keyboard_tab Cyber Resilience Act 2023/2841 ES
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Art. 4 Tratamiento de datos personales
- 1 Art. 6 Marco de gestión, gobernanza y control de riesgos de ciberseguridad
- 1 Art. 8 Medidas de gestión de riesgos de ciberseguridad
- 1 Art. 14 Directrices, recomendaciones y llamamientos a la acción
- 2 Art. 18
- 1 Art. 22 Coordinación de la respuesta a incidentes y cooperación
- 1 Art. 23 Gestión de incidentes graves
CAPITULO I
DISPOSICIONES GENERALES
CAPITULO II
MEDIDAS DESTINADAS A GARANTIZAR UN ELEVADO NIVEL COMUN DE CIBERSEGURIDAD
CAPITULO III
CONSEJO INTERINSTITUCIONAL DE CIBERSEGURIDAD
CAPITULO IV
CERT-EU
CAPITULO V
OBLIGACIONES DE COOPERACION E INFORMACION
CAPITULO VI
DISPOSICIONES FINALES
- entidades de la Unión
- sistemas de redes y de información
- seguridad de los sistemas de redes y de información
- ciberseguridad
- más alto nivel de dirección
- cuasiincidente
- incidente
- incidente grave
- incidente de ciberseguridad a gran escala
- gestión de incidentes
- ciberamenaza
- ciberamenaza significativa
- vulnerabilidad
- riesgo de ciberseguridad
- servicio de computación en nube
- ciberseguridad 59
- unión 37
- para 37
- artículo 33
- incidentes 31
- reglamento 29
- entidad 28
- gestión 25
- entidades_de_la_unión 25
- presente 24
- medidas 20
- información 18
- sobre 18
- el cert-eu 18
- de 18
- riesgos 17
- europeo 16
- consejo 15
- no / 14
- apartado 14
- seguridad 14
- virtud 14
- marco 13
- cada 13
- cuando 13
- aplicación 13
- como 12
- cooperación 12
- respuesta 11
- caso 10
- ue / 10
- datos 10
- específicas 9
- nivel 9
- parlamento 9
- graves 9
- podrá 9
- servicios 9
- entre 9
- materia 9
- proceda 8
- responsable 8
- intercambio 8
- obligaciones 8
- incluidos 8
- vulnerabilidades 8
- funcionarios 8
- cuenta 7
- mecanismos 7
- otros 7
Artículo 4
Tratamiento de datos personales
1. El tratamiento de datos personales con arreglo al presente Reglamento por parte del CERT-EU, del Consejo Interinstitucional de Ciberseguridad creado en virtud del artículo 10 y de las entidades_de_la_Unión se llevará a cabo de conformidad con el Reglamento (UE) 2018/1725.
2. Cuando desempeñen funciones o cumplan obligaciones en virtud del presente Reglamento, el CERT-EU, el Consejo Interinstitucional de Ciberseguridad creado en virtud del artículo 10 y las entidades_de_la_Unión únicamente tratarán e intercambiarán datos personales en la medida necesaria y con el único fin de desempeñar dichas funciones o cumplir dichas obligaciones.
3. El tratamiento de las categorías especiales de datos personales a que se refiere el artículo 10, apartado 1, del Reglamento (UE) 2018/1725 se considerará necesario por razón de un interés público esencial de conformidad con el artículo 10, apartado 2, letra g), de dicho Reglamento. Dichos datos solo podrán tratarse en la medida necesaria para la aplicación de las medidas de gestión de riesgos de ciberseguridad a que se refieren los artículos 6 y 8 del presente Reglamento, para la prestación de servicios por el CERT-EU en virtud del artículo 13 del presente Reglamento, para el intercambio de información específica sobre incidentes en virtud del artículo 17, apartado 3, y del artículo 18, apartado 3, del presente Reglamento, para el intercambio de información en virtud del artículo 20 del presente Reglamento, para las obligaciones de notificación del artículo 21 del presente Reglamento, para la coordinación de la respuesta a incidentes y la cooperación en caso de incidentes en virtud del artículo 22 del presente Reglamento y para la gestión de incidentes graves en virtud del artículo 23 del presente Reglamento. Las entidades_de_la_Unión y el CERT-EU, cuando actúen como responsables del tratamiento de datos, aplicarán medidas técnicas para impedir el tratamiento de categorías especiales de datos personales para otros fines y establecerán medidas adecuadas y específicas para salvaguardar los derechos fundamentales y los intereses de los interesados.
CAPITULO II
MEDIDAS DESTINADAS A GARANTIZAR UN ELEVADO NIVEL COMUN DE CIBERSEGURIDAD
Artículo 6
Marco de gestión, gobernanza y control de riesgos de ciberseguridad
1. A más tardar el 8 de abril de 2025, cada entidad de la Unión, tras llevar a cabo un análisis inicial de la ciberseguridad, que puede consistir en una auditoría, establecerá un marco interno de gestión, gobernanza y control de riesgos de ciberseguridad (en lo sucesivo, «marco»). El más_alto_nivel_de_dirección de la entidad de la Unión supervisará y será responsable del establecimiento del marco.
2. El marco abarcará la totalidad del entorno de TIC no clasificado de la entidad de la Unión de que se trate, incluidos cualquier entorno local de TIC, de red tecnológica operativa, activos externalizados y servicios en entornos de computación en la nube o alojados por terceros, dispositivos móviles, redes corporativas, redes profesionales no conectadas a internet y dispositivos conectados a dichos entornos (en lo sucesivo, «entorno de TIC»). El marco se basará en un planteamiento que contemple todas las amenazas.
3. El marco garantizará un elevado nivel de ciberseguridad. El marco establecerá políticas internas de ciberseguridad, incluidos objetivos y prioridades, para la seguridad de los sistemas_de_redes_y_de_información, y las funciones y responsabilidades del personal de la entidad de la Unión encargado de garantizar la aplicación efectiva del presente Reglamento. El marco incluirá asimismo mecanismos para medir la eficacia de la aplicación.
4. El marco se revisará de forma periódica, a la luz de la evolución de los riesgos de ciberseguridad, y, como mínimo, cada cuatro años. Cuando proceda y previa solicitud del Consejo Interinstitucional de Ciberseguridad creado en virtud del artículo 10, el marco de una entidad de la Unión se actualizará basándose en las orientaciones del CERT-EU relativas a los incidentes detectados o las posibles deficiencias constatadas en la aplicación del presente Reglamento.
5. El más_alto_nivel_de_dirección de cada entidad de la Unión será responsable de la aplicación del presente Reglamento y supervisará el cumplimiento de sus obligaciones relacionadas con el marco.
6. Cuando proceda, y sin perjuicio de su responsabilidad en la aplicación del presente Reglamento, el más_alto_nivel_de_dirección de cada entidad de la Unión podrá delegar obligaciones específicas en virtud del presente Reglamento en altos funcionarios en el sentido del artículo 29, apartado 2, del Estatuto de los funcionarios, u otros funcionarios de nivel equivalente, dentro de la entidad de la Unión de que se trate. Independientemente de dicha delegación, el más_alto_nivel_de_dirección podrá ser considerado responsable de las infracciones del presente Reglamento en que incurra la entidad de la Unión de que se trate.
7. Cada entidad de la Unión dispondrá de mecanismos eficaces para asegurar que un porcentaje adecuado de su presupuesto de TIC se destine a la ciberseguridad. Al fijar ese porcentaje se tendrá debidamente en cuenta el marco.
8. Cada entidad de la Unión designará a su responsable local de ciberseguridad, o a una persona con una función equivalente, que será el punto de contacto único para todos los aspectos relacionados con la ciberseguridad. El responsable local de ciberseguridad facilitará la aplicación del presente Reglamento e informará directamente al más_alto_nivel_de_dirección de manera periódica sobre el estado de la aplicación. Sin perjuicio de que el responsable local de ciberseguridad sea el punto de contacto en cada entidad de la Unión, la entidad de la Unión podrá delegar determinadas funciones del responsable local de ciberseguridad relativas a la aplicación del presente Reglamento en el CERT-EU mediante un acuerdo de nivel de servicio celebrado entre dicha entidad de la Unión y el CERT-EU, o se podrán compartir esas funciones entre varias entidades_de_la_Unión. Cuando dichas funciones se deleguen en el CERT-EU, el Consejo Interinstitucional de Ciberseguridad creado en virtud del artículo 10 decidirá si la prestación de ese servicio formará parte de los servicios básicos del CERT-EU, teniendo en cuenta los recursos humanos y financieros de la entidad de la Unión de que se trate. Cada entidad de la Unión comunicará al CERT-EU sin demora indebida quién haya sido designado responsable local de ciberseguridad y cualquier cambio posterior a este respecto.
El CERT-EU elaborará y actualizará una lista de los responsables locales de ciberseguridad designados.
9. Los altos funcionarios en el sentido del artículo 29, apartado 2, del Estatuto de los funcionarios, u otros funcionarios de nivel equivalente, de cada entidad de la Unión, así como todo el personal pertinente encargado de aplicar las medidas de gestión de riesgos de ciberseguridad y de cumplir las obligaciones establecidas en el presente Reglamento, recibirán periódicamente formación específica a fin de adquirir los conocimientos y las capacidades suficientes para comprender y evaluar las prácticas de gestión de riesgos de ciberseguridad y su repercusión en las actividades de la entidad de la Unión.
Artículo 8
Medidas de gestión de riesgos de ciberseguridad
1. Sin demora indebida y, en cualquier caso, a más tardar el 8 de septiembre de 2025, cada entidad de la Unión adoptará, bajo la supervisión de su más_alto_nivel_de_dirección, las medidas técnicas, operativas y organizativas adecuadas y proporcionadas para gestionar los riesgos de ciberseguridad identificados en el marco y prevenir o minimizar los efectos de los incidentes. Teniendo en cuenta el estado de la tecnología y, en su caso, las normas técnicas europeas e internacionales, dichas medidas garantizarán un nivel de seguridad de los sistemas_de_redes_y_de_información en todo el entorno de TIC que guarde proporción con los riesgos de ciberseguridad existentes. Al evaluar la proporcionalidad de dichas medidas, se tendrá debidamente en cuenta el grado de exposición de la entidad de la Unión a los riesgos de ciberseguridad, el tamaño de dicha entidad y la probabilidad de que se produzcan incidentes y la gravedad de estos, incluidos sus efectos sociales, económicos e interinstitucionales.
2. Las entidades_de_la_Unión abordarán al menos los siguientes aspectos en la aplicación de las medidas de gestión de riesgos de ciberseguridad:
| a) | la política de ciberseguridad, incluidas las medidas necesarias para alcanzar los objetivos y prioridades a que se refieren el artículo 6 y el apartado 3 del presente artículo; |
| b) | las políticas de análisis de riesgos de ciberseguridad y seguridad de los sistemas de información; |
| c) | los objetivos de la política de ciberseguridad relativos al uso de servicios de computación en nube; |
| d) | la auditoría de ciberseguridad, cuando proceda, que podrá incluir una evaluación de los riesgos de ciberseguridad, de la vulnerabilidad y de las ciberamenazas, y las pruebas de penetración realizadas periódicamente por un proveedor privado de confianza; |
| e) | la aplicación de las recomendaciones resultantes de las auditorías de ciberseguridad a que se refiere la letra d) por medio de actualizaciones de la ciberseguridad y de la política de ciberseguridad; |
| f) | la organización de la ciberseguridad, incluida la determinación de funciones y responsabilidades; |
| g) | la gestión de activos, incluidos un inventario de los activos de TIC y la cartografía de las redes de TIC; |
| h) | la seguridad en materia de recursos humanos y el control del acceso; |
| i) | la seguridad de las operaciones; |
| j) | la seguridad de las comunicaciones; |
| k) | la adquisición, el desarrollo y el mantenimiento de los sistemas, incluidas las políticas de gestión y divulgación de vulnerabilidades; |
| l) | cuando sea posible, las políticas de transparencia del código fuente; |
| m) | la seguridad de la cadena de suministro, incluidos los aspectos de seguridad relativos a las relaciones entre cada entidad de la Unión y sus proveedores o prestadores de servicios directos; |
| n) | la gestión de incidentes y la cooperación con el CERT-EU, como el mantenimiento de los registros y del seguimiento de seguridad; |
| o) | la gestión de la continuidad de las actividades, como la gestión de copias de seguridad y la recuperación en caso de catástrofe, y la gestión de crisis, y |
| p) | la promoción y el desarrollo de programas de educación, capacidades, concienciación, ejercicios y formación en materia de ciberseguridad. |
A efectos del párrafo primero, letra m), las entidades_de_la_Unión tendrán en cuenta las vulnerabilidades específicas de cada proveedor y prestador de servicios directo y la calidad general de los productos y de las prácticas de ciberseguridad de sus proveedores y prestadores de servicios, incluidos sus procedimientos de desarrollo seguro.
3. Las entidades_de_la_Unión adoptarán al menos las siguientes medidas concretas de gestión de riesgos de ciberseguridad:
| a) | disposiciones técnicas para permitir y mantener el teletrabajo; |
| b) | medidas concretas para avanzar hacia principios de confianza cero; |
| c) | uso de la autenticación multifactor como norma en la totalidad de los sistemas_de_redes_y_de_información; |
| d) | uso de la criptografía y el cifrado, y en particular el cifrado de extremo a extremo, así como de la firma digital segura; |
| e) | en su caso, implantación de comunicaciones de voz, vídeo y texto seguras, y de sistemas de comunicaciones de emergencia seguras dentro de la entidad de la Unión; |
| f) | medidas proactivas para la detección y retirada de programas maliciosos y programas espía; |
| g) | garantía de la seguridad de la cadena de suministro de software mediante criterios para la evaluación y desarrollo seguros de software; |
| h) | establecimiento y adopción de programas de formación sobre ciberseguridad que guarden proporción con las tareas exigidas y las capacidades previstas para el más_alto_nivel_de_dirección y para el personal de la entidad de la Unión encargado de garantizar la aplicación efectiva del presente Reglamento; |
| i) | formación periódica en materia de ciberseguridad para el personal; |
| j) | cuando sea pertinente, participación en análisis de riesgos de interconexión entre entidades_de_la_Unión; |
| k) | introducción de mejoras en las normas de contratación pública a fin de garantizar un elevado nivel común de ciberseguridad mediante:
|
Artículo 14
Directrices, recomendaciones y llamamientos a la acción
1. En apoyo de la aplicación del presente Reglamento, el CERT-EU:
| a) | emitirá llamamientos a la acción, en los que se describirán determinadas medidas urgentes de seguridad que se insta a las entidades_de_la_Unión a adoptar en un plazo determinado; |
| b) | propondrá al CIIC directrices dirigidas a la totalidad o a un subconjunto de las entidades_de_la_Unión; |
| c) | propondrá al CIIC recomendaciones dirigidas a entidades específicas de la Unión. |
Por lo que respecta al párrafo primero, letra a), la entidad de la Unión de que se trate informará al CERT-EU, sin demora indebida tras recibir el llamamiento a la acción, de cómo se han aplicado las medidas urgentes de seguridad.
2. Las directrices y las recomendaciones podrán incluir:
| a) | metodologías comunes y un modelo para evaluar la madurez en materia de ciberseguridad de las entidades_de_la_Unión, incluidos los baremos o KPI correspondientes, que sirvan de referencia en apoyo de la mejora continua de la ciberseguridad en todas las entidades_de_la_Unión y faciliten la priorización de los ámbitos y las medidas de ciberseguridad teniendo en cuenta la posición de las entidades en materia de ciberseguridad; |
| b) | disposiciones para la gestión de riesgos de ciberseguridad y las medidas de gestión de riesgos de ciberseguridad, o mejoras al respecto; |
| c) | mecanismos de las evaluaciones de madurez en materia de ciberseguridad y los planes de ciberseguridad; |
| d) | cuando proceda, el uso de tecnologías, arquitecturas y mejores prácticas de código abierto comunes con miras a la interoperabilidad y el establecimiento de normas comunes, incluido un enfoque coordinado en relación con la seguridad de las cadenas de suministro; |
| e) | cuando proceda, información para facilitar el uso de instrumentos de contratación común para la compra a terceros de los correspondientes servicios y productos de ciberseguridad; |
| f) | mecanismos de intercambio de información en virtud del artículo 20. |
Artículo 18
1. El CERT-EU podrá cooperar con otros homólogos pertenecientes a la Unión distintos de los mencionados en el artículo 17, que deban cumplir los requisitos de la Unión en materia de ciberseguridad, incluidos los de sectores específicos de la industria, en lo tocante a herramientas y métodos tales como técnicas, tácticas, procedimientos y mejores prácticas, y en lo tocante a las ciberamenazas y las vulnerabilidades. A los efectos de la cooperación con dichos homólogos, el CERT-EU solicitará la aprobación previa del CIIC en función de cada caso. Cuando el CERT-EU establezca una cooperación con dichos homólogos, informará a los homólogos pertinentes de los Estados miembros a que se refiere el artículo 17, apartado 1, del Estado miembro en el que esté ubicado el homólogo. Cuando proceda y resulte apropiado, dicha cooperación y sus condiciones, incluidas las relativas a la ciberseguridad, la protección de datos y el manejo de la información, se establecerán en acuerdos de confidencialidad específicos, como contratos o acuerdos administrativos. Los acuerdos de confidencialidad no requerirán la aprobación previa del CIIC, pero sí se informará a su presidente. En caso de necesidad urgente e inminente de intercambiar información sobre ciberseguridad en interés de las entidades_de_la_Unión o de otra parte, el CERT-EU podrá hacerlo con una entidad cuya competencia, capacidad y experiencia específicas sean necesarios justificadamente para prestar asistencia ante tal necesidad urgente e inminente, incluso si el CERT-EU no cuenta con un acuerdo de confidencialidad con dicha entidad. En tales casos, el CERT-EU informará inmediatamente al presidente del CIIC e informará al CIIC mediante informes periódicos o reuniones.
2. El CERT-EU podrá cooperar con socios, como entidades comerciales, incluidas entidades de sectores específicos de la industria, organizaciones internacionales, entidades nacionales no pertenecientes a la Unión o expertos individuales, con el fin de recopilar información sobre ciberamenazas, cuasi incidentes, vulnerabilidades y posibles contramedidas generales y específicas. A los efectos de una cooperación más amplia con dichos socios, el CERT-EU solicitará la aprobación previa del CIIC en función de cada caso.
3. El CERT-EU podrá proporcionar, con el consentimiento de la entidad de la Unión afectada por un incidente y siempre que exista un acuerdo o contrato de confidencialidad con el homólogo o socio pertinente, información relacionada con el incidente específico a los homólogos o socios a que se refieren los apartados 1 y 2 con el único fin de contribuir a su análisis.
CAPITULO V
OBLIGACIONES DE COOPERACION E INFORMACION
Artículo 22
Coordinación de la respuesta a incidentes y cooperación
1. En el ejercicio de su función de centro de intercambio de información sobre ciberseguridad y coordinación de la respuesta a incidentes, el CERT-EU facilitará el intercambio de información sobre incidentes, ciberamenazas, vulnerabilidades y cuasi incidentes entre:
| a) | las entidades_de_la_Unión; |
| b) | los homólogos a que se refieren los artículos 17 y 18. |
2. El CERT-EU, cuando proceda en estrecha cooperación con la ENISA, facilitará la coordinación de la respuesta a incidentes entre las entidades_de_la_Unión, incluyendo lo siguiente:
| a) | contribución a una comunicación externa coherente; |
| b) | apoyo mutuo, como el intercambio de información pertinente para las entidades_de_la_Unión, o la prestación de asistencia, cuando proceda directamente in situ; |
| c) | uso óptimo de los recursos operativos; |
| d) | coordinación con otros mecanismos de respuesta a las crisis a nivel de la Unión. |
3. El CERT-EU, en estrecha cooperación con la ENISA, apoyará a las entidades_de_la_Unión en lo que respecta al conocimiento situacional en materia de incidentes, ciberamenazas, vulnerabilidades y cuasi incidentes, y compartirá información sobre los avances en materia de ciberseguridad.
4. A más tardar el 8 de enero de 2025, el CIIC adoptará, sobre la base de una propuesta del CERT-EU, directrices o recomendaciones sobre la coordinación de la respuesta a incidentes y la cooperación en caso de incidentes significativos. Cuando se sospeche que un incidente es de carácter delictivo, el CERT-EU ofrecerá asesoramiento sobre el modo de notificar el incidente a las autoridades policiales, sin demora indebida.
5. Previa solicitud específica de un Estado miembro y tras la aprobación de las entidades_de_la_Unión de que se trate, el CERT-EU podrá recurrir a expertos de la lista a que se refiere el artículo 23, apartado 4, para contribuir a la respuesta a un incidente grave que tenga repercusiones en dicho Estado miembro, o a un incidente de ciberseguridad a gran escala, de conformidad con el artículo 15, apartado 3, letra g), de la Directiva (UE) 2022/2555. Las normas específicas sobre el acceso y el recurso a expertos técnicos de las entidades_de_la_Unión serán aprobadas por el CIIC sobre la base de una propuesta del CERT-EU.
Artículo 23
Gestión de incidentes graves
1. Con el fin de apoyar desde el punto de vista operativo la gestión coordinada de incidentes graves que afecten a entidades_de_la_Unión y de contribuir al intercambio periódico de información pertinente entre las entidades_de_la_Unión y con los Estados miembros, el CIIC establecerá un plan de gestión de cibercrisis, en virtud del artículo 11, letra q), basado en las actividades a que se refiere el artículo 22, apartado 2, en estrecha cooperación con el CERT-EU y con la ENISA. El plan de gestión de cibercrisis incluirá al menos los elementos siguientes:
| a) | los mecanismos para la coordinación y el flujo de información entre las entidades_de_la_Unión para la gestión de incidentes graves en el plano operativo; |
| b) | procedimientos operativos normalizados comunes (SOPs por sus siglas en inglés); |
| c) | una taxonomía común de la gravedad de los incidentes graves y los elementos causantes de crisis; |
| d) | ejercicios periódicos; |
| e) | los canales de comunicación seguros que han de utilizarse. |
2. Con arreglo al plan de gestión de cibercrisis establecido en virtud del apartado 1 del presente artículo y sin perjuicio de lo dispuesto en el artículo 16, apartado 2, párrafo primero, de la Directiva (UE) 2022/2555, el representante de la Comisión en el CIIC será el punto de contacto para el intercambio de información pertinente sobre incidentes graves con EU-CyCLONe.
3. El CERT-EU coordinará la gestión de los incidentes graves entre las entidades_de_la_Unión. Llevará un inventario de los conocimientos técnicos disponibles que serían necesarios para la respuesta a incidentes en caso de incidentes graves y asistirá al CIIC a coordinar los planes de gestión de cibercrisis de las entidades_de_la_Unión para los incidentes graves a que se refiere el artículo 9, apartado 2.
4. Las entidades_de_la_Unión contribuirán al inventario de conocimientos técnicos proporcionando una lista, que actualizarán anualmente, en la que figuren los expertos disponibles en sus respectivas organizaciones, junto con una descripción detallada de sus capacidades técnicas específicas.
CAPITULO VI
DISPOSICIONES FINALES
Artículo 26
Entrada en vigor
El presente Reglamento entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.
El presente Reglamento será obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro.
Hecho en Estrasburgo, el 13 de diciembre de 2023.
Por el Parlamento Europeo
La Presidenta
R. METSOLA
Por el Consejo
El Presidente
P. NAVARRO RÍOS
(1) Posición del Parlamento Europeo de 21 de noviembre de 2023 (pendiente de publicación en el Diario Oficial) y Decisión del Consejo de 8 de diciembre de 2023.
(2) Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión, por la que se modifican el Reglamento (UE) n.o 910/2014 y la Directiva (UE) 2018/1972 y por la que se deroga la Directiva (UE) 2016/1148 (Directiva SRI 2) (DO L 333 de 27.12.2022, p. 80).
(3) Reglamento (UE) 2019/881 del Parlamento Europeo y del Consejo, de 17 de abril de 2019, relativo a ENISA (Agencia de la Unión Europea para la Ciberseguridad) y a la certificación de la ciberseguridad de las tecnologías de la información y la comunicación y por el que se deroga el Reglamento (UE) n.o 526/2013 («Reglamento sobre la Ciberseguridad») (DO L 151 de 7.6.2019, p. 15).
(4) Acuerdo entre el Parlamento Europeo, el Consejo Europeo, el Consejo de la Unión Europea, la Comisión Europea, el Tribunal de Justicia de la Unión Europea, el Banco Central Europeo, el Tribunal de Cuentas Europeo, el Servicio Europeo de Acción Exterior, el Comité Económico y Social Europeo, el Comité Europeo de las Regiones y el Banco Europeo de Inversiones sobre la organización y el funcionamiento del Equipo de Respuesta a Emergencias Informáticas de las instituciones, órganos y organismos de la UE (CERT-UE) (DO C 12 de 13.1.2018, p. 1).
(5) Reglamento (CEE, Euratom, CECA) n.o 259/68 del Consejo, de 29 de febrero de 1968, por el que se establece el Estatuto de los funcionarios de las Comunidades Europeas y el régimen aplicable a los otros agentes de estas Comunidades y por el que se establecen medidas específicas aplicables temporalmente a los funcionarios de la Comisión (DO L 56 de 4.3.1968, p. 1).
(6) Recomendación (UE) 2017/1584 de la Comisión, de 13 de septiembre de 2017, sobre la respuesta coordinada a los incidentes y crisis de ciberseguridad a gran escala (DO L 239 de 19.9.2017, p. 36).
(7) Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión y a la libre circulación de estos datos y por el que se deroga el Reglamento (CE) n.o 45/2001 y la Decisión 1247/2002/CE (DO L 295 de 21.11.2018, p. 39).
(8) DO C 258 de 5.7.2022, p. 10.
(9) Reglamento (UE, Euratom) 2018/1046 del Parlamento Europeo y del Consejo, de 18 de julio de 2018, sobre las normas financieras aplicables al presupuesto general de la Unión, por el que se modifican los Reglamentos (UE) n.o 1296/2013, (UE) n.o 1301/2013, (UE) n.o 1303/2013, (UE) n.o 1304/2013, (UE) n.o 1309/2013, (UE) n.o 1316/2013, (UE) n.o 223/2014 y (UE) n.o 283/2014 y la Decisión n.o 541/2014/UE y por el que se deroga el Reglamento (UE, Euratom) n.o 966/2012 (DO L 193 de 30.7.2018, p. 1).
(10) Reglamento (CE) n.o 1049/2001 del Parlamento Europeo y del Consejo, de 30 de mayo de 2001, relativo al acceso del público a los documentos del Parlamento Europeo, del Consejo y de la Comisión (DO L 145 de 31.5.2001, p. 43).
ELI: http://data.europa.eu/eli/reg/2023/2841/oj
ISSN 1977-0685 (electronic edition)