Art. 3
Establecimiento de esquemas nacionales de certificación
En vigor desde 28 nov 2024
Artículo 3
Establecimiento de esquemas nacionales de certificación
1. Los Estados miembros designarán un dueño del esquema para cada esquema nacional de certificación.
2. El objeto de la certificación definido en los esquemas nacionales de certificación será el suministro y la gestión del funcionamiento de las soluciones de cartera y de los sistemas de identificación electrónica en el marco de los cuales se proporcionan.
3. De conformidad con el Reglamento de Ejecución (UE) 2015/1502, el objeto de la certificación en los esquemas nacionales de certificación incluirá los siguientes elementos:
a)
los componentes de software, incluidos los ajustes y configuraciones de una solución de cartera y del sistema de identificación electrónica en el marco del cual se proporcionan las soluciones de cartera;
b)
los componentes de hardware y las plataformas en las que funcionan o que utilizan los componentes de software mencionados en el punto b) para las operaciones críticas, en los casos en que sean proporcionados directa o indirectamente por la solución de cartera y el sistema de identificación electrónica en el marco del cual se proporciona y cuando se les exija que alcancen el nivel de seguridad deseado para dichos componentes de software. Cuando el proveedor de la cartera no proporcione los componentes de hardware y las plataformas, los esquemas nacionales de certificación formularán hipótesis para la evaluación de los componentes de hardware y las plataformas, en las cuales pueda proporcionarse resistencia contra atacantes con elevado potencial de ataque de conformidad con el Reglamento de Ejecución (UE) 2015/1502, y especificarán las actividades de evaluación para confirmar estas hipótesis, tal como se indica en el anexo IV;
c)
los procesos que apoyan el suministro y la gestión del funcionamiento de una solución de cartera, incluido el proceso de incorporación de los usuarios a que se refiere el artículo 5 bis del Reglamento (UE) n.o 910/2014, cubriendo al menos la inscripción, la gestión de medios electrónicos y la organización de conformidad con las secciones 2.1, 2.2, y 2.4 del anexo I del Reglamento de Ejecución (UE) 2015/1502.
4. Los esquemas nacionales de certificación incluirán una descripción de la arquitectura específica de las soluciones de cartera y del sistema de identificación electrónica en el marco del cual se proporcionan. Cuando los esquemas nacionales de certificación abarquen más de una arquitectura específica, incluirán un perfil para cada una de ellas.
5. Para cada perfil, los esquemas nacionales de certificación establecerán, como mínimo, lo siguiente:
a)
la arquitectura específica de una solución de cartera y del sistema de identificación electrónica en el marco del cual se proporciona;
b)
los controles de seguridad asociados a los niveles de seguridad establecidos en el artículo 8 del Reglamento (UE) n.o 910/2014;
c)
un plan de evaluación elaborado de conformidad con la sección 7.4.1 de la norma EN ISO/IEC 17065:2012;
d)
los requisitos de seguridad necesarios para hacer frente a los riesgos y amenazas de ciberseguridad enumerados en el registro de riesgos establecido en el anexo I del presente Reglamento, hasta el nivel de seguridad requerido, y para cumplir, cuando proceda, los objetivos definidos en el artículo 51 del Reglamento (UE) 2019/881;
e)
una puesta en correspondencia de los controles a que se refiere la letra b) del presente apartado con los componentes de la arquitectura;
f)
una descripción de cómo los controles de seguridad, la puesta en correspondencia, los requisitos de seguridad y el plan de evaluación a que se refieren las letras b) y c) permiten a los proveedores de soluciones de cartera y del sistema de identificación electrónica en el marco del cual se proporcionan abordar adecuadamente los riesgos y amenazas de ciberseguridad indicados en el registro de riesgos a que se refiere la letra d), hasta el nivel de seguridad requerido basado en una evaluación de riesgos para precisar y completar los riesgos y las amenazas enumerados en el registro de riesgos con otros que afecten de manera específica a la arquitectura.
6. En el plan de evaluación a que se refiere el apartado 5, letra c), se indicarán las actividades de evaluación que deben incluirse en la evaluación de las soluciones de cartera y del sistema de identificación electrónica en cuyo marco se proporcionan.
7. La actividad de evaluación a que se refiere el apartado 6 exigirá a los proveedores de soluciones de cartera y del sistema de identificación electrónica en cuyo marco se proporcionan facilitar información que cumpla los requisitos que figuran en el anexo II.
Historial de versiones
Este artículo no ha sufrido modificaciones desde su publicación.
Tus anotaciones
Proeli:reg_impl:2024:2981:oj#art-3