Art. 1
Modificaciones del Reglamento (UE) 2019/881
En vigor desde 19 dic 2024
Artículo 1
Modificaciones del Reglamento (UE) 2019/881
El Reglamento (UE) 2019/881 se modifica como sigue:
1)
En el artículo 1, apartado 1, párrafo primero, la letra b) se sustituye por el texto siguiente:
«b)
un marco para la creación de esquemas europeos de certificación de la ciberseguridad, a efectos de garantizar un nivel adecuado de ciberseguridad de los productos, servicios y procesos de TIC y los servicios de seguridad gestionados en la Unión, así como de evitar la fragmentación del mercado interior respecto a los esquemas de certificación de la ciberseguridad en la Unión.».
2)
El artículo 2 se modifica como sigue:
a)
los puntos 9, 10 y 11 se sustituyen por el texto siguiente:
«9)
“esquema europeo de certificación de la ciberseguridad”: conjunto completo de disposiciones, requisitos técnicos, normas y procedimientos establecidos a escala de la Unión y que se aplican a la certificación o a la evaluación de la conformidad de productos, servicios o procesos de TIC o servicios de seguridad gestionados específicos;
10)
“esquema nacional de certificación de la ciberseguridad”: conjunto completo de disposiciones, requisitos técnicos, normas y procedimientos desarrollados y adoptados por una autoridad pública nacional y que se aplican a la certificación o a la evaluación de la conformidad de los productos, servicios y procesos de TIC o los servicios de seguridad gestionados incluidos en el ámbito de aplicación del esquema específico;
11)
“certificado europeo de ciberseguridad”: documento expedido por un organismo pertinente que certifica que un determinado producto, servicio o proceso de TIC o servicio de seguridad gestionado ha sido evaluado para verificar que cumple los requisitos específicos de seguridad establecidos en un esquema europeo de certificación de la ciberseguridad;»
;
b)
se inserta el punto siguiente:
«14 bis)
“servicio de seguridad gestionado”: servicio prestado a un tercero que consiste en llevar a cabo o prestar asistencia para actividades relacionadas con la gestión de riesgos de ciberseguridad, como, por ejemplo, la gestión de incidentes, las pruebas de penetración, las auditorías de seguridad y la consultoría relacionada con la asistencia técnica, incluidos los conocimientos específicos;»
;
c)
los puntos 20, 21 y 22 se sustituyen por el texto siguiente:
«20)
“especificación técnica”: documento que prescribe los requisitos técnicos que debe cumplir un producto, servicio o proceso de TIC o un servicio de seguridad gestionado, o los procedimientos de evaluación de la conformidad relativos a estos;
21)
“nivel de garantía”: fundamento que permite garantizar que un producto, servicio o proceso de TIC o un servicio de seguridad gestionado cumple los requisitos de seguridad de un esquema europeo de certificación de la ciberseguridad específico; indica el nivel en el que se ha evaluado un producto, servicio o proceso de TIC o un servicio de seguridad gestionado, pero, como tal, no mide la seguridad del producto, servicio o proceso de TIC o del servicio de seguridad gestionado en cuestión;
22)
“autoevaluación de la conformidad”: acción realizada por un fabricante o proveedor de productos, servicios o procesos de TIC o servicios de seguridad gestionados para evaluar si estos cumplen los requisitos de un esquema europeo de certificación de la ciberseguridad específico.».
3)
En el artículo 4, el apartado 6 se sustituye por el texto siguiente:
«6. ENISA promoverá el uso de la certificación europea de ciberseguridad, con vistas a evitar la fragmentación del mercado interior. ENISA contribuirá a la creación y al mantenimiento de un marco europeo de certificación de la ciberseguridad de conformidad con el título III del presente Reglamento, con el fin de aumentar la transparencia de la ciberseguridad de los productos, servicios y procesos de TIC y los servicios de seguridad gestionados y reforzar así la confianza en el mercado interior digital y su competitividad.».
4)
El artículo 8 se modifica como sigue:
a)
el apartado 1 se modifica como sigue:
i)
la parte introductoria se sustituye por el texto siguiente:
«1. ENISA apoyará y promoverá el desarrollo y la aplicación de la política de la Unión en materia de certificación de la ciberseguridad de productos, servicios y procesos de TIC y servicios de seguridad gestionados, según lo establecido en el título III del presente Reglamento, por los siguientes medios:»
;
ii)
la letra b) se sustituye por el texto siguiente:
«b)
preparar propuestas de esquemas europeos de certificación de la ciberseguridad (en lo sucesivo, “propuestas de esquemas”) para productos, servicios y procesos de TIC y servicios de seguridad gestionados de conformidad con el artículo 49;»
;
b)
el apartado 3 se sustituye por el texto siguiente:
«3. ENISA recopilará y publicará directrices y formulará buenas prácticas en relación con los requisitos de ciberseguridad de los productos, servicios y procesos de TIC y los servicios de seguridad gestionados, en cooperación con las autoridades nacionales de certificación de la ciberseguridad y con el sector, de una manera formal, estructurada y transparente.»
;
c)
el apartado 5 se sustituye por el texto siguiente:
«5. ENISA facilitará el establecimiento y la adopción de normas europeas e internacionales para la gestión de riesgos y para la seguridad de los productos, servicios y procesos de TIC y los servicios de seguridad gestionados.».
5)
El artículo 46 se sustituye por el texto siguiente:
«Artículo 46
Marco europeo de certificación de la ciberseguridad
1. Se crea el marco europeo de certificación de la ciberseguridad con el fin de mejorar las condiciones de funcionamiento del mercado interior incrementando el nivel de ciberseguridad en el seno de la Unión y haciendo posible que, a escala de la Unión, se adopte un planteamiento armonizado de esquemas europeos de certificación de la ciberseguridad, con el objetivo de crear un mercado único digital para los productos, servicios y procesos de TIC y los servicios de seguridad gestionados.
2. El marco europeo de certificación de la ciberseguridad definirá un mecanismo destinado a instaurar esquemas europeos de certificación de la ciberseguridad y a confirmar que los productos, servicios y procesos de TIC que hayan sido evaluados con arreglo a dichos esquemas cumplen los requisitos de seguridad especificados con el objetivo de proteger la disponibilidad, autenticidad, integridad o confidencialidad de los datos almacenados, transmitidos o tratados o las funciones o servicios que ofrecen, o a los que permitan acceder, dichos productos, servicios y procesos durante todo su ciclo de vida. Además, confirmará que los servicios de seguridad gestionados que hayan sido evaluados con arreglo a dichos esquemas cumplen los requisitos de seguridad especificados con el objetivo de proteger la disponibilidad, autenticidad, integridad y confidencialidad de los datos consultados, tratados, almacenados o transmitidos en relación con la prestación de tales servicios, y que tales servicios son prestados en todo momento con la competencia, pericia y experiencia necesarias por personal que posee un nivel suficiente y adecuado de los conocimientos técnicos pertinentes y de integridad profesional.».
6)
El artículo 47 se modifica como sigue:
a)
el apartado 2 se sustituye por el texto siguiente:
«2. El programa de trabajo evolutivo de la Unión incluirá, en particular, una lista de productos, servicios y procesos de TIC, y de servicios de seguridad gestionados o de categorías de estos, que pudieran beneficiarse de la inclusión en el ámbito de aplicación de un esquema europeo de certificación de la ciberseguridad.»
;
b)
el apartado 3 se sustituye por el texto siguiente:
i)
la parte introductoria se sustituye por el texto siguiente:
«3. La inclusión de productos, servicios y procesos de TIC específicos, o de servicios de seguridad gestionados, o de categorías de estos, en el programa de trabajo evolutivo de la Unión se justificará sobre la base de uno o más de los siguientes motivos:»
;
ii)
la letra a) se sustituye por el texto siguiente:
«a)
la disponibilidad y el desarrollo de esquemas nacionales de certificación de la ciberseguridad que incluyan cualquier categoría específica de productos, servicios o procesos de TIC o servicios de seguridad gestionados y, en particular, en lo que se refiere al riesgo de fragmentación;»
;
iii)
se inserta la letra siguiente:
«c bis)
los avances tecnológicos y la disponibilidad y el desarrollo de esquemas de certificación de la ciberseguridad internacionales y normas internacionales y normas empleadas por la industria;»
;
7)
El artículo 49 se modifica como sigue:
a)
los apartados 1 a 4 se sustituyen por el texto siguiente:
«1. Tras recibir una solicitud de la Comisión con arreglo al artículo 48, ENISA preparará una propuesta de esquema que cumpla los requisitos aplicables establecidos en los artículos 51, 51 bis, 52 y 54.
2. Tras recibir una solicitud del GECC con arreglo al artículo 48, apartado 2, ENISA podrá preparar una propuesta de esquema que cumpla los requisitos aplicables establecidos en los artículos 51, 51 bis, 52 y 54. Cuando ENISA rechace una solicitud, motivará su decisión. Toda decisión de rechazar dicha solicitud será adoptada por el Consejo de Administración.
3. A la hora de preparar las propuestas de esquema, ENISA consultará a todas las partes interesadas de manera oportuna mediante un proceso de consulta formal, abierto, transparente e inclusivo. Al transmitir la propuesta de esquema a la Comisión con arreglo al apartado 6, ENISA facilitará información sobre la forma en que ha cumplido lo dispuesto en el presente apartado.
4. Para cada propuesta de esquema, ENISA creará un grupo de trabajo ad hoc con arreglo al artículo 20, apartado 4, con el objetivo de facilitar a ENISA asesoramiento y conocimientos específicos. Dichos grupos de trabajo incluirán, según proceda y sin perjuicio de los procedimientos y la discrecionalidad establecidos en el artículo 20, apartado 4, expertos de las administraciones públicas de los Estados miembros, de las instituciones, órganos y organismos de la Unión y del sector privado.»
;
b)
el apartado 7 se sustituye por el texto siguiente:
«7. La Comisión, sobre la base de la propuesta de esquema preparada por ENISA, podrá adoptar actos de ejecución que establezcan esquemas de certificación de la ciberseguridad europeos para productos, servicios y procesos de TIC y servicios de seguridad gestionados que cumplan los requisitos pertinentes de los artículos 51, 51 bis, 52 y 54. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 66, apartado 2.».
8)
Se inserta el artículo siguiente:
«Artículo 49 bis
Información y consulta sobre los esquemas europeos de certificación de la ciberseguridad
1. La Comisión hará pública la información sobre su solicitud a ENISA para que esta prepare una propuesta de esquema o revise un esquema europeo de certificación de la ciberseguridad existente a que se refiere el artículo 48.
2. Durante la preparación de una propuesta de esquema por parte de ENISA en virtud del artículo 49, el Parlamento Europeo, el Consejo o ambos, podrán solicitar a la Comisión, en su calidad de presidenta del GECC, y a ENISA, que presente trimestralmente información pertinente sobre una propuesta de esquema. A petición del Parlamento Europeo o del Consejo, ENISA, de acuerdo con la Comisión, y sin perjuicio de lo dispuesto en el artículo 27, podrá poner a disposición del Parlamento Europeo y del Consejo las partes pertinentes de una propuesta de esquema de un modo que se ajuste al nivel de confidencialidad requerido y, en su caso, de forma restringida.
3. Con el fin de reforzar el diálogo entre las instituciones de la Unión y contribuir a un proceso de consulta formal, abierto, transparente e inclusivo, el Parlamento Europeo, el Consejo o ambos, podrán invitar a la Comisión y a ENISA a debatir cuestiones relativas al funcionamiento de los esquemas europeos de certificación de la ciberseguridad para productos, servicios y procesos de TIC o servicios de seguridad gestionados.
4. La Comisión tendrá en cuenta, en su caso, los elementos derivados de las opiniones expresadas por el Parlamento Europeo y el Consejo, o por uno de ellos, sobre las cuestiones a que se refiere el apartado 3 del presente artículo al evaluar el presente Reglamento en virtud del artículo 67.».
9)
El artículo 51 se modifica como sigue:
a)
el título se sustituye por el texto siguiente:
«Objetivos de seguridad de los esquemas europeos de certificación de la ciberseguridad en relación con los productos, servicios y procesos de TIC»
;
b)
la parte introductoria se sustituye por el texto siguiente:
«Los esquemas europeos de certificación de la ciberseguridad en relación con los productos, servicios o procesos de TIC deberán diseñarse para cumplir, según proceda, al menos los objetivos de seguridad siguientes:».
10)
Se inserta el artículo siguiente:
«Artículo 51 bis
Objetivos de seguridad de los esquemas europeos de certificación de la ciberseguridad en relación con los servicios de seguridad gestionados
Los esquemas europeos de certificación de la ciberseguridad en relación con los servicios de seguridad gestionados deberán diseñarse para cumplir, según proceda, al menos los objetivos de seguridad siguientes:
a)
que los servicios de seguridad gestionados se presten con la competencia, pericia y experiencia necesarias, y, en particular, que el personal encargado de prestar dichos servicios posea un nivel suficiente y adecuado de competencia y conocimientos técnicos en el ámbito específico, así como una experiencia suficiente y adecuada, y actúe con el máximo nivel de integridad profesional;
b)
que el proveedor disponga de procedimientos internos adecuados para asegurar que los servicios de seguridad gestionados se presten en todo momento con un nivel de calidad suficiente y adecuado;
c)
que se protejan los datos consultados, almacenados, transmitidos o tratados de otro modo en relación con la prestación de servicios de seguridad gestionados frente al acceso, almacenamiento, revelación, destrucción u otro tipo de tratamiento accidentales o no autorizados, la pérdida o la alteración, o la falta de disponibilidad;
d)
que se restauren la disponibilidad y el acceso a los datos, servicios y funciones de forma rápida en caso de incidente físico o técnico;
e)
que las personas, programas o máquinas autorizados puedan acceder exclusivamente a los datos, servicios o funciones a que se refiere su derecho de acceso;
f)
que se lleve un registro y esté disponible para evaluar los datos, servicios o funciones que han sido objeto de acceso, uso u otro tratamiento, en qué momentos y por quién;
g)
que los productos, servicios y procesos de TIC que se implementen en el contexto de la prestación de los servicios de seguridad gestionados sean seguros desde el diseño y por defecto, y, cuando proceda, incluyan las últimas actualizaciones de seguridad y no contengan vulnerabilidades conocidas públicamente.».
11)
El artículo 52 se modifica como sigue:
a)
el apartado 1 se sustituye por el texto siguiente:
«1. Los esquemas europeos de certificación de la ciberseguridad podrán especificar uno o más de los niveles de garantía siguientes para los productos, servicios y procesos de TIC y los servicios de seguridad gestionados: “básico”, “sustancial” o “elevado”. El nivel de garantía deberá reflejar el nivel del riesgo asociado al uso previsto del producto, servicio o proceso de TIC o servicio de seguridad gestionado, en términos de probabilidad y repercusiones de un incidente.»
;
b)
el apartado 3 se sustituye por el texto siguiente:
«3. Los requisitos de seguridad relativos a cada nivel de garantía se precisarán en el esquema europeo de certificación de la ciberseguridad pertinente, incluidas las correspondientes funcionalidades de seguridad y el correspondiente rigor y profundidad necesarios para evaluar un producto, servicio o proceso de TIC o un servicio de seguridad gestionado.»
;
c)
los apartados 5, 6 y 7 se sustituyen por el texto siguiente:
«5. Un certificado europeo de ciberseguridad o una declaración de conformidad de la UE que se refiere a un nivel de garantía “básico” ofrece garantías de que los productos, servicios y procesos de TIC o los servicios de seguridad gestionados para los cuales se expide cumplen los correspondientes requisitos de seguridad, incluidas las funcionalidades de seguridad, y de que se han evaluado hasta un nivel que pretende minimizar los riesgos básicos conocidos de incidentes y ciberataques. Las actividades de evaluación que deberán efectuar incluirán al menos una revisión de la documentación técnica. Cuando dicha revisión no sea apropiada, se emprenderán actividades de evaluación de la sustitución con efecto equivalente.
6. Un certificado europeo de ciberseguridad que se refiere a un nivel de garantía “sustancial” ofrece garantías de que los productos, servicios y procesos de TIC o los servicios de seguridad gestionados para los cuales se expide dicho certificado cumplen los requisitos de seguridad correspondientes, incluidas las funcionalidades de seguridad, y de que se han evaluado hasta un nivel que pretende minimizar los riesgos relacionados con la ciberseguridad conocidos, los riesgos de incidentes y los ciberataques cometidos por agentes con capacidades y recursos limitados. Las actividades de evaluación que deberán efectuarse incluirán al menos: la revisión para demostrar la ausencia de vulnerabilidades conocidas públicamente y la comprobación de que los productos, servicios o procesos de TIC o los servicios de seguridad gestionados aplican correctamente las funcionalidades de seguridad necesarias. Cuando dichas actividades de evaluación no sean apropiadas, se emprenderán actividades de evaluación de la sustitución con efecto equivalente.
7. Un certificado europeo de ciberseguridad que se refiere a un nivel de garantía “elevado” ofrecerá garantías de que los productos, servicios y procesos de TIC o los servicios de seguridad gestionados para los cuales se expide dicho certificado cumplen los requisitos de seguridad correspondientes, incluidas las funcionalidades de seguridad, y de que se han evaluado hasta nivel que pretende minimizar el riesgo de ciberataques sofisticados cometidos por agentes con capacidades y recursos considerables. Las actividades de evaluación que deberán efectuarse incluirán al menos: la revisión para demostrar la improcedencia de las vulnerabilidades conocidas públicamente, la comprobación de que los productos, procesos o servicios de TIC o los servicios de seguridad gestionados aplican correctamente la funcionalidad de seguridad más con las tecnologías de vanguardia necesarias, y la evaluación de su resistencia a atacantes expertos mediante pruebas de penetración. Cuando dichas actividades de evaluación no sean apropiadas, se emprenderán actividades de evaluación de la sustitución con efecto equivalente.».
12)
En el artículo 53, los apartados 1, 2 y 3 se sustituyen por el texto siguiente:
«1. Un esquema europeo de certificación de la ciberseguridad podrá permitir realizar una autoevaluación de la conformidad bajo la responsabilidad exclusiva del fabricante o proveedor de productos, servicios o procesos de TIC o servicios de seguridad gestionados. La autoevaluación de la conformidad únicamente se autorizará en relación con los productos, servicios y procesos de TIC o los servicios de seguridad gestionados que presenten un riesgo bajo correspondientes al nivel de garantía “básico”.
2. El fabricante o proveedor de productos, servicios o procesos de TIC o servicios de seguridad gestionados puede expedir una declaración de conformidad de la UE en la que se indique que ha quedado demostrado el cumplimiento de los requisitos establecidos en el esquema. Al expedir dicha declaración, el fabricante o proveedor de productos, servicios o procesos de TIC o servicios de seguridad gestionados asumirá la responsabilidad de la conformidad del producto, servicio o proceso de TIC o servicio de seguridad gestionado con los requisitos que establezca dicho esquema.
3. El fabricante o proveedor de productos, servicios o procesos de TIC o servicios de seguridad gestionados deberá poner a disposición de la autoridad nacional de certificación de la ciberseguridad designada en virtud del artículo 58, durante el plazo previsto en el esquema europeo de certificación de la ciberseguridad correspondiente, la declaración de conformidad de la UE, la documentación técnica y toda otra información pertinente relativa a la conformidad de los productos, servicios o procesos de TIC o los servicios de seguridad gestionados con el esquema. Deberá presentarse a la autoridad nacional de certificación de la ciberseguridad y a ENISA una copia de la declaración de conformidad de la UE.».
13)
En el artículo 54, el apartado 1 se modifica como sigue:
a)
la letra a) se sustituye por el texto siguiente:
«a)
el objeto y el alcance del esquema de certificación, incluido el tipo o categoría de productos, servicios y procesos de TIC y servicios de seguridad gestionados cubiertos;»
;
b)
la letra g) se sustituye por el texto siguiente:
«g)
los criterios y métodos de evaluación específicos que deben ser utilizados, incluidos los tipos de evaluación, para demostrar el logro de los objetivos de seguridad aplicables a que se refieren los artículos 51 y 51 bis;»
;
c)
la letra j) se sustituye por el texto siguiente:
«j)
las normas para controlar el cumplimiento de los productos, servicios y procesos de TIC o los servicios de seguridad gestionados de los requisitos de los certificados europeos de ciberseguridad o de la declaración de conformidad de la UE, incluidos los mecanismos que permitan demostrar la conformidad permanente con los requisitos de ciberseguridad especificados;»
;
d)
la letra l) se sustituye por el texto siguiente:
«l)
las normas relativas a las consecuencias para los productos, servicios y procesos de TIC o los servicios de seguridad gestionados que han sido certificados o para los que se haya expedido una declaración de conformidad de la UE, pero que no sean conformes con los requisitos del esquema;»
;
e)
la letra o) se sustituye por el texto siguiente:
«o)
la identificación de los esquemas nacionales o internacionales de certificación de la ciberseguridad que cubran el mismo tipo o categoría de productos, servicios y procesos de TIC o servicios de seguridad gestionados, requisitos de seguridad, criterios y métodos de evaluación y niveles de garantía;»
;
f)
la letra q) se sustituye por el texto siguiente:
«q)
el período de disponibilidad de la declaración de conformidad de la UE, la documentación técnica y cualquier otra información pertinente que deba facilitar el fabricante o proveedor de productos, servicios o procesos de TIC o servicios de seguridad gestionados;».
14)
El artículo 56 se modifica como sigue:
a)
el apartado 1 se sustituye por el texto siguiente:
«1. Los productos, servicios y procesos de TIC y los servicios de seguridad gestionados que hayan sido certificados en virtud de un esquema europeo de certificación de la ciberseguridad adoptado con arreglo al artículo 49 se considerarán conformes con los requisitos de dicho esquema.»
;
b)
el apartado 3 se modifica como sigue:
i)
el párrafo primero se sustituye por el texto siguiente:
«La Comisión evaluará periódicamente la eficacia y la utilización de los esquemas europeos de certificación de la ciberseguridad adoptados, así como si un determinado esquema europeo de certificación de la ciberseguridad debe convertirse en obligatorio mediante el Derecho de la Unión aplicable para garantizar un nivel adecuado de ciberseguridad de los productos, servicios y procesos de TIC y, a partir del 4 de febrero de 2025, los servicios de seguridad gestionados en la Unión y mejorar el funcionamiento del mercado interior. La primera de tales evaluaciones se efectuará a más tardar el 31 de diciembre de 2023, y las evaluaciones posteriores, como mínimo cada dos años. La Comisión deberá, a partir de los resultados de las evaluaciones, determinar los productos, servicios y procesos de TIC y los servicios de seguridad gestionados cubiertos por un esquema de certificación existente que deban estar cubiertos por un esquema de certificación obligatorio.»
;
ii)
el párrafo tercero se modifica como sigue:
—
la letra a) se sustituye por el texto siguiente:
«a)
tener en cuenta las repercusiones de las medidas sobre los fabricantes o proveedores de dichos productos, servicios o procesos de TIC o servicios de seguridad gestionados y sobre los usuarios, en términos de costes, así como los beneficios sociales o económicos que se deriven del refuerzo previsto del nivel de seguridad de los productos, servicios o procesos de TIC o los servicios de seguridad gestionados de que se trate;»
;
—
la letra d) se sustituye por el texto siguiente:
«d)
tener en cuenta los plazos de aplicación, así como los períodos y medidas transitorios, en particular, respecto de las posibles repercusiones de la medida sobre los fabricantes o los proveedores de productos, servicios y procesos de TIC o servicios de seguridad gestionados, incluidos los intereses y necesidades específicos de las pymes, incluidas las microempresas;»
;
c)
los apartados 7 y 8 se sustituyen por el texto siguiente:
«7. La persona física o jurídica que presenta los productos, servicios o procesos de TIC o servicios de seguridad gestionados para la certificación pondrá a disposición de la autoridad nacional de certificación de la ciberseguridad designada en virtud del artículo 58, si dicha autoridad es el organismo que expide el certificado europeo de ciberseguridad, o del organismo de evaluación de la conformidad a que se refiere el artículo 60, toda la información necesaria para llevar a cabo el procedimiento de certificación.
8. El titular de un certificado europeo de ciberseguridad informará a la autoridad o al organismo a que se refiere el apartado 7 de cualquier vulnerabilidad o irregularidad que se detecte posteriormente relativa a la seguridad de los productos, servicios o procesos de TIC o los servicios de seguridad gestionados certificados que pueda afectar al cumplimiento de los requisitos de certificación. Dicha autoridad u organismo transmitirá la información sin demora indebida a la autoridad nacional de certificación de la ciberseguridad de que se trate.».
15)
En el artículo 57, los apartados 1 y 2 se sustituyen por el texto siguiente:
«1. Sin perjuicio de lo dispuesto en el apartado 3 del presente artículo, los esquemas nacionales de certificación de la ciberseguridad y los procedimientos correspondientes para los productos, servicios y procesos de TIC y los servicios de seguridad gestionados cubiertos por un esquema europeo de certificación de la ciberseguridad dejarán de surtir efectos a partir de la fecha establecida en el acto de ejecución adoptado con arreglo al artículo 49, apartado 7. Los esquemas nacionales de certificación de la ciberseguridad y los procedimientos conexos para los productos, servicios y procesos de TIC y los servicios de seguridad gestionados que no estén cubiertos por un esquema europeo de certificación de la ciberseguridad seguirán existiendo.
2. Los Estados miembros se abstendrán de introducir nuevos esquemas nacionales de certificación de la ciberseguridad para los productos, servicios y procesos de TIC y los servicios de seguridad gestionados cubiertos por un esquema europeo de certificación de la ciberseguridad en vigor.».
16)
El artículo 58 se modifica como sigue:
a)
el apartado 7 se modifica como sigue:
i)
las letras a) y b) se sustituyen por el texto siguiente:
«a)
supervisarán y velarán por la aplicación de las normas recogidas en los esquemas europeos de certificación de la ciberseguridad en virtud del artículo 54, apartado 1, letra j), para controlar la conformidad de los productos, servicios y procesos de TIC y los servicios de seguridad gestionados con los requisitos de los certificados europeos de ciberseguridad que hayan sido expedidos en sus respectivos territorios, en cooperación con otras autoridades de vigilancia del mercado pertinentes;
b)
controlarán el cumplimiento y velarán por la aplicación de las obligaciones de los fabricantes o proveedores de productos, servicios o procesos de TIC o servicios de seguridad gestionados que estén establecidos en sus respectivos territorios y que llevan a cabo autoevaluaciones de la conformidad, en particular, controlarán el cumplimiento y la aplicación de las obligaciones de dichos fabricantes y proveedores que figuran en el artículo 53, apartados 2 y 3, y en el correspondiente esquema europeo de certificación de la ciberseguridad;»
;
ii)
la letra h) se sustituye por el texto siguiente:
«h)
cooperarán con otras autoridades nacionales de certificación de la ciberseguridad u otras autoridades públicas, en particular, mediante el intercambio de información sobre productos, servicios y procesos de TIC o servicios de seguridad gestionados que no se ajusten a los requisitos del presente Reglamento o de esquemas europeos de certificación de la ciberseguridad específicos, y;»
;
b)
el apartado 9 se sustituye por el texto siguiente:
«9. Las autoridades nacionales de certificación de la ciberseguridad cooperarán entre ellas y con la Comisión, y, en particular, intercambiarán información, experiencias y buenas prácticas en relación con la certificación de la ciberseguridad y las cuestiones técnicas relativas a la ciberseguridad de los productos, servicios y procesos de TIC y los servicios de seguridad gestionados.».
17)
En el artículo 59, apartado 3, las letras b) y c) se sustituyen por el texto siguiente:
«b)
los procedimientos de supervisión y cumplimiento de las normas para controlar la conformidad de los productos, servicios y procesos de TIC y los servicios de seguridad gestionados con los certificados europeos de ciberseguridad con arreglo al artículo 58, apartado 7, letra a);
c)
los procedimientos de control y cumplimiento de las obligaciones de los fabricantes o proveedores de productos, servicios o procesos de TIC o servicios de seguridad gestionados con arreglo al artículo 58, apartado 7, letra b);».
18)
En el artículo 67, los apartados 2 y 3 se sustituyen por el texto siguiente:
«2. En la evaluación se analizarán también los efectos, la eficacia y la eficiencia de las disposiciones del título III del presente Reglamento, incluidos los procedimientos que conducen a la adopción de esquemas europeos de certificación de la ciberseguridad y sus bases empíricas, en relación con los objetivos de garantizar un nivel adecuado de ciberseguridad de los productos, servicios y procesos de TIC y los servicios de seguridad gestionados en la Unión y de mejorar el funcionamiento del mercado interior.
3. En la evaluación se analizará la necesidad de establecer requisitos esenciales de ciberseguridad para el acceso al mercado interior a fin de evitar que se introduzcan en el mercado interior productos, servicios y procesos de TIC o servicios de seguridad gestionados que no sean conformes con los requisitos básicos en materia de ciberseguridad.».
19)
El anexo se modifica de conformidad con el anexo del presente Reglamento.
Historial de versiones
Este artículo no ha sufrido modificaciones desde su publicación.
Tus anotaciones
Proeli:reg:2025:37:oj#art-1