keyboard_tab Cyber Resilience Act 2023/2841 ES
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Art. 11 Funciones del CIIC
- 2 Art. 12 Cumplimiento
- 1 Art. 13
- 3 Art. 14 Directrices, recomendaciones y llamamientos a la acción
- 2 Art. 15
- 1 Art. 20 Mecanismos de intercambio de información sobre ciberseguridad
- 1 Art. 21 Obligaciones de notificación
CAPITULO I
DISPOSICIONES GENERALES
CAPITULO II
MEDIDAS DESTINADAS A GARANTIZAR UN ELEVADO NIVEL COMUN DE CIBERSEGURIDAD
CAPITULO III
CONSEJO INTERINSTITUCIONAL DE CIBERSEGURIDAD
CAPITULO IV
CERT-EU
CAPITULO V
OBLIGACIONES DE COOPERACION E INFORMACION
CAPITULO VI
DISPOSICIONES FINALES
- entidades de la Unión
- sistemas de redes y de información
- seguridad de los sistemas de redes y de información
- ciberseguridad
- más alto nivel de dirección
- cuasiincidente
- incidente
- incidente grave
- incidente de ciberseguridad a gran escala
- gestión de incidentes
- ciberamenaza
- ciberamenaza significativa
- vulnerabilidad
- riesgo de ciberseguridad
- servicio de computación en nube
- entidades_de_la_unión 52
- unión 50
- ciberseguridad 44
- sobre 41
- del cert-eu 38
- información 37
- artículo 34
- reglamento 30
- para 30
- entidad 30
- europeo 29
- incidentes 25
- presente 24
- el ciic 21
- medidas 20
- del ciic 19
- incidente 19
- podrá 19
- consejo 18
- de 18
- director 17
- servicios 17
- el cert-eu 16
- apartado 16
- trate 15
- cuando 15
- ue / 15
- virtud 15
- recomendaciones 15
- informe 14
- no / 14
- parlamento 14
- aplicación 13
- directrices 12
- refiere 12
- entre 12
- proceda 12
- el cert-eu 11
- plazo 11
- acción 11
- de tic 11
- cooperación 11
- gestión 11
- presidente 10
- acuerdos 10
- base 10
- miembros 10
- propuesta 10
- significativo 10
- conformidad 10
Artículo 10
Consejo Interinstitucional de Ciberseguridad
1. Se crea el Consejo Interinstitucional de Ciberseguridad (CIIC).
2. El CIIC será responsable de:
| a) | hacer un seguimiento de la aplicación del presente Reglamento por parte de las entidades_de_la_Unión y apoyar dicha aplicación; |
| b) | supervisar la aplicación de las prioridades y los objetivos generales por parte del CERT-EU, al que, además, proporcionará una dirección estratégica. |
3. El CIIC estará compuesto por:
| a) | un representante designado por cada una de las instituciones siguientes:
|
| b) | tres representantes designados por la EUAN, a propuesta de su Comité consultivo para las TIC, que representarán los intereses de los órganos y organismos de la Unión que gestionen sus propios entornos de TIC y que no estén incluidos en la letra a). |
Las entidades_de_la_Unión representadas en el CIIC procurarán lograr el equilibrio de género entre los representantes designados.
4. Los miembros del CIIC podrán estar asistidos por sus suplentes. El presidente podrá invitar a otros representantes de las entidades_de_la_Unión a que se refiere el apartado 3 o de otras entidades_de_la_Unión a asistir a las reuniones del CIIC sin derecho de voto.
5. El director del CERT-EU y los presidentes del Grupo de Cooperación, de la red de CSIRT y de EU-CyCLONe, establecidos, respectivamente, en virtud de los artículos 14, 15 y 16 de la Directiva (UE) 2022/2555, o sus suplentes, podrán participar en las reuniones del CIIC como observadores. En casos excepcionales, el CIIC podrá disponer otra cosa, de conformidad con su reglamento interno.
6. El CIIC aprobará su reglamento interno.
7. De conformidad con dicho reglamento interno, el CIIC designará a su presidente, de entre sus miembros, por un período de tres años. Su suplente pasará a ser miembro de pleno derecho del CIIC durante el mismo período.
8. El CIIC se reunirá al menos tres veces al año a iniciativa de su presidente, a petición del CERT-EU o a petición de cualquiera de sus miembros.
9. Cada miembro del CIIC dispondrá de un voto. Las decisiones del CIIC se adoptarán por mayoría simple, salvo que se disponga otra cosa en el presente Reglamento. El presidente del CIIC no tendrá voto, salvo que se produzca un empate, en cuyo caso podrá emitir un voto de calidad.
10. El CIIC podrá actuar mediante un procedimiento escrito simplificado iniciado de conformidad con su reglamento interno. Con arreglo a dicho procedimiento, la decisión pertinente se considerará aprobada en el plazo establecido por el presidente, salvo oposición de uno de sus miembros.
11. La Comisión prestará servicios de secretaría al CIIC y dicha secretaría rendirá cuentas al presidente del CIIC.
12. Los representantes nombrados por la EUAN transmitirán las decisiones del CIIC a los miembros de la EUAN. Todo miembro de la EUAN estará autorizado a plantear a dichos representantes o al presidente del CIIC cualquier cuestión que considere que debe ponerse en conocimiento del CIIC.
13. El CIIC podrá establecer un comité ejecutivo que le asista en el desempeño de su labor, y delegar en este parte de sus funciones y facultades. El CIIC establecerá el reglamento interno del comité ejecutivo, que incluirá sus funciones y facultades y el mandato de sus miembros.
14. A más tardar el 8 de enero de 2025, y anualmente a partir de entonces, el CIIC presentará al Parlamento Europeo y al Consejo un informe en el que se detallarán los avances realizados en la aplicación del presente Reglamento y se especificará, en particular, el grado de cooperación del CERT-EU con sus homólogos en cada uno de los Estados miembros. El informe se incorporará al informe bienal sobre la situación de la ciberseguridad en la Unión adoptado en virtud del artículo 18 de la Directiva (UE) 2022/2555.
Artículo 11
Funciones del CIIC
En el ejercicio de sus responsabilidades, el CIIC deberá en particular:
| a) | proporcionar orientación al director del CERT-EU; |
| b) | hacer un seguimiento y supervisar eficazmente la aplicación del presente Reglamento y apoyar a las entidades_de_la_Unión para reforzar su ciberseguridad, incluyendo, cuando proceda, la solicitud de informes ad hoc a las entidades_de_la_Unión y al CERT-EU; |
| c) | tras un debate estratégico, adoptar una estrategia plurianual sobre el aumento del nivel de ciberseguridad de las entidades_de_la_Unión, evaluar dicha estrategia periódicamente, en cualquier caso cada cinco años, y, de ser necesario, modificar la estrategia; |
| d) | establecer la metodología y los aspectos organizativos para la realización de revisiones interpares voluntarias por parte de las entidades_de_la_Unión, para aprender de las experiencias compartidas, reforzar la confianza mutua, lograr un elevado nivel común de ciberseguridad y mejorar las capacidades de ciberseguridad de las entidades_de_la_Unión, garantizando que dichas revisiones interpares sean realizadas por expertos en ciberseguridad designados por una entidad de la Unión distinta de la entidad de la Unión objeto de revisión y que la metodología se base en el artículo 19 de la Directiva (UE) 2022/2555 y, en su caso, se adapte a las entidades_de_la_Unión; |
| e) | aprobar, sobre la base de una propuesta del director del CERT-EU, el programa de trabajo anual del CERT-EU y hacer un seguimiento de su ejecución; |
| f) | aprobar, sobre la base de una propuesta del director del CERT-EU, el catálogo de servicios del CERT-EU y toda actualización al respecto; |
| g) | aprobar, sobre la base de una propuesta del director del CERT-EU, el plan financiero anual de ingresos y gastos, incluida la dotación de personal, para las actividades del CERT-EU; |
| h) | aprobar, sobre la base de una propuesta del director del CERT-EU, las disposiciones de los acuerdos de nivel de servicio; |
| i) | examinar y aprobar el informe anual elaborado por el director del CERT-EU sobre las actividades y la gestión de fondos del CERT-EU; |
| j) | aprobar y hacer un seguimiento de los indicadores clave de rendimiento (KPI, por sus siglas en inglés) del CERT-EU establecidos sobre la base de una propuesta de su director; |
| k) | aprobar los acuerdos de cooperación, los acuerdos de nivel de servicio o los contratos celebrados entre el CERT-EU y otras entidades en virtud del artículo 18; |
| l) | adoptar directrices y recomendaciones sobre la base de una propuesta del CERT-EU de conformidad con el artículo 14 y dar instrucciones al CERT-EU para que emita, retire o modifique alguna propuesta de directrices o de recomendaciones o algún llamamiento a la acción; |
| m) | establecer grupos de asesoramiento técnico con tareas concretas para asistir al CIIC en su labor, aprobar su mandato y nombrar a los respectivos presidentes; |
| n) | recibir y evaluar los documentos e informes presentados por las entidades_de_la_Unión con arreglo al presente Reglamento, como las evaluaciones de madurez de la ciberseguridad; |
| o) | facilitar la creación de un grupo informal de responsables locales de ciberseguridad de las entidades_de_la_Unión, apoyado por la ENISA, con el objetivo de intercambiar mejores prácticas e información en relación con la aplicación del presente Reglamento; |
| p) | teniendo en cuenta la información proporcionada por el CERT-EU sobre los riesgos de ciberseguridad detectados y las lecciones aprendidas, supervisar la adecuación de los mecanismos de interconexión entre los entornos de TIC de las entidades_de_la_Unión y asesorar sobre posibles mejoras; |
| q) | establecer un plan de gestión de cibercrisis para apoyar, desde el punto de vista operativo, la gestión coordinada de los incidentes graves que afecten a las entidades_de_la_Unión y contribuir al intercambio periódico de información pertinente, en particular en lo que se refiere a los efectos y la gravedad de los incidentes graves y las posibles formas de reducir sus efectos; |
| r) | coordinar la adopción de los planes de gestión de cibercrisis de las distintas entidades_de_la_Unión, a que se refiere el artículo 9, apartado 2; |
| s) | adoptar recomendaciones en relación con la seguridad de la cadena de suministro a que se refiere el artículo 8, apartado 2, párrafo primero, letra m), teniendo en cuenta los resultados de las evaluaciones de riesgo coordinadas a escala de la Unión sobre las cadenas de suministro críticas a las que se refiere el artículo 22 de la Directiva (UE) 2022/2555 para apoyar a las entidades_de_la_Unión en la adopción de medidas de gestión de riesgos de ciberseguridad eficaces y proporcionadas. |
Artículo 12
Cumplimiento
1. El CIIC, en virtud del artículo 10, apartado 2, y del artículo 11, hará un seguimiento efectivo de la aplicación, por parte de las entidades_de_la_Unión, del presente Reglamento y de las directrices, las recomendaciones y los llamamientos a la acción adoptados. El CIIC podrá solicitar a las entidades_de_la_Unión la información o la documentación necesarias a tal efecto. A los efectos de la adopción de medidas de cumplimiento con arreglo al presente artículo, cuando la entidad de la Unión de que se trate esté representada directamente en el CIIC, dicha entidad de la Unión no tendrá derecho de voto.
2. Cuando el CIIC constate que una entidad de la Unión no ha aplicado de manera efectiva el presente Reglamento, o las directrices, las recomendaciones o los llamamientos a la acción emitidos en virtud del presente Reglamento, podrá, sin perjuicio de los procedimientos internos de la entidad de la Unión de que se trate y tras haber dado la oportunidad a esta última de presentar observaciones:
| a) | comunicar un dictamen motivado a la entidad de la Unión de que se trate con las deficiencias observadas en la aplicación del presente Reglamento; |
| b) | proporcionar, después de consultar con el CERT-EU, directrices a la entidad de la Unión de que se trate para garantizar que su marco, sus medidas de gestión de riesgos de ciberseguridad, su plan de ciberseguridad y sus informes cumplan lo dispuesto en el presente Reglamento dentro de un plazo concreto; |
| c) | formular una advertencia para subsanar las deficiencias detectadas en un plazo concreto, incluidas las recomendaciones para modificar las medidas adoptadas por la entidad de la Unión de que se trate en virtud del presente Reglamento; |
| d) | emitir una notificación motivada a la entidad de la Unión de que se trate, en caso de que las deficiencias señaladas en una advertencia formulada con arreglo a la letra c) no se hayan subsanado suficientemente en el plazo concreto; |
| e) | formular:
|
| f) | si procede, informar al Tribunal de Cuentas, en el marco de su mandato, del presunto incumplimiento; |
| g) | formular una recomendación para que todos los Estados miembros y entidades_de_la_Unión apliquen una suspensión temporal de los flujos de datos a la entidad de la Unión de que se trate. |
A efectos del párrafo primero, letra c), los destinatarios de una advertencia se limitarán adecuadamente, cuando sea necesario ante la existencia de un riesgo de ciberseguridad.
Las advertencias y las recomendaciones formuladas en virtud del párrafo primero irán dirigidas al más_alto_nivel_de_dirección de la entidad de la Unión de que se trate.
3. Cuando el CIIC haya adoptado medidas con arreglo al apartado 2, párrafo primero, letras a) a g), la entidad de la Unión de que se trate proporcionará datos sobre las medidas y acciones emprendidas para subsanar las presuntas deficiencias detectadas por el CIIC. La entidad de la Unión de que se trate presentará dichos datos en un plazo razonable que se pactará con el CIIC.
4. Cuando el CIIC considere que una entidad de la Unión ha incumplido de forma continuada el presente Reglamento debido directamente a las acciones u omisiones de un funcionario u otro agente de la Unión, incluso al más_alto_nivel_de_dirección, el CIIC solicitará a la entidad de la Unión de que se trate que adopte las medidas oportunas, solicitándole incluso que considere la posibilidad de adoptar medidas de carácter disciplinario, de conformidad con las normas y procedimientos previstos en el Estatuto de los funcionarios y cualesquiera otras normas y procedimientos aplicables. A tal efecto, el CIIC transmitirá la información necesaria a la entidad de la Unión de que se trate.
5. Cuando las entidades_de_la_Unión comuniquen que no están en disposición de cumplir los plazos establecidos en el artículo 6, apartado 1, y en el artículo 8, apartado 1, el CIIC podrá autorizar la prórroga de tales plazos, en casos debidamente justificados y teniendo en cuenta el tamaño de la entidad de la Unión.
CAPITULO IV
CERT-EU
Artículo 13
1. La misión del CERT-EU será contribuir al refuerzo de la seguridad del entorno de TIC no clasificado de las entidades_de_la_Unión ofreciéndoles asesoramiento sobre ciberseguridad, prestándoles ayuda para prevenir, detectar, gestionar, mitigar y responder a incidentes, y recuperarse de ellos, y actuando como centro de coordinación para el intercambio de información sobre ciberseguridad y la respuesta a incidentes.
2. El CERT-EU recopilará, gestionará, analizará y compartirá con las entidades_de_la_Unión información sobre las ciberamenazas, las vulnerabilidades y los incidentes relacionados con infraestructuras de TIC no clasificadas. Coordinará las respuestas a los incidentes a escala interinstitucional y de las entidades_de_la_Unión, entre otros medios prestando asistencia operativa especializada o coordinando la prestación de dicha asistencia.
3. El CERT-EU desempeñará las funciones siguientes para asistir a las entidades_de_la_Unión:
| a) | les prestará apoyo en la aplicación del presente Reglamento y contribuirá a la coordinación de su aplicación a través de las medidas enumeradas en el artículo 14, apartado 1, o de informes ad hoc solicitados por el CIIC; |
| b) | ofrecerá servicios ordinarios de CSIRT a las entidades_de_la_Unión a través de un paquete de servicios de ciberseguridad descritos en su catálogo de servicios (servicios básicos); |
| c) | mantendrá una red de homólogos y socios en apoyo de los servicios de acuerdo con lo dispuesto en los artículos 17 y 18; |
| d) | pondrá en conocimiento del CIIC todo problema relacionado con la aplicación del presente Reglamento y de las directrices, las recomendaciones y los llamamientos a la acción; |
| e) | sobre la base de la información a que se refiere el apartado 2, contribuirá al conocimiento situacional de la Unión en el ámbito cibernético en estrecha cooperación con la ENISA; |
| f) | coordinará la gestión de incidentes graves; |
| g) | ejercerá, respecto de las entidades_de_la_Unión, la función equivalente a la de coordinador designado a efectos de la divulgación coordinada de las vulnerabilidades según lo dispuesto en el artículo 12, apartado 1, de la Directiva (UE) 2022/2555; |
| h) | proporcionará, a petición de una entidad de la Unión, una exploración proactiva y no intrusiva de los sistemas_de_redes_y_de_información de acceso público de dicha entidad de la Unión. |
La información a que se refiere el párrafo primero, letra e), se compartirá con el CIIC, la red de CSIRT y el Centro de Inteligencia y de Situación de la Unión Europea (EU INTCEN, por sus siglas en inglés), cuando proceda y resulte adecuado, y en función de las condiciones de confidencialidad adecuadas.
4. El CERT-EU podrá, de conformidad con los artículos 17 o 18, según proceda, cooperar con las comunidades de ciberseguridad pertinentes dentro de la Unión y sus Estados miembros, entre otros, en los ámbitos siguientes:
| a) | preparación, coordinación de incidentes, intercambio de información y respuesta a las crisis, en el plano técnico, en asuntos que afecten a las entidades_de_la_Unión; |
| b) | cooperación operativa en relación con la red de CSIRT, también en lo referente a la asistencia mutua; |
| c) | inteligencia sobre ciberamenazas, también en lo referente a la conciencia situacional; |
| d) | cualquier aspecto que requiera los conocimientos técnicos sobre ciberseguridad del CERT-EU. |
5. Dentro de sus competencias, el CERT-EU entablará una cooperación estructurada con la ENISA en relación con el desarrollo de capacidades, la cooperación operativa y los análisis estratégicos a largo plazo de las ciberamenazas, de conformidad con el Reglamento (UE) 2019/881. El CERT-EU podrá cooperar e intercambiar información con el Centro Europeo de Ciberdelincuencia de Europol.
6. El CERT-EU podrá prestar los servicios no descritos en su catálogo de servicios (en lo sucesivo, «servicios facturables») que se indican a continuación:
| a) | servicios de apoyo a la ciberseguridad del entorno de TIC de las entidades_de_la_Unión distintos de los referidos en el apartado 3, sobre la base de acuerdos de nivel de servicio y en función de los recursos disponibles, en particular el seguimiento de las redes de amplio espectro, incluido el seguimiento de primera línea, veinticuatro horas al día y siete días a la semana, de las ciberamenazas muy graves; |
| b) | servicios de apoyo a las operaciones o los proyectos de ciberseguridad de las entidades_de_la_Unión distintos de los destinados a proteger sus entornos de TIC, sobre la base de acuerdos escritos y con la aprobación previa del CIIC; |
| c) | previa solicitud, una exploración proactiva de los sistemas_de_redes_y_de_información de la entidad de la Unión de que se trate para detectar vulnerabilidades con posibles repercusiones significativas; |
| d) | servicios de apoyo a la seguridad del entorno de TIC de organizaciones distintas de las entidades_de_la_Unión que cooperen estrechamente con estas, por ejemplo, mediante el desempeño de funciones o responsabilidades encomendadas con arreglo al Derecho de la Unión, en virtud de acuerdos escritos y con la aprobación previa del CIIC. |
Por lo que respecta al párrafo primero, letra d), el CERT-EU podrá celebrar, con carácter excepcional, acuerdos de nivel de servicio con entidades distintas de las entidades_de_la_Unión, previa aprobación del CIIC.
7. El CERT-EU organizará ejercicios de ciberseguridad y podrá participar en ellos o recomendar la participación en ejercicios en curso, cuando proceda en estrecha cooperación con la ENISA, con objeto de someter a prueba el nivel de ciberseguridad de las entidades_de_la_Unión.
8. El CERT-EU podrá prestar asistencia a las entidades_de_la_Unión en relación con incidentes en sistemas_de_redes_y_de_información que manejen ICUE cuando lo soliciten expresamente las entidades_de_la_Unión afectadas, de conformidad con sus respectivos procedimientos. La prestación de asistencia por parte del CERT-EU con arreglo al presente apartado se entenderá sin perjuicio de la normativa aplicable relativa a la protección de la información clasificada.
9. El CERT-EU informará a las entidades_de_la_Unión sobre sus procedimientos y procesos de gestión de incidentes.
10. El CERT-EU proporcionará, con un alto grado de confidencialidad y fiabilidad, a través de los mecanismos de cooperación y canales de información adecuados, información pertinente y anonimizada sobre incidentes graves y la forma en que se gestionaron. Dicha información se incluirá en el informe a que se refiere el artículo 10, apartado 14.
11. En cooperación con el SEPD, el CERT-EU apoyará a las entidades_de_la_Unión de que se trate cuando hagan frente a incidentes que den lugar a violaciones de la seguridad de los datos personales, sin perjuicio de las competencias y funciones del SEPD como autoridad de control en virtud del Reglamento (UE) 2018/1725.
12. El CERT-EU, a petición expresa de los departamentos temáticos de las entidades_de_la_Unión, podrá facilitar asesoramiento o información técnicos sobre cuestiones políticas pertinentes.
Artículo 14
Directrices, recomendaciones y llamamientos a la acción
1. En apoyo de la aplicación del presente Reglamento, el CERT-EU:
| a) | emitirá llamamientos a la acción, en los que se describirán determinadas medidas urgentes de seguridad que se insta a las entidades_de_la_Unión a adoptar en un plazo determinado; |
| b) | propondrá al CIIC directrices dirigidas a la totalidad o a un subconjunto de las entidades_de_la_Unión; |
| c) | propondrá al CIIC recomendaciones dirigidas a entidades específicas de la Unión. |
Por lo que respecta al párrafo primero, letra a), la entidad de la Unión de que se trate informará al CERT-EU, sin demora indebida tras recibir el llamamiento a la acción, de cómo se han aplicado las medidas urgentes de seguridad.
2. Las directrices y las recomendaciones podrán incluir:
| a) | metodologías comunes y un modelo para evaluar la madurez en materia de ciberseguridad de las entidades_de_la_Unión, incluidos los baremos o KPI correspondientes, que sirvan de referencia en apoyo de la mejora continua de la ciberseguridad en todas las entidades_de_la_Unión y faciliten la priorización de los ámbitos y las medidas de ciberseguridad teniendo en cuenta la posición de las entidades en materia de ciberseguridad; |
| b) | disposiciones para la gestión de riesgos de ciberseguridad y las medidas de gestión de riesgos de ciberseguridad, o mejoras al respecto; |
| c) | mecanismos de las evaluaciones de madurez en materia de ciberseguridad y los planes de ciberseguridad; |
| d) | cuando proceda, el uso de tecnologías, arquitecturas y mejores prácticas de código abierto comunes con miras a la interoperabilidad y el establecimiento de normas comunes, incluido un enfoque coordinado en relación con la seguridad de las cadenas de suministro; |
| e) | cuando proceda, información para facilitar el uso de instrumentos de contratación común para la compra a terceros de los correspondientes servicios y productos de ciberseguridad; |
| f) | mecanismos de intercambio de información en virtud del artículo 20. |
Artículo 15
1. La Comisión, tras obtener la aprobación por mayoría de dos tercios de los miembros del CIIC, nombrará al director del CERT-EU. Se consultará al CIIC en todas las fases del procedimiento de nombramiento, en particular por lo que respecta a la redacción de las convocatorias para la provisión de vacantes, el examen de las candidaturas y la designación de los comités de selección para el puesto. El procedimiento de selección, incluida la lista definitiva de candidatos preseleccionados a partir de la cual se nombrará al director del CERT-EU, garantizará una representación equitativa de cada género, teniendo en cuenta las candidaturas presentadas.
2. El director del CERT-EU será responsable del correcto funcionamiento del CERT-EU y actuará dentro de los límites de sus atribuciones y bajo la dirección del CIIC. El director del CERT-EU informará periódicamente al presidente del CIIC y presentará informes ad hoc al CIIC a petición de este.
3. El director del CERT-EU prestará asistencia al ordenador delegado competente en la redacción del informe anual de actividades que contenga datos financieros y de gestión, incluidos los resultados de los controles, elaborado de conformidad con el artículo 74, apartado 9, del Reglamento (UE, Euratom) 2018/1046 del Parlamento Europeo y del Consejo (9), e informará periódicamente al ordenador delegado sobre la aplicación de las medidas respecto de las cuales se le hayan subdelegado competencias al director del CERT-EU.
4. El director del CERT-EU elaborará anualmente un plan financiero de ingresos y gastos administrativos en relación con sus actividades, una propuesta de programa de trabajo anual, una propuesta de catálogo de servicios del CERT-EU, propuestas de revisión del catálogo de servicios, propuestas de disposiciones de los acuerdos de nivel de servicio y propuestas de KPI del CERT-EU que deberá aprobar el CIIC de conformidad con el artículo 11. A la hora de revisar la lista de servicios del catálogo del CERT-EU, su director tendrá en cuenta los recursos que hayan sido asignados al CERT-EU.
5. El director del CERT-EU presentará, al menos una vez al año, informes al CIIC y a su presidente sobre las actividades y el desempeño del CERT-EU durante el período de referencia, también sobre la ejecución del presupuesto, los acuerdos de nivel de servicio y los acuerdos escritos celebrados, la cooperación con homólogos y socios, y las misiones realizadas por el personal del CERT-EU, incluidos los informes a que se refiere el artículo 11. Dichos informes incluirán el programa de trabajo para el período siguiente, el plan financiero de ingresos y gastos, incluidas la dotación de personal, las actualizaciones previstas del catálogo de servicios del CERT-EU y una evaluación de las repercusiones esperadas que dichas actualizaciones puedan tener en términos de recursos financieros y humanos.
Artículo 20
Mecanismos de intercambio de información sobre ciberseguridad
1. De forma voluntaria, las entidades_de_la_Unión podrán notificar y proporcionar al CERT-EU información sobre incidentes, ciberamenazas, cuasi incidentes y vulnerabilidades que les afecten. El CERT-EU velará por disponer de medios eficaces de comunicación, con un alto grado de trazabilidad, confidencialidad y fiabilidad, al objeto de facilitar el intercambio de información con las entidades_de_la_Unión. Al tratar las notificaciones, el CERT-EU podrá dar prioridad a la tramitación de notificaciones obligatorias sobre la de notificaciones voluntarias. Sin perjuicio de lo dispuesto en el artículo 12, la notificación voluntaria no dará lugar a la imposición de obligaciones adicionales a la entidad de la Unión notificante a las que no estaría sujeta de no haber presentado dicha notificación.
2. A fin de desempeñar su misión y las funciones atribuidas en virtud del artículo 13, el CERT-EU podrá solicitar a las entidades_de_la_Unión que le proporcionen información acerca de sus respectivos inventarios de sistemas de TIC, incluida información sobre ciberamenazas, cuasi incidentes, vulnerabilidades, indicadores de compromiso, alertas de ciberseguridad y recomendaciones relativas a la configuración de las herramientas de ciberseguridad para detectar incidentes. La entidad de la Unión objeto de la solicitud transmitirá sin demora indebida la información solicitada, así como toda actualización posterior de la información.
3. El CERT-EU podrá intercambiar con las entidades_de_la_Unión información específica sobre incidentes en la que se revele la identidad de la entidad de la Unión afectada por el incidente, siempre que esta dé su consentimiento. Cuando una entidad de la Unión deniegue su consentimiento, comunicará al CERT-EU los motivos que justifiquen su decisión.
4. Previa solicitud, las entidades_de_la_Unión compartirán información con el Parlamento Europeo y el Consejo sobre la finalización de los planes de ciberseguridad.
5. El CIIC o el CERT-EU, según proceda, compartirán, previa solicitud, directrices, recomendaciones y llamamientos a la acción con el Parlamento Europeo y el Consejo.
6. Las obligaciones de intercambio de información establecidas en el presente artículo no se exigirán respecto de:
| a) | la ICUE; |
| b) | la información cuya distribución ulterior haya sido excluida mediante una marca visible, a menos que se haya autorizado expresamente su intercambio con el CERT-EU. |
Artículo 21
Obligaciones de notificación
1. Un incidente se considerará significativo si:
| a) | ha causado o puede causar graves perturbaciones operativas o pérdidas económicas para la entidad de la Unión afectada; |
| b) | ha afectado o puede afectar a otras personas físicas o jurídicas al causar perjuicios materiales o inmateriales considerables. |
2. Las entidades_de_la_Unión presentarán al CERT-EU:
| a) | sin demora indebida, y en cualquier caso en el plazo de veinticuatro horas desde que se haya tenido constancia del incidente significativo, una alerta temprana en la que se indicará, cuando proceda, si cabe sospechar que el incidente significativo responde a una acción ilícita o malintencionada o puede tener repercusiones entre entidades o repercusiones transfronterizas; |
| b) | sin demora indebida, y en cualquier caso en el plazo de setenta y dos horas desde que se haya tenido constancia del incidente significativo, una notificación del incidente en la que se actualizará, cuando proceda, la información a que se refiere la letra a) y se expondrá una evaluación inicial del incidente significativo, incluyendo su gravedad e impacto, así como indicadores de compromiso, cuando estén disponibles; |
| c) | a petición del CERT-EU, un informe intermedio con las actualizaciones pertinentes sobre la situación; |
| d) | un informe final, a más tardar un mes después de presentar la notificación del incidente a que se refiere la letra b), en el que se recojan, entre otros, los siguientes elementos:
|
| e) | en el caso de que el incidente esté ocurriendo en el mismo momento de la presentación del informe final mencionado en la letra d), un informe de la situación en ese momento y un informe final en el plazo de un mes a partir de que se haya gestionado el incidente. |
3. Las entidades_de_la_Unión informarán, sin demora indebida, y en cualquier caso en el plazo de veinticuatro horas desde la constatación de un incidente significativo, a los homólogos pertinentes a los que se refiere el artículo 17, apartado 1, del Estado miembro en el que estén ubicadas, de que se ha producido un incidente significativo.
4. Las entidades_de_la_Unión notificarán, entre otras cosas, cualquier información que permita al CERT-EU determinar las repercusiones entre entidades, las repercusiones en el Estado miembro de acogida o las repercusiones transfronterizas después de un incidente significativo. Sin perjuicio de lo dispuesto en el artículo 12, el mero acto de notificar no incrementará la responsabilidad de la entidad de la Unión.
5. Cuando proceda, las entidades_de_la_Unión comunicarán, sin demora indebida, a los usuarios de los sistemas_de_redes_y_de_información afectados o de otros componentes del entorno de TIC que puedan verse afectados por un incidente significativo o una ciberamenaza significativa y que, en su caso, deban adoptar medidas paliativas, las medidas o soluciones que pueden adoptar en respuesta al incidente o la amenaza. Cuando proceda, las entidades_de_la_Unión informarán de la propia ciberamenaza significativa a dichos usuarios.
6. Cuando un incidente significativo o una ciberamenaza significativa afecte a un sistema de redes y de información o a un componente del entorno de TIC de una entidad de la Unión de la que se tenga conocimiento que está conectada con el entorno de TIC de otra entidad de la Unión, el CERT-EU emitirá la correspondiente alerta de ciberseguridad.
7. A petición del CERT-EU, las entidades_de_la_Unión le proporcionarán, sin demora indebida, la información digital generada por el uso de dispositivos electrónicos implicados en sus respectivos incidentes. El CERT-EU podrá proporcionar más detalles sobre el tipo de información que necesita a efectos del conocimiento situacional y la respuesta a incidentes.
8. El CERT-EU presentará al CIIC, a la ENISA, al EU INTCEN y a la red de CSIRT, cada tres meses, un informe de síntesis que contendrá datos anonimizados y agregados sobre los incidentes significativos, los incidentes, las ciberamenazas, los cuasi incidentes y las vulnerabilidades en virtud del artículo 20 y los incidentes significativos notificados en virtud del apartado 2 del presente artículo. El informe de síntesis se incorporará al informe bienal sobre la situación de la ciberseguridad en la Unión, adoptado en virtud del artículo 18 de la Directiva (UE) 2022/2555.
9. A más tardar el 8 de julio de 2024, el CIIC emitirá directrices o recomendaciones que especifiquen con mayor detalle los mecanismos, el formato y el contenido de las notificaciones previstas en el presente artículo. Al preparar dichas directrices o recomendaciones, el CIIC tendrá en cuenta cualquier acto de ejecución adoptado en virtud del artículo 23, apartado 11, de la Directiva (UE) 2022/2555 en el que se especifique el tipo de información, el formato y el procedimiento de las notificaciones. El CERT-EU difundirá los detalles técnicos pertinentes a fin de facilitar la detección proactiva, la respuesta a incidentes o la adopción de medidas paliativas por parte de las entidades_de_la_Unión.
10. Las obligaciones de notificación establecidas en el presente artículo no se exigirán respecto de:
| a) | la ICUE; |
| b) | la información cuya distribución ulterior haya sido excluida mediante una marca visible, a menos que se haya autorizado expresamente su intercambio con el CERT-EU. |
Artículo 26
Entrada en vigor
El presente Reglamento entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.
El presente Reglamento será obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro.
Hecho en Estrasburgo, el 13 de diciembre de 2023.
Por el Parlamento Europeo
La Presidenta
R. METSOLA
Por el Consejo
El Presidente
P. NAVARRO RÍOS
(1) Posición del Parlamento Europeo de 21 de noviembre de 2023 (pendiente de publicación en el Diario Oficial) y Decisión del Consejo de 8 de diciembre de 2023.
(2) Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión, por la que se modifican el Reglamento (UE) n.o 910/2014 y la Directiva (UE) 2018/1972 y por la que se deroga la Directiva (UE) 2016/1148 (Directiva SRI 2) (DO L 333 de 27.12.2022, p. 80).
(3) Reglamento (UE) 2019/881 del Parlamento Europeo y del Consejo, de 17 de abril de 2019, relativo a ENISA (Agencia de la Unión Europea para la Ciberseguridad) y a la certificación de la ciberseguridad de las tecnologías de la información y la comunicación y por el que se deroga el Reglamento (UE) n.o 526/2013 («Reglamento sobre la Ciberseguridad») (DO L 151 de 7.6.2019, p. 15).
(4) Acuerdo entre el Parlamento Europeo, el Consejo Europeo, el Consejo de la Unión Europea, la Comisión Europea, el Tribunal de Justicia de la Unión Europea, el Banco Central Europeo, el Tribunal de Cuentas Europeo, el Servicio Europeo de acción Exterior, el Comité Económico y Social Europeo, el Comité Europeo de las Regiones y el Banco Europeo de Inversiones sobre la organización y el funcionamiento del Equipo de Respuesta a Emergencias Informáticas de las instituciones, órganos y organismos de la UE (CERT-UE) (DO C 12 de 13.1.2018, p. 1).
(5) Reglamento (CEE, Euratom, CECA) n.o 259/68 del Consejo, de 29 de febrero de 1968, por el que se establece el Estatuto de los funcionarios de las Comunidades Europeas y el régimen aplicable a los otros agentes de estas Comunidades y por el que se establecen medidas específicas aplicables temporalmente a los funcionarios de la Comisión (DO L 56 de 4.3.1968, p. 1).
(6) Recomendación (UE) 2017/1584 de la Comisión, de 13 de septiembre de 2017, sobre la respuesta coordinada a los incidentes y crisis de ciberseguridad a gran escala (DO L 239 de 19.9.2017, p. 36).
(7) Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión y a la libre circulación de estos datos y por el que se deroga el Reglamento (CE) n.o 45/2001 y la Decisión 1247/2002/CE (DO L 295 de 21.11.2018, p. 39).
(8) DO C 258 de 5.7.2022, p. 10.
(9) Reglamento (UE, Euratom) 2018/1046 del Parlamento Europeo y del Consejo, de 18 de julio de 2018, sobre las normas financieras aplicables al presupuesto general de la Unión, por el que se modifican los Reglamentos (UE) n.o 1296/2013, (UE) n.o 1301/2013, (UE) n.o 1303/2013, (UE) n.o 1304/2013, (UE) n.o 1309/2013, (UE) n.o 1316/2013, (UE) n.o 223/2014 y (UE) n.o 283/2014 y la Decisión n.o 541/2014/UE y por el que se deroga el Reglamento (UE, Euratom) n.o 966/2012 (DO L 193 de 30.7.2018, p. 1).
(10) Reglamento (CE) n.o 1049/2001 del Parlamento Europeo y del Consejo, de 30 de mayo de 2001, relativo al acceso del público a los documentos del Parlamento Europeo, del Consejo y de la Comisión (DO L 145 de 31.5.2001, p. 43).
ELI: http://data.europa.eu/eli/reg/2023/2841/oj
ISSN 1977-0685 (electronic edition)