search

keyboard_tab Cyber Resilience Act 2023/2841 ES

 BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf

2023/2841 ES Art. 3 cercato: 'ciberamenaza significativa' . Output generated live by software developed by IusOnDemand srl


expand index ciberamenaza significativa:

    CAPITULO I
    DISPOSICIONES GENERALES
  • 2 Art. 3 Definiciones

    • CAPITULO II
    MEDIDAS DESTINADAS A GARANTIZAR UN ELEVADO NIVEL COMUN DE CIBERSEGURIDAD

    CAPITULO III
    CONSEJO INTERINSTITUCIONAL DE CIBERSEGURIDAD

    CAPITULO IV
    CERT-EU

    CAPITULO V
    OBLIGACIONES DE COOPERACION E INFORMACION
  • 3 Art. 21 Obligaciones de notificación

    • CAPITULO VI
    DISPOSICIONES FINALES


whereas ciberamenaza significativa:


definitions:


cloud tag: and the number of total unique words without stopwords is: 325

 

Artículo 3

Definiciones

A los efectos del presente Reglamento, se entenderá por:

1)

« entidades_de_la_Unión»: las instituciones, los órganos y los organismos de la Unión creados o constituidos en virtud del Tratado de la Unión Europea, el Tratado de Funcionamiento de la Unión Europea (TFUE) o el Tratado constitutivo de la Comunidad Europea de la Energía Atómica;

2)

« sistemas_de_redes_y_de_información»: los sistemas_de_redes_y_de_información según se definen en el artículo 6, punto 1, de la Directiva (UE) 2022/2555;

3)

«seguridad de los sistemas_de_redes_y_de_información»: la seguridad de los sistemas_de_redes_y_de_información según se define en el artículo 6, punto 2, de la Directiva (UE) 2022/2555;

4)

« ciberseguridad»: la ciberseguridad según se define en el artículo 2, punto 1, del Reglamento (UE) 2019/881;

5)

« más_alto_nivel_de_dirección»: el cargo directivo, el órgano de gestión o el órgano de coordinación y supervisión, al más alto nivel administrativo, responsable del funcionamiento de una entidad de la Unión, y que tenga encomendada la adopción o autorización de decisiones con arreglo a los sistemas de gobernanza de alto nivel de dicha entidad de la Unión, sin perjuicio de las responsabilidades formales de otros niveles de gestión respecto al cumplimiento y a la gestión de riesgos de ciberseguridad en sus respectivas áreas de responsabilidad;

6)

« cuasi incidente»: un cuasi incidente según se define en el artículo 6, punto 5, de la Directiva (UE) 2022/2555;

7)

« incidente»: un incidente según se define en el artículo 6, punto 6, de la Directiva (UE) 2022/2555;

8)

« incidente grave»: un incidente que cause perturbaciones que superen la capacidad de una entidad de la Unión o del CERT-EU para responder a él o que afecte significativamente a dos entidades_de_la_Unión como mínimo;

9)

« incidente de ciberseguridad a gran escala»: un incidente de ciberseguridad a gran escala según se define en el artículo 6, punto 7, de la Directiva (UE) 2022/2555;

10)

«gestión de incidentes»: la gestión de incidentes según se define en el artículo 6, punto 8, de la Directiva (UE) 2022/2555;

11)

« ciberamenaza»: una ciberamenaza según se define en el artículo 2, punto 8, del Reglamento (UE) 2019/881;

12)

« ciberamenaza significativa»: una ciberamenaza significativa según se define en el artículo 6, punto 11, de la Directiva (UE) 2022/2555;

13)

« vulnerabilidad»: una vulnerabilidad según se define en el artículo 6, punto 15, de la Directiva (UE) 2022/2555;

14)

«riesgo de ciberseguridad»: un riesgo según se define en el artículo 6, punto 9, de la Directiva (UE) 2022/2555;

15)

« servicio_de_computación_en_nube»: un servicio_de_computación_en_nube según se define en el artículo 6, punto 30, de la Directiva (UE) 2022/2555.

Artículo 3

Definiciones

A los efectos del presente Reglamento, se entenderá por:

1)

« entidades_de_la_Unión»: las instituciones, los órganos y los organismos de la Unión creados o constituidos en virtud del Tratado de la Unión Europea, el Tratado de Funcionamiento de la Unión Europea (TFUE) o el Tratado constitutivo de la Comunidad Europea de la Energía Atómica;

2)

« sistemas_de_redes_y_de_información»: los sistemas_de_redes_y_de_información según se definen en el artículo 6, punto 1, de la Directiva (UE) 2022/2555;

3)

«seguridad de los sistemas_de_redes_y_de_información»: la seguridad de los sistemas_de_redes_y_de_información según se define en el artículo 6, punto 2, de la Directiva (UE) 2022/2555;

4)

« ciberseguridad»: la ciberseguridad según se define en el artículo 2, punto 1, del Reglamento (UE) 2019/881;

5)

« más_alto_nivel_de_dirección»: el cargo directivo, el órgano de gestión o el órgano de coordinación y supervisión, al más alto nivel administrativo, responsable del funcionamiento de una entidad de la Unión, y que tenga encomendada la adopción o autorización de decisiones con arreglo a los sistemas de gobernanza de alto nivel de dicha entidad de la Unión, sin perjuicio de las responsabilidades formales de otros niveles de gestión respecto al cumplimiento y a la gestión de riesgos de ciberseguridad en sus respectivas áreas de responsabilidad;

6)

« cuasi incidente»: un cuasi incidente según se define en el artículo 6, punto 5, de la Directiva (UE) 2022/2555;

7)

« incidente»: un incidente según se define en el artículo 6, punto 6, de la Directiva (UE) 2022/2555;

8)

« incidente grave»: un incidente que cause perturbaciones que superen la capacidad de una entidad de la Unión o del CERT-EU para responder a él o que afecte significativamente a dos entidades_de_la_Unión como mínimo;

9)

« incidente de ciberseguridad a gran escala»: un incidente de ciberseguridad a gran escala según se define en el artículo 6, punto 7, de la Directiva (UE) 2022/2555;

10)

«gestión de incidentes»: la gestión de incidentes según se define en el artículo 6, punto 8, de la Directiva (UE) 2022/2555;

11)

« ciberamenaza»: una ciberamenaza según se define en el artículo 2, punto 8, del Reglamento (UE) 2019/881;

12)

« ciberamenaza significativa»: una ciberamenaza significativa según se define en el artículo 6, punto 11, de la Directiva (UE) 2022/2555;

13)

« vulnerabilidad»: una vulnerabilidad según se define en el artículo 6, punto 15, de la Directiva (UE) 2022/2555;

14)

«riesgo de ciberseguridad»: un riesgo según se define en el artículo 6, punto 9, de la Directiva (UE) 2022/2555;

15)

« servicio_de_computación_en_nube»: un servicio_de_computación_en_nube según se define en el artículo 6, punto 30, de la Directiva (UE) 2022/2555.

Artículo 21

Obligaciones de notificación

1.   Un incidente se considerará significativo si:

a)

ha causado o puede causar graves perturbaciones operativas o pérdidas económicas para la entidad de la Unión afectada;

b)

ha afectado o puede afectar a otras personas físicas o jurídicas al causar perjuicios materiales o inmateriales considerables.

2.   Las entidades_de_la_Unión presentarán al CERT-EU:

a)

sin demora indebida, y en cualquier caso en el plazo de veinticuatro horas desde que se haya tenido constancia del incidente significativo, una alerta temprana en la que se indicará, cuando proceda, si cabe sospechar que el incidente significativo responde a una acción ilícita o malintencionada o puede tener repercusiones entre entidades o repercusiones transfronterizas;

b)

sin demora indebida, y en cualquier caso en el plazo de setenta y dos horas desde que se haya tenido constancia del incidente significativo, una notificación del incidente en la que se actualizará, cuando proceda, la información a que se refiere la letra a) y se expondrá una evaluación inicial del incidente significativo, incluyendo su gravedad e impacto, así como indicadores de compromiso, cuando estén disponibles;

c)

a petición del CERT-EU, un informe intermedio con las actualizaciones pertinentes sobre la situación;

d)

un informe final, a más tardar un mes después de presentar la notificación del incidente a que se refiere la letra b), en el que se recojan, entre otros, los siguientes elementos:

i)

una descripción detallada del incidente, incluidos su gravedad y repercusiones,

ii)

el tipo de amenaza o causa principal que probablemente haya desencadenado el incidente,

iii)

las medidas paliativas aplicadas y en curso,

iv)

cuando proceda, las repercusiones transfronterizas o entre entidades del incidente;

e)

en el caso de que el incidente esté ocurriendo en el mismo momento de la presentación del informe final mencionado en la letra d), un informe de la situación en ese momento y un informe final en el plazo de un mes a partir de que se haya gestionado el incidente.

3.   Las entidades_de_la_Unión informarán, sin demora indebida, y en cualquier caso en el plazo de veinticuatro horas desde la constatación de un incidente significativo, a los homólogos pertinentes a los que se refiere el artículo 17, apartado 1, del Estado miembro en el que estén ubicadas, de que se ha producido un incidente significativo.

4.   Las entidades_de_la_Unión notificarán, entre otras cosas, cualquier información que permita al CERT-EU determinar las repercusiones entre entidades, las repercusiones en el Estado miembro de acogida o las repercusiones transfronterizas después de un incidente significativo. Sin perjuicio de lo dispuesto en el artículo 12, el mero acto de notificar no incrementará la responsabilidad de la entidad de la Unión.

5.   Cuando proceda, las entidades_de_la_Unión comunicarán, sin demora indebida, a los usuarios de los sistemas_de_redes_y_de_información afectados o de otros componentes del entorno de TIC que puedan verse afectados por un incidente significativo o una ciberamenaza significativa y que, en su caso, deban adoptar medidas paliativas, las medidas o soluciones que pueden adoptar en respuesta al incidente o la amenaza. Cuando proceda, las entidades_de_la_Unión informarán de la propia ciberamenaza significativa a dichos usuarios.

6.   Cuando un incidente significativo o una ciberamenaza significativa afecte a un sistema de redes y de información o a un componente del entorno de TIC de una entidad de la Unión de la que se tenga conocimiento que está conectada con el entorno de TIC de otra entidad de la Unión, el CERT-EU emitirá la correspondiente alerta de ciberseguridad.

7.   A petición del CERT-EU, las entidades_de_la_Unión le proporcionarán, sin demora indebida, la información digital generada por el uso de dispositivos electrónicos implicados en sus respectivos incidentes. El CERT-EU podrá proporcionar más detalles sobre el tipo de información que necesita a efectos del conocimiento situacional y la respuesta a incidentes.

8.   El CERT-EU presentará al CIIC, a la ENISA, al EU INTCEN y a la red de CSIRT, cada tres meses, un informe de síntesis que contendrá datos anonimizados y agregados sobre los incidentes significativos, los incidentes, las ciberamenazas, los cuasi incidentes y las vulnerabilidades en virtud del artículo 20 y los incidentes significativos notificados en virtud del apartado 2 del presente artículo. El informe de síntesis se incorporará al informe bienal sobre la situación de la ciberseguridad en la Unión, adoptado en virtud del artículo 18 de la Directiva (UE) 2022/2555.

9.   A más tardar el 8 de julio de 2024, el CIIC emitirá directrices o recomendaciones que especifiquen con mayor detalle los mecanismos, el formato y el contenido de las notificaciones previstas en el presente artículo. Al preparar dichas directrices o recomendaciones, el CIIC tendrá en cuenta cualquier acto de ejecución adoptado en virtud del artículo 23, apartado 11, de la Directiva (UE) 2022/2555 en el que se especifique el tipo de información, el formato y el procedimiento de las notificaciones. El CERT-EU difundirá los detalles técnicos pertinentes a fin de facilitar la detección proactiva, la respuesta a incidentes o la adopción de medidas paliativas por parte de las entidades_de_la_Unión.

10.   Las obligaciones de notificación establecidas en el presente artículo no se exigirán respecto de:

a)

la ICUE;

b)

la información cuya distribución ulterior haya sido excluida mediante una marca visible, a menos que se haya autorizado expresamente su intercambio con el CERT-EU.

whereas
keyboard_arrow_down