Diario Oficial de la Unión Europea del 15/5/2020 - Comunicaciones e Informaciones
Versión en texto ¿Qué es?Dateas es un sitio independiente no afiliado a entidades gubernamentales. La fuente de los documentos PDF aquí publicados es la entidad gubernamental indicada en cada uno de ellos. Las versiones en texto son transcripciones no oficiales que realizamos para facilitar el acceso y la búsqueda de información, pero pueden contener errores o no estar completas.
Fuente: Diario Oficial de la Unión Europea - Comunicaciones e Informaciones
C 167/2
ES
Diario Oficial de la Unión Europea
15.5.2020
El presente documento se ofrece como herramienta para ayudar a los auditores autorizados; proporciona directrices no vinculantes que no crean nuevas obligaciones jurídicas. En la medida en que estas directrices puedan interpretar legislación, la posición de la Comisión se entiende sin perjuicio de cualquier interpretación de esta Directiva que pueda realizar el Tribunal de Justicia de la Unión Europea.
2. Contexto general de las auditorías Cada repositorio primario contratado por un fabricante está sujeto a un proceso de auditoría anual. En caso de que el mismo proveedor tercero gestione dos o más repositorios primarios, debe efectuarse una auditoría separada y presentarse un informe de auditoría independiente para cada repositorio.
La auditoría debe efectuarse en relación con el repositorio primario y sus servicios conexos y debe incluir una evaluación de si el proveedor tercero respectivo y, en su caso, sus subcontratistas cumplen los requisitos legislativos pertinentes establecidos en la Directiva 2014/40/UE, el Reglamento de Ejecución UE 2018/574 y el Reglamento Delegado UE
2018/573.
Cada fabricante o importador deberá notificar a la Comisión el auditor que propone para auditar su repositorio primario y el proveedor tercero respectivo. Todos los auditores propuestos deberán ser aprobados por la Comisión.
3. Alcance de la auditoría Alcance y objetivo Deben presentarse informes de auditoría con el fin de informar a las autoridades nacionales competentes y a la Comisión sobre las conclusiones de los auditores, en particular en relación con cualquier irregularidad en el acceso a los datos almacenados en los repositorios primarios.
Los informes de auditoría deben dedicar capítulos específicos a cada uno de los seis ámbitos que figuran a continuación.
Cada capítulo debe abordar los controles del ámbito respectivo, según se enumeran en la lista de comprobación que figura en el anexo.
Las auditorías deben realizarse de acuerdo con dicha lista de comprobación, que establece los ámbitos y los controles requeridos en consonancia con la norma ISO/IEC 27001:2013, sobre Sistemas de Gestión de la Seguridad de la Información 4. Para ello, los auditores deben tener en cuenta que el artículo 10 del Reglamento Delegado UE 2018/573
de la Comisión menciona la norma ISO/IEC 27001:2013 como norma preferida en materia de gestión de la seguridad de la información en el contexto de la gestión de repositorios primarios.
Ámbito
Objetivos
Seguridad organizativa y física
Establecer un marco de gestión para la seguridad de la información dentro de la organización.
Garantizar que los empleados y los contratistas entiendan sus responsabilidades y sean adecuados para las funciones para las que se consideran.
Prevenir el acceso físico no autorizado, los daños o interferencias a la información de la organización y a los recursos de tratamiento de la información.
Evitar la pérdida, daño, robo o el compromiso de los activos y la interrupción de las operaciones de la organización.
Seguridad de las operaciones
Asegurar el funcionamiento correcto y seguro de las instalaciones de tratamiento de la información.
Proteger contra la pérdida de datos.
Registrar eventos y generar evidencias.
Asegurar la integridad de los sistemas operativos.
Evitar la explotación de las vulnerabilidades técnicas.
Control de acceso usuarios y aplicaciones
Limitar el acceso a la información y a los recursos de tratamiento de la información.
Garantizar el acceso de usuarios autorizados y evitar el acceso no autorizado a los sistemas y servicios.
Conseguir que los usuarios se hagan responsables de salvaguardar su información de autenticación.
Prevenir el acceso no autorizado a los sistemas y aplicaciones.
Garantizar que la seguridad de la información se haya diseñado e implementado en el ciclo de vida de desarrollo de los sistemas de información.
4 ISO/IEC 27001:2013. Tecnología de la información. Técnicas de seguridad. Sistemas de Gestión de la Seguridad de la Información.
Requisitos. Los requisitos establecidos en la norma ISO/IEC 27001:2013 son genéricos y aplicables a todas las organizaciones, cualquiera que sea su tipo, tamaño o naturaleza.
