Inicio
Anexo 8 relativo a los re...siliencia)

Anexo 8 relativo a los requisitos horizontales de ciberseguridad para los productos con elementos digitales (Reglamento de Ciberresiliencia)

relativo a los requisitos horizontales de ciberseguridad para los productos con elementos digitales (Reglamento de Ciberresiliencia)
Ver Indice
»

ANEXO VIII. PROCEDIMIENTOS DE EVALUACIÓN DE LA CONFORMIDAD

Vigente
nuevo

GPT Iberley IA

Copiloto jurídico

Parte I

Procedimiento de evaluación de la conformidad basado en el control interno (basado en el módulo A)

1. El control interno es el procedimiento de evaluación de la conformidad mediante el cual el fabricante cumple las obligaciones establecidas en los puntos 2, 3 y 4 de la presente parte, y garantiza y declara, bajo su exclusiva responsabilidad, que los productos con elementos digitales son conformes con todos los requisitos esenciales de ciberseguridad establecidos en el anexo I, parte I, y que el fabricante cumple los requisitos esenciales de ciberseguridad establecidos en el anexo I, parte II.

2. El fabricante elaborará la documentación técnica descrita en el anexo VII.

3. Diseño, desarrollo, producción de los productos con elementos digitales y gestión de las vulnerabilidades

El fabricante adoptará todas las medidas necesarias para que los procesos de diseño, desarrollo, producción y gestión de las vulnerabilidades, así como el seguimiento de dichos procesos, garanticen la conformidad de los productos con elementos digitales fabricados o desarrollados y de los procesos establecidos por el fabricante con los requisitos esenciales de ciberseguridad establecidos en el anexo I, partes I y II.

4. Marcado de conformidad y declaración de conformidad

4.1. El fabricante colocará el marcado CE en cada producto con elementos digitales que satisfaga los requisitos aplicables establecidos en el presente Reglamento.

4.2. El fabricante redactará una declaración UE de conformidad por escrito para cada producto con elementos digitales de conformidad con el artículo 28 y la mantendrá, junto con la documentación técnica, a disposición de las autoridades nacionales durante un período de diez años después de la introducción en el mercado del producto con elementos digitales o el período de soporte, si este fuese más prolongado. En la declaración UE de conformidad se identificará el producto con elementos digitales para el cual haya sido elaborada. Se facilitará una copia de la declaración CE de conformidad a las autoridades competentes que lo soliciten.

5. Representantes autorizados

Las obligaciones del fabricante establecidas en el punto 4 podrá cumplirlas, en su nombre y bajo su responsabilidad, su representante autorizado, siempre que las obligaciones pertinentes estén especificadas en el mandato.

Parte II

Examen de tipo UE (basado en el módulo B)

1. El examen de tipo UE es la parte de un procedimiento de evaluación de la conformidad mediante la cual un organismo notificado examina el diseño técnico y el desarrollo de un producto con elementos digitales y los procesos de gestión de las vulnerabilidades establecidos por el fabricante, y certifica que un producto con elementos digitales cumple los requisitos esenciales de ciberseguridad establecidos en el anexo I, parte I, y que el fabricante cumple los requisitos esenciales de ciberseguridad establecidos en el anexo I, parte II.

2. El examen de tipo UE se llevará a cabo mediante una evaluación de la adecuación del diseño técnico y el desarrollo del producto con elementos digitales a través del examen de la documentación técnica y las pruebas de apoyo a que se refiere el punto 3, más el examen de las muestras de una o varias partes críticas del producto (combinación del tipo de producción y el tipo de diseño).

3. El fabricante deberá presentar una solicitud de examen de tipo UE a un organismo notificado único de su elección.

La solicitud incluirá:

3.1. El nombre y la dirección del fabricante y, si la solicitud la presenta el representante autorizado, también el nombre y la dirección de este.

3.2. Una declaración por escrito de que no se ha presentado la misma solicitud ante ningún otro organismo notificado.

3.3. La documentación técnica, que permitirá evaluar la conformidad del producto con elementos digitales con los requisitos esenciales de ciberseguridad aplicables establecidos en el anexo I, parte I, y los procesos de gestión de las vulnerabilidades por parte del fabricante establecidos en el anexo I, parte II, e incluirá un análisis y una evaluación adecuados del riesgo o riesgos. Especificará los requisitos aplicables y contemplará, en la medida en que sea pertinente para la evaluación, el diseño, la fabricación y el funcionamiento del producto con elementos digitales. Incluirá, cuando proceda, al menos los elementos establecidos en el anexo VII.

3.4. Pruebas que acrediten la adecuación de las soluciones técnicas de diseño y desarrollo y de los procesos de gestión de las vulnerabilidades. Estas pruebas mencionarán todos los documentos que se hayan utilizado, en particular, en caso de que las normas armonizadas pertinentes o las especificaciones técnicas no se hayan aplicado íntegramente. Las pruebas incluirán, en caso necesario, los resultados de las pruebas realizadas por el laboratorio apropiado del fabricante o por otro laboratorio de pruebas en su nombre y bajo su responsabilidad.

4. El organismo notificado:

4.1. examinará la documentación técnica y las pruebas para evaluar la adecuación del diseño técnico y del desarrollo del producto con elementos digitales con los requisitos esenciales de ciberseguridad establecidos en el anexo I, parte I, y la adecuación de los procesos de gestión de las vulnerabilidades establecidos por el fabricante con los requisitos esenciales de ciberseguridad establecidos en el anexo I, parte II;

4.2. comprobará que las muestras se han desarrollado o fabricado conforme a la documentación técnica, e identificará los elementos que se han diseñado y desarrollado con arreglo a las disposiciones aplicables de las normas armonizadas o especificaciones técnicas pertinentes, así como los elementos que se han diseñado y desarrollado sin aplicar las disposiciones pertinentes de dichas normas;

4.3. efectuará, o hará que se efectúen, los exámenes y pruebas oportunos para comprobar si, cuando el fabricante haya optado por aplicar las soluciones de las normas armonizadas o especificaciones técnicas pertinentes en relación con los requisitos establecidos en el anexo I, su aplicación ha sido correcta;

4.4. efectuará, o hará que se efectúen, los exámenes y pruebas oportunas para comprobar si, en caso de que no se hayan aplicado las soluciones de las normas armonizadas o especificaciones técnicas pertinentes en relación con los requisitos establecidos en el anexo I, las soluciones adoptadas por el fabricante cumplen los requisitos esenciales de ciberseguridad correspondientes;

4.5. acordará con el fabricante el lugar donde se realizarán los exámenes y las pruebas.

5. El organismo notificado elaborará un informe de evaluación que recoja las actividades realizadas de conformidad con el punto 4 y sus resultados. Sin perjuicio de sus obligaciones frente a las autoridades notificantes, el organismo notificado solo dará a conocer el contenido del informe, íntegramente o en parte, con el acuerdo del fabricante.

6. Si el tipo y los procesos de gestión de las vulnerabilidades cumplen los requisitos esenciales de ciberseguridad establecidos en el anexo I, el organismo notificado expedirá al fabricante un certificado de examen de tipo UE. El certificado incluirá el nombre y la dirección del fabricante, las conclusiones del examen, las condiciones de validez (en su caso) y los datos necesarios para la identificación del tipo aprobado y de los procesos de gestión de las vulnerabilidades. Se podrán adjuntar al certificado uno o varios anexos.

El certificado y sus anexos contendrán toda la información pertinente que permita evaluar la conformidad de los productos con elementos digitales fabricados o desarrollados con el tipo examinado y los procesos de gestión de las vulnerabilidades, y permitir el control en servicio.

En caso de que el tipo y los procesos de gestión de las vulnerabilidades no cumplan los requisitos esenciales de ciberseguridad aplicables establecidos en el anexo I, el organismo notificado se negará a expedir un certificado de examen de tipo UE e informará de ello al solicitante, explicando detalladamente su negativa.

7. El organismo notificado se mantendrá informado de las actualizaciones de la última tecnología conocida que indiquen que el tipo aprobado y los procesos de gestión de las vulnerabilidades ya no pueden cumplir los requisitos esenciales de ciberseguridad establecidos en el anexo I del presente Reglamento, y determinará si tales cambios requieren más investigaciones. En ese caso, el organismo notificado informará al fabricante en consecuencia.

El fabricante informará al organismo notificado en posesión de la documentación técnica relativa al certificado de examen de tipo UE de todas las modificaciones del tipo aprobado y los procesos de gestión de las vulnerabilidades que puedan afectar a la conformidad con los requisitos esenciales de ciberseguridad establecidos en el anexo I o las condiciones de validez del certificado. Tales modificaciones requerirán una aprobación adicional en forma de suplemento al certificado original de examen de tipo UE.

8. El organismo notificado llevará a cabo auditorías periódicas para garantizar que los procesos de gestión de las vulnerabilidades establecidos en el anexo I, parte II, se aplican adecuadamente.

9. Cada organismo notificado informará a sus autoridades notificantes sobre los certificados de examen de tipo UE o cualquier añadido o añadidos a ellos que haya expedido o retirado, y, periódicamente o previa solicitud, pondrá a disposición de sus autoridades notificantes la lista de certificados o añadidos que hayan sido rechazados, suspendidos o restringidos de otro modo.

Cada organismo notificado informará a los demás organismos notificados sobre los certificados de examen de tipo UE o los añadidos a estos certificados que haya rechazado, retirado, suspendido o restringido de otro modo, y, previa solicitud, sobre los certificados o sus añadidos que haya expedido.

La Comisión, los Estados miembros y los demás organismos notificados podrán, previa solicitud, obtener una copia de los certificados de examen de tipo UE o cualquiera de sus suplementos. Previa solicitud, la Comisión y los Estados miembros podrán obtener una copia de la documentación técnica y los resultados de los exámenes efectuados por el organismo notificado. El organismo notificado conservará una copia del certificado de examen de tipo UE, sus anexos y sus añadidos, así como del expediente técnico que incluya la documentación presentada por el fabricante hasta el final de la validez del certificado.

10. El fabricante conservará a disposición de las autoridades nacionales una copia del certificado de examen de tipo UE, sus anexos y sus añadidos, así como la documentación técnica durante un período de diez años después de la introducción del producto con elementos digitales en el mercado o durante el período de soporte, si este fuese más prolongado.

11. El representante autorizado del fabricante podrá presentar la solicitud a que se refiere el punto 3 y cumplir las obligaciones contempladas en los puntos 7 y 10, siempre que las obligaciones pertinentes estén especificadas en su mandato.

Parte III

Conformidad con el tipo basada en el control interno de la producción (basada en el módulo C)

1. La conformidad con el tipo basada en el control interno de la producción es la parte del procedimiento de evaluación de la conformidad según la cual el fabricante cumple las obligaciones establecidas en los puntos 2 y 3 de la presente parte, y garantiza y declara que los productos con elementos digitales en cuestión son conformes con el tipo descrito en el certificado de examen de tipo UE y cumplen los requisitos esenciales de ciberseguridad establecidos en el anexo I, parte I, y que los fabricantes cumplen los requisitos esenciales de ciberseguridad establecidos en el anexo I, parte II.

2. Producción

El fabricante tomará todas las medidas necesarias para que la producción y su seguimiento garanticen la conformidad de los productos con elementos digitales fabricados con el tipo aprobado descrito en el certificado de examen de tipo UE y con los requisitos esenciales de ciberseguridad establecidos en el anexo I, parte I, y garantizará que los fabricantes cumplan los requisitos esenciales de ciberseguridad establecidos en el anexo I, parte II.

3. Marcado de conformidad y declaración de conformidad

3.1. El fabricante colocará el marcado CE en los productos con elementos digitales que sean conformes al tipo descrito en el certificado de examen de tipo UE y satisfagan los requisitos aplicables establecidos en el instrumento legislativo.

3.2. El fabricante redactará una declaración de conformidad para un modelo de producto y la mantendrá a disposición de las autoridades nacionales durante un período de diez años después de la introducción del producto con elementos digitales en el mercado o durante el período de soporte, si este fuese más prolongado. En la declaración de conformidad se identificará el modelo de producto para el cual ha sido elaborada. Se facilitará una copia de la declaración de conformidad a las autoridades competentes que la soliciten.

4. Representante autorizado

Las obligaciones del fabricante establecidas en el punto 3 podrá cumplirlas su representante autorizado, en su nombre y bajo su responsabilidad, siempre que las obligaciones pertinentes estén especificadas en su mandato.

Parte IV

Conformidad basada en el aseguramiento de calidad total (basada en el módulo H)

1. La conformidad basada en el aseguramiento de calidad total es el procedimiento de evaluación de la conformidad mediante el cual el fabricante cumple las obligaciones establecidas en los puntos 2 y 5 de la presente parte, y garantiza y declara, bajo su exclusiva responsabilidad, que los productos con elementos digitales (o las categorías de productos) en cuestión son conformes con los requisitos establecidos en el anexo I, parte I, y que los procesos de gestión de las vulnerabilidades establecidos por el fabricante cumplen los requisitos establecidos en el anexo I, parte II.

2. Diseño, desarrollo, producción de los productos con elementos digitales y gestión de las vulnerabilidades

El fabricante aplicará un sistema de calidad aprobado, tal como se especifica en el punto 3, para el diseño, el desarrollo, la producción y la inspección y prueba finales de los productos con elementos digitales en cuestión y la gestión de las vulnerabilidades, lo mantendrá operativo a lo largo de todo el período de soporte y estará sujeto a la supervisión especificada en el punto 4.

3. Sistema de calidad

3.1. El fabricante presentará una solicitud de evaluación de su sistema de calidad ante el organismo notificado de su elección, para los productos con elementos digitales de que se trate.

La solicitud incluirá:

a) el nombre y la dirección del fabricante y, si la solicitud la presenta el representante autorizado, también el nombre y la dirección de este,

b) la documentación técnica para un modelo de cada categoría de productos con elementos digitales que se pretenda fabricar o desarrollar. La documentación técnica incluirá, cuando proceda, al menos los elementos establecidos en el anexo VII,

c) la documentación relativa al sistema de calidad, y

d) una declaración por escrito de que no se ha presentado la misma solicitud ante ningún otro organismo notificado.

3.2. El sistema de calidad garantizará la conformidad de los productos con elementos digitales con los requisitos esenciales de ciberseguridad establecidos en el anexo I, parte I, y la conformidad de los procesos de gestión de las vulnerabilidades establecidos por el fabricante con los requisitos establecidos en el anexo I, parte II.

Todos los elementos, requisitos y disposiciones adoptados por el fabricante deberán reunirse de forma sistemática y ordenada en una documentación compuesta por políticas, procedimientos e instrucciones por escrito. Esta documentación del sistema de calidad permitirá una interpretación coherente de los programas, planes, manuales y registros de calidad.

En particular, incluirá una descripción adecuada de:

a) los objetivos de calidad, el organigrama y las responsabilidades y competencias del personal de gestión en lo que se refiere al diseño, el desarrollo, la calidad del producto y la gestión de las vulnerabilidades,

b) las especificaciones técnicas de diseño y desarrollo, incluidas las normas que se aplicarán y, en caso de que las normas armonizadas o las especificaciones técnicas pertinentes no se apliquen plenamente, los medios que se utilizarán para asegurarse de que se cumplan los requisitos esenciales de ciberseguridad del anexo I, parte I, aplicables a los productos con elementos digitales,

c) las especificaciones de procedimiento, incluidas las normas que se aplicarán y, en caso de que las normas armonizadas o las especificaciones técnicas pertinentes no se apliquen plenamente, los medios que se utilizarán para asegurarse de que se cumplan los requisitos esenciales de ciberseguridad establecidos en el anexo I, parte II, aplicables al fabricante,

d) las técnicas de control y verificación del diseño y el desarrollo, los procesos y las medidas sistemáticas que se vayan a utilizar en el diseño y el desarrollo de los productos con elementos digitales por lo que se refiere a la categoría de productos de que se trate,

e) las correspondientes técnicas, procesos y actividades sistemáticas de producción, control de la calidad y aseguramiento de la calidad que se utilizarán,

f) los exámenes y las pruebas que se efectuarán antes, durante y después de la producción, y su frecuencia,

g) los expedientes de calidad, como los informes de inspección y datos de pruebas, los datos de calibrado y los informes sobre la cualificación del personal implicado,

h) los medios con los que se hace el seguimiento de la consecución del diseño y de la calidad exigidos de los productos y del funcionamiento eficaz del sistema de calidad.

3.3. El organismo notificado evaluará el sistema de calidad para determinar si cumple los requisitos a que se refiere el punto 3.2.

Dará por supuesta la conformidad con dichos requisitos de los elementos del sistema de calidad que cumplan las especificaciones correspondientes de la norma nacional que transponga la norma armonizada o la especificación técnica pertinente.

Además de experiencia en sistemas de gestión de la calidad, el equipo de auditoría tendrá, como mínimo, un miembro con experiencia como evaluador en el campo del producto pertinente y la tecnología del producto en cuestión, así como tendrá el conocimiento de los requisitos aplicables establecidos en el presente Reglamento. La auditoría incluirá una visita de evaluación a las instalaciones del fabricante, siempre que estas existan. El equipo de auditores revisará la documentación técnica mencionada en el punto 3.1, segundo guion, para comprobar si el fabricante es capaz de identificar los requisitos pertinentes establecidos en el presente Reglamento y de efectuar los exámenes necesarios a fin de garantizar que el producto con elementos digitales cumple dichos requisitos.

La decisión se notificará al fabricante o a su representante autorizado.

La notificación incluirá las conclusiones de la auditoría y la decisión de evaluación motivada.

3.4. El fabricante se comprometerá a cumplir las obligaciones que se deriven del sistema de calidad tal como se haya aprobado y a mantenerlo de forma que siga resultando adecuado y eficaz.

3.5. El fabricante mantendrá informado al organismo notificado que haya aprobado el sistema de calidad de cualquier adaptación prevista de dicho sistema.

El organismo notificado evaluará las adaptaciones propuestas y decidirá si el sistema de calidad modificado sigue cumpliendo los requisitos mencionados en el punto 3.2, o si es necesaria una nueva evaluación.

El organismo notificado notificará su decisión al fabricante. La notificación incluirá las conclusiones del examen y la decisión de evaluación motivada.

4. Supervisión bajo la responsabilidad del organismo notificado

4.1. El objetivo de la supervisión es garantizar que el fabricante cumple debidamente las obligaciones que se derivan del sistema de calidad aprobado.

4.2. El fabricante permitirá la entrada del organismo notificado en los locales de diseño, desarrollo, producción, inspección, prueba y almacenamiento, a efectos de evaluación, y le proporcionará toda la información necesaria, en particular:

a) la documentación sobre el sistema de calidad,

b) los registros de calidad previstos en la parte del sistema de calidad dedicada al diseño, como los resultados de análisis, cálculos y pruebas,

c) los registros de calidad establecidos en la parte del sistema de calidad dedicada a la fabricación, tales como los informes de inspección, los datos sobre ensayos y calibración y los informes sobre la cualificación del personal afectado.

4.3. El organismo notificado realizará periódicamente auditorías para asegurarse de que el fabricante mantiene y aplica el sistema de calidad y proporcionará un informe de la auditoría al fabricante.

5. Marcado de conformidad y declaración de conformidad

5.1. El fabricante colocará el marcado CE y, bajo la responsabilidad del organismo notificado mencionado en el apartado 3.1, el número de identificación de este último en cada producto con elementos digitales que satisfaga los requisitos establecidos en el anexo I, parte I, del presente Reglamento.

5.2. El fabricante redactará una declaración de conformidad para cada modelo de producto y la mantendrá a disposición de las autoridades nacionales durante un período de diez años después de la introducción del producto con elementos digitales en el mercado o durante el período de soporte, si este fuese más prolongado. En la declaración de conformidad se identificará el modelo de producto para el cual ha sido elaborada.

Se facilitará una copia de la declaración de conformidad a las autoridades competentes que la soliciten.

6. El fabricante mantendrá a disposición de las autoridades nacionales durante un período de diez años después de la introducción del producto con elementos digitales en el mercado o durante el período de soporte, si este fuese más prolongado:

a) la documentación técnica a que se refiere el punto 3.1;

b) la documentación relativa al sistema de calidad a que se refiere el punto 3.1;

c) las adaptaciones a que se refiere el punto 3.5 que hayan sido aprobadas;

d) las decisiones y los informes del organismo notificado a que se refieren los puntos 3.5 y 4.3.

7. Cada organismo notificado informará a sus autoridades notificantes sobre las aprobaciones de sistemas de calidad expedidas o retiradas, y, periódicamente o previa solicitud, pondrá a disposición de sus autoridades notificantes la lista de aprobaciones de sistemas de calidad que haya rechazado, suspendido o restringido de otro modo.

Cada organismo notificado informará a los demás organismos notificados sobre las aprobaciones de sistemas de calidad que haya rechazado, suspendido o retirado y, previa solicitud, de las aprobaciones de sistemas de calidad que haya expedido.

8. Representante autorizado

Las obligaciones del fabricante establecidas en los puntos 3.1, 3.5, 5 y 6 podrá cumplirlas, en su nombre y bajo su responsabilidad, su representante autorizado, siempre que las obligaciones pertinentes estén especificadas en el mandato.

En relación con el presente acto se ha formulado una declaración que se puede consultar en el DO C, 2024/6786, 20.11.2024, ELI: http://data.europa.eu/eli/C/2024/6786/oj.