Art. 5
Gestión de incidentes y vulnerabilidades
En vigor desde 28 nov 2024
Artículo 5
Gestión de incidentes y vulnerabilidades
1. Los esquemas nacionales de certificación contendrán requisitos de gestión de incidentes y vulnerabilidades de conformidad con lo dispuesto en los apartados 2 a 9.
2. El titular de un certificado de conformidad de una solución de cartera y del sistema de identificación electrónica en el marco del cual se proporciona notificará a su organismo de certificación, sin dilación indebida, cualquier violación o puesta en peligro de la solución de cartera, o del sistema de identificación electrónica en el marco del cual se proporciona, que sea probable que afecte a su conformidad con los requisitos de los esquemas nacionales de certificación.
3. El titular de un certificado de conformidad establecerá, mantendrá y aplicará una política y unos procedimientos de gestión de la vulnerabilidad, teniendo en cuenta los procedimientos establecidos en las normas europeas e internacionales vigentes, en particular la norma EN ISO/IEC 30111:2019.
4. El titular del certificado de conformidad notificará al organismo de certificación emisor las vulnerabilidades y los cambios que afecten a la solución de cartera, sobre la base de criterios definidos acerca de la repercusión de dichas vulnerabilidades y dichos cambios.
5. El titular del certificado de conformidad elaborará un informe de análisis de impacto de la vulnerabilidad para toda vulnerabilidad que afecte a los componentes de software de la solución de cartera. En él constará la siguiente información:
a)
el impacto de la vulnerabilidad en la solución de cartera certificada;
b)
los posibles riesgos asociados a la proximidad o probabilidad de un ataque;
c)
si la vulnerabilidad puede subsanarse utilizando los medios disponibles;
d)
en caso de que la vulnerabilidad pueda subsanarse utilizando los medios disponibles, posibles formas de subsanarla.
6. Cuando se requiera una notificación conforme al apartado 4, el titular del certificado de conformidad transmitirá, sin dilación indebida, el informe de análisis de impacto de la vulnerabilidad a que se refiere el apartado 5 al organismo de certificación.
7. El titular de un certificado de conformidad establecerá, mantendrá y aplicará una política de gestión de la vulnerabilidad que cumpla los requisitos establecidos en el anexo I del Reglamento de Ciberresiliencia (12).
8. Los esquemas nacionales de certificación establecerán los requisitos de divulgación de las vulnerabilidades aplicables a los organismos de certificación.
9. El titular de un certificado de conformidad divulgará y registrará cualquier vulnerabilidad públicamente conocida y subsanada en la solución de cartera o en uno de los repositorios en línea a que se refiere el anexo V.
Historial de versiones
Este artículo no ha sufrido modificaciones desde su publicación.
Tus anotaciones
Proeli:reg_impl:2024:2981:oj#art-5