keyboard_tab Cyber Resilience Act 2023/2841 ES
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Art. 16 Aspectos financieros y de personal
- 2 Art. 21 Obligaciones de notificación
CAPITULO I
DISPOSICIONES GENERALES
CAPITULO II
MEDIDAS DESTINADAS A GARANTIZAR UN ELEVADO NIVEL COMUN DE CIBERSEGURIDAD
CAPITULO III
CONSEJO INTERINSTITUCIONAL DE CIBERSEGURIDAD
CAPITULO IV
CERT-EU
CAPITULO V
OBLIGACIONES DE COOPERACION E INFORMACION
CAPITULO VI
DISPOSICIONES FINALES
- entidades de la Unión
- sistemas de redes y de información
- seguridad de los sistemas de redes y de información
- ciberseguridad
- más alto nivel de dirección
- cuasiincidente
- incidente
- incidente grave
- incidente de ciberseguridad a gran escala
- gestión de incidentes
- ciberamenaza
- ciberamenaza significativa
- vulnerabilidad
- riesgo de ciberseguridad
- servicio de computación en nube
- incidente 18
- artículo 12
- entidades_de_la_unión 11
- significativo 10
- apartado 8
- informe 8
- cualquier 8
- comisión 7
- el cert-eu 7
- repercusiones 7
- información 7
- incidentes 7
- unión 7
- servicios 6
- del cert-eu 6
- caso 6
- virtud 6
- entre 6
- las 6
- haya 6
- sobre 6
- presente 5
- medidas 5
- artículo 5
- entidad 5
- demora 5
- indebida 5
- proceda 5
- cuando 5
- refiere 4
- notificación 4
- plazo 4
- significativa 3
- tipo 3
- afectados 3
- horas 3
- respuesta 3
- puede 3
- entidades 3
- transfronterizas 3
- al cert-eu 3
- para 3
- paliativas 3
- entorno 3
- de tic 3
- pertinentes 3
- situación 3
- final 3
- más 3
- financiero 3
Artículo 16
Aspectos financieros y de personal
1. El CERT-EU se integrará en la estructura administrativa de alguna dirección general de la Comisión con el fin de beneficiarse de las estructuras de apoyo administrativo, financiero y contable de la Comisión, manteniendo al mismo tiempo su condición de proveedor de servicios interinstitucional autónomo para todas las entidades_de_la_Unión. La Comisión informará al CIIC sobre la sede administrativa del CERT-EU y sobre cualquier modificación al respecto. La Comisión revisará los acuerdos administrativos relacionados con el CERT-EU de forma periódica y, en cualquier caso, antes del establecimiento de cualquier marco financiero plurianual en virtud del artículo 312 del TFUE, a fin de permitir la adopción de las medidas adecuadas. La revisión incluirá la posibilidad de constituir el CERT-EU en organismo de la Unión.
2. En la aplicación de los procedimientos administrativos y financieros, el director del CERT-EU actuará bajo la autoridad de la Comisión y bajo la supervisión del CIIC.
3. Las funciones y actividades del CERT-EU, incluidos los servicios que preste en virtud del artículo 13, apartados 3, 4, 5 y 7, y el artículo 14, apartado 1, a las entidades_de_la_Unión financiados con cargo a la rúbrica del marco financiero plurianual dedicada a la administración pública europea, se financiarán mediante una línea presupuestaria específica del presupuesto de la Comisión. Los puestos reservados al CERT-EU se detallarán en una nota a pie de página de la plantilla de personal de la Comisión.
4. Las entidades_de_la_Unión distintas de las mencionadas en el apartado 3 del presente artículo efectuarán una contribución financiera anual al CERT-EU para cubrir los servicios prestados por este de conformidad con dicho apartado. Las contribuciones se basarán en orientaciones del CIIC y serán pactadas entre cada entidad de la Unión y el CERT-EU en acuerdos de nivel de servicio. Las contribuciones representarán una parte equitativa y proporcional del coste total de los servicios prestados. Se consignarán en la línea presupuestaria específica a que se refiere el apartado 3 del presente artículo como ingresos afectados internos, de conformidad con lo previsto en el artículo 21, apartado 3, letra c), del Reglamento (UE, Euratom) 2018/1046.
5. Los costes de los servicios previstos en el artículo 13, apartado 6, se recuperarán de las entidades_de_la_Unión que reciban los servicios del CERT-EU. Los ingresos se asignarán a las líneas presupuestarias con las que se cubran los costes.
Artículo 21
Obligaciones de notificación
1. Un incidente se considerará significativo si:
| a) | ha causado o puede causar graves perturbaciones operativas o pérdidas económicas para la entidad de la Unión afectada; |
| b) | ha afectado o puede afectar a otras personas físicas o jurídicas al causar perjuicios materiales o inmateriales considerables. |
2. Las entidades_de_la_Unión presentarán al CERT-EU:
| a) | sin demora indebida, y en cualquier caso en el plazo de veinticuatro horas desde que se haya tenido constancia del incidente significativo, una alerta temprana en la que se indicará, cuando proceda, si cabe sospechar que el incidente significativo responde a una acción ilícita o malintencionada o puede tener repercusiones entre entidades o repercusiones transfronterizas; |
| b) | sin demora indebida, y en cualquier caso en el plazo de setenta y dos horas desde que se haya tenido constancia del incidente significativo, una notificación del incidente en la que se actualizará, cuando proceda, la información a que se refiere la letra a) y se expondrá una evaluación inicial del incidente significativo, incluyendo su gravedad e impacto, así como indicadores de compromiso, cuando estén disponibles; |
| c) | a petición del CERT-EU, un informe intermedio con las actualizaciones pertinentes sobre la situación; |
| d) | un informe final, a más tardar un mes después de presentar la notificación del incidente a que se refiere la letra b), en el que se recojan, entre otros, los siguientes elementos:
|
| e) | en el caso de que el incidente esté ocurriendo en el mismo momento de la presentación del informe final mencionado en la letra d), un informe de la situación en ese momento y un informe final en el plazo de un mes a partir de que se haya gestionado el incidente. |
3. Las entidades_de_la_Unión informarán, sin demora indebida, y en cualquier caso en el plazo de veinticuatro horas desde la constatación de un incidente significativo, a los homólogos pertinentes a los que se refiere el artículo 17, apartado 1, del Estado miembro en el que estén ubicadas, de que se ha producido un incidente significativo.
4. Las entidades_de_la_Unión notificarán, entre otras cosas, cualquier información que permita al CERT-EU determinar las repercusiones entre entidades, las repercusiones en el Estado miembro de acogida o las repercusiones transfronterizas después de un incidente significativo. Sin perjuicio de lo dispuesto en el artículo 12, el mero acto de notificar no incrementará la responsabilidad de la entidad de la Unión.
5. Cuando proceda, las entidades_de_la_Unión comunicarán, sin demora indebida, a los usuarios de los sistemas_de_redes_y_de_información afectados o de otros componentes del entorno de TIC que puedan verse afectados por un incidente significativo o una ciberamenaza significativa y que, en su caso, deban adoptar medidas paliativas, las medidas o soluciones que pueden adoptar en respuesta al incidente o la amenaza. Cuando proceda, las entidades_de_la_Unión informarán de la propia ciberamenaza significativa a dichos usuarios.
6. Cuando un incidente significativo o una ciberamenaza significativa afecte a un sistema de redes y de información o a un componente del entorno de TIC de una entidad de la Unión de la que se tenga conocimiento que está conectada con el entorno de TIC de otra entidad de la Unión, el CERT-EU emitirá la correspondiente alerta de ciberseguridad.
7. A petición del CERT-EU, las entidades_de_la_Unión le proporcionarán, sin demora indebida, la información digital generada por el uso de dispositivos electrónicos implicados en sus respectivos incidentes. El CERT-EU podrá proporcionar más detalles sobre el tipo de información que necesita a efectos del conocimiento situacional y la respuesta a incidentes.
8. El CERT-EU presentará al CIIC, a la ENISA, al EU INTCEN y a la red de CSIRT, cada tres meses, un informe de síntesis que contendrá datos anonimizados y agregados sobre los incidentes significativos, los incidentes, las ciberamenazas, los cuasi incidentes y las vulnerabilidades en virtud del artículo 20 y los incidentes significativos notificados en virtud del apartado 2 del presente artículo. El informe de síntesis se incorporará al informe bienal sobre la situación de la ciberseguridad en la Unión, adoptado en virtud del artículo 18 de la Directiva (UE) 2022/2555.
9. A más tardar el 8 de julio de 2024, el CIIC emitirá directrices o recomendaciones que especifiquen con mayor detalle los mecanismos, el formato y el contenido de las notificaciones previstas en el presente artículo. Al preparar dichas directrices o recomendaciones, el CIIC tendrá en cuenta cualquier acto de ejecución adoptado en virtud del artículo 23, apartado 11, de la Directiva (UE) 2022/2555 en el que se especifique el tipo de información, el formato y el procedimiento de las notificaciones. El CERT-EU difundirá los detalles técnicos pertinentes a fin de facilitar la detección proactiva, la respuesta a incidentes o la adopción de medidas paliativas por parte de las entidades_de_la_Unión.
10. Las obligaciones de notificación establecidas en el presente artículo no se exigirán respecto de:
| a) | la ICUE; |
| b) | la información cuya distribución ulterior haya sido excluida mediante una marca visible, a menos que se haya autorizado expresamente su intercambio con el CERT-EU. |
whereas