keyboard_tab Cyber Resilience Act 2023/2841 ES
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Art. 1 Objetivo
- 1 Art. 2 Ámbito de aplicación
- 1 Art. 3 Definiciones
- 2 Art. 4 Tratamiento de datos personales
- 1 Art. 5 Aplicación de medidas
- 2 Art. 6 Marco de gestión, gobernanza y control de riesgos de ciberseguridad
- 1 Art. 7 Evaluaciones de la madurez de la ciberseguridad
- 1 Art. 9 Planes de ciberseguridad
CAPITULO I
DISPOSICIONES GENERALES
CAPITULO II
MEDIDAS DESTINADAS A GARANTIZAR UN ELEVADO NIVEL COMUN DE CIBERSEGURIDAD
CAPITULO III
CONSEJO INTERINSTITUCIONAL DE CIBERSEGURIDAD
CAPITULO IV
CERT-EU
CAPITULO V
OBLIGACIONES DE COOPERACION E INFORMACION
CAPITULO VI
DISPOSICIONES FINALES
- entidades de la Unión
- sistemas de redes y de información
- seguridad de los sistemas de redes y de información
- ciberseguridad
- más alto nivel de dirección
- cuasiincidente
- incidente
- incidente grave
- incidente de ciberseguridad a gran escala
- gestión de incidentes
- ciberamenaza
- ciberamenaza significativa
- vulnerabilidad
- riesgo de ciberseguridad
- servicio de computación en nube
- ciberseguridad 61
- artículo 50
- unión 33
- reglamento 29
- entidad 28
- virtud 27
- presente 25
- para 21
- gestión 17
- marco 16
- riesgos 14
- ue / 14
- cada 12
- según 12
- punto 12
- aplicación 12
- consejo 11
- entidades_de_la_unión 11
- define 11
- medidas 10
- interinstitucional 10
- nivel 10
- directiva 10
- el 9
- creado 9
- responsable 9
- plan 8
- como 8
- madurez 8
- apartado 8
- incidentes 7
- datos 7
- el cert-eu 7
- funcionarios 6
- más_alto_nivel_de_dirección 6
- local 6
- más 6
- obligaciones 6
- funciones 6
- incidente 6
- trate 6
- así 5
- evaluaciones 5
- gobernanza 5
- tratamiento 5
- personales 5
- del cert-eu 5
- funcionamiento 4
- tras 4
- podrán 4
Artículo 1
Objetivo
El presente Reglamento establece medidas destinadas a lograr un elevado nivel común de ciberseguridad dentro de las entidades_de_la_Unión en relación con:
| a) | el establecimiento por cada entidad de la Unión de un marco interno de gestión, gobernanza y control de riesgos en materia de ciberseguridad en virtud del artículo 6; |
| b) | la gestión, la notificación y el intercambio de información en materia de riesgos de ciberseguridad; |
| c) | la organización, el funcionamiento y la actividad del Consejo Interinstitucional de Ciberseguridad creado en virtud del artículo 10, así como la organización, el funcionamiento y la actividad del Servicio de Ciberseguridad para las instituciones, los órganos y los organismos de la Unión (CERT-EU por sus siglas en inglés); |
| d) | el seguimiento de la aplicación del presente Reglamento. |
Artículo 2
Ámbito de aplicación
1. El presente Reglamento se aplica a las entidades_de_la_Unión, al Consejo Interinstitucional de Ciberseguridad creado en virtud del artículo 10 y al CERT-EU.
2. El presente Reglamento se aplica sin perjuicio de la autonomía institucional prevista en los Tratados.
3. Con la excepción del artículo 13, apartado 8, el presente Reglamento no se aplica a los sistemas_de_redes_y_de_información para el manejo de información clasificada de la UE (ICUE).
Artículo 3
Definiciones
A los efectos del presente Reglamento, se entenderá por:
| 1) | « entidades_de_la_Unión»: las instituciones, los órganos y los organismos de la Unión creados o constituidos en virtud del Tratado de la Unión Europea, el Tratado de Funcionamiento de la Unión Europea (TFUE) o el Tratado constitutivo de la Comunidad Europea de la Energía Atómica; |
| 2) | « sistemas_de_redes_y_de_información»: los sistemas_de_redes_y_de_información según se definen en el artículo 6, punto 1, de la Directiva (UE) 2022/2555; |
| 3) | «seguridad de los sistemas_de_redes_y_de_información»: la seguridad de los sistemas_de_redes_y_de_información según se define en el artículo 6, punto 2, de la Directiva (UE) 2022/2555; |
| 4) | « ciberseguridad»: la ciberseguridad según se define en el artículo 2, punto 1, del Reglamento (UE) 2019/881; |
| 5) | « más_alto_nivel_de_dirección»: el cargo directivo, el órgano de gestión o el órgano de coordinación y supervisión, al más alto nivel administrativo, responsable del funcionamiento de una entidad de la Unión, y que tenga encomendada la adopción o autorización de decisiones con arreglo a los sistemas de gobernanza de alto nivel de dicha entidad de la Unión, sin perjuicio de las responsabilidades formales de otros niveles de gestión respecto al cumplimiento y a la gestión de riesgos de ciberseguridad en sus respectivas áreas de responsabilidad; |
| 6) | « cuasi incidente»: un cuasi incidente según se define en el artículo 6, punto 5, de la Directiva (UE) 2022/2555; |
| 7) | « incidente»: un incidente según se define en el artículo 6, punto 6, de la Directiva (UE) 2022/2555; |
| 8) | « incidente grave»: un incidente que cause perturbaciones que superen la capacidad de una entidad de la Unión o del CERT-EU para responder a él o que afecte significativamente a dos entidades_de_la_Unión como mínimo; |
| 9) | « incidente de ciberseguridad a gran escala»: un incidente de ciberseguridad a gran escala según se define en el artículo 6, punto 7, de la Directiva (UE) 2022/2555; |
| 10) | «gestión de incidentes»: la gestión de incidentes según se define en el artículo 6, punto 8, de la Directiva (UE) 2022/2555; |
| 11) | « ciberamenaza»: una ciberamenaza según se define en el artículo 2, punto 8, del Reglamento (UE) 2019/881; |
| 12) | « ciberamenaza significativa»: una ciberamenaza significativa según se define en el artículo 6, punto 11, de la Directiva (UE) 2022/2555; |
| 13) | « vulnerabilidad»: una vulnerabilidad según se define en el artículo 6, punto 15, de la Directiva (UE) 2022/2555; |
| 14) | «riesgo de ciberseguridad»: un riesgo según se define en el artículo 6, punto 9, de la Directiva (UE) 2022/2555; |
| 15) | « servicio_de_computación_en_nube»: un servicio_de_computación_en_nube según se define en el artículo 6, punto 30, de la Directiva (UE) 2022/2555. |
Artículo 4
Tratamiento de datos personales
1. El tratamiento de datos personales con arreglo al presente Reglamento por parte del CERT-EU, del Consejo Interinstitucional de Ciberseguridad creado en virtud del artículo 10 y de las entidades_de_la_Unión se llevará a cabo de conformidad con el Reglamento (UE) 2018/1725.
2. Cuando desempeñen funciones o cumplan obligaciones en virtud del presente Reglamento, el CERT-EU, el Consejo Interinstitucional de Ciberseguridad creado en virtud del artículo 10 y las entidades_de_la_Unión únicamente tratarán e intercambiarán datos personales en la medida necesaria y con el único fin de desempeñar dichas funciones o cumplir dichas obligaciones.
3. El tratamiento de las categorías especiales de datos personales a que se refiere el artículo 10, apartado 1, del Reglamento (UE) 2018/1725 se considerará necesario por razón de un interés público esencial de conformidad con el artículo 10, apartado 2, letra g), de dicho Reglamento. Dichos datos solo podrán tratarse en la medida necesaria para la aplicación de las medidas de gestión de riesgos de ciberseguridad a que se refieren los artículos 6 y 8 del presente Reglamento, para la prestación de servicios por el CERT-EU en virtud del artículo 13 del presente Reglamento, para el intercambio de información específica sobre incidentes en virtud del artículo 17, apartado 3, y del artículo 18, apartado 3, del presente Reglamento, para el intercambio de información en virtud del artículo 20 del presente Reglamento, para las obligaciones de notificación del artículo 21 del presente Reglamento, para la coordinación de la respuesta a incidentes y la cooperación en caso de incidentes en virtud del artículo 22 del presente Reglamento y para la gestión de incidentes graves en virtud del artículo 23 del presente Reglamento. Las entidades_de_la_Unión y el CERT-EU, cuando actúen como responsables del tratamiento de datos, aplicarán medidas técnicas para impedir el tratamiento de categorías especiales de datos personales para otros fines y establecerán medidas adecuadas y específicas para salvaguardar los derechos fundamentales y los intereses de los interesados.
CAPITULO II
MEDIDAS DESTINADAS A GARANTIZAR UN ELEVADO NIVEL COMUN DE CIBERSEGURIDAD
Artículo 5
Aplicación de medidas
1. A más tardar el 8 de septiembre de 2024, el Consejo Interinstitucional de Ciberseguridad creado en virtud del artículo 10, previa consulta a la Agencia de la Unión Europea para la Ciberseguridad (ENISA, por sus siglas en inglés) y tras recibir orientaciones del CERT-EU, emitirá directrices para las entidades_de_la_Unión con el fin de llevar a cabo una revisión inicial de la ciberseguridad y establecer el marco interno de gestión, gobernanza y control de riesgos de ciberseguridad en virtud del artículo 6, llevar a cabo evaluaciones de madurez de la ciberseguridad en virtud del artículo 7, adoptar medidas de gestión de riesgos de ciberseguridad en virtud del artículo 8 y adoptar el plan de ciberseguridad en virtud del artículo 9.
2. Al aplicar los artículos 6 a 9, las entidades_de_la_Unión tendrán en cuenta las directrices a que se refiere el apartado 1 del presente artículo, así como las directrices y recomendaciones pertinentes adoptadas en virtud de los artículos 11 y 14.
Artículo 6
Marco de gestión, gobernanza y control de riesgos de ciberseguridad
1. A más tardar el 8 de abril de 2025, cada entidad de la Unión, tras llevar a cabo un análisis inicial de la ciberseguridad, que puede consistir en una auditoría, establecerá un marco interno de gestión, gobernanza y control de riesgos de ciberseguridad (en lo sucesivo, «marco»). El más_alto_nivel_de_dirección de la entidad de la Unión supervisará y será responsable del establecimiento del marco.
2. El marco abarcará la totalidad del entorno de TIC no clasificado de la entidad de la Unión de que se trate, incluidos cualquier entorno local de TIC, de red tecnológica operativa, activos externalizados y servicios en entornos de computación en la nube o alojados por terceros, dispositivos móviles, redes corporativas, redes profesionales no conectadas a internet y dispositivos conectados a dichos entornos (en lo sucesivo, «entorno de TIC»). El marco se basará en un planteamiento que contemple todas las amenazas.
3. El marco garantizará un elevado nivel de ciberseguridad. El marco establecerá políticas internas de ciberseguridad, incluidos objetivos y prioridades, para la seguridad de los sistemas_de_redes_y_de_información, y las funciones y responsabilidades del personal de la entidad de la Unión encargado de garantizar la aplicación efectiva del presente Reglamento. El marco incluirá asimismo mecanismos para medir la eficacia de la aplicación.
4. El marco se revisará de forma periódica, a la luz de la evolución de los riesgos de ciberseguridad, y, como mínimo, cada cuatro años. Cuando proceda y previa solicitud del Consejo Interinstitucional de Ciberseguridad creado en virtud del artículo 10, el marco de una entidad de la Unión se actualizará basándose en las orientaciones del CERT-EU relativas a los incidentes detectados o las posibles deficiencias constatadas en la aplicación del presente Reglamento.
5. El más_alto_nivel_de_dirección de cada entidad de la Unión será responsable de la aplicación del presente Reglamento y supervisará el cumplimiento de sus obligaciones relacionadas con el marco.
6. Cuando proceda, y sin perjuicio de su responsabilidad en la aplicación del presente Reglamento, el más_alto_nivel_de_dirección de cada entidad de la Unión podrá delegar obligaciones específicas en virtud del presente Reglamento en altos funcionarios en el sentido del artículo 29, apartado 2, del Estatuto de los funcionarios, u otros funcionarios de nivel equivalente, dentro de la entidad de la Unión de que se trate. Independientemente de dicha delegación, el más_alto_nivel_de_dirección podrá ser considerado responsable de las infracciones del presente Reglamento en que incurra la entidad de la Unión de que se trate.
7. Cada entidad de la Unión dispondrá de mecanismos eficaces para asegurar que un porcentaje adecuado de su presupuesto de TIC se destine a la ciberseguridad. Al fijar ese porcentaje se tendrá debidamente en cuenta el marco.
8. Cada entidad de la Unión designará a su responsable local de ciberseguridad, o a una persona con una función equivalente, que será el punto de contacto único para todos los aspectos relacionados con la ciberseguridad. El responsable local de ciberseguridad facilitará la aplicación del presente Reglamento e informará directamente al más_alto_nivel_de_dirección de manera periódica sobre el estado de la aplicación. Sin perjuicio de que el responsable local de ciberseguridad sea el punto de contacto en cada entidad de la Unión, la entidad de la Unión podrá delegar determinadas funciones del responsable local de ciberseguridad relativas a la aplicación del presente Reglamento en el CERT-EU mediante un acuerdo de nivel de servicio celebrado entre dicha entidad de la Unión y el CERT-EU, o se podrán compartir esas funciones entre varias entidades_de_la_Unión. Cuando dichas funciones se deleguen en el CERT-EU, el Consejo Interinstitucional de Ciberseguridad creado en virtud del artículo 10 decidirá si la prestación de ese servicio formará parte de los servicios básicos del CERT-EU, teniendo en cuenta los recursos humanos y financieros de la entidad de la Unión de que se trate. Cada entidad de la Unión comunicará al CERT-EU sin demora indebida quién haya sido designado responsable local de ciberseguridad y cualquier cambio posterior a este respecto.
El CERT-EU elaborará y actualizará una lista de los responsables locales de ciberseguridad designados.
9. Los altos funcionarios en el sentido del artículo 29, apartado 2, del Estatuto de los funcionarios, u otros funcionarios de nivel equivalente, de cada entidad de la Unión, así como todo el personal pertinente encargado de aplicar las medidas de gestión de riesgos de ciberseguridad y de cumplir las obligaciones establecidas en el presente Reglamento, recibirán periódicamente formación específica a fin de adquirir los conocimientos y las capacidades suficientes para comprender y evaluar las prácticas de gestión de riesgos de ciberseguridad y su repercusión en las actividades de la entidad de la Unión.
Artículo 7
Evaluaciones de la madurez de la ciberseguridad
1. A más tardar el 8 de julio de 2025, y posteriormente al menos cada dos años, cada entidad de la Unión realizará una evaluación de la madurez de ciberseguridad que englobará todos los elementos de su entorno de TIC.
2. Las evaluaciones de la madurez de la ciberseguridad se realizarán, cuando proceda, con la asistencia de un tercero especializado.
3. Las entidades_de_la_Unión con estructuras similares podrán cooperar en la realización de las evaluaciones de la madurez de la ciberseguridad de sus respectivas entidades.
4. Previa solicitud del Consejo Interinstitucional de Ciberseguridad creado en virtud del artículo 10 y con el consentimiento expreso de la entidad de la Unión de que se trate, los resultados de las evaluaciones de la madurez de la ciberseguridad podrán examinarse en el seno de dicho Consejo o en la red informal de responsables locales de ciberseguridad a fin de aprender de la experiencia adquirida y compartir buenas prácticas.
Artículo 9
Planes de ciberseguridad
1. A partir de las conclusiones extraídas de la evaluación de madurez de la ciberseguridad realizada en virtud del artículo 7 y teniendo en cuenta los activos y los riesgos determinados en el marco, así como las medidas de gestión de riesgos de ciberseguridad adoptadas en virtud del artículo 8, el más_alto_nivel_de_dirección de cada entidad de la Unión aprobará un plan de ciberseguridad sin demora indebida y, en cualquier caso, a más tardar el 8 de enero de 2026. El objetivo del plan de ciberseguridad será aumentar el nivel global de ciberseguridad de la entidad de la Unión de que se trate y contribuir así a la mejora de un elevado nivel común de ciberseguridad dentro de las entidades_de_la_Unión. El plan de ciberseguridad incluirá, como mínimo, las medidas de gestión de riesgos de ciberseguridad adoptadas en virtud del artículo 8. El plan de ciberseguridad se revisará cada dos años, o con más frecuencia de ser necesario, tras la evaluación de madurez de la ciberseguridad realizada en virtud del artículo 7 o tras cualquier revisión sustancial del marco.
2. El plan de ciberseguridad incluirá el plan de gestión de cibercrisis de la entidad de la Unión para los incidentes graves.
3. Cada entidad de la Unión presentará su plan de ciberseguridad final al Consejo Interinstitucional de Ciberseguridad creado en virtud del artículo 10.
CAPITULO III
CONSEJO INTERINSTITUCIONAL DE CIBERSEGURIDAD
whereas