keyboard_tab Cyber Resilience Act 2023/2841 ES
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Art. 7 Evaluaciones de la madurez de la ciberseguridad
- 4 Art. 17
- 1 Art. 18
- 2 Art. 20 Mecanismos de intercambio de información sobre ciberseguridad
CAPITULO I
DISPOSICIONES GENERALES
CAPITULO II
MEDIDAS DESTINADAS A GARANTIZAR UN ELEVADO NIVEL COMUN DE CIBERSEGURIDAD
CAPITULO III
CONSEJO INTERINSTITUCIONAL DE CIBERSEGURIDAD
CAPITULO IV
CERT-EU
CAPITULO V
OBLIGACIONES DE COOPERACION E INFORMACION
CAPITULO VI
DISPOSICIONES FINALES
- entidades de la Unión
- sistemas de redes y de información
- seguridad de los sistemas de redes y de información
- ciberseguridad
- más alto nivel de dirección
- cuasiincidente
- incidente
- incidente grave
- incidente de ciberseguridad a gran escala
- gestión de incidentes
- ciberamenaza
- ciberamenaza significativa
- vulnerabilidad
- riesgo de ciberseguridad
- servicio de computación en nube
- información 21
- unión 20
- entidad 18
- el cert-eu 16
- ciberseguridad 15
- incidentes 15
- artículo 13
- sobre 12
- afectada 12
- homólogos 9
- consentimiento 8
- entidades_de_la_unión 8
- podrá 7
- incidente 7
- virtud 7
- cuando 6
- ciberamenazas 6
- como 6
- para 6
- informará 6
- cooperación 6
- del cert-eu 5
- dicha 5
- el cert-eu 5
- vulnerabilidades 5
- madurez 5
- identidad 5
- otros 5
- confidencialidad 5
- solicitud 4
- evaluaciones 4
- cada 4
- cuasi 4
- estados 4
- consejo 4
- del ciic 4
- directiva 4
- entidades 4
- previa 4
- demora 4
- específica 4
- miembros 4
- proceda 4
- intercambio 4
- indebida 3
- intercambiará 3
- ue / 3
- socios 3
- las 3
- solicitará 3
Artículo 7
Evaluaciones de la madurez de la ciberseguridad
1. A más tardar el 8 de julio de 2025, y posteriormente al menos cada dos años, cada entidad de la Unión realizará una evaluación de la madurez de ciberseguridad que englobará todos los elementos de su entorno de TIC.
2. Las evaluaciones de la madurez de la ciberseguridad se realizarán, cuando proceda, con la asistencia de un tercero especializado.
3. Las entidades_de_la_Unión con estructuras similares podrán cooperar en la realización de las evaluaciones de la madurez de la ciberseguridad de sus respectivas entidades.
4. Previa solicitud del Consejo Interinstitucional de Ciberseguridad creado en virtud del artículo 10 y con el consentimiento expreso de la entidad de la Unión de que se trate, los resultados de las evaluaciones de la madurez de la ciberseguridad podrán examinarse en el seno de dicho Consejo o en la red informal de responsables locales de ciberseguridad a fin de aprender de la experiencia adquirida y compartir buenas prácticas.
Artículo 17
1. El CERT-EU cooperará e intercambiará información, sin demora indebida, con sus homólogos de los Estados miembros, en particular los CSIRT designados o establecidos en virtud del artículo 10 de la Directiva (UE) 2022/2555, o, cuando proceda, las autoridades competentes y los puntos de contacto únicos designados o establecidos en virtud del artículo 8 de dicha Directiva, en lo concerniente a incidentes, ciberamenazas, vulnerabilidades y cuasi incidentes, posibles contramedidas, así como mejores prácticas y cualesquiera cuestiones pertinentes para la mejora de la protección del entorno de TIC de las entidades_de_la_Unión, entre otros, a través de la red de CSIRT establecida en virtud del artículo 15 de la Directiva (UE) 2022/2555. El CERT-EU prestará apoyo a la Comisión en EU-CyCLONe, establecida en virtud del artículo 16 de la Directiva (UE) 2022/2555 sobre la gestión coordinada de los incidentes de ciberseguridad a gran escala y las crisis.
2. Cuando el CERT-EU tenga conocimiento de algún incidente significativo que se produzca en el territorio de un Estado miembro, lo notificará, sin demora, al homólogo pertinente de ese Estado miembro, de conformidad con el apartado 1.
3. Siempre que los datos personales estén protegidos de conformidad con el Derecho de la Unión aplicable en materia de protección de datos, el CERT-EU intercambiará, sin demora indebida, información específica pertinente sobre incidentes con sus homólogos de los Estados miembros para facilitar la detección de ciberamenazas o incidentes similares, o para contribuir al análisis de un incidente, sin la autorización de la entidad de la Unión afectada. El CERT-EU intercambiará información específica sobre incidentes en la que se revele la identidad del objetivo del incidente únicamente si concurre alguna de las condiciones siguientes:
| a) | la entidad de la Unión afectada dé su consentimiento; |
| b) | cuando la entidad de la Unión afectada no dé su consentimiento tal como dispone la letra a), pero la divulgación de la identidad de la entidad de la Unión afectada mejore la probabilidad de evitar o mitigar incidentes en otros lugares; |
| c) | la entidad de la Unión afectada ya haya hecho público que se vio afectada. |
Las decisiones de intercambiar información específica sobre incidentes que revele la identidad del objetivo del incidente en virtud del párrafo primero, letra b), serán aprobadas por el director del CERT-EU. Antes de tomar dicha decisión, el CERT-EU se pondrá en contacto por escrito con la entidad de la Unión afectada, para explicar claramente cómo la revelación de su identidad ayudaría a evitar o mitigar incidentes en otros lugares. El director del CERT-EU proporcionará la explicación y solicitará expresamente a la entidad de la Unión afectada que declare si da su consentimiento en un plazo determinado. El director del CERT-EU también informará a la entidad de la Unión afectada de que, a la luz de la explicación proporcionada, se reserva el derecho a revelar la información incluso sin consentimiento. Se informará a la entidad de la Unión afectada antes de revelar la información.
Artículo 18
1. El CERT-EU podrá cooperar con otros homólogos pertenecientes a la Unión distintos de los mencionados en el artículo 17, que deban cumplir los requisitos de la Unión en materia de ciberseguridad, incluidos los de sectores específicos de la industria, en lo tocante a herramientas y métodos tales como técnicas, tácticas, procedimientos y mejores prácticas, y en lo tocante a las ciberamenazas y las vulnerabilidades. A los efectos de la cooperación con dichos homólogos, el CERT-EU solicitará la aprobación previa del CIIC en función de cada caso. Cuando el CERT-EU establezca una cooperación con dichos homólogos, informará a los homólogos pertinentes de los Estados miembros a que se refiere el artículo 17, apartado 1, del Estado miembro en el que esté ubicado el homólogo. Cuando proceda y resulte apropiado, dicha cooperación y sus condiciones, incluidas las relativas a la ciberseguridad, la protección de datos y el manejo de la información, se establecerán en acuerdos de confidencialidad específicos, como contratos o acuerdos administrativos. Los acuerdos de confidencialidad no requerirán la aprobación previa del CIIC, pero sí se informará a su presidente. En caso de necesidad urgente e inminente de intercambiar información sobre ciberseguridad en interés de las entidades_de_la_Unión o de otra parte, el CERT-EU podrá hacerlo con una entidad cuya competencia, capacidad y experiencia específicas sean necesarios justificadamente para prestar asistencia ante tal necesidad urgente e inminente, incluso si el CERT-EU no cuenta con un acuerdo de confidencialidad con dicha entidad. En tales casos, el CERT-EU informará inmediatamente al presidente del CIIC e informará al CIIC mediante informes periódicos o reuniones.
2. El CERT-EU podrá cooperar con socios, como entidades comerciales, incluidas entidades de sectores específicos de la industria, organizaciones internacionales, entidades nacionales no pertenecientes a la Unión o expertos individuales, con el fin de recopilar información sobre ciberamenazas, cuasi incidentes, vulnerabilidades y posibles contramedidas generales y específicas. A los efectos de una cooperación más amplia con dichos socios, el CERT-EU solicitará la aprobación previa del CIIC en función de cada caso.
3. El CERT-EU podrá proporcionar, con el consentimiento de la entidad de la Unión afectada por un incidente y siempre que exista un acuerdo o contrato de confidencialidad con el homólogo o socio pertinente, información relacionada con el incidente específico a los homólogos o socios a que se refieren los apartados 1 y 2 con el único fin de contribuir a su análisis.
CAPITULO V
OBLIGACIONES DE COOPERACION E INFORMACION
Artículo 20
Mecanismos de intercambio de información sobre ciberseguridad
1. De forma voluntaria, las entidades_de_la_Unión podrán notificar y proporcionar al CERT-EU información sobre incidentes, ciberamenazas, cuasi incidentes y vulnerabilidades que les afecten. El CERT-EU velará por disponer de medios eficaces de comunicación, con un alto grado de trazabilidad, confidencialidad y fiabilidad, al objeto de facilitar el intercambio de información con las entidades_de_la_Unión. Al tratar las notificaciones, el CERT-EU podrá dar prioridad a la tramitación de notificaciones obligatorias sobre la de notificaciones voluntarias. Sin perjuicio de lo dispuesto en el artículo 12, la notificación voluntaria no dará lugar a la imposición de obligaciones adicionales a la entidad de la Unión notificante a las que no estaría sujeta de no haber presentado dicha notificación.
2. A fin de desempeñar su misión y las funciones atribuidas en virtud del artículo 13, el CERT-EU podrá solicitar a las entidades_de_la_Unión que le proporcionen información acerca de sus respectivos inventarios de sistemas de TIC, incluida información sobre ciberamenazas, cuasi incidentes, vulnerabilidades, indicadores de compromiso, alertas de ciberseguridad y recomendaciones relativas a la configuración de las herramientas de ciberseguridad para detectar incidentes. La entidad de la Unión objeto de la solicitud transmitirá sin demora indebida la información solicitada, así como toda actualización posterior de la información.
3. El CERT-EU podrá intercambiar con las entidades_de_la_Unión información específica sobre incidentes en la que se revele la identidad de la entidad de la Unión afectada por el incidente, siempre que esta dé su consentimiento. Cuando una entidad de la Unión deniegue su consentimiento, comunicará al CERT-EU los motivos que justifiquen su decisión.
4. Previa solicitud, las entidades_de_la_Unión compartirán información con el Parlamento Europeo y el Consejo sobre la finalización de los planes de ciberseguridad.
5. El CIIC o el CERT-EU, según proceda, compartirán, previa solicitud, directrices, recomendaciones y llamamientos a la acción con el Parlamento Europeo y el Consejo.
6. Las obligaciones de intercambio de información establecidas en el presente artículo no se exigirán respecto de:
| a) | la ICUE; |
| b) | la información cuya distribución ulterior haya sido excluida mediante una marca visible, a menos que se haya autorizado expresamente su intercambio con el CERT-EU. |
whereas