A revisión do Arranxo sobre o Recoñecemento dos Certificados de Criterios Comúns no campo da Seguridade da Tecnoloxía da Información (coñecido como CCRA) ratificada polos 26 países membros do mesmo, incluíndo a España, e cuxo texto se pode consultar no seguinte enlace http://www.commoncriteriaportal.org/files/ccra%20-%20July%202,%202014%20-%20Ratified%20September%208%202014.pdf , foi publicada o 8 de setembro de 2014.
Por parte de España realizouse unha firma conxunta entre o Centro Criptolóxico Nacional e a Secretaría de Estado de Administracións Públicas.
Esta revisión do Arranxo é o resultado dos traballos realizados durante os anos 2013 e 2014 para producir unha nova versión actualizada acorde á evolución desde a sinatura do primeiro Arranxo o 23 de maio de 2000.
O Arranxo especifica os requisitos que han de cumprir os Certificados de Criterios Comúns, os Organismos de Certificación e os Centros de Avaliación da seguridade das tecnoloxías da información. Entre as novidades figuran unha mellor colaboración público-privada a través do establecemento das denominadas comunidades técnicas internacionais (international Technical Communities (iTCs)) e a definición de requisitos funcionais de seguridade a través dos perfís de protección colaborativos (collaborative Protection Profiles (cPPs)) aplicables a produtos tales como dispositivos USB, devasa, cifradores de discos, etc.
Os certificados da seguridade son expedidos por Organismos de Certificación, en España o Organismo de Certificación do Esquema Nacional de Avaliación e Certificación da Seguridade das TI
O Arranxo ten interese para o Esquema Nacional de Seguridade (Real Decreto 3/2010, do 8 de xaneiro) que, en relación coa adquisición de produtos de seguridade, contempla o seguinte:
- valórese positivamente a certificación de seguridade na adquisición de produtos por parte das Administracións Públicas, (art. 18.1)
- recoñécese o papel do Organismo de Certificación nacional (art. 18.3)
- recóllese como o uso de produtos cuxa seguridade se certificou contribúe á satisfacción de requisitos de seguridade de maneira proporcionada nas medidas de seguridade para a protección adecuada da información (Anexo II)
- e inclúe un modelo de cláusula para os pregos de prescricións técnicas (RD 3/2010, Anexo V).