Art. 13
Actividades de evaluación
En vigor desde 28 nov 2024
Artículo 13
Actividades de evaluación
1. Los esquemas nacionales de certificación contendrán los métodos y procedimientos que deberán utilizar los organismos de evaluación de la conformidad cuando realicen sus actividades de evaluación con arreglo a la norma EN ISO/IEC 17065:2012, que comprenderán, como mínimo, los siguientes aspectos:
a)
los métodos y los procedimientos para realizar las actividades de evaluación, incluidos los relacionados con el DCSC, tal como se establece en el anexo IV;
b)
la auditoría de la ejecución de la solución de cartera y del sistema de identificación electrónica en el marco del cual se proporciona, basada en el registro de riesgos establecido en el anexo I y completado, en caso necesario, con los riesgos que afecten de manera específica a la ejecución;
c)
las actividades de ensayo funcional, basadas, cuando estén disponibles y sean adecuadas, en series de pruebas definidas con arreglo a especificaciones o normas técnicas;
d)
evaluación de la existencia de procesos de mantenimiento y de su idoneidad, y en particular, como mínimo, de la gestión de las versiones, las actualizaciones y las vulnerabilidades;
e)
evaluación de la eficacia operativa de los procesos de mantenimiento, y en particular, como mínimo, de la gestión de las versiones, las actualizaciones y las vulnerabilidades;
f)
análisis de la dependencia facilitado por el proveedor de cartera, incluida una metodología para evaluar la aceptabilidad de la información sobre la garantía, que comprenderá los elementos establecidos en el anexo VI;
g)
evaluación de la vulnerabilidad, al nivel adecuado, que incluya:
—
una revisión del diseño de la solución de cartera y, en su caso, de su código fuente,
—
un ensayo de la resistencia de la solución de cartera frente a atacantes con elevado potencial de ataque para mantener un nivel de seguridad «alto» de conformidad con la sección 2.2.1 del anexo del Reglamento de Ejecución (UE) 2015/1502;
h)
una evaluación de la evolución del entorno de amenazas y su repercusión en la cobertura de los riesgos por parte de la solución de cartera, a fin de determinar qué actividades de evaluación son necesarias para los distintos componentes de la solución de cartera.
2. Los esquemas nacionales de certificación contendrán una evaluación para determinar si la ejecución de las soluciones de cartera y del sistema de identificación electrónica en el marco del cual dichas soluciones se proporcionan se ajustan a la arquitectura establecida en el artículo 3, apartado 5, letra a), y una evaluación para determinar si el plan de evaluación propuesto junto con la ejecución se ajusta al plan de evaluación a que se refiere el artículo 3, apartado 5, letra c).
3. Los esquemas nacionales de certificación establecerán normas de muestreo para evitar la repetición de actividades de evaluación idénticas y centrarse en actividades que sean específicas de una variante determinada. Esas normas de muestreo harán que puedan realizarse ensayos funcionales y de seguridad solo sobre una muestra de variantes de un componente específico de una solución de cartera y del sistema de identificación electrónica en el marco del cual se proporciona y sobre una muestra de dispositivos específicos. Los esquemas nacionales de certificación exigirán a todos los organismos de certificación que justifiquen su uso del muestreo.
4. Los esquemas nacionales de certificación exigirán que el organismo de certificación evalúe la ACSC con arreglo a los métodos y procedimientos establecidos en el anexo IV.
Historial de versiones
Este artículo no ha sufrido modificaciones desde su publicación.
Tus anotaciones
Proeli:reg_impl:2024:2981:oj#art-13