keyboard_tab Cyber Resilience Act 2023/2841 ES
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Art. 11 Funciones del CIIC
- 2 Art. 13
- 1 Art. 16 Aspectos financieros y de personal
CAPITULO I
DISPOSICIONES GENERALES
CAPITULO II
MEDIDAS DESTINADAS A GARANTIZAR UN ELEVADO NIVEL COMUN DE CIBERSEGURIDAD
CAPITULO III
CONSEJO INTERINSTITUCIONAL DE CIBERSEGURIDAD
CAPITULO IV
CERT-EU
CAPITULO V
OBLIGACIONES DE COOPERACION E INFORMACION
CAPITULO VI
DISPOSICIONES FINALES
- entidades de la Unión
- sistemas de redes y de información
- seguridad de los sistemas de redes y de información
- ciberseguridad
- más alto nivel de dirección
- cuasiincidente
- incidente
- incidente grave
- incidente de ciberseguridad a gran escala
- gestión de incidentes
- ciberamenaza
- ciberamenaza significativa
- vulnerabilidad
- riesgo de ciberseguridad
- servicio de computación en nube
- entidades_de_la_unión 32
- sobre 24
- del cert-eu 20
- ciberseguridad 18
- artículo 17
- servicios 17
- para 14
- información 14
- unión 12
- apartado 12
- incidentes 12
- base 10
- el cert-eu 10
- acuerdos 9
- el cert-eu 9
- cooperación 8
- presente 8
- reglamento 8
- director 8
- refiere 8
- aprobar 8
- nivel 8
- gestión 7
- podrá 7
- propuesta 7
- comisión 7
- del ciic 7
- conformidad 6
- de tic 6
- funciones 6
- entidad 6
- apoyo 6
- aplicación 6
- cuando 5
- entre 5
- asistencia 5
- seguimiento 5
- relación 5
- graves 5
- cualquier 5
- virtud 5
- ue / 5
- servicio 5
- dicha 4
- ciberamenazas 4
- al cert-eu 4
- financiero 4
- recomendaciones 4
- previa 4
- la enisa 4
Artículo 11
Funciones del CIIC
En el ejercicio de sus responsabilidades, el CIIC deberá en particular:
a) | proporcionar orientación al director del CERT-EU; |
b) | hacer un seguimiento y supervisar eficazmente la aplicación del presente Reglamento y apoyar a las entidades_de_la_Unión para reforzar su ciberseguridad, incluyendo, cuando proceda, la solicitud de informes ad hoc a las entidades_de_la_Unión y al CERT-EU; |
c) | tras un debate estratégico, adoptar una estrategia plurianual sobre el aumento del nivel de ciberseguridad de las entidades_de_la_Unión, evaluar dicha estrategia periódicamente, en cualquier caso cada cinco años, y, de ser necesario, modificar la estrategia; |
d) | establecer la metodología y los aspectos organizativos para la realización de revisiones interpares voluntarias por parte de las entidades_de_la_Unión, para aprender de las experiencias compartidas, reforzar la confianza mutua, lograr un elevado nivel común de ciberseguridad y mejorar las capacidades de ciberseguridad de las entidades_de_la_Unión, garantizando que dichas revisiones interpares sean realizadas por expertos en ciberseguridad designados por una entidad de la Unión distinta de la entidad de la Unión objeto de revisión y que la metodología se base en el artículo 19 de la Directiva (UE) 2022/2555 y, en su caso, se adapte a las entidades_de_la_Unión; |
e) | aprobar, sobre la base de una propuesta del director del CERT-EU, el programa de trabajo anual del CERT-EU y hacer un seguimiento de su ejecución; |
f) | aprobar, sobre la base de una propuesta del director del CERT-EU, el catálogo de servicios del CERT-EU y toda actualización al respecto; |
g) | aprobar, sobre la base de una propuesta del director del CERT-EU, el plan financiero anual de ingresos y gastos, incluida la dotación de personal, para las actividades del CERT-EU; |
h) | aprobar, sobre la base de una propuesta del director del CERT-EU, las disposiciones de los acuerdos de nivel de servicio; |
i) | examinar y aprobar el informe anual elaborado por el director del CERT-EU sobre las actividades y la gestión de fondos del CERT-EU; |
j) | aprobar y hacer un seguimiento de los indicadores clave de rendimiento (KPI, por sus siglas en inglés) del CERT-EU establecidos sobre la base de una propuesta de su director; |
k) | aprobar los acuerdos de cooperación, los acuerdos de nivel de servicio o los contratos celebrados entre el CERT-EU y otras entidades en virtud del artículo 18; |
l) | adoptar directrices y recomendaciones sobre la base de una propuesta del CERT-EU de conformidad con el artículo 14 y dar instrucciones al CERT-EU para que emita, retire o modifique alguna propuesta de directrices o de recomendaciones o algún llamamiento a la acción; |
m) | establecer grupos de asesoramiento técnico con tareas concretas para asistir al CIIC en su labor, aprobar su mandato y nombrar a los respectivos presidentes; |
n) | recibir y evaluar los documentos e informes presentados por las entidades_de_la_Unión con arreglo al presente Reglamento, como las evaluaciones de madurez de la ciberseguridad; |
o) | facilitar la creación de un grupo informal de responsables locales de ciberseguridad de las entidades_de_la_Unión, apoyado por la ENISA, con el objetivo de intercambiar mejores prácticas e información en relación con la aplicación del presente Reglamento; |
p) | teniendo en cuenta la información proporcionada por el CERT-EU sobre los riesgos de ciberseguridad detectados y las lecciones aprendidas, supervisar la adecuación de los mecanismos de interconexión entre los entornos de TIC de las entidades_de_la_Unión y asesorar sobre posibles mejoras; |
q) | establecer un plan de gestión de cibercrisis para apoyar, desde el punto de vista operativo, la gestión coordinada de los incidentes graves que afecten a las entidades_de_la_Unión y contribuir al intercambio periódico de información pertinente, en particular en lo que se refiere a los efectos y la gravedad de los incidentes graves y las posibles formas de reducir sus efectos; |
r) | coordinar la adopción de los planes de gestión de cibercrisis de las distintas entidades_de_la_Unión, a que se refiere el artículo 9, apartado 2; |
s) | adoptar recomendaciones en relación con la seguridad de la cadena de suministro a que se refiere el artículo 8, apartado 2, párrafo primero, letra m), teniendo en cuenta los resultados de las evaluaciones de riesgo coordinadas a escala de la Unión sobre las cadenas de suministro críticas a las que se refiere el artículo 22 de la Directiva (UE) 2022/2555 para apoyar a las entidades_de_la_Unión en la adopción de medidas de gestión de riesgos de ciberseguridad eficaces y proporcionadas. |
Artículo 13
1. La misión del CERT-EU será contribuir al refuerzo de la seguridad del entorno de TIC no clasificado de las entidades_de_la_Unión ofreciéndoles asesoramiento sobre ciberseguridad, prestándoles ayuda para prevenir, detectar, gestionar, mitigar y responder a incidentes, y recuperarse de ellos, y actuando como centro de coordinación para el intercambio de información sobre ciberseguridad y la respuesta a incidentes.
2. El CERT-EU recopilará, gestionará, analizará y compartirá con las entidades_de_la_Unión información sobre las ciberamenazas, las vulnerabilidades y los incidentes relacionados con infraestructuras de TIC no clasificadas. Coordinará las respuestas a los incidentes a escala interinstitucional y de las entidades_de_la_Unión, entre otros medios prestando asistencia operativa especializada o coordinando la prestación de dicha asistencia.
3. El CERT-EU desempeñará las funciones siguientes para asistir a las entidades_de_la_Unión:
a) | les prestará apoyo en la aplicación del presente Reglamento y contribuirá a la coordinación de su aplicación a través de las medidas enumeradas en el artículo 14, apartado 1, o de informes ad hoc solicitados por el CIIC; |
b) | ofrecerá servicios ordinarios de CSIRT a las entidades_de_la_Unión a través de un paquete de servicios de ciberseguridad descritos en su catálogo de servicios (servicios básicos); |
c) | mantendrá una red de homólogos y socios en apoyo de los servicios de acuerdo con lo dispuesto en los artículos 17 y 18; |
d) | pondrá en conocimiento del CIIC todo problema relacionado con la aplicación del presente Reglamento y de las directrices, las recomendaciones y los llamamientos a la acción; |
e) | sobre la base de la información a que se refiere el apartado 2, contribuirá al conocimiento situacional de la Unión en el ámbito cibernético en estrecha cooperación con la ENISA; |
f) | coordinará la gestión de incidentes graves; |
g) | ejercerá, respecto de las entidades_de_la_Unión, la función equivalente a la de coordinador designado a efectos de la divulgación coordinada de las vulnerabilidades según lo dispuesto en el artículo 12, apartado 1, de la Directiva (UE) 2022/2555; |
h) | proporcionará, a petición de una entidad de la Unión, una exploración proactiva y no intrusiva de los sistemas_de_redes_y_de_información de acceso público de dicha entidad de la Unión. |
La información a que se refiere el párrafo primero, letra e), se compartirá con el CIIC, la red de CSIRT y el Centro de Inteligencia y de Situación de la Unión Europea (EU INTCEN, por sus siglas en inglés), cuando proceda y resulte adecuado, y en función de las condiciones de confidencialidad adecuadas.
4. El CERT-EU podrá, de conformidad con los artículos 17 o 18, según proceda, cooperar con las comunidades de ciberseguridad pertinentes dentro de la Unión y sus Estados miembros, entre otros, en los ámbitos siguientes:
a) | preparación, coordinación de incidentes, intercambio de información y respuesta a las crisis, en el plano técnico, en asuntos que afecten a las entidades_de_la_Unión; |
b) | cooperación operativa en relación con la red de CSIRT, también en lo referente a la asistencia mutua; |
c) | inteligencia sobre ciberamenazas, también en lo referente a la conciencia situacional; |
d) | cualquier aspecto que requiera los conocimientos técnicos sobre ciberseguridad del CERT-EU. |
5. Dentro de sus competencias, el CERT-EU entablará una cooperación estructurada con la ENISA en relación con el desarrollo de capacidades, la cooperación operativa y los análisis estratégicos a largo plazo de las ciberamenazas, de conformidad con el Reglamento (UE) 2019/881. El CERT-EU podrá cooperar e intercambiar información con el Centro Europeo de Ciberdelincuencia de Europol.
6. El CERT-EU podrá prestar los servicios no descritos en su catálogo de servicios (en lo sucesivo, «servicios facturables») que se indican a continuación:
a) | servicios de apoyo a la ciberseguridad del entorno de TIC de las entidades_de_la_Unión distintos de los referidos en el apartado 3, sobre la base de acuerdos de nivel de servicio y en función de los recursos disponibles, en particular el seguimiento de las redes de amplio espectro, incluido el seguimiento de primera línea, veinticuatro horas al día y siete días a la semana, de las ciberamenazas muy graves; |
b) | servicios de apoyo a las operaciones o los proyectos de ciberseguridad de las entidades_de_la_Unión distintos de los destinados a proteger sus entornos de TIC, sobre la base de acuerdos escritos y con la aprobación previa del CIIC; |
c) | previa solicitud, una exploración proactiva de los sistemas_de_redes_y_de_información de la entidad de la Unión de que se trate para detectar vulnerabilidades con posibles repercusiones significativas; |
d) | servicios de apoyo a la seguridad del entorno de TIC de organizaciones distintas de las entidades_de_la_Unión que cooperen estrechamente con estas, por ejemplo, mediante el desempeño de funciones o responsabilidades encomendadas con arreglo al Derecho de la Unión, en virtud de acuerdos escritos y con la aprobación previa del CIIC. |
Por lo que respecta al párrafo primero, letra d), el CERT-EU podrá celebrar, con carácter excepcional, acuerdos de nivel de servicio con entidades distintas de las entidades_de_la_Unión, previa aprobación del CIIC.
7. El CERT-EU organizará ejercicios de ciberseguridad y podrá participar en ellos o recomendar la participación en ejercicios en curso, cuando proceda en estrecha cooperación con la ENISA, con objeto de someter a prueba el nivel de ciberseguridad de las entidades_de_la_Unión.
8. El CERT-EU podrá prestar asistencia a las entidades_de_la_Unión en relación con incidentes en sistemas_de_redes_y_de_información que manejen ICUE cuando lo soliciten expresamente las entidades_de_la_Unión afectadas, de conformidad con sus respectivos procedimientos. La prestación de asistencia por parte del CERT-EU con arreglo al presente apartado se entenderá sin perjuicio de la normativa aplicable relativa a la protección de la información clasificada.
9. El CERT-EU informará a las entidades_de_la_Unión sobre sus procedimientos y procesos de gestión de incidentes.
10. El CERT-EU proporcionará, con un alto grado de confidencialidad y fiabilidad, a través de los mecanismos de cooperación y canales de información adecuados, información pertinente y anonimizada sobre incidentes graves y la forma en que se gestionaron. Dicha información se incluirá en el informe a que se refiere el artículo 10, apartado 14.
11. En cooperación con el SEPD, el CERT-EU apoyará a las entidades_de_la_Unión de que se trate cuando hagan frente a incidentes que den lugar a violaciones de la seguridad de los datos personales, sin perjuicio de las competencias y funciones del SEPD como autoridad de control en virtud del Reglamento (UE) 2018/1725.
12. El CERT-EU, a petición expresa de los departamentos temáticos de las entidades_de_la_Unión, podrá facilitar asesoramiento o información técnicos sobre cuestiones políticas pertinentes.
Artículo 16
Aspectos financieros y de personal
1. El CERT-EU se integrará en la estructura administrativa de alguna dirección general de la Comisión con el fin de beneficiarse de las estructuras de apoyo administrativo, financiero y contable de la Comisión, manteniendo al mismo tiempo su condición de proveedor de servicios interinstitucional autónomo para todas las entidades_de_la_Unión. La Comisión informará al CIIC sobre la sede administrativa del CERT-EU y sobre cualquier modificación al respecto. La Comisión revisará los acuerdos administrativos relacionados con el CERT-EU de forma periódica y, en cualquier caso, antes del establecimiento de cualquier marco financiero plurianual en virtud del artículo 312 del TFUE, a fin de permitir la adopción de las medidas adecuadas. La revisión incluirá la posibilidad de constituir el CERT-EU en organismo de la Unión.
2. En la aplicación de los procedimientos administrativos y financieros, el director del CERT-EU actuará bajo la autoridad de la Comisión y bajo la supervisión del CIIC.
3. Las funciones y actividades del CERT-EU, incluidos los servicios que preste en virtud del artículo 13, apartados 3, 4, 5 y 7, y el artículo 14, apartado 1, a las entidades_de_la_Unión financiados con cargo a la rúbrica del marco financiero plurianual dedicada a la administración pública europea, se financiarán mediante una línea presupuestaria específica del presupuesto de la Comisión. Los puestos reservados al CERT-EU se detallarán en una nota a pie de página de la plantilla de personal de la Comisión.
4. Las entidades_de_la_Unión distintas de las mencionadas en el apartado 3 del presente artículo efectuarán una contribución financiera anual al CERT-EU para cubrir los servicios prestados por este de conformidad con dicho apartado. Las contribuciones se basarán en orientaciones del CIIC y serán pactadas entre cada entidad de la Unión y el CERT-EU en acuerdos de nivel de servicio. Las contribuciones representarán una parte equitativa y proporcional del coste total de los servicios prestados. Se consignarán en la línea presupuestaria específica a que se refiere el apartado 3 del presente artículo como ingresos afectados internos, de conformidad con lo previsto en el artículo 21, apartado 3, letra c), del Reglamento (UE, Euratom) 2018/1046.
5. Los costes de los servicios previstos en el artículo 13, apartado 6, se recuperarán de las entidades_de_la_Unión que reciban los servicios del CERT-EU. Los ingresos se asignarán a las líneas presupuestarias con las que se cubran los costes.
whereas