Acerca de operadores lógicos
Articulo 58 Agencia de la U.E. para la Ciberseguridad y certificación de la ciberseguridad de las tecnologías de la información y la comunicación
Artículo 58. Autoridades nacionales de certificación de la ciberseguridad
GPT Iberley IA
Copiloto jurídico
1. Cada Estado miembro designará a una o más autoridades nacionales de certificación de la ciberseguridad en su territorio o, de mutuo acuerdo con otro Estado miembro, designará a una o más autoridades nacionales de certificación de la ciberseguridad establecidas en ese otro Estado miembro para que se encarguen de las tareas de supervisión en el Estado miembro que efectúe la designación.
2. Cada Estado miembro informará a la Comisión de la identidad de las autoridades nacionales de certificación de la ciberseguridad designadas. Cuando un Estado miembro designe más de una autoridad, también informará a la Comisión de las tareas que se hayan encomendado a cada una de dichas autoridades.
3. Sin perjuicio de lo establecido en el artículo 56, apartado 5), y en el artículo 56, apartado 6, las autoridades nacionales de certificación de la ciberseguridad serán, en lo relativo a su organización, sus decisiones de financiación, su estructura jurídica y su proceso de toma de decisiones, independientes de las entidades que están bajo su supervisión.
4. Los Estados miembros se asegurarán de que las actividades de las autoridades nacionales de certificación de la ciberseguridad relacionadas con la expedición de certificados europeos de ciberseguridad de conformidad con el artículo 56, apartado 5, letra a), y el artículo 56, apartado 6, están estrictamente separadas de las actividades de supervisión establecidas en el presente artículo y de que dichas actividades se desempeñan de manera independiente una de la otra.
5. Los Estados miembros velarán por que las autoridades nacionales de certificación de la ciberseguridad dispongan de los recursos adecuados para ejercer sus competencias y llevar a cabo, de manera eficaz y eficiente, las tareas que tienen encomendadas.
6. Para la aplicación eficaz del presente Reglamento, es conveniente que estas autoridades nacionales de certificación de la ciberseguridad participen en el GECC manera activa, eficaz, eficiente y segura.
7. Las autoridades nacionales de certificación de la ciberseguridad:
a) supervisarán y velarán por la aplicación de las normas recogidas en los esquemas europeos de certificación de la ciberseguridad en virtud del artículo 54, apartado 1, letra j), para controlar la conformidad de los productos, servicios y procesos de TIC y los servicios de seguridad gestionados con los requisitos de los certificados europeos de ciberseguridad que hayan sido expedidos en sus respectivos territorios, en cooperación con otras autoridades de vigilancia del mercado pertinentes;
b) controlarán el cumplimiento y velarán por la aplicación de las obligaciones de los fabricantes o proveedores de productos, servicios o procesos de TIC o servicios de seguridad gestionados que estén establecidos en sus respectivos territorios y que llevan a cabo autoevaluaciones de la conformidad, en particular, controlarán el cumplimiento y la aplicación de las obligaciones de dichos fabricantes y proveedores que figuran en el artículo 53, apartados 2 y 3, y en el correspondiente esquema europeo de certificación de la ciberseguridad;
c) sin perjuicio de lo dispuesto en el artículo 60, apartado 3, asistirán y apoyarán activamente a los organismos nacionales de acreditación en el control y la supervisión de las actividades de los organismos de evaluación de la conformidad a efectos de la aplicación del presente Reglamento;
d) controlarán y supervisarán las actividades de los organismos públicos mencionados en el artículo 56, apartado 5;
e) cuando proceda, autorizarán a los organismos de evaluación de la conformidad con arreglo al artículo 60, apartado 3, y restringirán, suspenderán o retirarán las autorizaciones en vigor en caso de incumplimiento, por parte de los organismos de evaluación de la conformidad, de los requisitos del presente Reglamento;
f) tramitarán las reclamaciones presentadas por personas físicas o jurídicas en relación con los certificados europeos de ciberseguridad expedidos por las autoridades nacionales de certificación de la ciberseguridad o los certificados europeos de ciberseguridad expedidos por los organismos de evaluación de la conformidad, de conformidad con el artículo 56, apartado 6, o en relación con las declaraciones de conformidad UE expedidas en virtud del artículo 53, investigarán el asunto objeto de la reclamación en la medida que proceda e informarán al reclamante sobre el curso y el resultado de la investigación en un plazo razonable;
g) presentarán a ENISA y al GECC un informe sucinto anual de las actividades realizadas con arreglo a las letras b), c) y d) del presente apartado y al apartado 8;
h) cooperarán con otras autoridades nacionales de certificación de la ciberseguridad u otras autoridades públicas, en particular, mediante el intercambio de información sobre productos, servicios y procesos de TIC o servicios de seguridad gestionados que no se ajusten a los requisitos del presente Reglamento o de esquemas europeos de certificación de la ciberseguridad específicos, y;
i) seguirán las novedades de interés en el ámbito de la certificación de la ciberseguridad.
8. Cada autoridad nacional de certificación de la ciberseguridad tendrá, como mínimo, las siguientes competencias:
a) solicitar a los organismos de evaluación de la conformidad, a los titulares de certificados europeos de ciberseguridad y a los responsables de expedir declaraciones de conformidad de la UE que faciliten cualquier información que requiera para el desempeño de sus cometidos;
b) llevar a cabo investigaciones, en forma de auditorías, de los organismos de evaluación de la conformidad, los titulares de certificados europeos de ciberseguridad y los responsables de expedir declaraciones de conformidad de la UE, a efectos de verificar el cumplimiento de lo dispuesto en el presente título III;
c) adoptar las medidas adecuadas, de conformidad con el Derecho nacional, con el fin de garantizar que los organismos de evaluación de la conformidad, los titulares de certificados europeos de ciberseguridad y los responsables de expedir declaraciones de conformidad de la UE se ajustan al presente Reglamento o a un esquema europeo de certificación de la ciberseguridad;
d) obtener acceso a todos los locales de los organismos de evaluación de la conformidad y los titulares de certificados europeos de ciberseguridad para la realización de investigaciones con arreglo al Derecho de la Unión o al Derecho procesal del Estado miembro;
e) retirar, con arreglo al Derecho nacional, los certificados europeos de ciberseguridad expedidos por la autoridad nacional de certificación de la ciberseguridad o los certificados europeos de ciberseguridad expedidos por los organismos de evaluación de la conformidad, de conformidad con el artículo 56, apartado 6, que no se ajusten al presente Reglamento o a un esquema europeo de certificación de la ciberseguridad;
f) imponer sanciones conforme al Derecho nacional según lo establecido en el artículo 65, y solicitar el cese inmediato de la violación de las obligaciones establecidas en el presente Reglamento.
9. Las autoridades nacionales de certificación de la ciberseguridad cooperarán entre ellas y con la Comisión, y, en particular, intercambiarán información, experiencias y buenas prácticas en relación con la certificación de la ciberseguridad y las cuestiones técnicas relativas a la ciberseguridad de los productos, servicios y procesos de TIC y los servicios de seguridad gestionados.
- Artículo modificado (58 (apdos. 7 y 9)) por Reglamento (UE) 2025/37 del Parlamento Europeo y del Consejo, de 19 de diciembre de 2024, por el que se modifica el Reglamento (UE) 2019/881 en lo que se refiere a los servicios de seguridad gestionados (Texto pertinente a efectos del EEE)
(DC de 15-01-2025) en vigor desde 04-02-2025