keyboard_tab Cyber Resilience Act 2023/2841 ES
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
CAPITULO I
DISPOSICIONES GENERALES
CAPITULO II
MEDIDAS DESTINADAS A GARANTIZAR UN ELEVADO NIVEL COMUN DE CIBERSEGURIDAD
CAPITULO III
CONSEJO INTERINSTITUCIONAL DE CIBERSEGURIDAD
CAPITULO IV
CERT-EU
CAPITULO V
OBLIGACIONES DE COOPERACION E INFORMACION
CAPITULO VI
DISPOSICIONES FINALES
- entidades de la Unión
- sistemas de redes y de información
- seguridad de los sistemas de redes y de información
- ciberseguridad
- más alto nivel de dirección
- cuasiincidente
- incidente
- incidente grave
- incidente de ciberseguridad a gran escala
- gestión de incidentes
- ciberamenaza
- ciberamenaza significativa
- vulnerabilidad
- riesgo de ciberseguridad
- servicio de computación en nube
- entidades_de_la_unión 30
- ciberseguridad 21
- sobre 21
- incidentes 19
- servicios 17
- información 17
- artículo 15
- unión 12
- apartado 12
- para 12
- el cert-eu 12
- cooperación 11
- el cert-eu 10
- del cert-eu 10
- cuando 9
- apoyo 9
- respuesta 8
- coordinación 8
- podrá 8
- proceda 7
- comisión 7
- asistencia 6
- presente 6
- reglamento 6
- medidas 6
- seguridad 6
- conformidad 6
- ciberamenazas 6
- acuerdos 6
- intercambio 6
- del ciic 6
- aplicación 5
- virtud 5
- vulnerabilidades 5
- nivel 5
- de tic 5
- directrices 5
- recomendaciones 5
- funciones 5
- base 5
- refiere 5
- materia 5
- la enisa 5
- entidad 5
- previa 4
- aprobación 4
- trate 4
- acción 4
- ue / 4
- el ciic 4
Artículo 13
1. La misión del CERT-EU será contribuir al refuerzo de la seguridad del entorno de TIC no clasificado de las entidades_de_la_Unión ofreciéndoles asesoramiento sobre ciberseguridad, prestándoles ayuda para prevenir, detectar, gestionar, mitigar y responder a incidentes, y recuperarse de ellos, y actuando como centro de coordinación para el intercambio de información sobre ciberseguridad y la respuesta a incidentes.
2. El CERT-EU recopilará, gestionará, analizará y compartirá con las entidades_de_la_Unión información sobre las ciberamenazas, las vulnerabilidades y los incidentes relacionados con infraestructuras de TIC no clasificadas. Coordinará las respuestas a los incidentes a escala interinstitucional y de las entidades_de_la_Unión, entre otros medios prestando asistencia operativa especializada o coordinando la prestación de dicha asistencia.
3. El CERT-EU desempeñará las funciones siguientes para asistir a las entidades_de_la_Unión:
| a) | les prestará apoyo en la aplicación del presente Reglamento y contribuirá a la coordinación de su aplicación a través de las medidas enumeradas en el artículo 14, apartado 1, o de informes ad hoc solicitados por el CIIC; |
| b) | ofrecerá servicios ordinarios de CSIRT a las entidades_de_la_Unión a través de un paquete de servicios de ciberseguridad descritos en su catálogo de servicios (servicios básicos); |
| c) | mantendrá una red de homólogos y socios en apoyo de los servicios de acuerdo con lo dispuesto en los artículos 17 y 18; |
| d) | pondrá en conocimiento del CIIC todo problema relacionado con la aplicación del presente Reglamento y de las directrices, las recomendaciones y los llamamientos a la acción; |
| e) | sobre la base de la información a que se refiere el apartado 2, contribuirá al conocimiento situacional de la Unión en el ámbito cibernético en estrecha cooperación con la ENISA; |
| f) | coordinará la gestión de incidentes graves; |
| g) | ejercerá, respecto de las entidades_de_la_Unión, la función equivalente a la de coordinador designado a efectos de la divulgación coordinada de las vulnerabilidades según lo dispuesto en el artículo 12, apartado 1, de la Directiva (UE) 2022/2555; |
| h) | proporcionará, a petición de una entidad de la Unión, una exploración proactiva y no intrusiva de los sistemas_de_redes_y_de_información de acceso público de dicha entidad de la Unión. |
La información a que se refiere el párrafo primero, letra e), se compartirá con el CIIC, la red de CSIRT y el Centro de Inteligencia y de Situación de la Unión Europea (EU INTCEN, por sus siglas en inglés), cuando proceda y resulte adecuado, y en función de las condiciones de confidencialidad adecuadas.
4. El CERT-EU podrá, de conformidad con los artículos 17 o 18, según proceda, cooperar con las comunidades de ciberseguridad pertinentes dentro de la Unión y sus Estados miembros, entre otros, en los ámbitos siguientes:
| a) | preparación, coordinación de incidentes, intercambio de información y respuesta a las crisis, en el plano técnico, en asuntos que afecten a las entidades_de_la_Unión; |
| b) | cooperación operativa en relación con la red de CSIRT, también en lo referente a la asistencia mutua; |
| c) | inteligencia sobre ciberamenazas, también en lo referente a la conciencia situacional; |
| d) | cualquier aspecto que requiera los conocimientos técnicos sobre ciberseguridad del CERT-EU. |
5. Dentro de sus competencias, el CERT-EU entablará una cooperación estructurada con la ENISA en relación con el desarrollo de capacidades, la cooperación operativa y los análisis estratégicos a largo plazo de las ciberamenazas, de conformidad con el Reglamento (UE) 2019/881. El CERT-EU podrá cooperar e intercambiar información con el Centro Europeo de Ciberdelincuencia de Europol.
6. El CERT-EU podrá prestar los servicios no descritos en su catálogo de servicios (en lo sucesivo, «servicios facturables») que se indican a continuación:
| a) | servicios de apoyo a la ciberseguridad del entorno de TIC de las entidades_de_la_Unión distintos de los referidos en el apartado 3, sobre la base de acuerdos de nivel de servicio y en función de los recursos disponibles, en particular el seguimiento de las redes de amplio espectro, incluido el seguimiento de primera línea, veinticuatro horas al día y siete días a la semana, de las ciberamenazas muy graves; |
| b) | servicios de apoyo a las operaciones o los proyectos de ciberseguridad de las entidades_de_la_Unión distintos de los destinados a proteger sus entornos de TIC, sobre la base de acuerdos escritos y con la aprobación previa del CIIC; |
| c) | previa solicitud, una exploración proactiva de los sistemas_de_redes_y_de_información de la entidad de la Unión de que se trate para detectar vulnerabilidades con posibles repercusiones significativas; |
| d) | servicios de apoyo a la seguridad del entorno de TIC de organizaciones distintas de las entidades_de_la_Unión que cooperen estrechamente con estas, por ejemplo, mediante el desempeño de funciones o responsabilidades encomendadas con arreglo al Derecho de la Unión, en virtud de acuerdos escritos y con la aprobación previa del CIIC. |
Por lo que respecta al párrafo primero, letra d), el CERT-EU podrá celebrar, con carácter excepcional, acuerdos de nivel de servicio con entidades distintas de las entidades_de_la_Unión, previa aprobación del CIIC.
7. El CERT-EU organizará ejercicios de ciberseguridad y podrá participar en ellos o recomendar la participación en ejercicios en curso, cuando proceda en estrecha cooperación con la ENISA, con objeto de someter a prueba el nivel de ciberseguridad de las entidades_de_la_Unión.
8. El CERT-EU podrá prestar asistencia a las entidades_de_la_Unión en relación con incidentes en sistemas_de_redes_y_de_información que manejen ICUE cuando lo soliciten expresamente las entidades_de_la_Unión afectadas, de conformidad con sus respectivos procedimientos. La prestación de asistencia por parte del CERT-EU con arreglo al presente apartado se entenderá sin perjuicio de la normativa aplicable relativa a la protección de la información clasificada.
9. El CERT-EU informará a las entidades_de_la_Unión sobre sus procedimientos y procesos de gestión de incidentes.
10. El CERT-EU proporcionará, con un alto grado de confidencialidad y fiabilidad, a través de los mecanismos de cooperación y canales de información adecuados, información pertinente y anonimizada sobre incidentes graves y la forma en que se gestionaron. Dicha información se incluirá en el informe a que se refiere el artículo 10, apartado 14.
11. en cooperación con el SEPD, el CERT-EU apoyará a las entidades_de_la_Unión de que se trate cuando hagan frente a incidentes que den lugar a violaciones de la seguridad de los datos personales, sin perjuicio de las competencias y funciones del SEPD como autoridad de control en virtud del Reglamento (UE) 2018/1725.
12. El CERT-EU, a petición expresa de los departamentos temáticos de las entidades_de_la_Unión, podrá facilitar asesoramiento o información técnicos sobre cuestiones políticas pertinentes.
Artículo 14
Directrices, recomendaciones y llamamientos a la acción
1. en apoyo de la aplicación del presente Reglamento, el CERT-EU:
| a) | emitirá llamamientos a la acción, en los que se describirán determinadas medidas urgentes de seguridad que se insta a las entidades_de_la_Unión a adoptar en un plazo determinado; |
| b) | propondrá al CIIC directrices dirigidas a la totalidad o a un subconjunto de las entidades_de_la_Unión; |
| c) | propondrá al CIIC recomendaciones dirigidas a entidades específicas de la Unión. |
Por lo que respecta al párrafo primero, letra a), la entidad de la Unión de que se trate informará al CERT-EU, sin demora indebida tras recibir el llamamiento a la acción, de cómo se han aplicado las medidas urgentes de seguridad.
2. Las directrices y las recomendaciones podrán incluir:
| a) | metodologías comunes y un modelo para evaluar la madurez en materia de ciberseguridad de las entidades_de_la_Unión, incluidos los baremos o KPI correspondientes, que sirvan de referencia en apoyo de la mejora continua de la ciberseguridad en todas las entidades_de_la_Unión y faciliten la priorización de los ámbitos y las medidas de ciberseguridad teniendo en cuenta la posición de las entidades en materia de ciberseguridad; |
| b) | disposiciones para la gestión de riesgos de ciberseguridad y las medidas de gestión de riesgos de ciberseguridad, o mejoras al respecto; |
| c) | mecanismos de las evaluaciones de madurez en materia de ciberseguridad y los planes de ciberseguridad; |
| d) | cuando proceda, el uso de tecnologías, arquitecturas y mejores prácticas de código abierto comunes con miras a la interoperabilidad y el establecimiento de normas comunes, incluido un enfoque coordinado en relación con la seguridad de las cadenas de suministro; |
| e) | cuando proceda, información para facilitar el uso de instrumentos de contratación común para la compra a terceros de los correspondientes servicios y productos de ciberseguridad; |
| f) | mecanismos de intercambio de información en virtud del artículo 20. |
Artículo 16
Aspectos financieros y de personal
1. El CERT-EU se integrará en la estructura administrativa de alguna dirección general de la Comisión con el fin de beneficiarse de las estructuras de apoyo administrativo, financiero y contable de la Comisión, manteniendo al mismo tiempo su condición de proveedor de servicios interinstitucional autónomo para todas las entidades_de_la_Unión. La Comisión informará al CIIC sobre la sede administrativa del CERT-EU y sobre cualquier modificación al respecto. La Comisión revisará los acuerdos administrativos relacionados con el CERT-EU de forma periódica y, en cualquier caso, antes del establecimiento de cualquier marco financiero plurianual en virtud del artículo 312 del TFUE, a fin de permitir la adopción de las medidas adecuadas. La revisión incluirá la posibilidad de constituir el CERT-EU en organismo de la Unión.
2. en la aplicación de los procedimientos administrativos y financieros, el director del CERT-EU actuará bajo la autoridad de la Comisión y bajo la supervisión del CIIC.
3. Las funciones y actividades del CERT-EU, incluidos los servicios que preste en virtud del artículo 13, apartados 3, 4, 5 y 7, y el artículo 14, apartado 1, a las entidades_de_la_Unión financiados con cargo a la rúbrica del marco financiero plurianual dedicada a la administración pública europea, se financiarán mediante una línea presupuestaria específica del presupuesto de la Comisión. Los puestos reservados al CERT-EU se detallarán en una nota a pie de página de la plantilla de personal de la Comisión.
4. Las entidades_de_la_Unión distintas de las mencionadas en el apartado 3 del presente artículo efectuarán una contribución financiera anual al CERT-EU para cubrir los servicios prestados por este de conformidad con dicho apartado. Las contribuciones se basarán en orientaciones del CIIC y serán pactadas entre cada entidad de la Unión y el CERT-EU en acuerdos de nivel de servicio. Las contribuciones representarán una parte equitativa y proporcional del coste total de los servicios prestados. Se consignarán en la línea presupuestaria específica a que se refiere el apartado 3 del presente artículo como ingresos afectados internos, de conformidad con lo previsto en el artículo 21, apartado 3, letra c), del Reglamento (UE, Euratom) 2018/1046.
5. Los costes de los servicios previstos en el artículo 13, apartado 6, se recuperarán de las entidades_de_la_Unión que reciban los servicios del CERT-EU. Los ingresos se asignarán a las líneas presupuestarias con las que se cubran los costes.
Artículo 22
Coordinación de la respuesta a incidentes y cooperación
1. en el ejercicio de su función de centro de intercambio de información sobre ciberseguridad y coordinación de la respuesta a incidentes, el CERT-EU facilitará el intercambio de información sobre incidentes, ciberamenazas, vulnerabilidades y cuasi incidentes entre:
| a) | las entidades_de_la_Unión; |
| b) | los homólogos a que se refieren los artículos 17 y 18. |
2. El CERT-EU, cuando proceda en estrecha cooperación con la ENISA, facilitará la coordinación de la respuesta a incidentes entre las entidades_de_la_Unión, incluyendo lo siguiente:
| a) | contribución a una comunicación externa coherente; |
| b) | apoyo mutuo, como el intercambio de información pertinente para las entidades_de_la_Unión, o la prestación de asistencia, cuando proceda directamente in situ; |
| c) | uso óptimo de los recursos operativos; |
| d) | coordinación con otros mecanismos de respuesta a las crisis a nivel de la Unión. |
3. El CERT-EU, en estrecha cooperación con la ENISA, apoyará a las entidades_de_la_Unión en lo que respecta al conocimiento situacional en materia de incidentes, ciberamenazas, vulnerabilidades y cuasi incidentes, y compartirá información sobre los avances en materia de ciberseguridad.
4. A más tardar el 8 de enero de 2025, el CIIC adoptará, sobre la base de una propuesta del CERT-EU, directrices o recomendaciones sobre la coordinación de la respuesta a incidentes y la cooperación en caso de incidentes significativos. Cuando se sospeche que un incidente es de carácter delictivo, el CERT-EU ofrecerá asesoramiento sobre el modo de notificar el incidente a las autoridades policiales, sin demora indebida.
5. Previa solicitud específica de un Estado miembro y tras la aprobación de las entidades_de_la_Unión de que se trate, el CERT-EU podrá recurrir a expertos de la lista a que se refiere el artículo 23, apartado 4, para contribuir a la respuesta a un incidente grave que tenga repercusiones en dicho Estado miembro, o a un incidente de ciberseguridad a gran escala, de conformidad con el artículo 15, apartado 3, letra g), de la Directiva (UE) 2022/2555. Las normas específicas sobre el acceso y el recurso a expertos técnicos de las entidades_de_la_Unión serán aprobadas por el CIIC sobre la base de una propuesta del CERT-EU.
whereas