Art. 8
Requisitos generales
En vigor desde 28 nov 2024
Artículo 8
Requisitos generales
1. Los esquemas nacionales de certificación contendrán requisitos de ciberseguridad basados en una evaluación de riesgos de cada arquitectura específica a la que den soporte. Dichos requisitos de ciberseguridad tendrán por objeto tratar los riesgos y amenazas de ciberseguridad detectados, tal como se establece en el registro de riesgos que figura en el anexo I.
2. De conformidad con el artículo 5 bis, apartado 23, del Reglamento (UE) n.o 910/2014, los esquemas nacionales de certificación exigirán que las soluciones de cartera y los sistemas de identificación electrónica en cuyo marco se proporcionen sean resistentes a atacantes con un elevado potencial de ataque para un nivel de seguridad alto, como se contempla en el Reglamento de Ejecución (UE) 2015/1502.
3. Los esquemas nacionales de certificación establecerán criterios de seguridad, que incluirán los siguientes requisitos:
a)
el Reglamento de Ciberresiliencia, cuando proceda, o requisitos que cumplan los objetivos de seguridad establecidos en el artículo 51 del Reglamento (UE) 2019/881;
b)
el establecimiento y la aplicación de políticas y procedimientos relativos a la gestión de los riesgos asociados al funcionamiento de una solución de cartera, incluidas la detección y la evaluación de los riesgos y la reducción de los riesgos detectados;
c)
el establecimiento y la aplicación de políticas y procedimientos relacionados con la gestión de los cambios y las vulnerabilidades de conformidad con el artículo 5 del presente Reglamento;
d)
el establecimiento y la aplicación de políticas y procedimientos de gestión de los recursos humanos, que incluyan requisitos en materia de conocimientos especializados, fiabilidad, experiencia, formación en seguridad y cualificaciones del personal que participe en la elaboración o la gestión del funcionamiento de la solución de cartera;
e)
requisitos relativos al entorno operativo de la solución de cartera, también en forma de hipótesis sobre la seguridad de los dispositivos y las plataformas en los que funcionan los componentes de software de la solución de cartera, incluidos los DCSC y, cuando proceda, requisitos de evaluación de la conformidad para confirmar que dichas hipótesis se verifican en los dispositivos y las plataformas pertinentes;
f)
para cada hipótesis que no esté respaldada por un certificado de conformidad u otra información sobre la garantía aceptable, una descripción del mecanismo que el proveedor de cartera utiliza para hacer que se cumpla la hipótesis, así como una justificación de que el mecanismo es suficiente para garantizar la verificación de la hipótesis;
g)
el establecimiento y la aplicación de medidas para garantizar el uso de una versión actualmente certificada de la solución de cartera.
4. Los esquemas nacionales de certificación contendrán requisitos funcionales relativos a mecanismos de actualización para cada componente de software de las soluciones de cartera y del sistema de identificación electrónica en el marco del cual se proporcionan para las operaciones enumeradas en el anexo III.
5. Los esquemas nacionales de certificación exigirán que el solicitante de la certificación proporcione al organismo de certificación, o ponga de otro modo a su disposición, la siguiente información y documentación:
a)
pruebas relacionadas con la información a que se refiere el anexo IV, punto 1, incluidos, en su caso, detalles sobre la solución de la cartera y su código fuente, y en concreto:
—
información sobre la arquitectura: para cada componente de la solución de cartera (incluidos los componentes de producto, de proceso y de servicio), una descripción de sus propiedades de seguridad esenciales, incluidas sus dependencias externas,
—
controles y niveles de seguridad: para cada control de seguridad de la solución de cartera, una descripción del control y del nivel de seguridad requerido, basada en el anexo del Reglamento de Ejecución (UE) 2015/1502, que establezca una serie de especificaciones técnicas y procedimientos aplicables a los diversos controles ejecutados por los medios de identificación electrónica,
—
puesta en correspondencia de los controles con los componentes de la arquitectura: una descripción de cómo se ejecutan los controles de la cartera utilizando los diferentes componentes de la solución de cartera, sobre la base de una explicación de por qué se requiere un determinado nivel de seguridad, y cómo se ejecuta el control con todos los aspectos de seguridad requeridos al nivel adecuado,
—
explicación y justificación de la cobertura del riesgo: una justificación de:
—
la puesta en correspondencia de los controles con los componentes,
—
la idoneidad del plan de evaluación propuesto para cubrir adecuadamente todos los controles,
—
la cobertura proporcionada por los controles de los riesgos y amenazas de ciberseguridad indicados en el registro de riesgos, completada por los controles de los riesgos y las amenazas que afectan de manera específica a la ejecución, al nivel de seguridad adecuado;
b)
la información mencionada en el anexo V;
c)
una lista completa de los certificados de conformidad y otra información sobre la garantía utilizada como prueba durante las actividades de evaluación;
d)
cualquier otra información pertinente para las actividades de evaluación.
Historial de versiones
Este artículo no ha sufrido modificaciones desde su publicación.
Tus anotaciones
Proeli:reg_impl:2024:2981:oj#art-8