Art. 22
Requisitos adicionales o específicos aplicables a las ITSEF
En vigor desde 31 ene 2024
Artículo 22
Requisitos adicionales o específicos aplicables a las ITSEF
1. La autoridad nacional de certificación de la ciberseguridad autorizará a una ITSEF a llevar a cabo la evaluación de productos de TIC sujetos a certificación con un nivel de garantía «elevado» cuando dicha ITSEF demuestre que, además de reunir los requisitos previstos en el artículo 60, apartado 1, y en el anexo del Reglamento (UE) 2019/881 por lo que respecta a la acreditación de organismos de evaluación de la conformidad, cumple todas las condiciones siguientes:
a)
posee los conocimientos especializados necesarios para desempeñar las actividades de evaluación al objeto de determinar la resistencia a los ciberataques de última generación llevados a cabo por agentes con capacidades y recursos significativos;
b)
con respecto a los ámbitos técnicos y los perfiles de protección, que forman parte del proceso de TIC para esos productos de TIC:
1)
posee los conocimientos especializados necesarios para desempeñar las actividades de evaluación específicas necesarias para determinar metódicamente la resistencia de un objeto de evaluación frente a atacantes expertos en su entorno operativo, suponiendo un potencial de ataque «moderado» o «alto» con arreglo a lo dispuesto en las normas a que se refiere el artículo 3;
2)
dispone de las competencias técnicas especificadas en los documentos del estado de la técnica enumerados en el anexo I;
c)
dispone de las competencias necesarias y ha adoptado medidas técnicas y operativas adecuadas para proteger eficazmente la información confidencial y delicada con nivel de garantía «elevado», además de los requisitos establecidos en el artículo 43.
2. La autoridad nacional de certificación de la ciberseguridad determinará si una ITSEF cumple todos los requisitos previstos en el apartado 1. A tal efecto, deberá llevar a cabo, como mínimo, entrevistas estructuradas y una revisión de al menos una evaluación piloto realizada por la ITSEF de conformidad con el presente Reglamento.
3. En su evaluación, la autoridad nacional de certificación de la ciberseguridad podrá reutilizar cualquier prueba adecuada que proceda de una autorización previa o de actividades similares concedidas en virtud:
a)
del presente Reglamento;
b)
de otro esquema europeo de certificación de la ciberseguridad adoptado de conformidad con el artículo 49 del Reglamento (UE) 2019/881;
c)
de un esquema nacional a que se refiere el artículo 49 del presente Reglamento.
4. La autoridad nacional de certificación de la ciberseguridad elaborará un informe de autorización, que será objeto de una revisión por pares de conformidad con el artículo 59, apartado 3, letra d), del Reglamento (UE) 2019/881.
5. La autoridad nacional de certificación de la ciberseguridad especificará las categorías de productos de TIC y los perfiles de protección sobre los que se extiende la autorización, cuyo período de validez no podrá ser superior al período de validez de la acreditación. La autorización podrá renovarse previa solicitud, siempre que la ITSEF siga reuniendo los requisitos establecidos en el presente artículo. Para la renovación de la autorización, no deben exigirse evaluaciones piloto.
6. La autoridad nacional de certificación de la ciberseguridad retirará la autorización de la ITSEF en caso de que esta deje de cumplir las condiciones establecidas en el presente artículo. Tras la retirada de la autorización, la ITSEF dejará de promocionarse como ITSEF autorizada.
Historial de versiones
Este artículo no ha sufrido modificaciones desde su publicación.
Tus anotaciones
Proeli:reg_impl:2024:482:oj#art-22