keyboard_tab Cyber Resilience Act 2023/2841 ES
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
CAPITULO I
DISPOSICIONES GENERALES
CAPITULO II
MEDIDAS DESTINADAS A GARANTIZAR UN ELEVADO NIVEL COMUN DE CIBERSEGURIDAD
CAPITULO III
CONSEJO INTERINSTITUCIONAL DE CIBERSEGURIDAD
CAPITULO IV
CERT-EU
CAPITULO V
OBLIGACIONES DE COOPERACION E INFORMACION
CAPITULO VI
DISPOSICIONES FINALES
- entidades de la Unión
- sistemas de redes y de información
- seguridad de los sistemas de redes y de información
- ciberseguridad
- más alto nivel de dirección
- cuasiincidente
- incidente
- incidente grave
- incidente de ciberseguridad a gran escala
- gestión de incidentes
- ciberamenaza
- ciberamenaza significativa
- vulnerabilidad
- riesgo de ciberseguridad
- servicio de computación en nube
- del cert-eu 30
- europeo 29
- unión 27
- artículo 26
- reglamento 22
- comisión 22
- para 20
- incidentes 19
- de 18
- consejo 18
- sobre 16
- del ciic 16
- presente 15
- entidades_de_la_unión 15
- director 14
- no / 14
- parlamento 14
- apartado 13
- miembros 12
- ue / 12
- servicios 11
- el cert-eu 11
- virtud 11
- gestión 10
- entidad 10
- presidente 10
- afectada 10
- información 10
- el ciic 10
- comité 9
- directiva 9
- europea 9
- ciberseguridad 9
- conformidad 9
- aplicación 9
- graves 8
- entre 8
- informe 7
- informará 7
- podrá 7
- do l 7
- el ciic 6
- al ciic 6
- otros 6
- refiere 6
- cada 6
- miembro 6
- datos 6
- acuerdos 5
- actividades 5
Artículo 10
Consejo Interinstitucional de Ciberseguridad
1. Se crea el Consejo Interinstitucional de Ciberseguridad (CIIC).
2. El CIIC será responsable de:
| a) | hacer un seguimiento de la aplicación del presente Reglamento por parte de las entidades_de_la_Unión y apoyar dicha aplicación; |
| b) | supervisar la aplicación de las prioridades y los objetivos generales por parte del CERT-EU, al que, además, proporcionará una dirección estratégica. |
3. El CIIC estará compuesto por:
| a) | un representante designado por cada una de las instituciones siguientes:
|
| b) | tres representantes designados por la EUAN, a propuesta de su Comité consultivo para las TIC, que representarán los intereses de los órganos y organismos de la Unión que gestionen sus propios entornos de TIC y que no estén incluidos en la letra a). |
Las entidades_de_la_Unión representadas en el CIIC procurarán lograr el equilibrio de género entre los representantes designados.
4. Los miembros del CIIC podrán estar asistidos por sus suplentes. El presidente podrá invitar a otros representantes de las entidades_de_la_Unión a que se refiere el apartado 3 o de otras entidades_de_la_Unión a asistir a las reuniones del CIIC sin derecho de voto.
5. El director del CERT-EU y los presidentes del Grupo de Cooperación, de la red de CSIRT y de EU-CyCLONe, establecidos, respectivamente, en virtud de los artículos 14, 15 y 16 de la Directiva (UE) 2022/2555, o sus suplentes, podrán participar en las reuniones del CIIC como observadores. En casos excepcionales, el CIIC podrá disponer otra cosa, de conformidad con su reglamento interno.
6. El CIIC aprobará su reglamento interno.
7. De conformidad con dicho reglamento interno, el CIIC designará a su presidente, de entre sus miembros, por un período de tres años. Su suplente pasará a ser miembro de pleno derecho del CIIC durante el mismo período.
8. El CIIC se reunirá al menos tres veces al año a iniciativa de su presidente, a petición del CERT-EU o a petición de cualquiera de sus miembros.
9. Cada miembro del CIIC dispondrá de un voto. Las decisiones del CIIC se adoptarán por mayoría simple, salvo que se disponga otra cosa en el presente Reglamento. El presidente del CIIC no tendrá voto, salvo que se produzca un empate, en cuyo caso podrá emitir un voto de calidad.
10. El CIIC podrá actuar mediante un procedimiento escrito simplificado iniciado de conformidad con su reglamento interno. Con arreglo a dicho procedimiento, la decisión pertinente se considerará aprobada en el plazo establecido por el presidente, salvo oposición de uno de sus miembros.
11. La comisión prestará servicios de secretaría al CIIC y dicha secretaría rendirá cuentas al presidente del CIIC.
12. Los representantes nombrados por la EUAN transmitirán las decisiones del CIIC a los miembros de la EUAN. Todo miembro de la EUAN estará autorizado a plantear a dichos representantes o al presidente del CIIC cualquier cuestión que considere que debe ponerse en conocimiento del CIIC.
13. El CIIC podrá establecer un comité ejecutivo que le asista en el desempeño de su labor, y delegar en este parte de sus funciones y facultades. El CIIC establecerá el reglamento interno del comité ejecutivo, que incluirá sus funciones y facultades y el mandato de sus miembros.
14. A más tardar el 8 de enero de 2025, y anualmente a partir de entonces, el CIIC presentará al Parlamento Europeo y al Consejo un informe en el que se detallarán los avances realizados en la aplicación del presente Reglamento y se especificará, en particular, el grado de cooperación del CERT-EU con sus homólogos en cada uno de los Estados miembros. El informe se incorporará al informe bienal sobre la situación de la ciberseguridad en la Unión adoptado en virtud del artículo 18 de la Directiva (UE) 2022/2555.
Artículo 15
1. La comisión, tras obtener la aprobación por mayoría de dos tercios de los miembros del CIIC, nombrará al director del CERT-EU. Se consultará al CIIC en todas las fases del procedimiento de nombramiento, en particular por lo que respecta a la redacción de las convocatorias para la provisión de vacantes, el examen de las candidaturas y la designación de los comités de selección para el puesto. El procedimiento de selección, incluida la lista definitiva de candidatos preseleccionados a partir de la cual se nombrará al director del CERT-EU, garantizará una representación equitativa de cada género, teniendo en cuenta las candidaturas presentadas.
2. El director del CERT-EU será responsable del correcto funcionamiento del CERT-EU y actuará dentro de los límites de sus atribuciones y bajo la dirección del CIIC. El director del CERT-EU informará periódicamente al presidente del CIIC y presentará informes ad hoc al CIIC a petición de este.
3. El director del CERT-EU prestará asistencia al ordenador delegado competente en la redacción del informe anual de actividades que contenga datos financieros y de gestión, incluidos los resultados de los controles, elaborado de conformidad con el artículo 74, apartado 9, del Reglamento (UE, Euratom) 2018/1046 del Parlamento Europeo y del Consejo (9), e informará periódicamente al ordenador delegado sobre la aplicación de las medidas respecto de las cuales se le hayan subdelegado competencias al director del CERT-EU.
4. El director del CERT-EU elaborará anualmente un plan financiero de ingresos y gastos administrativos en relación con sus actividades, una propuesta de programa de trabajo anual, una propuesta de catálogo de servicios del CERT-EU, propuestas de revisión del catálogo de servicios, propuestas de disposiciones de los acuerdos de nivel de servicio y propuestas de KPI del CERT-EU que deberá aprobar el CIIC de conformidad con el artículo 11. A la hora de revisar la lista de servicios del catálogo del CERT-EU, su director tendrá en cuenta los recursos que hayan sido asignados al CERT-EU.
5. El director del CERT-EU presentará, al menos una vez al año, informes al CIIC y a su presidente sobre las actividades y el desempeño del CERT-EU durante el período de referencia, también sobre la ejecución del presupuesto, los acuerdos de nivel de servicio y los acuerdos escritos celebrados, la cooperación con homólogos y socios, y las misiones realizadas por el personal del CERT-EU, incluidos los informes a que se refiere el artículo 11. Dichos informes incluirán el programa de trabajo para el período siguiente, el plan financiero de ingresos y gastos, incluidas la dotación de personal, las actualizaciones previstas del catálogo de servicios del CERT-EU y una evaluación de las repercusiones esperadas que dichas actualizaciones puedan tener en términos de recursos financieros y humanos.
Artículo 16
Aspectos financieros y de personal
1. El CERT-EU se integrará en la estructura administrativa de alguna dirección general de la comisión con el fin de beneficiarse de las estructuras de apoyo administrativo, financiero y contable de la comisión, manteniendo al mismo tiempo su condición de proveedor de servicios interinstitucional autónomo para todas las entidades_de_la_Unión. La comisión informará al CIIC sobre la sede administrativa del CERT-EU y sobre cualquier modificación al respecto. La comisión revisará los acuerdos administrativos relacionados con el CERT-EU de forma periódica y, en cualquier caso, antes del establecimiento de cualquier marco financiero plurianual en virtud del artículo 312 del TFUE, a fin de permitir la adopción de las medidas adecuadas. La revisión incluirá la posibilidad de constituir el CERT-EU en organismo de la Unión.
2. En la aplicación de los procedimientos administrativos y financieros, el director del CERT-EU actuará bajo la autoridad de la comisión y bajo la supervisión del CIIC.
3. Las funciones y actividades del CERT-EU, incluidos los servicios que preste en virtud del artículo 13, apartados 3, 4, 5 y 7, y el artículo 14, apartado 1, a las entidades_de_la_Unión financiados con cargo a la rúbrica del marco financiero plurianual dedicada a la administración pública europea, se financiarán mediante una línea presupuestaria específica del presupuesto de la comisión. Los puestos reservados al CERT-EU se detallarán en una nota a pie de página de la plantilla de personal de la comisión.
4. Las entidades_de_la_Unión distintas de las mencionadas en el apartado 3 del presente artículo efectuarán una contribución financiera anual al CERT-EU para cubrir los servicios prestados por este de conformidad con dicho apartado. Las contribuciones se basarán en orientaciones del CIIC y serán pactadas entre cada entidad de la Unión y el CERT-EU en acuerdos de nivel de servicio. Las contribuciones representarán una parte equitativa y proporcional del coste total de los servicios prestados. Se consignarán en la línea presupuestaria específica a que se refiere el apartado 3 del presente artículo como ingresos afectados internos, de conformidad con lo previsto en el artículo 21, apartado 3, letra c), del Reglamento (UE, Euratom) 2018/1046.
5. Los costes de los servicios previstos en el artículo 13, apartado 6, se recuperarán de las entidades_de_la_Unión que reciban los servicios del CERT-EU. Los ingresos se asignarán a las líneas presupuestarias con las que se cubran los costes.
Artículo 17
1. El CERT-EU cooperará e intercambiará información, sin demora indebida, con sus homólogos de los Estados miembros, en particular los CSIRT designados o establecidos en virtud del artículo 10 de la Directiva (UE) 2022/2555, o, cuando proceda, las autoridades competentes y los puntos de contacto únicos designados o establecidos en virtud del artículo 8 de dicha Directiva, en lo concerniente a incidentes, ciberamenazas, vulnerabilidades y cuasi incidentes, posibles contramedidas, así como mejores prácticas y cualesquiera cuestiones pertinentes para la mejora de la protección del entorno de TIC de las entidades_de_la_Unión, entre otros, a través de la red de CSIRT establecida en virtud del artículo 15 de la Directiva (UE) 2022/2555. El CERT-EU prestará apoyo a la comisión en EU-CyCLONe, establecida en virtud del artículo 16 de la Directiva (UE) 2022/2555 sobre la gestión coordinada de los incidentes de ciberseguridad a gran escala y las crisis.
2. Cuando el CERT-EU tenga conocimiento de algún incidente significativo que se produzca en el territorio de un Estado miembro, lo notificará, sin demora, al homólogo pertinente de ese Estado miembro, de conformidad con el apartado 1.
3. Siempre que los datos personales estén protegidos de conformidad con el Derecho de la Unión aplicable en materia de protección de datos, el CERT-EU intercambiará, sin demora indebida, información específica pertinente sobre incidentes con sus homólogos de los Estados miembros para facilitar la detección de ciberamenazas o incidentes similares, o para contribuir al análisis de un incidente, sin la autorización de la entidad de la Unión afectada. El CERT-EU intercambiará información específica sobre incidentes en la que se revele la identidad del objetivo del incidente únicamente si concurre alguna de las condiciones siguientes:
| a) | la entidad de la Unión afectada dé su consentimiento; |
| b) | cuando la entidad de la Unión afectada no dé su consentimiento tal como dispone la letra a), pero la divulgación de la identidad de la entidad de la Unión afectada mejore la probabilidad de evitar o mitigar incidentes en otros lugares; |
| c) | la entidad de la Unión afectada ya haya hecho público que se vio afectada. |
Las decisiones de intercambiar información específica sobre incidentes que revele la identidad del objetivo del incidente en virtud del párrafo primero, letra b), serán aprobadas por el director del CERT-EU. Antes de tomar dicha decisión, el CERT-EU se pondrá en contacto por escrito con la entidad de la Unión afectada, para explicar claramente cómo la revelación de su identidad ayudaría a evitar o mitigar incidentes en otros lugares. El director del CERT-EU proporcionará la explicación y solicitará expresamente a la entidad de la Unión afectada que declare si da su consentimiento en un plazo determinado. El director del CERT-EU también informará a la entidad de la Unión afectada de que, a la luz de la explicación proporcionada, se reserva el derecho a revelar la información incluso sin consentimiento. Se informará a la entidad de la Unión afectada antes de revelar la información.
Artículo 23
Gestión de incidentes graves
1. Con el fin de apoyar desde el punto de vista operativo la gestión coordinada de incidentes graves que afecten a entidades_de_la_Unión y de contribuir al intercambio periódico de información pertinente entre las entidades_de_la_Unión y con los Estados miembros, el CIIC establecerá un plan de gestión de cibercrisis, en virtud del artículo 11, letra q), basado en las actividades a que se refiere el artículo 22, apartado 2, en estrecha cooperación con el CERT-EU y con la ENISA. El plan de gestión de cibercrisis incluirá al menos los elementos siguientes:
| a) | los mecanismos para la coordinación y el flujo de información entre las entidades_de_la_Unión para la gestión de incidentes graves en el plano operativo; |
| b) | procedimientos operativos normalizados comunes (SOPs por sus siglas en inglés); |
| c) | una taxonomía común de la gravedad de los incidentes graves y los elementos causantes de crisis; |
| d) | ejercicios periódicos; |
| e) | los canales de comunicación seguros que han de utilizarse. |
2. Con arreglo al plan de gestión de cibercrisis establecido en virtud del apartado 1 del presente artículo y sin perjuicio de lo dispuesto en el artículo 16, apartado 2, párrafo primero, de la Directiva (UE) 2022/2555, el representante de la comisión en el CIIC será el punto de contacto para el intercambio de información pertinente sobre incidentes graves con EU-CyCLONe.
3. El CERT-EU coordinará la gestión de los incidentes graves entre las entidades_de_la_Unión. Llevará un inventario de los conocimientos técnicos disponibles que serían necesarios para la respuesta a incidentes en caso de incidentes graves y asistirá al CIIC a coordinar los planes de gestión de cibercrisis de las entidades_de_la_Unión para los incidentes graves a que se refiere el artículo 9, apartado 2.
4. Las entidades_de_la_Unión contribuirán al inventario de conocimientos técnicos proporcionando una lista, que actualizarán anualmente, en la que figuren los expertos disponibles en sus respectivas organizaciones, junto con una descripción detallada de sus capacidades técnicas específicas.
CAPITULO VI
DISPOSICIONES FINALES
Artículo 24
Reasignación presupuestaria inicial
Para garantizar un funcionamiento correcto y estable del CERT-EU, la comisión podrá proponer la reasignación a su presupuesto de recursos de personal y financieros, para su utilización en las operaciones del CERT-EU. La reasignación será efectiva al mismo tiempo que el primer presupuesto anual de la Unión adoptado tras la entrada en vigor del presente Reglamento.
Artículo 25
Revisión
1. A más tardar el 8 de enero de 2025, y anualmente a partir de entonces, el CIIC, asistido por el CERT-EU, informará a la comisión acerca de la aplicación del presente Reglamento. El CIIC podrá formular recomendaciones a la comisión para que revise el presente Reglamento.
2. A más tardar el 8 de enero de 2027, y posteriormente cada dos años, la comisión evaluará la aplicación del presente Reglamento y la experiencia adquirida tanto de tipo estratégico como operativo, e informará de ello al Parlamento Europeo y al Consejo.
El informe a que se refiere el párrafo primero del presente apartado incluirá la revisión prevista en el artículo 16, apartado 1, sobre la posibilidad de constituir el CERT-EU en organismo de la Unión.
3. A más tardar el 8 de enero de 2029, la comisión evaluará el funcionamiento del presente Reglamento y presentará un informe al Parlamento Europeo, al Consejo, al Comité Económico y Social Europeo y al Comité de las Regiones. La comisión evaluará asimismo la conveniencia de incluir sistemas_de_redes_y_de_información que manejen ICUE en el ámbito de aplicación del presente Reglamento, teniendo en cuenta otros actos legislativos de la Unión aplicables a dichos sistemas. El informe irá acompañado, en su caso, de una propuesta legislativa.
Artículo 26
Entrada en vigor
El presente Reglamento entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.
El presente Reglamento será obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro.
Hecho en Estrasburgo, el 13 de diciembre de 2023.
Por el Parlamento Europeo
La Presidenta
R. METSOLA
Por el Consejo
El Presidente
P. NAVARRO RÍOS
(1) Posición del Parlamento Europeo de 21 de noviembre de 2023 (pendiente de publicación en el Diario Oficial) y Decisión del Consejo de 8 de diciembre de 2023.
(2) Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión, por la que se modifican el Reglamento (UE) n.o 910/2014 y la Directiva (UE) 2018/1972 y por la que se deroga la Directiva (UE) 2016/1148 (Directiva SRI 2) (DO L 333 de 27.12.2022, p. 80).
(3) Reglamento (UE) 2019/881 del Parlamento Europeo y del Consejo, de 17 de abril de 2019, relativo a ENISA (Agencia de la Unión Europea para la Ciberseguridad) y a la certificación de la ciberseguridad de las tecnologías de la información y la comunicación y por el que se deroga el Reglamento (UE) n.o 526/2013 («Reglamento sobre la Ciberseguridad») (DO L 151 de 7.6.2019, p. 15).
(4) Acuerdo entre el Parlamento Europeo, el Consejo Europeo, el Consejo de la Unión Europea, la comisión Europea, el Tribunal de Justicia de la Unión Europea, el Banco Central Europeo, el Tribunal de Cuentas Europeo, el Servicio Europeo de Acción Exterior, el Comité Económico y Social Europeo, el Comité Europeo de las Regiones y el Banco Europeo de Inversiones sobre la organización y el funcionamiento del Equipo de Respuesta a Emergencias Informáticas de las instituciones, órganos y organismos de la UE (CERT-UE) (DO C 12 de 13.1.2018, p. 1).
(5) Reglamento (CEE, Euratom, CECA) n.o 259/68 del Consejo, de 29 de febrero de 1968, por el que se establece el Estatuto de los funcionarios de las Comunidades Europeas y el régimen aplicable a los otros agentes de estas Comunidades y por el que se establecen medidas específicas aplicables temporalmente a los funcionarios de la comisión (DO L 56 de 4.3.1968, p. 1).
(6) Recomendación (UE) 2017/1584 de la comisión, de 13 de septiembre de 2017, sobre la respuesta coordinada a los incidentes y crisis de ciberseguridad a gran escala (DO L 239 de 19.9.2017, p. 36).
(7) Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión y a la libre circulación de estos datos y por el que se deroga el Reglamento (CE) n.o 45/2001 y la Decisión 1247/2002/CE (DO L 295 de 21.11.2018, p. 39).
(8) DO C 258 de 5.7.2022, p. 10.
(9) Reglamento (UE, Euratom) 2018/1046 del Parlamento Europeo y del Consejo, de 18 de julio de 2018, sobre las normas financieras aplicables al presupuesto general de la Unión, por el que se modifican los Reglamentos (UE) n.o 1296/2013, (UE) n.o 1301/2013, (UE) n.o 1303/2013, (UE) n.o 1304/2013, (UE) n.o 1309/2013, (UE) n.o 1316/2013, (UE) n.o 223/2014 y (UE) n.o 283/2014 y la Decisión n.o 541/2014/UE y por el que se deroga el Reglamento (UE, Euratom) n.o 966/2012 (DO L 193 de 30.7.2018, p. 1).
(10) Reglamento (CE) n.o 1049/2001 del Parlamento Europeo y del Consejo, de 30 de mayo de 2001, relativo al acceso del público a los documentos del Parlamento Europeo, del Consejo y de la comisión (DO L 145 de 31.5.2001, p. 43).
ELI: http://data.europa.eu/eli/reg/2023/2841/oj
ISSN 1977-0685 (electronic edition)