019/881.
5. Si el informe del análisis del impacto de la vulnerabilidad determina que la vulnerabilidad no es residual en el sentido de las normas a las que se refiere el artículo 3 y que puede subsanarse, se aplicará el artículo 36.
6. Si el informe del análisis del impacto de la vulnerabilidad aprobado por el organismo de certificación determina que no puede subsanarse la vulnerabilidad, se procederá a retirar el certificado EUCC de conformidad con el artículo 14.
7. El titular del certificado EUCC supervisará cualquier vulnerabilidad residual para garantizar que no pueda aprovecharse en caso de que se produzcan cambios en el entorno operativo.
Historial de versiones
Este artículo no ha sufrido modificaciones desde su publicación.
Tus anotaciones
Proeli:reg_impl:2024:482:oj#art-35