Art. 56
Certificación de la ciberseguridad
En vigor desde 17 abr 2019
Artículo 56
Certificación de la ciberseguridad
1. Los productos, servicios y procesos de TIC que hayan sido certificados de conformidad con un esquema europeo de certificación de la ciberseguridad adoptado de conformidad con el artículo 49 se presumirán conformes con los requisitos de dicho esquema.
2. La certificación de la ciberseguridad será voluntaria, salvo que se disponga otra cosa en el Derecho de la Unión o de los Estados miembros.
3. La Comisión evaluará periódicamente la eficacia y la utilización de los esquemas europeos de certificación de la ciberseguridad adoptados, así como si un esquema europeo de certificación de la ciberseguridad específico debe convertirse en obligatorio mediante el Derecho de la Unión aplicable para garantizar un nivel adecuado de ciberseguridad de los productos, servicios y procesos de TIC en la Unión y mejorar el funcionamiento del mercado interior. La primera de tales evaluaciones debe efectuarse a más tardar el 31 de diciembre de 2023, y las evaluaciones posteriores como mínimo cada dos años. La Comisión deberá, con base en los resultados de la evaluación, determinar los productos, servicios y procesos de TIC cubiertos por un esquema de certificación existente que deben estar cubiertos por un esquema de certificación obligatorio.
La Comisión atenderá, con carácter prioritario, a los sectores enumerados en el anexo II de la Directiva (UE) 2016/1148, que se evaluarán a más tardar dos años después de la adopción del primer esquema europeo de certificación de la ciberseguridad.
Al preparar la evaluación, la Comisión deberá:
a)
tener en cuenta las repercusiones de las medidas sobre los fabricantes o proveedores de dichos productos, servicios o procesos de TIC y sobre los usuarios en términos de costes, así como los beneficios sociales o económicos derivados del refuerzo previsto del nivel de seguridad de los productos, servicios y procesos de TIC de que se trate;
b)
tener en cuenta la existencia y la aplicación del Derecho del Estado miembro y del tercer país pertinentes;
c)
llevar a cabo un procedimiento de consulta abierto, transparente e inclusivo con todas las partes interesadas pertinentes y los Estados miembros;
d)
tener en cuenta los plazos de aplicación, los períodos y medidas transitorios, en particular, respecto de las posibles repercusiones de la medida sobre los fabricantes o los proveedores de productos, servicios y procesos de TIC, incluidas las pymes;
e)
proponer la manera más rápida y eficaz para llevar a cabo la transición entre un esquema de certificación voluntario y uno obligatorio.
4. Los organismos de evaluación de la conformidad a que se refiere el artículo 60 expedirán un certificado europeo de ciberseguridad en virtud del presente artículo que haga referencia al nivel de garantía «básico» o «sustancial», sobre la base de los criterios incluidos en el esquema europeo de certificación de la ciberseguridad adoptado por la Comisión de conformidad con el artículo 49.
5. No obstante lo dispuesto en el apartado 4, en casos debidamente justificados un esquema europeo de certificación de la ciberseguridad podrá prever que solo un organismo público pueda expedir un certificado europeo de ciberseguridad resultante de ese esquema. Este organismo será uno de los siguientes:
a)
una autoridad nacional de certificación de la ciberseguridad con arreglo al artículo 58, apartado 1, o
b)
un organismo público que esté acreditado como organismo de evaluación de la conformidad con arreglo al artículo 60, apartado 1.
6. En los casos en que un esquema europeo de certificación de la ciberseguridad adoptado en virtud del artículo 49 requiera un nivel de garantía «elevado», el certificado europeo de ciberseguridad en virtud de dicho esquema solo podrá ser expedido por una autoridad nacional de certificación de la ciberseguridad o, en los siguientes casos, por un organismo de evaluación de la conformidad:
a)
previa aprobación de la autoridad nacional de certificación de la ciberseguridad para cada certificado europeo de ciberseguridad individual que expida un organismo de evaluación de la conformidad, o
b)
con base en una delegación general de la tarea de expedir tal certificado europeo de ciberseguridad por la autoridad nacional de certificación de la ciberseguridad a un organismo de evaluación de la conformidad.
7. La persona física o jurídica que presenta los productos, servicios o procesos de TIC para la certificación pondrá a disposición de la autoridad nacional de certificación de la ciberseguridad a que se refiere el artículo 58, si dicha autoridad es el organismo que expide el certificado europeo de ciberseguridad, o del organismo de evaluación de la conformidad a que se refiere el artículo 60, toda la información necesaria para llevar a cabo el procedimiento de certificación.
8. El titular de un certificado europeo de ciberseguridad informará a la autoridad o al organismo a que se refiere el apartado 7, de cualquier vulnerabilidad o irregularidad que se detecte posteriormente, relativa a la seguridad del producto, servicio o proceso de TIC certificado, que pueda afectar al cumplimiento de los requisitos de certificación. La citada autoridad u organismo transmitirán dicha información sin demora indebida a la autoridad nacional de certificación de la ciberseguridad de que se trate.
9. Los certificados europeos de ciberseguridad se expedirán por el período previsto en el esquema europeo de certificación de la ciberseguridad y podrán renovarse siempre y cuando sigan cumpliéndose los requisitos correspondientes.
10. Los certificados europeos de ciberseguridad expedidos en virtud del presente artículo serán reconocidos en todos los Estados miembros.
Historial de versiones
Este artículo no ha sufrido modificaciones desde su publicación.
Tus anotaciones
Proeli:reg:2019:881:oj#art-56