keyboard_tab Cyber Resilience Act 2023/2841 ES
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Art. 12 Cumplimiento
- 2 Art. 19 Manejo de la información
- 1 Art. 25 Revisión
- Artículo 26 Entrada en vigor
CAPITULO I
DISPOSICIONES GENERALES
CAPITULO II
MEDIDAS DESTINADAS A GARANTIZAR UN ELEVADO NIVEL COMUN DE CIBERSEGURIDAD
CAPITULO III
CONSEJO INTERINSTITUCIONAL DE CIBERSEGURIDAD
CAPITULO IV
CERT-EU
CAPITULO V
OBLIGACIONES DE COOPERACION E INFORMACION
CAPITULO VI
DISPOSICIONES FINALES
- entidades de la Unión
- sistemas de redes y de información
- seguridad de los sistemas de redes y de información
- ciberseguridad
- más alto nivel de dirección
- cuasiincidente
- incidente
- incidente grave
- incidente de ciberseguridad a gran escala
- gestión de incidentes
- ciberamenaza
- ciberamenaza significativa
- vulnerabilidad
- riesgo de ciberseguridad
- servicio de computación en nube
- unión 26
- reglamento 20
- europeo 20
- de 18
- presente 16
- entidad 16
- no / 15
- consejo 13
- trate 12
- el ciic 12
- parlamento 12
- artículo 10
- medidas 9
- comisión 9
- para 8
- entidades_de_la_unión 7
- ciberseguridad 7
- do l 7
- ue / 6
- sobre 6
- información 6
- aplicables 6
- europea 5
- reglamento 5
- el cert-eu 5
- datos 5
- apartado 5
- recomendaciones 5
- aplicación 5
- plazo 4
- párrafo 4
- comité 4
- deficiencias 4
- deroga 4
- virtud 4
- cuando 4
- podrá 4
- primero 4
- normas 4
- solicitud 3
- tribunal 3
- acción 3
- cuando 3
- relativo 3
- otros 3
- concreto 3
- formular 3
- advertencia 3
- arreglo 3
- directrices 3
Artículo 12
Cumplimiento
1. El CIIC, en virtud del artículo 10, apartado 2, y del artículo 11, hará un seguimiento efectivo de la aplicación, por parte de las entidades_de_la_Unión, del presente Reglamento y de las directrices, las recomendaciones y los llamamientos a la acción adoptados. El CIIC podrá solicitar a las entidades_de_la_Unión la información o la documentación necesarias a tal efecto. A los efectos de la adopción de medidas de cumplimiento con arreglo al presente artículo, cuando la entidad de la Unión de que se trate esté representada directamente en el CIIC, dicha entidad de la Unión no tendrá derecho de voto.
2. Cuando el CIIC constate que una entidad de la Unión no ha aplicado de manera efectiva el presente Reglamento, o las directrices, las recomendaciones o los llamamientos a la acción emitidos en virtud del presente Reglamento, podrá, sin perjuicio de los procedimientos internos de la entidad de la Unión de que se trate y tras haber dado la oportunidad a esta última de presentar observaciones:
| a) | comunicar un dictamen motivado a la entidad de la Unión de que se trate con las deficiencias observadas en la aplicación del presente Reglamento; |
| b) | proporcionar, después de consultar con el CERT-EU, directrices a la entidad de la Unión de que se trate para garantizar que su marco, sus medidas de gestión de riesgos de ciberseguridad, su plan de ciberseguridad y sus informes cumplan lo dispuesto en el presente Reglamento dentro de un plazo concreto; |
| c) | formular una advertencia para subsanar las deficiencias detectadas en un plazo concreto, incluidas las recomendaciones para modificar las medidas adoptadas por la entidad de la Unión de que se trate en virtud del presente Reglamento; |
| d) | emitir una notificación motivada a la entidad de la Unión de que se trate, en caso de que las deficiencias señaladas en una advertencia formulada con arreglo a la letra c) no se hayan subsanado suficientemente en el plazo concreto; |
| e) | formular:
|
| f) | si procede, informar al Tribunal de Cuentas, en el marco de su mandato, del presunto incumplimiento; |
| g) | formular una recomendación para que todos los Estados miembros y entidades_de_la_Unión apliquen una suspensión temporal de los flujos de datos a la entidad de la Unión de que se trate. |
A efectos del párrafo primero, letra c), los destinatarios de una advertencia se limitarán adecuadamente, cuando sea necesario ante la existencia de un riesgo de ciberseguridad.
Las advertencias y las recomendaciones formuladas en virtud del párrafo primero irán dirigidas al más_alto_nivel_de_dirección de la entidad de la Unión de que se trate.
3. Cuando el CIIC haya adoptado medidas con arreglo al apartado 2, párrafo primero, letras a) a g), la entidad de la Unión de que se trate proporcionará datos sobre las medidas y acciones emprendidas para subsanar las presuntas deficiencias detectadas por el CIIC. La entidad de la Unión de que se trate presentará dichos datos en un plazo razonable que se pactará con el CIIC.
4. Cuando el CIIC considere que una entidad de la Unión ha incumplido de forma continuada el presente Reglamento debido directamente a las acciones u omisiones de un funcionario u otro agente de la Unión, incluso al más_alto_nivel_de_dirección, el CIIC solicitará a la entidad de la Unión de que se trate que adopte las medidas oportunas, solicitándole incluso que considere la posibilidad de adoptar medidas de carácter disciplinario, de conformidad con las normas y procedimientos previstos en el Estatuto de los funcionarios y cualesquiera otras normas y procedimientos aplicables. A tal efecto, el CIIC transmitirá la información necesaria a la entidad de la Unión de que se trate.
5. Cuando las entidades_de_la_Unión comuniquen que no están en disposición de cumplir los plazos establecidos en el artículo 6, apartado 1, y en el artículo 8, apartado 1, el CIIC podrá autorizar la prórroga de tales plazos, en casos debidamente justificados y teniendo en cuenta el tamaño de la entidad de la Unión.
CAPITULO IV
CERT-EU
Artículo 19
Manejo de la información
1. Las entidades_de_la_Unión y el CERT-EU respetarán la obligación de secreto profesional de conformidad con el artículo 339 del TFUE u otros marcos equivalentes aplicables.
2. Toda solicitud de acceso del público a documentos que obren en poder del CERT-EU se atendrá al Reglamento (CE) n.o 1049/2001 del Parlamento Europeo y del Consejo (10), lo que se aplica también a la obligación, prevista en dicho Reglamento, de consultar a otras entidades_de_la_Unión o, si procede, a los Estados miembros cuando la solicitud se refiera a sus documentos.
3. El manejo de información por las entidades_de_la_Unión y el CERT-EU cumplirá las normas aplicables a la seguridad de la información.
Artículo 25
Revisión
1. A más tardar el 8 de enero de 2025, y anualmente a partir de entonces, el CIIC, asistido por el CERT-EU, informará a la Comisión acerca de la aplicación del presente Reglamento. El CIIC podrá formular recomendaciones a la Comisión para que revise el presente Reglamento.
2. A más tardar el 8 de enero de 2027, y posteriormente cada dos años, la Comisión evaluará la aplicación del presente Reglamento y la experiencia adquirida tanto de tipo estratégico como operativo, e informará de ello al Parlamento Europeo y al Consejo.
El informe a que se refiere el párrafo primero del presente apartado incluirá la revisión prevista en el artículo 16, apartado 1, sobre la posibilidad de constituir el CERT-EU en organismo de la Unión.
3. A más tardar el 8 de enero de 2029, la Comisión evaluará el funcionamiento del presente Reglamento y presentará un informe al Parlamento Europeo, al Consejo, al Comité Económico y Social Europeo y al Comité de las Regiones. La Comisión evaluará asimismo la conveniencia de incluir sistemas_de_redes_y_de_información que manejen ICUE en el ámbito de aplicación del presente Reglamento, teniendo en cuenta otros actos legislativos de la Unión aplicables a dichos sistemas. El informe irá acompañado, en su caso, de una propuesta legislativa.
Artículo 26
Entrada en vigor
El presente Reglamento entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.
El presente Reglamento será obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro.
Hecho en Estrasburgo, el 13 de diciembre de 2023.
Por el Parlamento Europeo
La Presidenta
R. METSOLA
Por el Consejo
El Presidente
P. NAVARRO RÍOS
(1) Posición del Parlamento Europeo de 21 de noviembre de 2023 (pendiente de publicación en el Diario Oficial) y Decisión del Consejo de 8 de diciembre de 2023.
(2) Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión, por la que se modifican el Reglamento (UE) n.o 910/2014 y la Directiva (UE) 2018/1972 y por la que se deroga la Directiva (UE) 2016/1148 (Directiva SRI 2) (DO L 333 de 27.12.2022, p. 80).
(3) Reglamento (UE) 2019/881 del Parlamento Europeo y del Consejo, de 17 de abril de 2019, relativo a ENISA (Agencia de la Unión Europea para la Ciberseguridad) y a la certificación de la ciberseguridad de las tecnologías de la información y la comunicación y por el que se deroga el Reglamento (UE) n.o 526/2013 («Reglamento sobre la Ciberseguridad») (DO L 151 de 7.6.2019, p. 15).
(4) Acuerdo entre el Parlamento Europeo, el Consejo Europeo, el Consejo de la Unión Europea, la Comisión Europea, el Tribunal de Justicia de la Unión Europea, el Banco Central Europeo, el Tribunal de Cuentas Europeo, el Servicio Europeo de Acción Exterior, el Comité Económico y Social Europeo, el Comité Europeo de las Regiones y el Banco Europeo de Inversiones sobre la organización y el funcionamiento del Equipo de Respuesta a Emergencias Informáticas de las instituciones, órganos y organismos de la UE (CERT-UE) (DO C 12 de 13.1.2018, p. 1).
(5) Reglamento (CEE, Euratom, CECA) n.o 259/68 del Consejo, de 29 de febrero de 1968, por el que se establece el Estatuto de los funcionarios de las Comunidades Europeas y el régimen aplicable a los otros agentes de estas Comunidades y por el que se establecen medidas específicas aplicables temporalmente a los funcionarios de la Comisión (DO L 56 de 4.3.1968, p. 1).
(6) Recomendación (UE) 2017/1584 de la Comisión, de 13 de septiembre de 2017, sobre la respuesta coordinada a los incidentes y crisis de ciberseguridad a gran escala (DO L 239 de 19.9.2017, p. 36).
(7) Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión y a la libre circulación de estos datos y por el que se deroga el Reglamento (CE) n.o 45/2001 y la Decisión 1247/2002/CE (DO L 295 de 21.11.2018, p. 39).
(8) DO C 258 de 5.7.2022, p. 10.
(9) Reglamento (UE, Euratom) 2018/1046 del Parlamento Europeo y del Consejo, de 18 de julio de 2018, sobre las normas financieras aplicables al presupuesto general de la Unión, por el que se modifican los Reglamentos (UE) n.o 1296/2013, (UE) n.o 1301/2013, (UE) n.o 1303/2013, (UE) n.o 1304/2013, (UE) n.o 1309/2013, (UE) n.o 1316/2013, (UE) n.o 223/2014 y (UE) n.o 283/2014 y la Decisión n.o 541/2014/UE y por el que se deroga el Reglamento (UE, Euratom) n.o 966/2012 (DO L 193 de 30.7.2018, p. 1).
(10) Reglamento (CE) n.o 1049/2001 del Parlamento Europeo y del Consejo, de 30 de mayo de 2001, relativo al acceso del público a los documentos del Parlamento Europeo, del Consejo y de la Comisión (DO L 145 de 31.5.2001, p. 43).
ELI: http://data.europa.eu/eli/reg/2023/2841/oj
ISSN 1977-0685 (electronic edition)