keyboard_tab Cyber Resilience Act 2023/2841 ES
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Art. 9 Planes de ciberseguridad
- 1 Art. 10 Consejo Interinstitucional de Ciberseguridad
- 8 Art. 11 Funciones del CIIC
- 1 Art. 15
CAPITULO I
DISPOSICIONES GENERALES
CAPITULO II
MEDIDAS DESTINADAS A GARANTIZAR UN ELEVADO NIVEL COMUN DE CIBERSEGURIDAD
CAPITULO III
CONSEJO INTERINSTITUCIONAL DE CIBERSEGURIDAD
CAPITULO IV
CERT-EU
CAPITULO V
OBLIGACIONES DE COOPERACION E INFORMACION
CAPITULO VI
DISPOSICIONES FINALES
- entidades de la Unión
- sistemas de redes y de información
- seguridad de los sistemas de redes y de información
- ciberseguridad
- más alto nivel de dirección
- cuasiincidente
- incidente
- incidente grave
- incidente de ciberseguridad a gran escala
- gestión de incidentes
- ciberamenaza
- ciberamenaza significativa
- vulnerabilidad
- riesgo de ciberseguridad
- servicio de computación en nube
- del cert-eu 32
- ciberseguridad 28
- artículo 19
- entidades_de_la_unión 17
- director 17
- sobre 15
- del ciic 15
- para 14
- unión 12
- reglamento 12
- plan 11
- propuesta 10
- europeo 10
- presidente 9
- aprobar 9
- gestión 9
- virtud 8
- nivel 8
- miembros 8
- base 7
- el ciic 7
- aplicación 7
- consejo 7
- presente 6
- el ciic 6
- acuerdos 6
- entidad 6
- informes 6
- cada 6
- refiere 6
- conformidad 6
- servicios 6
- el 6
- representantes 5
- comité 5
- servicio 5
- podrá 5
- anual 5
- interno 5
- al ciic 5
- informe 5
- actividades 5
- catálogo 5
- riesgos 5
- cuenta 5
- procedimiento 4
- entre 4
- hacer 4
- seguimiento 4
- directiva 4
Artículo 9
Planes de ciberseguridad
1. A partir de las conclusiones extraídas de la evaluación de madurez de la ciberseguridad realizada en virtud del artículo 7 y teniendo en cuenta los activos y los riesgos determinados en el marco, así como las medidas de gestión de riesgos de ciberseguridad adoptadas en virtud del artículo 8, el más_alto_nivel_de_dirección de cada entidad de la Unión aprobará un plan de ciberseguridad sin demora indebida y, en cualquier caso, a más tardar el 8 de enero de 2026. El objetivo del plan de ciberseguridad será aumentar el nivel global de ciberseguridad de la entidad de la Unión de que se trate y contribuir así a la mejora de un elevado nivel común de ciberseguridad dentro de las entidades_de_la_Unión. El plan de ciberseguridad incluirá, como mínimo, las medidas de gestión de riesgos de ciberseguridad adoptadas en virtud del artículo 8. El plan de ciberseguridad se revisará cada dos años, o con más frecuencia de ser necesario, tras la evaluación de madurez de la ciberseguridad realizada en virtud del artículo 7 o tras cualquier revisión sustancial del marco.
2. El plan de ciberseguridad incluirá el plan de gestión de cibercrisis de la entidad de la Unión para los incidentes graves.
3. Cada entidad de la Unión presentará su plan de ciberseguridad final al Consejo Interinstitucional de Ciberseguridad creado en virtud del artículo 10.
CAPITULO III
CONSEJO INTERINSTITUCIONAL DE CIBERSEGURIDAD
Artículo 10
Consejo Interinstitucional de Ciberseguridad
1. Se crea el Consejo Interinstitucional de Ciberseguridad (CIIC).
2. El CIIC será responsable de:
| a) | hacer un seguimiento de la aplicación del presente Reglamento por parte de las entidades_de_la_Unión y apoyar dicha aplicación; |
| b) | supervisar la aplicación de las prioridades y los objetivos generales por parte del CERT-EU, al que, además, proporcionará una dirección estratégica. |
3. El CIIC estará compuesto por:
| a) | un representante designado por cada una de las instituciones siguientes:
|
| b) | tres representantes designados por la EUAN, a propuesta de su Comité consultivo para las TIC, que representarán los intereses de los órganos y organismos de la Unión que gestionen sus propios entornos de TIC y que no estén incluidos en la letra a). |
Las entidades_de_la_Unión representadas en el CIIC procurarán lograr el equilibrio de género entre los representantes designados.
4. Los miembros del CIIC podrán estar asistidos por sus suplentes. El presidente podrá invitar a otros representantes de las entidades_de_la_Unión a que se refiere el apartado 3 o de otras entidades_de_la_Unión a asistir a las reuniones del CIIC sin derecho de voto.
5. El director del CERT-EU y los presidentes del Grupo de Cooperación, de la red de CSIRT y de EU-CyCLONe, establecidos, respectivamente, en virtud de los artículos 14, 15 y 16 de la Directiva (UE) 2022/2555, o sus suplentes, podrán participar en las reuniones del CIIC como observadores. En casos excepcionales, el CIIC podrá disponer otra cosa, de conformidad con su reglamento interno.
6. El CIIC aprobará su reglamento interno.
7. De conformidad con dicho reglamento interno, el CIIC designará a su presidente, de entre sus miembros, por un período de tres años. Su suplente pasará a ser miembro de pleno derecho del CIIC durante el mismo período.
8. El CIIC se reunirá al menos tres veces al año a iniciativa de su presidente, a petición del CERT-EU o a petición de cualquiera de sus miembros.
9. Cada miembro del CIIC dispondrá de un voto. Las decisiones del CIIC se adoptarán por mayoría simple, salvo que se disponga otra cosa en el presente Reglamento. El presidente del CIIC no tendrá voto, salvo que se produzca un empate, en cuyo caso podrá emitir un voto de calidad.
10. El CIIC podrá actuar mediante un procedimiento escrito simplificado iniciado de conformidad con su reglamento interno. Con arreglo a dicho procedimiento, la decisión pertinente se considerará aprobada en el plazo establecido por el presidente, salvo oposición de uno de sus miembros.
11. La Comisión prestará servicios de secretaría al CIIC y dicha secretaría rendirá cuentas al presidente del CIIC.
12. Los representantes nombrados por la EUAN transmitirán las decisiones del CIIC a los miembros de la EUAN. Todo miembro de la EUAN estará autorizado a plantear a dichos representantes o al presidente del CIIC cualquier cuestión que considere que debe ponerse en conocimiento del CIIC.
13. El CIIC podrá establecer un comité ejecutivo que le asista en el desempeño de su labor, y delegar en este parte de sus funciones y facultades. El CIIC establecerá el reglamento interno del comité ejecutivo, que incluirá sus funciones y facultades y el mandato de sus miembros.
14. A más tardar el 8 de enero de 2025, y anualmente a partir de entonces, el CIIC presentará al Parlamento Europeo y al Consejo un informe en el que se detallarán los avances realizados en la aplicación del presente Reglamento y se especificará, en particular, el grado de cooperación del CERT-EU con sus homólogos en cada uno de los Estados miembros. El informe se incorporará al informe bienal sobre la situación de la ciberseguridad en la Unión adoptado en virtud del artículo 18 de la Directiva (UE) 2022/2555.
Artículo 11
Funciones del CIIC
En el ejercicio de sus responsabilidades, el CIIC deberá en particular:
| a) | proporcionar orientación al director del CERT-EU; |
| b) | hacer un seguimiento y supervisar eficazmente la aplicación del presente Reglamento y apoyar a las entidades_de_la_Unión para reforzar su ciberseguridad, incluyendo, cuando proceda, la solicitud de informes ad hoc a las entidades_de_la_Unión y al CERT-EU; |
| c) | tras un debate estratégico, adoptar una estrategia plurianual sobre el aumento del nivel de ciberseguridad de las entidades_de_la_Unión, evaluar dicha estrategia periódicamente, en cualquier caso cada cinco años, y, de ser necesario, modificar la estrategia; |
| d) | establecer la metodología y los aspectos organizativos para la realización de revisiones interpares voluntarias por parte de las entidades_de_la_Unión, para aprender de las experiencias compartidas, reforzar la confianza mutua, lograr un elevado nivel común de ciberseguridad y mejorar las capacidades de ciberseguridad de las entidades_de_la_Unión, garantizando que dichas revisiones interpares sean realizadas por expertos en ciberseguridad designados por una entidad de la Unión distinta de la entidad de la Unión objeto de revisión y que la metodología se base en el artículo 19 de la Directiva (UE) 2022/2555 y, en su caso, se adapte a las entidades_de_la_Unión; |
| e) | aprobar, sobre la base de una propuesta del director del CERT-EU, el programa de trabajo anual del CERT-EU y hacer un seguimiento de su ejecución; |
| f) | aprobar, sobre la base de una propuesta del director del CERT-EU, el catálogo de servicios del CERT-EU y toda actualización al respecto; |
| g) | aprobar, sobre la base de una propuesta del director del CERT-EU, el plan financiero anual de ingresos y gastos, incluida la dotación de personal, para las actividades del CERT-EU; |
| h) | aprobar, sobre la base de una propuesta del director del CERT-EU, las disposiciones de los acuerdos de nivel de servicio; |
| i) | examinar y aprobar el informe anual elaborado por el director del CERT-EU sobre las actividades y la gestión de fondos del CERT-EU; |
| j) | aprobar y hacer un seguimiento de los indicadores clave de rendimiento (KPI, por sus siglas en inglés) del CERT-EU establecidos sobre la base de una propuesta de su director; |
| k) | aprobar los acuerdos de cooperación, los acuerdos de nivel de servicio o los contratos celebrados entre el CERT-EU y otras entidades en virtud del artículo 18; |
| l) | adoptar directrices y recomendaciones sobre la base de una propuesta del CERT-EU de conformidad con el artículo 14 y dar instrucciones al CERT-EU para que emita, retire o modifique alguna propuesta de directrices o de recomendaciones o algún llamamiento a la acción; |
| m) | establecer grupos de asesoramiento técnico con tareas concretas para asistir al CIIC en su labor, aprobar su mandato y nombrar a los respectivos presidentes; |
| n) | recibir y evaluar los documentos e informes presentados por las entidades_de_la_Unión con arreglo al presente Reglamento, como las evaluaciones de madurez de la ciberseguridad; |
| o) | facilitar la creación de un grupo informal de responsables locales de ciberseguridad de las entidades_de_la_Unión, apoyado por la ENISA, con el objetivo de intercambiar mejores prácticas e información en relación con la aplicación del presente Reglamento; |
| p) | teniendo en cuenta la información proporcionada por el CERT-EU sobre los riesgos de ciberseguridad detectados y las lecciones aprendidas, supervisar la adecuación de los mecanismos de interconexión entre los entornos de TIC de las entidades_de_la_Unión y asesorar sobre posibles mejoras; |
| q) | establecer un plan de gestión de cibercrisis para apoyar, desde el punto de vista operativo, la gestión coordinada de los incidentes graves que afecten a las entidades_de_la_Unión y contribuir al intercambio periódico de información pertinente, en particular en lo que se refiere a los efectos y la gravedad de los incidentes graves y las posibles formas de reducir sus efectos; |
| r) | coordinar la adopción de los planes de gestión de cibercrisis de las distintas entidades_de_la_Unión, a que se refiere el artículo 9, apartado 2; |
| s) | adoptar recomendaciones en relación con la seguridad de la cadena de suministro a que se refiere el artículo 8, apartado 2, párrafo primero, letra m), teniendo en cuenta los resultados de las evaluaciones de riesgo coordinadas a escala de la Unión sobre las cadenas de suministro críticas a las que se refiere el artículo 22 de la Directiva (UE) 2022/2555 para apoyar a las entidades_de_la_Unión en la adopción de medidas de gestión de riesgos de ciberseguridad eficaces y proporcionadas. |
Artículo 15
1. La Comisión, tras obtener la aprobación por mayoría de dos tercios de los miembros del CIIC, nombrará al director del CERT-EU. Se consultará al CIIC en todas las fases del procedimiento de nombramiento, en particular por lo que respecta a la redacción de las convocatorias para la provisión de vacantes, el examen de las candidaturas y la designación de los comités de selección para el puesto. El procedimiento de selección, incluida la lista definitiva de candidatos preseleccionados a partir de la cual se nombrará al director del CERT-EU, garantizará una representación equitativa de cada género, teniendo en cuenta las candidaturas presentadas.
2. El director del CERT-EU será responsable del correcto funcionamiento del CERT-EU y actuará dentro de los límites de sus atribuciones y bajo la dirección del CIIC. El director del CERT-EU informará periódicamente al presidente del CIIC y presentará informes ad hoc al CIIC a petición de este.
3. El director del CERT-EU prestará asistencia al ordenador delegado competente en la redacción del informe anual de actividades que contenga datos financieros y de gestión, incluidos los resultados de los controles, elaborado de conformidad con el artículo 74, apartado 9, del Reglamento (UE, Euratom) 2018/1046 del Parlamento Europeo y del Consejo (9), e informará periódicamente al ordenador delegado sobre la aplicación de las medidas respecto de las cuales se le hayan subdelegado competencias al director del CERT-EU.
4. El director del CERT-EU elaborará anualmente un plan financiero de ingresos y gastos administrativos en relación con sus actividades, una propuesta de programa de trabajo anual, una propuesta de catálogo de servicios del CERT-EU, propuestas de revisión del catálogo de servicios, propuestas de disposiciones de los acuerdos de nivel de servicio y propuestas de KPI del CERT-EU que deberá aprobar el CIIC de conformidad con el artículo 11. A la hora de revisar la lista de servicios del catálogo del CERT-EU, su director tendrá en cuenta los recursos que hayan sido asignados al CERT-EU.
5. El director del CERT-EU presentará, al menos una vez al año, informes al CIIC y a su presidente sobre las actividades y el desempeño del CERT-EU durante el período de referencia, también sobre la ejecución del presupuesto, los acuerdos de nivel de servicio y los acuerdos escritos celebrados, la cooperación con homólogos y socios, y las misiones realizadas por el personal del CERT-EU, incluidos los informes a que se refiere el artículo 11. Dichos informes incluirán el programa de trabajo para el período siguiente, el plan financiero de ingresos y gastos, incluidas la dotación de personal, las actualizaciones previstas del catálogo de servicios del CERT-EU y una evaluación de las repercusiones esperadas que dichas actualizaciones puedan tener en términos de recursos financieros y humanos.
whereas