Art. 1
Normas de evaluación
En vigor desde 18 dic 2024
Artículo 1
El Reglamento de Ejecución (UE) 2024/482 se modifica como sigue:
1)
En el artículo 2, los puntos 1) y 2) se sustituyen por el texto siguiente:
«1)
“criterios comunes”: los criterios comunes para la evaluación de la seguridad de las tecnologías de la información, tal como se establecen en las normas ISO/IEC 15408-1:2022, ISO/IEC 15408-2:2022, ISO/IEC 15408-3:2022, ISO/IEC 15408-4:2022 o ISO/IEC 15408-5:2022, o bien en los criterios comunes para la evaluación de la seguridad de las tecnologías de la información, versión CC:2022, partes 1 a 5, publicados por los participantes en el Acuerdo sobre el reconocimiento de certificados de criterios comunes en el ámbito de la seguridad informática;
2)
“metodología común de evaluación”: la metodología común para la evaluación de la seguridad de las tecnologías de la información, tal como se establece en la norma ISO/IEC 18045:2022, o la metodología común para la evaluación de la seguridad de las tecnologías de la información, versión CEM:2022, publicada por los participantes en el Acuerdo sobre el reconocimiento de certificados de criterios comunes en el ámbito de la seguridad informática;».
2)
El artículo 3 se sustituye por el texto siguiente:
«Artículo 3
Normas de evaluación
1. Las evaluaciones efectuadas en el marco del esquema EUCC se regirán por las siguientes normas:
a)
los criterios comunes;
b)
la metodología común de evaluación.
2. Hasta el 31 de diciembre de 2027, podrá expedirse un certificado con arreglo al esquema EUCC que aplique cualquiera de las siguientes normas:
a)
ISO/IEC 15408-1:2009, ISO/IEC 15408-2:2008 o ISO/IEC 15408-3:2008;
b)
los criterios comunes para la evaluación de la seguridad de las tecnologías de la información, versión 3.1, revisión 5, publicados por los participantes en el Acuerdo sobre el reconocimiento de certificados de criterios comunes en el ámbito de la seguridad informática;
c)
ISO/IEC 18045:2008;
d)
la metodología común para la evaluación de la seguridad de las tecnologías de la información, revisión 5, versión 3.1, publicada por los participantes en el Acuerdo sobre el reconocimiento de certificados de criterios comunes en el ámbito de la seguridad informática;
3. Hasta el 31 de diciembre de 2027, podrá expedirse un certificado que aplique las normas a que se refiere el apartado 1 en el marco del esquema EUCC declarado conforme con un perfil de protección que haya aplicado las normas enumeradas en el apartado 2.
4. También podrá expedirse en el marco del esquema EUCC un certificado que aplique las normas a que se refiere el apartado 1 declarado conforme con un perfil de protección que haya aplicado cualquiera de las siguientes normas, siempre que el uso de dicho perfil de protección sea obligatorio en virtud del Reglamento de Ejecución (UE) 2016/799 de la Comisión (*1), el Reglamento (UE) n.o 910/2014 del Parlamento Europeo y del Consejo (*2)o la Decisión de Ejecución (UE) 2016/650 de la Comisión (*3):
a)
los criterios comunes para la evaluación de la seguridad de las tecnologías de la información, versión 3.1, revisiones 1 a 4, publicados por los participantes en el Acuerdo sobre el reconocimiento de certificados de criterios comunes en el ámbito de la seguridad informática;
b)
la metodología común para la evaluación de la seguridad de las tecnologías de la información, versión 3.1, revisiones 1 a 4, publicada por los participantes en el Acuerdo sobre el reconocimiento de certificados de criterios comunes en el ámbito de la seguridad informática;
(*1) Reglamento de Ejecución (UE) 2016/799 de la Comisión, de 18 de marzo de 2016, por el que se ejecuta el Reglamento (UE) n.o 165/2014 del Parlamento Europeo y del Consejo, que establece los requisitos para la construcción, ensayo, instalación, funcionamiento y reparación de los tacógrafos y de sus componentes (DO L 139 de 26.5.2016, p. 1, ELI: http://data.europa.eu/eli/reg_impl/2016/799/oj)."
(*2) Reglamento (UE) n.o 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por la que se deroga la Directiva 1999/93/CE (DO L 257 de 28.8.2014, p. 73, ELI: http://data.europa.eu/eli/reg/2014/910/oj)."
(*3) Decisión de Ejecución (UE) 2016/650 de la Comisión, de 25 de abril de 2016, por la que se fijan las normas para la evaluación de la seguridad de los dispositivos cualificados de creación de firmas y sellos con arreglo al artículo 30, apartado 3, y al artículo 39, apartado 2, del Reglamento (UE) n.o 910/2014 del Parlamento Europeo y del Consejo, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior (DO L 109 de 26.4.2016, p. 40, ELI: http://data.europa.eu/eli/dec_impl/2016/650/oj).»."
3)
En el capítulo IV, se inserta el artículo 20 bis siguiente:
«Artículo 20 bis
Especificación de los requisitos para la acreditación de los organismos de evaluación de la conformidad
La acreditación de los organismos de evaluación de la conformidad tendrá en cuenta la especificación de los requisitos relativos a la acreditación de los organismos de certificación y las ITSEF, establecidos en los documentos del estado de la técnica aplicables enumerados en el punto 2 del anexo I.».
4)
Se suprimen los artículos 23 y 24.
5)
En el artículo 48 se añade el apartado 4 siguiente:
«4. Salvo disposición en contrario en los anexos I o II, los documentos del estado de la técnica se aplicarán a partir de la fecha de aplicación del acto modificativo por el que fueron incorporados a los anexos I o II.»
.
6)
En el artículo 49 se añade el apartado 4 siguiente:
«4. Al llevar a cabo la revisión a que se refiere el apartado 3 en un plazo de dos años a partir de la expedición del certificado inicial, y cuando dicha revisión dé lugar a la expedición de un nuevo certificado de conformidad con el presente Reglamento, podrán aplicarse las normas enumeradas en el artículo 3, apartado 2. La fecha de expedición del certificado inicial se entenderá como la fecha de expedición del último certificado para un producto de TIC o perfil de protección en el que se basa la certificación actual.»
.
7)
El anexo I se sustituye por el texto que figura en el anexo I del presente Reglamento.
8)
El anexo IV se modifica de conformidad con el anexo II del presente Reglamento.
Historial de versiones
Este artículo no ha sufrido modificaciones desde su publicación.
Tus anotaciones
Proeli:reg_impl:2024:3144:oj#art-1