Art. 7 · Criterios y métodos de evaluación de los productos de TIC

Art. 7

Criterios y métodos de evaluación de los productos de TIC

En vigor desde 31 ene 2024
Artículo 7 Criterios y métodos de evaluación de los productos de TIC 1.   Los productos de TIC que se presenten para su certificación se evaluarán, como mínimo, con arreglo a los siguientes aspectos: a) los elementos aplicables de las normas a que se refiere el artículo 3; b) las clases de requisitos de garantía de seguridad para la evaluación de vulnerabilidad y las pruebas funcionales independientes, según lo establecido en las normas de evaluación a que se refiere el artículo 3; c) el nivel de riesgo asociado al uso previsto de los productos de TIC de que se trate de conformidad con el artículo 52 del Reglamento (UE) 2019/881 y sus funciones de seguridad que contribuyen a los objetivos de seguridad establecidos en el artículo 51 del citado Reglamento; d) los documentos del estado de la técnica enumerados en el anexo I que resulten aplicables; e) los perfiles de protección certificados enumerados en el anexo II que resulten aplicables. 2.   En casos excepcionales y debidamente justificados, un organismo de evaluación de la conformidad podrá solicitar abstenerse de aplicar el documento del estado de la técnica pertinente. En tales casos, el organismo de evaluación de la conformidad informará a la autoridad nacional de certificación de la ciberseguridad incluyendo una justificación debidamente motivada de su solicitud. La autoridad nacional de certificación de la ciberseguridad evaluará si la excepción está justificada y, en caso de que así sea, la aprobará. Mientras esté pendiente la decisión de la autoridad nacional de certificación de la ciberseguridad, el organismo de evaluación de la conformidad no expedirá ningún certificado. La autoridad nacional de certificación de la ciberseguridad notificará la excepción aprobada, sin demora indebida, al Grupo Europeo de Certificación de la Ciberseguridad, que podrá emitir un dictamen. La autoridad nacional de certificación de la ciberseguridad tendrá sumamente en cuenta el dictamen del Grupo Europeo de Certificación de la Ciberseguridad. 3.   La certificación de los productos de TIC en los niveles AVA_VAN.4 o AVA_VAN.5 solo será posible en los siguientes supuestos: a) cuando el producto de TIC esté contemplado en cualquiera de los ámbitos técnicos enumerados en el anexo I, se evaluará de conformidad con los documentos del estado de la técnica pertinentes de dichos ámbitos técnicos que resulten aplicables, b) cuando el producto de TIC pertenezca a una categoría de productos de TIC cubiertos por un perfil de protección certificado que incluya los niveles AVA_VAN.4 o AVA_VAN.5 y que haya sido incluido como un perfil de protección del estado de la técnica en el anexo II, se evaluará de conformidad con la metodología de evaluación que se haya determinado para dicho perfil de protección, c) cuando las letras a) y b) del presente apartado no resulten aplicables y sea poco probable la inclusión de un ámbito técnico en el anexo I o de un perfil de protección certificado en el anexo II en un futuro próximo, y solo en casos excepcionales debidamente justificados, con sujeción a las condiciones establecidas en el apartado 4. 4.   Cuando un organismo de evaluación de la conformidad considere que se encuentra ante un caso excepcional y debidamente justificado a que se refiere el apartado 3, letra c), notificará la certificación prevista a la autoridad nacional de certificación de la ciberseguridad, junto con una justificación y una propuesta de metodología de evaluación. La autoridad nacional de certificación de la ciberseguridad evaluará si la excepción está justificada y, en caso de que así sea, aprobará o modificará la metodología de evaluación que deberá aplicar el organismo de evaluación de la conformidad. Mientras esté pendiente la decisión de la autoridad nacional de certificación de la ciberseguridad, el organismo de evaluación de la conformidad no expedirá ningún certificado. La autoridad nacional de certificación de la ciberseguridad informará, sin demora indebida, de la certificación prevista al Grupo Europeo de Certificación de la Ciberseguridad, que podrá emitir un dictamen. La autoridad nacional de certificación de la ciberseguridad tendrá sumamente en cuenta el dictamen del Grupo Europeo de Certificación de la Ciberseguridad. 5.   En el caso de aquellos productos de TIC que se evalúen como producto compuesto de conformidad con los documentos del estado de la técnica pertinentes, la ITSEF que haya llevado a cabo la evaluación del producto de TIC subyacente compartirá la información pertinente con la ITSEF encargada de evaluar el producto de TIC compuesto.
Historial de versiones

Este artículo no ha sufrido modificaciones desde su publicación.

Tus anotaciones

Pro

eli:reg_impl:2024:482:oj#art-7