keyboard_tab Cyber Resilience Act 2023/2841 ES
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 2 Art. 8 Medidas de gestión de riesgos de ciberseguridad
CAPITULO I
DISPOSICIONES GENERALES
CAPITULO II
MEDIDAS DESTINADAS A GARANTIZAR UN ELEVADO NIVEL COMUN DE CIBERSEGURIDAD
CAPITULO III
CONSEJO INTERINSTITUCIONAL DE CIBERSEGURIDAD
CAPITULO IV
CERT-EU
CAPITULO V
OBLIGACIONES DE COOPERACION E INFORMACION
CAPITULO VI
DISPOSICIONES FINALES
- entidades de la Unión
- sistemas de redes y de información
- seguridad de los sistemas de redes y de información
- ciberseguridad
- más alto nivel de dirección
- cuasiincidente
- incidente
- incidente grave
- incidente de ciberseguridad a gran escala
- gestión de incidentes
- ciberamenaza
- ciberamenaza significativa
- vulnerabilidad
- riesgo de ciberseguridad
- servicio de computación en nube
- ciberseguridad 40
- seguridad 20
- medidas 20
- para 19
- de 18
- gestión 18
- riesgos 18
- unión 17
- europeo 16
- no / 14
- incidentes 13
- entidad 12
- consejo 11
- servicios 10
- como 10
- parlamento 9
- desarrollo 8
- incluidos 8
- caso 8
- reglamento 8
- vulnerabilidades 8
- de tic 8
- programas 8
- entidades_de_la_unión 8
- cada 7
- do l 7
- aplicación 6
- ue / 6
- política 6
- cuenta 6
- presente 6
- sistemas 6
- efectos 6
- políticas 6
- cuando 6
- técnicas 6
- sobre 6
- materia 6
- comunicaciones 6
- proveedores 6
- formación 6
- ciberamenazas 6
- información 5
- garantizar 5
- europea 5
- entre 5
- artículo 5
- nivel 5
- reglamento 5
- normas 5
Artículo 8
Medidas de gestión de riesgos de ciberseguridad
1. Sin demora indebida y, en cualquier caso, a más tardar el 8 de septiembre de 2025, cada entidad de la Unión adoptará, bajo la supervisión de su más_alto_nivel_de_dirección, las medidas técnicas, operativas y organizativas adecuadas y proporcionadas para gestionar los riesgos de ciberseguridad identificados en el marco y prevenir o minimizar los efectos de los incidentes. Teniendo en cuenta el estado de la tecnología y, en su caso, las normas técnicas europeas e internacionales, dichas medidas garantizarán un nivel de seguridad de los sistemas_de_redes_y_de_información en todo el entorno de TIC que guarde proporción con los riesgos de ciberseguridad existentes. Al evaluar la proporcionalidad de dichas medidas, se tendrá debidamente en cuenta el grado de exposición de la entidad de la Unión a los riesgos de ciberseguridad, el tamaño de dicha entidad y la probabilidad de que se produzcan incidentes y la gravedad de estos, incluidos sus efectos sociales, económicos e interinstitucionales.
2. Las entidades_de_la_Unión abordarán al menos los siguientes aspectos en la aplicación de las medidas de gestión de riesgos de ciberseguridad:
a) | la política de ciberseguridad, incluidas las medidas necesarias para alcanzar los objetivos y prioridades a que se refieren el artículo 6 y el apartado 3 del presente artículo; |
b) | las políticas de análisis de riesgos de ciberseguridad y seguridad de los sistemas de información; |
c) | los objetivos de la política de ciberseguridad relativos al uso de servicios de computación en nube; |
d) | la auditoría de ciberseguridad, cuando proceda, que podrá incluir una evaluación de los riesgos de ciberseguridad, de la vulnerabilidad y de las ciberamenazas, y las pruebas de penetración realizadas periódicamente por un proveedor privado de confianza; |
e) | la aplicación de las recomendaciones resultantes de las auditorías de ciberseguridad a que se refiere la letra d) por medio de actualizaciones de la ciberseguridad y de la política de ciberseguridad; |
f) | la organización de la ciberseguridad, incluida la determinación de funciones y responsabilidades; |
g) | la gestión de activos, incluidos un inventario de los activos de TIC y la cartografía de las redes de TIC; |
h) | la seguridad en materia de recursos humanos y el control del acceso; |
i) | la seguridad de las operaciones; |
j) | la seguridad de las comunicaciones; |
k) | la adquisición, el desarrollo y el mantenimiento de los sistemas, incluidas las políticas de gestión y divulgación de vulnerabilidades; |
l) | cuando sea posible, las políticas de transparencia del código fuente; |
m) | la seguridad de la cadena de suministro, incluidos los aspectos de seguridad relativos a las relaciones entre cada entidad de la Unión y sus proveedores o prestadores de servicios directos; |
n) | la gestión de incidentes y la cooperación con el CERT-EU, como el mantenimiento de los registros y del seguimiento de seguridad; |
o) | la gestión de la continuidad de las actividades, como la gestión de copias de seguridad y la recuperación en caso de catástrofe, y la gestión de crisis, y |
p) | la promoción y el desarrollo de programas de educación, capacidades, concienciación, ejercicios y formación en materia de ciberseguridad. |
A efectos del párrafo primero, letra m), las entidades_de_la_Unión tendrán en cuenta las vulnerabilidades específicas de cada proveedor y prestador de servicios directo y la calidad general de los productos y de las prácticas de ciberseguridad de sus proveedores y prestadores de servicios, incluidos sus procedimientos de desarrollo seguro.
3. Las entidades_de_la_Unión adoptarán al menos las siguientes medidas concretas de gestión de riesgos de ciberseguridad:
a) | disposiciones técnicas para permitir y mantener el teletrabajo; |
b) | medidas concretas para avanzar hacia principios de confianza cero; |
c) | uso de la autenticación multifactor como norma en la totalidad de los sistemas_de_redes_y_de_información; |
d) | uso de la criptografía y el cifrado, y en particular el cifrado de extremo a extremo, así como de la firma digital segura; |
e) | en su caso, implantación de comunicaciones de voz, vídeo y texto seguras, y de sistemas de comunicaciones de emergencia seguras dentro de la entidad de la Unión; |
f) | medidas proactivas para la detección y retirada de programas maliciosos y programas espía; |
g) | garantía de la seguridad de la cadena de suministro de software mediante criterios para la evaluación y desarrollo seguros de software; |
h) | establecimiento y adopción de programas de formación sobre ciberseguridad que guarden proporción con las tareas exigidas y las capacidades previstas para el más_alto_nivel_de_dirección y para el personal de la entidad de la Unión encargado de garantizar la aplicación efectiva del presente Reglamento; |
i) | formación periódica en materia de ciberseguridad para el personal; |
j) | cuando sea pertinente, participación en análisis de riesgos de interconexión entre entidades_de_la_Unión; |
k) | introducción de mejoras en las normas de contratación pública a fin de garantizar un elevado nivel común de ciberseguridad mediante:
|
Artículo 8
Medidas de gestión de riesgos de ciberseguridad
1. Sin demora indebida y, en cualquier caso, a más tardar el 8 de septiembre de 2025, cada entidad de la Unión adoptará, bajo la supervisión de su más_alto_nivel_de_dirección, las medidas técnicas, operativas y organizativas adecuadas y proporcionadas para gestionar los riesgos de ciberseguridad identificados en el marco y prevenir o minimizar los efectos de los incidentes. Teniendo en cuenta el estado de la tecnología y, en su caso, las normas técnicas europeas e internacionales, dichas medidas garantizarán un nivel de seguridad de los sistemas_de_redes_y_de_información en todo el entorno de TIC que guarde proporción con los riesgos de ciberseguridad existentes. Al evaluar la proporcionalidad de dichas medidas, se tendrá debidamente en cuenta el grado de exposición de la entidad de la Unión a los riesgos de ciberseguridad, el tamaño de dicha entidad y la probabilidad de que se produzcan incidentes y la gravedad de estos, incluidos sus efectos sociales, económicos e interinstitucionales.
2. Las entidades_de_la_Unión abordarán al menos los siguientes aspectos en la aplicación de las medidas de gestión de riesgos de ciberseguridad:
a) | la política de ciberseguridad, incluidas las medidas necesarias para alcanzar los objetivos y prioridades a que se refieren el artículo 6 y el apartado 3 del presente artículo; |
b) | las políticas de análisis de riesgos de ciberseguridad y seguridad de los sistemas de información; |
c) | los objetivos de la política de ciberseguridad relativos al uso de servicios de computación en nube; |
d) | la auditoría de ciberseguridad, cuando proceda, que podrá incluir una evaluación de los riesgos de ciberseguridad, de la vulnerabilidad y de las ciberamenazas, y las pruebas de penetración realizadas periódicamente por un proveedor privado de confianza; |
e) | la aplicación de las recomendaciones resultantes de las auditorías de ciberseguridad a que se refiere la letra d) por medio de actualizaciones de la ciberseguridad y de la política de ciberseguridad; |
f) | la organización de la ciberseguridad, incluida la determinación de funciones y responsabilidades; |
g) | la gestión de activos, incluidos un inventario de los activos de TIC y la cartografía de las redes de TIC; |
h) | la seguridad en materia de recursos humanos y el control del acceso; |
i) | la seguridad de las operaciones; |
j) | la seguridad de las comunicaciones; |
k) | la adquisición, el desarrollo y el mantenimiento de los sistemas, incluidas las políticas de gestión y divulgación de vulnerabilidades; |
l) | cuando sea posible, las políticas de transparencia del código fuente; |
m) | la seguridad de la cadena de suministro, incluidos los aspectos de seguridad relativos a las relaciones entre cada entidad de la Unión y sus proveedores o prestadores de servicios directos; |
n) | la gestión de incidentes y la cooperación con el CERT-EU, como el mantenimiento de los registros y del seguimiento de seguridad; |
o) | la gestión de la continuidad de las actividades, como la gestión de copias de seguridad y la recuperación en caso de catástrofe, y la gestión de crisis, y |
p) | la promoción y el desarrollo de programas de educación, capacidades, concienciación, ejercicios y formación en materia de ciberseguridad. |
A efectos del párrafo primero, letra m), las entidades_de_la_Unión tendrán en cuenta las vulnerabilidades específicas de cada proveedor y prestador de servicios directo y la calidad general de los productos y de las prácticas de ciberseguridad de sus proveedores y prestadores de servicios, incluidos sus procedimientos de desarrollo seguro.
3. Las entidades_de_la_Unión adoptarán al menos las siguientes medidas concretas de gestión de riesgos de ciberseguridad:
a) | disposiciones técnicas para permitir y mantener el teletrabajo; |
b) | medidas concretas para avanzar hacia principios de confianza cero; |
c) | uso de la autenticación multifactor como norma en la totalidad de los sistemas_de_redes_y_de_información; |
d) | uso de la criptografía y el cifrado, y en particular el cifrado de extremo a extremo, así como de la firma digital segura; |
e) | en su caso, implantación de comunicaciones de voz, vídeo y texto seguras, y de sistemas de comunicaciones de emergencia seguras dentro de la entidad de la Unión; |
f) | medidas proactivas para la detección y retirada de programas maliciosos y programas espía; |
g) | garantía de la seguridad de la cadena de suministro de software mediante criterios para la evaluación y desarrollo seguros de software; |
h) | establecimiento y adopción de programas de formación sobre ciberseguridad que guarden proporción con las tareas exigidas y las capacidades previstas para el más_alto_nivel_de_dirección y para el personal de la entidad de la Unión encargado de garantizar la aplicación efectiva del presente Reglamento; |
i) | formación periódica en materia de ciberseguridad para el personal; |
j) | cuando sea pertinente, participación en análisis de riesgos de interconexión entre entidades_de_la_Unión; |
k) | introducción de mejoras en las normas de contratación pública a fin de garantizar un elevado nivel común de ciberseguridad mediante:
|
Artículo 26
Entrada en vigor
El presente Reglamento entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.
El presente Reglamento será obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro.
Hecho en Estrasburgo, el 13 de diciembre de 2023.
Por el Parlamento Europeo
La Presidenta
R. METSOLA
Por el Consejo
El Presidente
P. NAVARRO RÍOS
(1) Posición del Parlamento Europeo de 21 de noviembre de 2023 (pendiente de publicación en el Diario Oficial) y Decisión del Consejo de 8 de diciembre de 2023.
(2) Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión, por la que se modifican el Reglamento (UE) n.o 910/2014 y la Directiva (UE) 2018/1972 y por la que se deroga la Directiva (UE) 2016/1148 (Directiva SRI 2) (DO L 333 de 27.12.2022, p. 80).
(3) Reglamento (UE) 2019/881 del Parlamento Europeo y del Consejo, de 17 de abril de 2019, relativo a ENISA (Agencia de la Unión Europea para la Ciberseguridad) y a la certificación de la ciberseguridad de las tecnologías de la información y la comunicación y por el que se deroga el Reglamento (UE) n.o 526/2013 («Reglamento sobre la Ciberseguridad») (DO L 151 de 7.6.2019, p. 15).
(4) Acuerdo entre el Parlamento Europeo, el Consejo Europeo, el Consejo de la Unión Europea, la Comisión Europea, el Tribunal de Justicia de la Unión Europea, el Banco Central Europeo, el Tribunal de Cuentas Europeo, el Servicio Europeo de Acción Exterior, el Comité Económico y Social Europeo, el Comité Europeo de las Regiones y el Banco Europeo de Inversiones sobre la organización y el funcionamiento del Equipo de Respuesta a Emergencias Informáticas de las instituciones, órganos y organismos de la UE (CERT-UE) (DO C 12 de 13.1.2018, p. 1).
(5) Reglamento (CEE, Euratom, CECA) n.o 259/68 del Consejo, de 29 de febrero de 1968, por el que se establece el Estatuto de los funcionarios de las Comunidades Europeas y el régimen aplicable a los otros agentes de estas Comunidades y por el que se establecen medidas específicas aplicables temporalmente a los funcionarios de la Comisión (DO L 56 de 4.3.1968, p. 1).
(6) Recomendación (UE) 2017/1584 de la Comisión, de 13 de septiembre de 2017, sobre la respuesta coordinada a los incidentes y crisis de ciberseguridad a gran escala (DO L 239 de 19.9.2017, p. 36).
(7) Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión y a la libre circulación de estos datos y por el que se deroga el Reglamento (CE) n.o 45/2001 y la Decisión 1247/2002/CE (DO L 295 de 21.11.2018, p. 39).
(8) DO C 258 de 5.7.2022, p. 10.
(9) Reglamento (UE, Euratom) 2018/1046 del Parlamento Europeo y del Consejo, de 18 de julio de 2018, sobre las normas financieras aplicables al presupuesto general de la Unión, por el que se modifican los Reglamentos (UE) n.o 1296/2013, (UE) n.o 1301/2013, (UE) n.o 1303/2013, (UE) n.o 1304/2013, (UE) n.o 1309/2013, (UE) n.o 1316/2013, (UE) n.o 223/2014 y (UE) n.o 283/2014 y la Decisión n.o 541/2014/UE y por el que se deroga el Reglamento (UE, Euratom) n.o 966/2012 (DO L 193 de 30.7.2018, p. 1).
(10) Reglamento (CE) n.o 1049/2001 del Parlamento Europeo y del Consejo, de 30 de mayo de 2001, relativo al acceso del público a los documentos del Parlamento Europeo, del Consejo y de la Comisión (DO L 145 de 31.5.2001, p. 43).
ELI: http://data.europa.eu/eli/reg/2023/2841/oj
ISSN 1977-0685 (electronic edition)