keyboard_tab Cyber Resilience Act 2023/2841 ES
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Art. 13
- 1 Art. 21 Obligaciones de notificación
- 2 Art. 23 Gestión de incidentes graves
CAPITULO I
DISPOSICIONES GENERALES
CAPITULO II
MEDIDAS DESTINADAS A GARANTIZAR UN ELEVADO NIVEL COMUN DE CIBERSEGURIDAD
CAPITULO III
CONSEJO INTERINSTITUCIONAL DE CIBERSEGURIDAD
CAPITULO IV
CERT-EU
CAPITULO V
OBLIGACIONES DE COOPERACION E INFORMACION
CAPITULO VI
DISPOSICIONES FINALES
- entidades de la Unión
- sistemas de redes y de información
- seguridad de los sistemas de redes y de información
- ciberseguridad
- más alto nivel de dirección
- cuasiincidente
- incidente
- incidente grave
- incidente de ciberseguridad a gran escala
- gestión de incidentes
- ciberamenaza
- ciberamenaza significativa
- vulnerabilidad
- riesgo de ciberseguridad
- servicio de computación en nube
- entidades_de_la_unión 29
- incidentes 26
- información 21
- incidente 18
- sobre 16
- artículo 15
- unión 12
- graves 12
- apartado 12
- el cert-eu 11
- ciberseguridad 11
- gestión 10
- entre 10
- servicios 10
- para 10
- significativo 10
- cuando 9
- informe 9
- el cert-eu 9
- cooperación 8
- proceda 8
- podrá 8
- virtud 8
- de tic 8
- repercusiones 8
- refiere 8
- entidad 7
- presente 7
- cualquier 6
- entorno 6
- ue / 6
- el ciic 6
- caso 6
- respuesta 6
- del cert-eu 6
- haya 6
- medidas 5
- apoyo 5
- pertinentes 5
- la enisa 5
- plazo 5
- las 5
- demora 5
- indebida 5
- asistencia 5
- técnicos 5
- intercambio 5
- ciberamenazas 5
- del ciic 4
- sistemas_de_redes_y_de_información 4
Artículo 13
1. La misión del CERT-EU será contribuir al refuerzo de la seguridad del entorno de TIC no clasificado de las entidades_de_la_Unión ofreciéndoles asesoramiento sobre ciberseguridad, prestándoles ayuda para prevenir, detectar, gestionar, mitigar y responder a incidentes, y recuperarse de ellos, y actuando como centro de coordinación para el intercambio de información sobre ciberseguridad y la respuesta a incidentes.
2. El CERT-EU recopilará, gestionará, analizará y compartirá con las entidades_de_la_Unión información sobre las ciberamenazas, las vulnerabilidades y los incidentes relacionados con infraestructuras de TIC no clasificadas. Coordinará las respuestas a los incidentes a escala interinstitucional y de las entidades_de_la_Unión, entre otros medios prestando asistencia operativa especializada o coordinando la prestación de dicha asistencia.
3. El CERT-EU desempeñará las funciones siguientes para asistir a las entidades_de_la_Unión:
| a) | les prestará apoyo en la aplicación del presente Reglamento y contribuirá a la coordinación de su aplicación a través de las medidas enumeradas en el artículo 14, apartado 1, o de informes ad hoc solicitados por el CIIC; |
| b) | ofrecerá servicios ordinarios de CSIRT a las entidades_de_la_Unión a través de un paquete de servicios de ciberseguridad descritos en su catálogo de servicios (servicios básicos); |
| c) | mantendrá una red de homólogos y socios en apoyo de los servicios de acuerdo con lo dispuesto en los artículos 17 y 18; |
| d) | pondrá en conocimiento del CIIC todo problema relacionado con la aplicación del presente Reglamento y de las directrices, las recomendaciones y los llamamientos a la acción; |
| e) | sobre la base de la información a que se refiere el apartado 2, contribuirá al conocimiento situacional de la Unión en el ámbito cibernético en estrecha cooperación con la ENISA; |
| f) | coordinará la gestión de incidentes graves; |
| g) | ejercerá, respecto de las entidades_de_la_Unión, la función equivalente a la de coordinador designado a efectos de la divulgación coordinada de las vulnerabilidades según lo dispuesto en el artículo 12, apartado 1, de la Directiva (UE) 2022/2555; |
| h) | proporcionará, a petición de una entidad de la Unión, una exploración proactiva y no intrusiva de los sistemas_de_redes_y_de_información de acceso público de dicha entidad de la Unión. |
La información a que se refiere el párrafo primero, letra e), se compartirá con el CIIC, la red de CSIRT y el Centro de Inteligencia y de Situación de la Unión Europea (EU INTCEN, por sus siglas en inglés), cuando proceda y resulte adecuado, y en función de las condiciones de confidencialidad adecuadas.
4. El CERT-EU podrá, de conformidad con los artículos 17 o 18, según proceda, cooperar con las comunidades de ciberseguridad pertinentes dentro de la Unión y sus Estados miembros, entre otros, en los ámbitos siguientes:
| a) | preparación, coordinación de incidentes, intercambio de información y respuesta a las crisis, en el plano técnico, en asuntos que afecten a las entidades_de_la_Unión; |
| b) | cooperación operativa en relación con la red de CSIRT, también en lo referente a la asistencia mutua; |
| c) | inteligencia sobre ciberamenazas, también en lo referente a la conciencia situacional; |
| d) | cualquier aspecto que requiera los conocimientos técnicos sobre ciberseguridad del CERT-EU. |
5. Dentro de sus competencias, el CERT-EU entablará una cooperación estructurada con la ENISA en relación con el desarrollo de capacidades, la cooperación operativa y los análisis estratégicos a largo plazo de las ciberamenazas, de conformidad con el Reglamento (UE) 2019/881. El CERT-EU podrá cooperar e intercambiar información con el Centro Europeo de Ciberdelincuencia de Europol.
6. El CERT-EU podrá prestar los servicios no descritos en su catálogo de servicios (en lo sucesivo, «servicios facturables») que se indican a continuación:
| a) | servicios de apoyo a la ciberseguridad del entorno de TIC de las entidades_de_la_Unión distintos de los referidos en el apartado 3, sobre la base de acuerdos de nivel de servicio y en función de los recursos disponibles, en particular el seguimiento de las redes de amplio espectro, incluido el seguimiento de primera línea, veinticuatro horas al día y siete días a la semana, de las ciberamenazas muy graves; |
| b) | servicios de apoyo a las operaciones o los proyectos de ciberseguridad de las entidades_de_la_Unión distintos de los destinados a proteger sus entornos de TIC, sobre la base de acuerdos escritos y con la aprobación previa del CIIC; |
| c) | previa solicitud, una exploración proactiva de los sistemas_de_redes_y_de_información de la entidad de la Unión de que se trate para detectar vulnerabilidades con posibles repercusiones significativas; |
| d) | servicios de apoyo a la seguridad del entorno de TIC de organizaciones distintas de las entidades_de_la_Unión que cooperen estrechamente con estas, por ejemplo, mediante el desempeño de funciones o responsabilidades encomendadas con arreglo al Derecho de la Unión, en virtud de acuerdos escritos y con la aprobación previa del CIIC. |
Por lo que respecta al párrafo primero, letra d), el CERT-EU podrá celebrar, con carácter excepcional, acuerdos de nivel de servicio con entidades distintas de las entidades_de_la_Unión, previa aprobación del CIIC.
7. El CERT-EU organizará ejercicios de ciberseguridad y podrá participar en ellos o recomendar la participación en ejercicios en curso, cuando proceda en estrecha cooperación con la ENISA, con objeto de someter a prueba el nivel de ciberseguridad de las entidades_de_la_Unión.
8. El CERT-EU podrá prestar asistencia a las entidades_de_la_Unión en relación con incidentes en sistemas_de_redes_y_de_información que manejen ICUE cuando lo soliciten expresamente las entidades_de_la_Unión afectadas, de conformidad con sus respectivos procedimientos. La prestación de asistencia por parte del CERT-EU con arreglo al presente apartado se entenderá sin perjuicio de la normativa aplicable relativa a la protección de la información clasificada.
9. El CERT-EU informará a las entidades_de_la_Unión sobre sus procedimientos y procesos de gestión de incidentes.
10. El CERT-EU proporcionará, con un alto grado de confidencialidad y fiabilidad, a través de los mecanismos de cooperación y canales de información adecuados, información pertinente y anonimizada sobre incidentes graves y la forma en que se gestionaron. Dicha información se incluirá en el informe a que se refiere el artículo 10, apartado 14.
11. En cooperación con el SEPD, el CERT-EU apoyará a las entidades_de_la_Unión de que se trate cuando hagan frente a incidentes que den lugar a violaciones de la seguridad de los datos personales, sin perjuicio de las competencias y funciones del SEPD como autoridad de control en virtud del Reglamento (UE) 2018/1725.
12. El CERT-EU, a petición expresa de los departamentos temáticos de las entidades_de_la_Unión, podrá facilitar asesoramiento o información técnicos sobre cuestiones políticas pertinentes.
Artículo 21
Obligaciones de notificación
1. Un incidente se considerará significativo si:
| a) | ha causado o puede causar graves perturbaciones operativas o pérdidas económicas para la entidad de la Unión afectada; |
| b) | ha afectado o puede afectar a otras personas físicas o jurídicas al causar perjuicios materiales o inmateriales considerables. |
2. Las entidades_de_la_Unión presentarán al CERT-EU:
| a) | sin demora indebida, y en cualquier caso en el plazo de veinticuatro horas desde que se haya tenido constancia del incidente significativo, una alerta temprana en la que se indicará, cuando proceda, si cabe sospechar que el incidente significativo responde a una acción ilícita o malintencionada o puede tener repercusiones entre entidades o repercusiones transfronterizas; |
| b) | sin demora indebida, y en cualquier caso en el plazo de setenta y dos horas desde que se haya tenido constancia del incidente significativo, una notificación del incidente en la que se actualizará, cuando proceda, la información a que se refiere la letra a) y se expondrá una evaluación inicial del incidente significativo, incluyendo su gravedad e impacto, así como indicadores de compromiso, cuando estén disponibles; |
| c) | a petición del CERT-EU, un informe intermedio con las actualizaciones pertinentes sobre la situación; |
| d) | un informe final, a más tardar un mes después de presentar la notificación del incidente a que se refiere la letra b), en el que se recojan, entre otros, los siguientes elementos:
|
| e) | en el caso de que el incidente esté ocurriendo en el mismo momento de la presentación del informe final mencionado en la letra d), un informe de la situación en ese momento y un informe final en el plazo de un mes a partir de que se haya gestionado el incidente. |
3. Las entidades_de_la_Unión informarán, sin demora indebida, y en cualquier caso en el plazo de veinticuatro horas desde la constatación de un incidente significativo, a los homólogos pertinentes a los que se refiere el artículo 17, apartado 1, del Estado miembro en el que estén ubicadas, de que se ha producido un incidente significativo.
4. Las entidades_de_la_Unión notificarán, entre otras cosas, cualquier información que permita al CERT-EU determinar las repercusiones entre entidades, las repercusiones en el Estado miembro de acogida o las repercusiones transfronterizas después de un incidente significativo. Sin perjuicio de lo dispuesto en el artículo 12, el mero acto de notificar no incrementará la responsabilidad de la entidad de la Unión.
5. Cuando proceda, las entidades_de_la_Unión comunicarán, sin demora indebida, a los usuarios de los sistemas_de_redes_y_de_información afectados o de otros componentes del entorno de TIC que puedan verse afectados por un incidente significativo o una ciberamenaza significativa y que, en su caso, deban adoptar medidas paliativas, las medidas o soluciones que pueden adoptar en respuesta al incidente o la amenaza. Cuando proceda, las entidades_de_la_Unión informarán de la propia ciberamenaza significativa a dichos usuarios.
6. Cuando un incidente significativo o una ciberamenaza significativa afecte a un sistema de redes y de información o a un componente del entorno de TIC de una entidad de la Unión de la que se tenga conocimiento que está conectada con el entorno de TIC de otra entidad de la Unión, el CERT-EU emitirá la correspondiente alerta de ciberseguridad.
7. A petición del CERT-EU, las entidades_de_la_Unión le proporcionarán, sin demora indebida, la información digital generada por el uso de dispositivos electrónicos implicados en sus respectivos incidentes. El CERT-EU podrá proporcionar más detalles sobre el tipo de información que necesita a efectos del conocimiento situacional y la respuesta a incidentes.
8. El CERT-EU presentará al CIIC, a la ENISA, al EU INTCEN y a la red de CSIRT, cada tres meses, un informe de síntesis que contendrá datos anonimizados y agregados sobre los incidentes significativos, los incidentes, las ciberamenazas, los cuasi incidentes y las vulnerabilidades en virtud del artículo 20 y los incidentes significativos notificados en virtud del apartado 2 del presente artículo. El informe de síntesis se incorporará al informe bienal sobre la situación de la ciberseguridad en la Unión, adoptado en virtud del artículo 18 de la Directiva (UE) 2022/2555.
9. A más tardar el 8 de julio de 2024, el CIIC emitirá directrices o recomendaciones que especifiquen con mayor detalle los mecanismos, el formato y el contenido de las notificaciones previstas en el presente artículo. Al preparar dichas directrices o recomendaciones, el CIIC tendrá en cuenta cualquier acto de ejecución adoptado en virtud del artículo 23, apartado 11, de la Directiva (UE) 2022/2555 en el que se especifique el tipo de información, el formato y el procedimiento de las notificaciones. El CERT-EU difundirá los detalles técnicos pertinentes a fin de facilitar la detección proactiva, la respuesta a incidentes o la adopción de medidas paliativas por parte de las entidades_de_la_Unión.
10. Las obligaciones de notificación establecidas en el presente artículo no se exigirán respecto de:
| a) | la ICUE; |
| b) | la información cuya distribución ulterior haya sido excluida mediante una marca visible, a menos que se haya autorizado expresamente su intercambio con el CERT-EU. |
Artículo 23
Gestión de incidentes graves
1. Con el fin de apoyar desde el punto de vista operativo la gestión coordinada de incidentes graves que afecten a entidades_de_la_Unión y de contribuir al intercambio periódico de información pertinente entre las entidades_de_la_Unión y con los Estados miembros, el CIIC establecerá un plan de gestión de cibercrisis, en virtud del artículo 11, letra q), basado en las actividades a que se refiere el artículo 22, apartado 2, en estrecha cooperación con el CERT-EU y con la ENISA. El plan de gestión de cibercrisis incluirá al menos los elementos siguientes:
| a) | los mecanismos para la coordinación y el flujo de información entre las entidades_de_la_Unión para la gestión de incidentes graves en el plano operativo; |
| b) | procedimientos operativos normalizados comunes (SOPs por sus siglas en inglés); |
| c) | una taxonomía común de la gravedad de los incidentes graves y los elementos causantes de crisis; |
| d) | ejercicios periódicos; |
| e) | los canales de comunicación seguros que han de utilizarse. |
2. Con arreglo al plan de gestión de cibercrisis establecido en virtud del apartado 1 del presente artículo y sin perjuicio de lo dispuesto en el artículo 16, apartado 2, párrafo primero, de la Directiva (UE) 2022/2555, el representante de la Comisión en el CIIC será el punto de contacto para el intercambio de información pertinente sobre incidentes graves con EU-CyCLONe.
3. El CERT-EU coordinará la gestión de los incidentes graves entre las entidades_de_la_Unión. Llevará un inventario de los conocimientos técnicos disponibles que serían necesarios para la respuesta a incidentes en caso de incidentes graves y asistirá al CIIC a coordinar los planes de gestión de cibercrisis de las entidades_de_la_Unión para los incidentes graves a que se refiere el artículo 9, apartado 2.
4. Las entidades_de_la_Unión contribuirán al inventario de conocimientos técnicos proporcionando una lista, que actualizarán anualmente, en la que figuren los expertos disponibles en sus respectivas organizaciones, junto con una descripción detallada de sus capacidades técnicas específicas.
CAPITULO VI
DISPOSICIONES FINALES
whereas