keyboard_tab Cyber Resilience Act 2023/2841 ES
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Art. 5 Aplicación de medidas
- 2 Art. 9 Planes de ciberseguridad
- 1 Art. 12 Cumplimiento
CAPITULO I
DISPOSICIONES GENERALES
CAPITULO II
MEDIDAS DESTINADAS A GARANTIZAR UN ELEVADO NIVEL COMUN DE CIBERSEGURIDAD
CAPITULO III
CONSEJO INTERINSTITUCIONAL DE CIBERSEGURIDAD
CAPITULO IV
CERT-EU
CAPITULO V
OBLIGACIONES DE COOPERACION E INFORMACION
CAPITULO VI
DISPOSICIONES FINALES
- entidades de la Unión
- sistemas de redes y de información
- seguridad de los sistemas de redes y de información
- ciberseguridad
- más alto nivel de dirección
- cuasiincidente
- incidente
- incidente grave
- incidente de ciberseguridad a gran escala
- gestión de incidentes
- ciberamenaza
- ciberamenaza significativa
- vulnerabilidad
- riesgo de ciberseguridad
- servicio de computación en nube
- ciberseguridad 25
- unión 22
- entidad 20
- artículo 17
- virtud 15
- trate 13
- medidas 11
- el ciic 10
- plan 9
- presente 9
- para 9
- reglamento 7
- entidades_de_la_unión 7
- directrices 6
- riesgos 6
- gestión 6
- recomendaciones 5
- apartado 5
- marco 5
- adoptadas 4
- deficiencias 4
- plazo 4
- cuando 4
- tras 4
- madurez 3
- adoptar 3
- arreglo 3
- cuenta 3
- más_alto_nivel_de_dirección 3
- primero 3
- procedimientos 3
- datos 3
- así 3
- como 3
- aplicación 3
- párrafo 3
- podrá 3
- interinstitucional 3
- consejo 3
- más 3
- concreto 3
- advertencia 3
- normas 2
- incluso 2
- cualquier 2
- efectúe 2
- detectadas 2
- nivel 2
- creado 2
- considere 2
Artículo 5
Aplicación de medidas
1. A más tardar el 8 de septiembre de 2024, el Consejo Interinstitucional de Ciberseguridad creado en virtud del artículo 10, previa consulta a la Agencia de la Unión Europea para la Ciberseguridad (ENISA, por sus siglas en inglés) y tras recibir orientaciones del CERT-EU, emitirá directrices para las entidades_de_la_Unión con el fin de llevar a cabo una revisión inicial de la ciberseguridad y establecer el marco interno de gestión, gobernanza y control de riesgos de ciberseguridad en virtud del artículo 6, llevar a cabo evaluaciones de madurez de la ciberseguridad en virtud del artículo 7, adoptar medidas de gestión de riesgos de ciberseguridad en virtud del artículo 8 y adoptar el plan de ciberseguridad en virtud del artículo 9.
2. Al aplicar los artículos 6 a 9, las entidades_de_la_Unión tendrán en cuenta las directrices a que se refiere el apartado 1 del presente artículo, así como las directrices y recomendaciones pertinentes adoptadas en virtud de los artículos 11 y 14.
Artículo 9
Planes de ciberseguridad
1. A partir de las conclusiones extraídas de la evaluación de madurez de la ciberseguridad realizada en virtud del artículo 7 y teniendo en cuenta los activos y los riesgos determinados en el marco, así como las medidas de gestión de riesgos de ciberseguridad adoptadas en virtud del artículo 8, el más_alto_nivel_de_dirección de cada entidad de la Unión aprobará un plan de ciberseguridad sin demora indebida y, en cualquier caso, a más tardar el 8 de enero de 2026. El objetivo del plan de ciberseguridad será aumentar el nivel global de ciberseguridad de la entidad de la Unión de que se trate y contribuir así a la mejora de un elevado nivel común de ciberseguridad dentro de las entidades_de_la_Unión. El plan de ciberseguridad incluirá, como mínimo, las medidas de gestión de riesgos de ciberseguridad adoptadas en virtud del artículo 8. El plan de ciberseguridad se revisará cada dos años, o con más frecuencia de ser necesario, tras la evaluación de madurez de la ciberseguridad realizada en virtud del artículo 7 o tras cualquier revisión sustancial del marco.
2. El plan de ciberseguridad incluirá el plan de gestión de cibercrisis de la entidad de la Unión para los incidentes graves.
3. Cada entidad de la Unión presentará su plan de ciberseguridad final al Consejo Interinstitucional de Ciberseguridad creado en virtud del artículo 10.
CAPITULO III
CONSEJO INTERINSTITUCIONAL DE CIBERSEGURIDAD
Artículo 12
Cumplimiento
1. El CIIC, en virtud del artículo 10, apartado 2, y del artículo 11, hará un seguimiento efectivo de la aplicación, por parte de las entidades_de_la_Unión, del presente Reglamento y de las directrices, las recomendaciones y los llamamientos a la acción adoptados. El CIIC podrá solicitar a las entidades_de_la_Unión la información o la documentación necesarias a tal efecto. A los efectos de la adopción de medidas de cumplimiento con arreglo al presente artículo, cuando la entidad de la Unión de que se trate esté representada directamente en el CIIC, dicha entidad de la Unión no tendrá derecho de voto.
2. Cuando el CIIC constate que una entidad de la Unión no ha aplicado de manera efectiva el presente Reglamento, o las directrices, las recomendaciones o los llamamientos a la acción emitidos en virtud del presente Reglamento, podrá, sin perjuicio de los procedimientos internos de la entidad de la Unión de que se trate y tras haber dado la oportunidad a esta última de presentar observaciones:
| a) | comunicar un dictamen motivado a la entidad de la Unión de que se trate con las deficiencias observadas en la aplicación del presente Reglamento; |
| b) | proporcionar, después de consultar con el CERT-EU, directrices a la entidad de la Unión de que se trate para garantizar que su marco, sus medidas de gestión de riesgos de ciberseguridad, su plan de ciberseguridad y sus informes cumplan lo dispuesto en el presente Reglamento dentro de un plazo concreto; |
| c) | formular una advertencia para subsanar las deficiencias detectadas en un plazo concreto, incluidas las recomendaciones para modificar las medidas adoptadas por la entidad de la Unión de que se trate en virtud del presente Reglamento; |
| d) | emitir una notificación motivada a la entidad de la Unión de que se trate, en caso de que las deficiencias señaladas en una advertencia formulada con arreglo a la letra c) no se hayan subsanado suficientemente en el plazo concreto; |
| e) | formular:
|
| f) | si procede, informar al Tribunal de Cuentas, en el marco de su mandato, del presunto incumplimiento; |
| g) | formular una recomendación para que todos los Estados miembros y entidades_de_la_Unión apliquen una suspensión temporal de los flujos de datos a la entidad de la Unión de que se trate. |
A efectos del párrafo primero, letra c), los destinatarios de una advertencia se limitarán adecuadamente, cuando sea necesario ante la existencia de un riesgo de ciberseguridad.
Las advertencias y las recomendaciones formuladas en virtud del párrafo primero irán dirigidas al más_alto_nivel_de_dirección de la entidad de la Unión de que se trate.
3. Cuando el CIIC haya adoptado medidas con arreglo al apartado 2, párrafo primero, letras a) a g), la entidad de la Unión de que se trate proporcionará datos sobre las medidas y acciones emprendidas para subsanar las presuntas deficiencias detectadas por el CIIC. La entidad de la Unión de que se trate presentará dichos datos en un plazo razonable que se pactará con el CIIC.
4. Cuando el CIIC considere que una entidad de la Unión ha incumplido de forma continuada el presente Reglamento debido directamente a las acciones u omisiones de un funcionario u otro agente de la Unión, incluso al más_alto_nivel_de_dirección, el CIIC solicitará a la entidad de la Unión de que se trate que adopte las medidas oportunas, solicitándole incluso que considere la posibilidad de adoptar medidas de carácter disciplinario, de conformidad con las normas y procedimientos previstos en el Estatuto de los funcionarios y cualesquiera otras normas y procedimientos aplicables. A tal efecto, el CIIC transmitirá la información necesaria a la entidad de la Unión de que se trate.
5. Cuando las entidades_de_la_Unión comuniquen que no están en disposición de cumplir los plazos establecidos en el artículo 6, apartado 1, y en el artículo 8, apartado 1, el CIIC podrá autorizar la prórroga de tales plazos, en casos debidamente justificados y teniendo en cuenta el tamaño de la entidad de la Unión.
CAPITULO IV
CERT-EU
whereas