Articulo 56 Agencia de la U.E. para la Ciberseguridad y certificación de la ciberseguridad de las tecnologías de la información y la comunicación

1. Los productos, servicios y procesos de TIC y los servicios de seguridad gestionados que hayan sido certificados en virtud de un esquema europeo de certificación de la ciberseguridad adoptado con arreglo al artículo 49 se considerarán conformes con los requisitos de dicho esquema.

2. La certificación de la ciberseguridad será voluntaria, salvo que se disponga otra cosa en el Derecho de la Unión o de los Estados miembros.

3. La Comisión evaluará periódicamente la eficacia y la utilización de los esquemas europeos de certificación de la ciberseguridad adoptados, así como si un determinado esquema europeo de certificación de la ciberseguridad debe convertirse en obligatorio mediante el Derecho de la Unión aplicable para garantizar un nivel adecuado de ciberseguridad de los productos, servicios y procesos de TIC y, a partir del 4 de febrero de 2025, los servicios de seguridad gestionados en la Unión y mejorar el funcionamiento del mercado interior. La primera de tales evaluaciones se efectuará a más tardar el 31 de diciembre de 2023, y las evaluaciones posteriores, como mínimo cada dos años. La Comisión deberá, a partir de los resultados de las evaluaciones, determinar los productos, servicios y procesos de TIC y los servicios de seguridad gestionados cubiertos por un esquema de certificación existente que deban estar cubiertos por un esquema de certificación obligatorio.

La Comisión atenderá, con carácter prioritario, a los sectores enumerados en el anexo II de la Directiva (UE) 2016/1148, que se evaluarán a más tardar dos años después de la adopción del primer esquema europeo de certificación de la ciberseguridad.

Al preparar la evaluación, la Comisión deberá:

a) tener en cuenta las repercusiones de las medidas sobre los fabricantes o proveedores de dichos productos, servicios o procesos de TIC o servicios de seguridad gestionados y sobre los usuarios, en términos de costes, así como los beneficios sociales o económicos que se deriven del refuerzo previsto del nivel de seguridad de los productos, servicios o procesos de TIC o los servicios de seguridad gestionados de que se trate;

b) tener en cuenta la existencia y la aplicación del Derecho del Estado miembro y del tercer país pertinentes;

c) llevar a cabo un procedimiento de consulta abierto, transparente e inclusivo con todas las partes interesadas pertinentes y los Estados miembros;

d) tener en cuenta los plazos de aplicación, así como los períodos y medidas transitorios, en particular, respecto de las posibles repercusiones de la medida sobre los fabricantes o los proveedores de productos, servicios y procesos de TIC o servicios de seguridad gestionados, incluidos los intereses y necesidades específicos de las pymes, incluidas las microempresas;

e) proponer la manera más rápida y eficaz para llevar a cabo la transición entre un esquema de certificación voluntario y uno obligatorio.

4. Los organismos de evaluación de la conformidad a que se refiere el artículo 60 expedirán un certificado europeo de ciberseguridad en virtud del presente artículo que haga referencia al nivel de garantía «básico» o «sustancial», sobre la base de los criterios incluidos en el esquema europeo de certificación de la ciberseguridad adoptado por la Comisión de conformidad con el artículo 49.

5. No obstante lo dispuesto en el apartado 4, en casos debidamente justificados un esquema europeo de certificación de la ciberseguridad podrá prever que solo un organismo público pueda expedir un certificado europeo de ciberseguridad resultante de ese esquema. Este organismo será uno de los siguientes:

a) una autoridad nacional de certificación de la ciberseguridad con arreglo al artículo 58, apartado 1, o

b) un organismo público que esté acreditado como organismo de evaluación de la conformidad con arreglo al artículo 60, apartado 1.

6. En los casos en que un esquema europeo de certificación de la ciberseguridad adoptado en virtud del artículo 49 requiera un nivel de garantía «elevado», el certificado europeo de ciberseguridad en virtud de dicho esquema solo podrá ser expedido por una autoridad nacional de certificación de la ciberseguridad o, en los siguientes casos, por un organismo de evaluación de la conformidad:

a) previa aprobación de la autoridad nacional de certificación de la ciberseguridad para cada certificado europeo de ciberseguridad individual que expida un organismo de evaluación de la conformidad, o

b) con base en una delegación general de la tarea de expedir tal certificado europeo de ciberseguridad por la autoridad nacional de certificación de la ciberseguridad a un organismo de evaluación de la conformidad.

7. La persona física o jurídica que presenta los productos, servicios o procesos de TIC o servicios de seguridad gestionados para la certificación pondrá a disposición de la autoridad nacional de certificación de la ciberseguridad designada en virtud del artículo 58, si dicha autoridad es el organismo que expide el certificado europeo de ciberseguridad, o del organismo de evaluación de la conformidad a que se refiere el artículo 60, toda la información necesaria para llevar a cabo el procedimiento de certificación.

8. El titular de un certificado europeo de ciberseguridad informará a la autoridad o al organismo a que se refiere el apartado 7 de cualquier vulnerabilidad o irregularidad que se detecte posteriormente relativa a la seguridad de los productos, servicios o procesos de TIC o los servicios de seguridad gestionados certificados que pueda afectar al cumplimiento de los requisitos de certificación. Dicha autoridad u organismo transmitirá la información sin demora indebida a la autoridad nacional de certificación de la ciberseguridad de que se trate.

9. Los certificados europeos de ciberseguridad se expedirán por el período previsto en el esquema europeo de certificación de la ciberseguridad y podrán renovarse siempre y cuando sigan cumpliéndose los requisitos correspondientes.

10. Los certificados europeos de ciberseguridad expedidos en virtud del presente artículo serán reconocidos en todos los Estados miembros.