A revisión do Arranxo sobre o Recoñecemento dos Certificados de Criterios Comúns no campo da Seguridade da Tecnoloxía da Información (coñecido como CCRA) ratificada polos 26 países membros do mesmo, incluíndo a España, e cuxo texto se pode consultar no seguinte enlace http://www.commoncriteriaportal.org/files/ccra%20-%20July%202,%202014%20-%20Ratified%20September%208%202014.pdf , foi publicada o 8 de setembro de 2014.
Por parte de España se ha realizado una firma conjunta entre el Centro Criptológico Nacional y la Secretaría de Estado de Administraciones Públicas.
Esta revisión do Arranxo é o resultado dos traballos realizados durante os anos 2013 e 2014 para producir unha nova versión actualizada acorde á evolución desde a sinatura do primeiro Arranxo o 23 de maio de 2000.
O Arranxo especifica os requisitos que han de cumprir os Certificados de Criterios Comúns, os Organismos de Certificación e os Centros de Avaliación da seguridade das tecnoloxías da información. Entre as novidades figuran unha mellor colaboración público-privada a través do establecemento das denominadas comunidades técnicas internacionais (international Technical Communities (iTCs)) e a definición de requisitos funcionais de seguridade a través dos perfís de protección colaborativos (collaborative Protection Profiles (cPPs)) aplicables a produtos tales como dispositivos USB, devasa, cifradores de discos, etc.
Los certificados de la seguridad son expedidos por Organismos de Certificación, en España el Organismo de Certificación do Esquema Nacional de Avaliación e Certificación da Seguridade das TI
O Arranxo ten interese para o Esquema Nacional de Seguridade (Real Decreto 3/2010, do 8 de xaneiro) que, en relación coa adquisición de produtos de seguridade, contempla o seguinte:
- valórese positivamente a certificación de seguridade na adquisición de produtos por parte das Administracións Públicas, (art. 18.1)
- recoñécese o papel do Organismo de Certificación nacional (art. 18.3)
- recóllese como o uso de produtos cuxa seguridade se certificou contribúe á satisfacción de requisitos de seguridade de maneira proporcionada nas medidas de seguridade para a protección adecuada da información (Anexo II)
- e inclúe un modelo de cláusula para os pregos de prescricións técnicas (RD 3/2010, Anexo V).