keyboard_tab Cyber Resilience Act 2023/2841 ES
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Art. 1 Objetivo
- 1 Art. 5 Aplicación de medidas
- 2 Art. 6 Marco de gestión, gobernanza y control de riesgos de ciberseguridad
- 1 Art. 8 Medidas de gestión de riesgos de ciberseguridad
- 1 Art. 13
- 1 Art. 15
CAPITULO I
DISPOSICIONES GENERALES
CAPITULO II
MEDIDAS DESTINADAS A GARANTIZAR UN ELEVADO NIVEL COMUN DE CIBERSEGURIDAD
CAPITULO III
CONSEJO INTERINSTITUCIONAL DE CIBERSEGURIDAD
CAPITULO IV
CERT-EU
CAPITULO V
OBLIGACIONES DE COOPERACION E INFORMACION
CAPITULO VI
DISPOSICIONES FINALES
- entidades de la Unión
- sistemas de redes y de información
- seguridad de los sistemas de redes y de información
- ciberseguridad
- más alto nivel de dirección
- cuasiincidente
- incidente
- incidente grave
- incidente de ciberseguridad a gran escala
- gestión de incidentes
- ciberamenaza
- ciberamenaza significativa
- vulnerabilidad
- riesgo de ciberseguridad
- servicio de computación en nube
- ciberseguridad 57
- unión 33
- entidad 28
- para 24
- entidades_de_la_unión 24
- artículo 24
- del cert-eu 23
- servicios 21
- gestión 20
- riesgos 18
- incidentes 17
- reglamento 17
- presente 17
- aplicación 17
- sobre 16
- medidas 15
- marco 15
- información 14
- seguridad 14
- virtud 13
- cada 12
- de tic 12
- nivel 12
- podrá 11
- como 11
- apartado 10
- cooperación 9
- funciones 9
- el cert-eu 9
- director 9
- cuando 9
- responsable 9
- el cert-eu 9
- cuenta 8
- el 8
- incluidos 8
- acuerdos 7
- más_alto_nivel_de_dirección 7
- vulnerabilidades 7
- del ciic 7
- ciberamenazas 7
- servicio 7
- control 6
- entre 6
- catálogo 6
- asistencia 6
- previa 6
- sistemas_de_redes_y_de_información 6
- local 6
- entorno 6
Artículo 1
Objetivo
El presente Reglamento establece medidas destinadas a lograr un elevado nivel común de ciberseguridad dentro de las entidades_de_la_Unión en relación con:
| a) | el establecimiento por cada entidad de la Unión de un marco interno de gestión, gobernanza y control de riesgos en materia de ciberseguridad en virtud del artículo 6; |
| b) | la gestión, la notificación y el intercambio de información en materia de riesgos de ciberseguridad; |
| c) | la organización, el funcionamiento y la actividad del Consejo Interinstitucional de Ciberseguridad creado en virtud del artículo 10, así como la organización, el funcionamiento y la actividad del Servicio de Ciberseguridad para las instituciones, los órganos y los organismos de la Unión (CERT-EU por sus siglas en inglés); |
| d) | el seguimiento de la aplicación del presente Reglamento. |
Artículo 5
Aplicación de medidas
1. A más tardar el 8 de septiembre de 2024, el Consejo Interinstitucional de Ciberseguridad creado en virtud del artículo 10, previa consulta a la Agencia de la Unión Europea para la Ciberseguridad (ENISA, por sus siglas en inglés) y tras recibir orientaciones del CERT-EU, emitirá directrices para las entidades_de_la_Unión con el fin de llevar a cabo una revisión inicial de la ciberseguridad y establecer el marco interno de gestión, gobernanza y control de riesgos de ciberseguridad en virtud del artículo 6, llevar a cabo evaluaciones de madurez de la ciberseguridad en virtud del artículo 7, adoptar medidas de gestión de riesgos de ciberseguridad en virtud del artículo 8 y adoptar el plan de ciberseguridad en virtud del artículo 9.
2. Al aplicar los artículos 6 a 9, las entidades_de_la_Unión tendrán en cuenta las directrices a que se refiere el apartado 1 del presente artículo, así como las directrices y recomendaciones pertinentes adoptadas en virtud de los artículos 11 y 14.
Artículo 6
Marco de gestión, gobernanza y control de riesgos de ciberseguridad
1. A más tardar el 8 de abril de 2025, cada entidad de la Unión, tras llevar a cabo un análisis inicial de la ciberseguridad, que puede consistir en una auditoría, establecerá un marco interno de gestión, gobernanza y control de riesgos de ciberseguridad (en lo sucesivo, «marco»). El más_alto_nivel_de_dirección de la entidad de la Unión supervisará y será responsable del establecimiento del marco.
2. El marco abarcará la totalidad del entorno de TIC no clasificado de la entidad de la Unión de que se trate, incluidos cualquier entorno local de TIC, de red tecnológica operativa, activos externalizados y servicios en entornos de computación en la nube o alojados por terceros, dispositivos móviles, redes corporativas, redes profesionales no conectadas a internet y dispositivos conectados a dichos entornos (en lo sucesivo, «entorno de TIC»). El marco se basará en un planteamiento que contemple todas las amenazas.
3. El marco garantizará un elevado nivel de ciberseguridad. El marco establecerá políticas internas de ciberseguridad, incluidos objetivos y prioridades, para la seguridad de los sistemas_de_redes_y_de_información, y las funciones y responsabilidades del personal de la entidad de la Unión encargado de garantizar la aplicación efectiva del presente Reglamento. El marco incluirá asimismo mecanismos para medir la eficacia de la aplicación.
4. El marco se revisará de forma periódica, a la luz de la evolución de los riesgos de ciberseguridad, y, como mínimo, cada cuatro años. Cuando proceda y previa solicitud del Consejo Interinstitucional de Ciberseguridad creado en virtud del artículo 10, el marco de una entidad de la Unión se actualizará basándose en las orientaciones del CERT-EU relativas a los incidentes detectados o las posibles deficiencias constatadas en la aplicación del presente Reglamento.
5. El más_alto_nivel_de_dirección de cada entidad de la Unión será responsable de la aplicación del presente Reglamento y supervisará el cumplimiento de sus obligaciones relacionadas con el marco.
6. Cuando proceda, y sin perjuicio de su responsabilidad en la aplicación del presente Reglamento, el más_alto_nivel_de_dirección de cada entidad de la Unión podrá delegar obligaciones específicas en virtud del presente Reglamento en altos funcionarios en el sentido del artículo 29, apartado 2, del Estatuto de los funcionarios, u otros funcionarios de nivel equivalente, dentro de la entidad de la Unión de que se trate. Independientemente de dicha delegación, el más_alto_nivel_de_dirección podrá ser considerado responsable de las infracciones del presente Reglamento en que incurra la entidad de la Unión de que se trate.
7. Cada entidad de la Unión dispondrá de mecanismos eficaces para asegurar que un porcentaje adecuado de su presupuesto de TIC se destine a la ciberseguridad. Al fijar ese porcentaje se tendrá debidamente en cuenta el marco.
8. Cada entidad de la Unión designará a su responsable local de ciberseguridad, o a una persona con una función equivalente, que será el punto de contacto único para todos los aspectos relacionados con la ciberseguridad. El responsable local de ciberseguridad facilitará la aplicación del presente Reglamento e informará directamente al más_alto_nivel_de_dirección de manera periódica sobre el estado de la aplicación. Sin perjuicio de que el responsable local de ciberseguridad sea el punto de contacto en cada entidad de la Unión, la entidad de la Unión podrá delegar determinadas funciones del responsable local de ciberseguridad relativas a la aplicación del presente Reglamento en el CERT-EU mediante un acuerdo de nivel de servicio celebrado entre dicha entidad de la Unión y el CERT-EU, o se podrán compartir esas funciones entre varias entidades_de_la_Unión. Cuando dichas funciones se deleguen en el CERT-EU, el Consejo Interinstitucional de Ciberseguridad creado en virtud del artículo 10 decidirá si la prestación de ese servicio formará parte de los servicios básicos del CERT-EU, teniendo en cuenta los recursos humanos y financieros de la entidad de la Unión de que se trate. Cada entidad de la Unión comunicará al CERT-EU sin demora indebida quién haya sido designado responsable local de ciberseguridad y cualquier cambio posterior a este respecto.
El CERT-EU elaborará y actualizará una lista de los responsables locales de ciberseguridad designados.
9. Los altos funcionarios en el sentido del artículo 29, apartado 2, del Estatuto de los funcionarios, u otros funcionarios de nivel equivalente, de cada entidad de la Unión, así como todo el personal pertinente encargado de aplicar las medidas de gestión de riesgos de ciberseguridad y de cumplir las obligaciones establecidas en el presente Reglamento, recibirán periódicamente formación específica a fin de adquirir los conocimientos y las capacidades suficientes para comprender y evaluar las prácticas de gestión de riesgos de ciberseguridad y su repercusión en las actividades de la entidad de la Unión.
Artículo 8
Medidas de gestión de riesgos de ciberseguridad
1. Sin demora indebida y, en cualquier caso, a más tardar el 8 de septiembre de 2025, cada entidad de la Unión adoptará, bajo la supervisión de su más_alto_nivel_de_dirección, las medidas técnicas, operativas y organizativas adecuadas y proporcionadas para gestionar los riesgos de ciberseguridad identificados en el marco y prevenir o minimizar los efectos de los incidentes. Teniendo en cuenta el estado de la tecnología y, en su caso, las normas técnicas europeas e internacionales, dichas medidas garantizarán un nivel de seguridad de los sistemas_de_redes_y_de_información en todo el entorno de TIC que guarde proporción con los riesgos de ciberseguridad existentes. Al evaluar la proporcionalidad de dichas medidas, se tendrá debidamente en cuenta el grado de exposición de la entidad de la Unión a los riesgos de ciberseguridad, el tamaño de dicha entidad y la probabilidad de que se produzcan incidentes y la gravedad de estos, incluidos sus efectos sociales, económicos e interinstitucionales.
2. Las entidades_de_la_Unión abordarán al menos los siguientes aspectos en la aplicación de las medidas de gestión de riesgos de ciberseguridad:
| a) | la política de ciberseguridad, incluidas las medidas necesarias para alcanzar los objetivos y prioridades a que se refieren el artículo 6 y el apartado 3 del presente artículo; |
| b) | las políticas de análisis de riesgos de ciberseguridad y seguridad de los sistemas de información; |
| c) | los objetivos de la política de ciberseguridad relativos al uso de servicios de computación en nube; |
| d) | la auditoría de ciberseguridad, cuando proceda, que podrá incluir una evaluación de los riesgos de ciberseguridad, de la vulnerabilidad y de las ciberamenazas, y las pruebas de penetración realizadas periódicamente por un proveedor privado de confianza; |
| e) | la aplicación de las recomendaciones resultantes de las auditorías de ciberseguridad a que se refiere la letra d) por medio de actualizaciones de la ciberseguridad y de la política de ciberseguridad; |
| f) | la organización de la ciberseguridad, incluida la determinación de funciones y responsabilidades; |
| g) | la gestión de activos, incluidos un inventario de los activos de TIC y la cartografía de las redes de TIC; |
| h) | la seguridad en materia de recursos humanos y el control del acceso; |
| i) | la seguridad de las operaciones; |
| j) | la seguridad de las comunicaciones; |
| k) | la adquisición, el desarrollo y el mantenimiento de los sistemas, incluidas las políticas de gestión y divulgación de vulnerabilidades; |
| l) | cuando sea posible, las políticas de transparencia del código fuente; |
| m) | la seguridad de la cadena de suministro, incluidos los aspectos de seguridad relativos a las relaciones entre cada entidad de la Unión y sus proveedores o prestadores de servicios directos; |
| n) | la gestión de incidentes y la cooperación con el CERT-EU, como el mantenimiento de los registros y del seguimiento de seguridad; |
| o) | la gestión de la continuidad de las actividades, como la gestión de copias de seguridad y la recuperación en caso de catástrofe, y la gestión de crisis, y |
| p) | la promoción y el desarrollo de programas de educación, capacidades, concienciación, ejercicios y formación en materia de ciberseguridad. |
A efectos del párrafo primero, letra m), las entidades_de_la_Unión tendrán en cuenta las vulnerabilidades específicas de cada proveedor y prestador de servicios directo y la calidad general de los productos y de las prácticas de ciberseguridad de sus proveedores y prestadores de servicios, incluidos sus procedimientos de desarrollo seguro.
3. Las entidades_de_la_Unión adoptarán al menos las siguientes medidas concretas de gestión de riesgos de ciberseguridad:
| a) | disposiciones técnicas para permitir y mantener el teletrabajo; |
| b) | medidas concretas para avanzar hacia principios de confianza cero; |
| c) | uso de la autenticación multifactor como norma en la totalidad de los sistemas_de_redes_y_de_información; |
| d) | uso de la criptografía y el cifrado, y en particular el cifrado de extremo a extremo, así como de la firma digital segura; |
| e) | en su caso, implantación de comunicaciones de voz, vídeo y texto seguras, y de sistemas de comunicaciones de emergencia seguras dentro de la entidad de la Unión; |
| f) | medidas proactivas para la detección y retirada de programas maliciosos y programas espía; |
| g) | garantía de la seguridad de la cadena de suministro de software mediante criterios para la evaluación y desarrollo seguros de software; |
| h) | establecimiento y adopción de programas de formación sobre ciberseguridad que guarden proporción con las tareas exigidas y las capacidades previstas para el más_alto_nivel_de_dirección y para el personal de la entidad de la Unión encargado de garantizar la aplicación efectiva del presente Reglamento; |
| i) | formación periódica en materia de ciberseguridad para el personal; |
| j) | cuando sea pertinente, participación en análisis de riesgos de interconexión entre entidades_de_la_Unión; |
| k) | introducción de mejoras en las normas de contratación pública a fin de garantizar un elevado nivel común de ciberseguridad mediante:
|
Artículo 13
1. La misión del CERT-EU será contribuir al refuerzo de la seguridad del entorno de TIC no clasificado de las entidades_de_la_Unión ofreciéndoles asesoramiento sobre ciberseguridad, prestándoles ayuda para prevenir, detectar, gestionar, mitigar y responder a incidentes, y recuperarse de ellos, y actuando como centro de coordinación para el intercambio de información sobre ciberseguridad y la respuesta a incidentes.
2. El CERT-EU recopilará, gestionará, analizará y compartirá con las entidades_de_la_Unión información sobre las ciberamenazas, las vulnerabilidades y los incidentes relacionados con infraestructuras de TIC no clasificadas. Coordinará las respuestas a los incidentes a escala interinstitucional y de las entidades_de_la_Unión, entre otros medios prestando asistencia operativa especializada o coordinando la prestación de dicha asistencia.
3. El CERT-EU desempeñará las funciones siguientes para asistir a las entidades_de_la_Unión:
| a) | les prestará apoyo en la aplicación del presente Reglamento y contribuirá a la coordinación de su aplicación a través de las medidas enumeradas en el artículo 14, apartado 1, o de informes ad hoc solicitados por el CIIC; |
| b) | ofrecerá servicios ordinarios de CSIRT a las entidades_de_la_Unión a través de un paquete de servicios de ciberseguridad descritos en su catálogo de servicios (servicios básicos); |
| c) | mantendrá una red de homólogos y socios en apoyo de los servicios de acuerdo con lo dispuesto en los artículos 17 y 18; |
| d) | pondrá en conocimiento del CIIC todo problema relacionado con la aplicación del presente Reglamento y de las directrices, las recomendaciones y los llamamientos a la acción; |
| e) | sobre la base de la información a que se refiere el apartado 2, contribuirá al conocimiento situacional de la Unión en el ámbito cibernético en estrecha cooperación con la ENISA; |
| f) | coordinará la gestión de incidentes graves; |
| g) | ejercerá, respecto de las entidades_de_la_Unión, la función equivalente a la de coordinador designado a efectos de la divulgación coordinada de las vulnerabilidades según lo dispuesto en el artículo 12, apartado 1, de la Directiva (UE) 2022/2555; |
| h) | proporcionará, a petición de una entidad de la Unión, una exploración proactiva y no intrusiva de los sistemas_de_redes_y_de_información de acceso público de dicha entidad de la Unión. |
La información a que se refiere el párrafo primero, letra e), se compartirá con el CIIC, la red de CSIRT y el Centro de Inteligencia y de Situación de la Unión Europea (EU INTCEN, por sus siglas en inglés), cuando proceda y resulte adecuado, y en función de las condiciones de confidencialidad adecuadas.
4. El CERT-EU podrá, de conformidad con los artículos 17 o 18, según proceda, cooperar con las comunidades de ciberseguridad pertinentes dentro de la Unión y sus Estados miembros, entre otros, en los ámbitos siguientes:
| a) | preparación, coordinación de incidentes, intercambio de información y respuesta a las crisis, en el plano técnico, en asuntos que afecten a las entidades_de_la_Unión; |
| b) | cooperación operativa en relación con la red de CSIRT, también en lo referente a la asistencia mutua; |
| c) | inteligencia sobre ciberamenazas, también en lo referente a la conciencia situacional; |
| d) | cualquier aspecto que requiera los conocimientos técnicos sobre ciberseguridad del CERT-EU. |
5. Dentro de sus competencias, el CERT-EU entablará una cooperación estructurada con la ENISA en relación con el desarrollo de capacidades, la cooperación operativa y los análisis estratégicos a largo plazo de las ciberamenazas, de conformidad con el Reglamento (UE) 2019/881. El CERT-EU podrá cooperar e intercambiar información con el Centro Europeo de Ciberdelincuencia de Europol.
6. El CERT-EU podrá prestar los servicios no descritos en su catálogo de servicios (en lo sucesivo, «servicios facturables») que se indican a continuación:
| a) | servicios de apoyo a la ciberseguridad del entorno de TIC de las entidades_de_la_Unión distintos de los referidos en el apartado 3, sobre la base de acuerdos de nivel de servicio y en función de los recursos disponibles, en particular el seguimiento de las redes de amplio espectro, incluido el seguimiento de primera línea, veinticuatro horas al día y siete días a la semana, de las ciberamenazas muy graves; |
| b) | servicios de apoyo a las operaciones o los proyectos de ciberseguridad de las entidades_de_la_Unión distintos de los destinados a proteger sus entornos de TIC, sobre la base de acuerdos escritos y con la aprobación previa del CIIC; |
| c) | previa solicitud, una exploración proactiva de los sistemas_de_redes_y_de_información de la entidad de la Unión de que se trate para detectar vulnerabilidades con posibles repercusiones significativas; |
| d) | servicios de apoyo a la seguridad del entorno de TIC de organizaciones distintas de las entidades_de_la_Unión que cooperen estrechamente con estas, por ejemplo, mediante el desempeño de funciones o responsabilidades encomendadas con arreglo al Derecho de la Unión, en virtud de acuerdos escritos y con la aprobación previa del CIIC. |
Por lo que respecta al párrafo primero, letra d), el CERT-EU podrá celebrar, con carácter excepcional, acuerdos de nivel de servicio con entidades distintas de las entidades_de_la_Unión, previa aprobación del CIIC.
7. El CERT-EU organizará ejercicios de ciberseguridad y podrá participar en ellos o recomendar la participación en ejercicios en curso, cuando proceda en estrecha cooperación con la ENISA, con objeto de someter a prueba el nivel de ciberseguridad de las entidades_de_la_Unión.
8. El CERT-EU podrá prestar asistencia a las entidades_de_la_Unión en relación con incidentes en sistemas_de_redes_y_de_información que manejen ICUE cuando lo soliciten expresamente las entidades_de_la_Unión afectadas, de conformidad con sus respectivos procedimientos. La prestación de asistencia por parte del CERT-EU con arreglo al presente apartado se entenderá sin perjuicio de la normativa aplicable relativa a la protección de la información clasificada.
9. El CERT-EU informará a las entidades_de_la_Unión sobre sus procedimientos y procesos de gestión de incidentes.
10. El CERT-EU proporcionará, con un alto grado de confidencialidad y fiabilidad, a través de los mecanismos de cooperación y canales de información adecuados, información pertinente y anonimizada sobre incidentes graves y la forma en que se gestionaron. Dicha información se incluirá en el informe a que se refiere el artículo 10, apartado 14.
11. En cooperación con el SEPD, el CERT-EU apoyará a las entidades_de_la_Unión de que se trate cuando hagan frente a incidentes que den lugar a violaciones de la seguridad de los datos personales, sin perjuicio de las competencias y funciones del SEPD como autoridad de control en virtud del Reglamento (UE) 2018/1725.
12. El CERT-EU, a petición expresa de los departamentos temáticos de las entidades_de_la_Unión, podrá facilitar asesoramiento o información técnicos sobre cuestiones políticas pertinentes.
Artículo 15
1. La Comisión, tras obtener la aprobación por mayoría de dos tercios de los miembros del CIIC, nombrará al director del CERT-EU. Se consultará al CIIC en todas las fases del procedimiento de nombramiento, en particular por lo que respecta a la redacción de las convocatorias para la provisión de vacantes, el examen de las candidaturas y la designación de los comités de selección para el puesto. El procedimiento de selección, incluida la lista definitiva de candidatos preseleccionados a partir de la cual se nombrará al director del CERT-EU, garantizará una representación equitativa de cada género, teniendo en cuenta las candidaturas presentadas.
2. El director del CERT-EU será responsable del correcto funcionamiento del CERT-EU y actuará dentro de los límites de sus atribuciones y bajo la dirección del CIIC. El director del CERT-EU informará periódicamente al presidente del CIIC y presentará informes ad hoc al CIIC a petición de este.
3. El director del CERT-EU prestará asistencia al ordenador delegado competente en la redacción del informe anual de actividades que contenga datos financieros y de gestión, incluidos los resultados de los controles, elaborado de conformidad con el artículo 74, apartado 9, del Reglamento (UE, Euratom) 2018/1046 del Parlamento Europeo y del Consejo (9), e informará periódicamente al ordenador delegado sobre la aplicación de las medidas respecto de las cuales se le hayan subdelegado competencias al director del CERT-EU.
4. El director del CERT-EU elaborará anualmente un plan financiero de ingresos y gastos administrativos en relación con sus actividades, una propuesta de programa de trabajo anual, una propuesta de catálogo de servicios del CERT-EU, propuestas de revisión del catálogo de servicios, propuestas de disposiciones de los acuerdos de nivel de servicio y propuestas de KPI del CERT-EU que deberá aprobar el CIIC de conformidad con el artículo 11. A la hora de revisar la lista de servicios del catálogo del CERT-EU, su director tendrá en cuenta los recursos que hayan sido asignados al CERT-EU.
5. El director del CERT-EU presentará, al menos una vez al año, informes al CIIC y a su presidente sobre las actividades y el desempeño del CERT-EU durante el período de referencia, también sobre la ejecución del presupuesto, los acuerdos de nivel de servicio y los acuerdos escritos celebrados, la cooperación con homólogos y socios, y las misiones realizadas por el personal del CERT-EU, incluidos los informes a que se refiere el artículo 11. Dichos informes incluirán el programa de trabajo para el período siguiente, el plan financiero de ingresos y gastos, incluidas la dotación de personal, las actualizaciones previstas del catálogo de servicios del CERT-EU y una evaluación de las repercusiones esperadas que dichas actualizaciones puedan tener en términos de recursos financieros y humanos.
whereas