keyboard_tab Cyber Resilience Act 2023/2841 ES
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Art. 5 Aplicación de medidas
- 5 Art. 7 Evaluaciones de la madurez de la ciberseguridad
- 2 Art. 9 Planes de ciberseguridad
- 1 Art. 11 Funciones del CIIC
- 2 Art. 14 Directrices, recomendaciones y llamamientos a la acción
CAPITULO I
DISPOSICIONES GENERALES
CAPITULO II
MEDIDAS DESTINADAS A GARANTIZAR UN ELEVADO NIVEL COMUN DE CIBERSEGURIDAD
CAPITULO III
CONSEJO INTERINSTITUCIONAL DE CIBERSEGURIDAD
CAPITULO IV
CERT-EU
CAPITULO V
OBLIGACIONES DE COOPERACION E INFORMACION
CAPITULO VI
DISPOSICIONES FINALES
- entidades de la Unión
- sistemas de redes y de información
- seguridad de los sistemas de redes y de información
- ciberseguridad
- más alto nivel de dirección
- cuasiincidente
- incidente
- incidente grave
- incidente de ciberseguridad a gran escala
- gestión de incidentes
- ciberamenaza
- ciberamenaza significativa
- vulnerabilidad
- riesgo de ciberseguridad
- servicio de computación en nube
- ciberseguridad 47
- artículo 23
- entidades_de_la_unión 20
- para 15
- virtud 14
- del cert-eu 13
- gestión 12
- unión 12
- madurez 11
- sobre 11
- plan 10
- entidad 9
- medidas 9
- riesgos 9
- aprobar 8
- directrices 8
- evaluaciones 8
- recomendaciones 7
- propuesta 7
- director 7
- base 7
- nivel 6
- adoptar 6
- cada 5
- información 5
- consejo 5
- cuenta 5
- refiere 5
- presente 5
- tras 5
- entidades 4
- proceda 4
- reglamento 4
- seguridad 4
- como 4
- teniendo 4
- cuando 4
- aplicación 4
- establecer 4
- interinstitucional 4
- más 4
- acción 4
- cualquier 3
- incidentes 3
- evaluación 3
- evaluar 3
- estrategia 3
- las 3
- al cert-eu 3
- cibercrisis 3
Artículo 5
Aplicación de medidas
1. A más tardar el 8 de septiembre de 2024, el Consejo Interinstitucional de Ciberseguridad creado en virtud del artículo 10, previa consulta a la Agencia de la Unión Europea para la Ciberseguridad (ENISA, por sus siglas en inglés) y tras recibir orientaciones del CERT-EU, emitirá directrices para las entidades_de_la_Unión con el fin de llevar a cabo una revisión inicial de la ciberseguridad y establecer el marco interno de gestión, gobernanza y control de riesgos de ciberseguridad en virtud del artículo 6, llevar a cabo evaluaciones de madurez de la ciberseguridad en virtud del artículo 7, adoptar medidas de gestión de riesgos de ciberseguridad en virtud del artículo 8 y adoptar el plan de ciberseguridad en virtud del artículo 9.
2. Al aplicar los artículos 6 a 9, las entidades_de_la_Unión tendrán en cuenta las directrices a que se refiere el apartado 1 del presente artículo, así como las directrices y recomendaciones pertinentes adoptadas en virtud de los artículos 11 y 14.
Artículo 7
Evaluaciones de la madurez de la ciberseguridad
1. A más tardar el 8 de julio de 2025, y posteriormente al menos cada dos años, cada entidad de la Unión realizará una evaluación de la madurez de ciberseguridad que englobará todos los elementos de su entorno de TIC.
2. Las evaluaciones de la madurez de la ciberseguridad se realizarán, cuando proceda, con la asistencia de un tercero especializado.
3. Las entidades_de_la_Unión con estructuras similares podrán cooperar en la realización de las evaluaciones de la madurez de la ciberseguridad de sus respectivas entidades.
4. Previa solicitud del Consejo Interinstitucional de Ciberseguridad creado en virtud del artículo 10 y con el consentimiento expreso de la entidad de la Unión de que se trate, los resultados de las evaluaciones de la madurez de la ciberseguridad podrán examinarse en el seno de dicho Consejo o en la red informal de responsables locales de ciberseguridad a fin de aprender de la experiencia adquirida y compartir buenas prácticas.
Artículo 9
Planes de ciberseguridad
1. A partir de las conclusiones extraídas de la evaluación de madurez de la ciberseguridad realizada en virtud del artículo 7 y teniendo en cuenta los activos y los riesgos determinados en el marco, así como las medidas de gestión de riesgos de ciberseguridad adoptadas en virtud del artículo 8, el más_alto_nivel_de_dirección de cada entidad de la Unión aprobará un plan de ciberseguridad sin demora indebida y, en cualquier caso, a más tardar el 8 de enero de 2026. El objetivo del plan de ciberseguridad será aumentar el nivel global de ciberseguridad de la entidad de la Unión de que se trate y contribuir así a la mejora de un elevado nivel común de ciberseguridad dentro de las entidades_de_la_Unión. El plan de ciberseguridad incluirá, como mínimo, las medidas de gestión de riesgos de ciberseguridad adoptadas en virtud del artículo 8. El plan de ciberseguridad se revisará cada dos años, o con más frecuencia de ser necesario, tras la evaluación de madurez de la ciberseguridad realizada en virtud del artículo 7 o tras cualquier revisión sustancial del marco.
2. El plan de ciberseguridad incluirá el plan de gestión de cibercrisis de la entidad de la Unión para los incidentes graves.
3. Cada entidad de la Unión presentará su plan de ciberseguridad final al Consejo Interinstitucional de Ciberseguridad creado en virtud del artículo 10.
CAPITULO III
CONSEJO INTERINSTITUCIONAL DE CIBERSEGURIDAD
Artículo 11
Funciones del CIIC
En el ejercicio de sus responsabilidades, el CIIC deberá en particular:
| a) | proporcionar orientación al director del CERT-EU; |
| b) | hacer un seguimiento y supervisar eficazmente la aplicación del presente Reglamento y apoyar a las entidades_de_la_Unión para reforzar su ciberseguridad, incluyendo, cuando proceda, la solicitud de informes ad hoc a las entidades_de_la_Unión y al CERT-EU; |
| c) | tras un debate estratégico, adoptar una estrategia plurianual sobre el aumento del nivel de ciberseguridad de las entidades_de_la_Unión, evaluar dicha estrategia periódicamente, en cualquier caso cada cinco años, y, de ser necesario, modificar la estrategia; |
| d) | establecer la metodología y los aspectos organizativos para la realización de revisiones interpares voluntarias por parte de las entidades_de_la_Unión, para aprender de las experiencias compartidas, reforzar la confianza mutua, lograr un elevado nivel común de ciberseguridad y mejorar las capacidades de ciberseguridad de las entidades_de_la_Unión, garantizando que dichas revisiones interpares sean realizadas por expertos en ciberseguridad designados por una entidad de la Unión distinta de la entidad de la Unión objeto de revisión y que la metodología se base en el artículo 19 de la Directiva (UE) 2022/2555 y, en su caso, se adapte a las entidades_de_la_Unión; |
| e) | aprobar, sobre la base de una propuesta del director del CERT-EU, el programa de trabajo anual del CERT-EU y hacer un seguimiento de su ejecución; |
| f) | aprobar, sobre la base de una propuesta del director del CERT-EU, el catálogo de servicios del CERT-EU y toda actualización al respecto; |
| g) | aprobar, sobre la base de una propuesta del director del CERT-EU, el plan financiero anual de ingresos y gastos, incluida la dotación de personal, para las actividades del CERT-EU; |
| h) | aprobar, sobre la base de una propuesta del director del CERT-EU, las disposiciones de los acuerdos de nivel de servicio; |
| i) | examinar y aprobar el informe anual elaborado por el director del CERT-EU sobre las actividades y la gestión de fondos del CERT-EU; |
| j) | aprobar y hacer un seguimiento de los indicadores clave de rendimiento (KPI, por sus siglas en inglés) del CERT-EU establecidos sobre la base de una propuesta de su director; |
| k) | aprobar los acuerdos de cooperación, los acuerdos de nivel de servicio o los contratos celebrados entre el CERT-EU y otras entidades en virtud del artículo 18; |
| l) | adoptar directrices y recomendaciones sobre la base de una propuesta del CERT-EU de conformidad con el artículo 14 y dar instrucciones al CERT-EU para que emita, retire o modifique alguna propuesta de directrices o de recomendaciones o algún llamamiento a la acción; |
| m) | establecer grupos de asesoramiento técnico con tareas concretas para asistir al CIIC en su labor, aprobar su mandato y nombrar a los respectivos presidentes; |
| n) | recibir y evaluar los documentos e informes presentados por las entidades_de_la_Unión con arreglo al presente Reglamento, como las evaluaciones de madurez de la ciberseguridad; |
| o) | facilitar la creación de un grupo informal de responsables locales de ciberseguridad de las entidades_de_la_Unión, apoyado por la ENISA, con el objetivo de intercambiar mejores prácticas e información en relación con la aplicación del presente Reglamento; |
| p) | teniendo en cuenta la información proporcionada por el CERT-EU sobre los riesgos de ciberseguridad detectados y las lecciones aprendidas, supervisar la adecuación de los mecanismos de interconexión entre los entornos de TIC de las entidades_de_la_Unión y asesorar sobre posibles mejoras; |
| q) | establecer un plan de gestión de cibercrisis para apoyar, desde el punto de vista operativo, la gestión coordinada de los incidentes graves que afecten a las entidades_de_la_Unión y contribuir al intercambio periódico de información pertinente, en particular en lo que se refiere a los efectos y la gravedad de los incidentes graves y las posibles formas de reducir sus efectos; |
| r) | coordinar la adopción de los planes de gestión de cibercrisis de las distintas entidades_de_la_Unión, a que se refiere el artículo 9, apartado 2; |
| s) | adoptar recomendaciones en relación con la seguridad de la cadena de suministro a que se refiere el artículo 8, apartado 2, párrafo primero, letra m), teniendo en cuenta los resultados de las evaluaciones de riesgo coordinadas a escala de la Unión sobre las cadenas de suministro críticas a las que se refiere el artículo 22 de la Directiva (UE) 2022/2555 para apoyar a las entidades_de_la_Unión en la adopción de medidas de gestión de riesgos de ciberseguridad eficaces y proporcionadas. |
Artículo 14
Directrices, recomendaciones y llamamientos a la acción
1. En apoyo de la aplicación del presente Reglamento, el CERT-EU:
| a) | emitirá llamamientos a la acción, en los que se describirán determinadas medidas urgentes de seguridad que se insta a las entidades_de_la_Unión a adoptar en un plazo determinado; |
| b) | propondrá al CIIC directrices dirigidas a la totalidad o a un subconjunto de las entidades_de_la_Unión; |
| c) | propondrá al CIIC recomendaciones dirigidas a entidades específicas de la Unión. |
Por lo que respecta al párrafo primero, letra a), la entidad de la Unión de que se trate informará al CERT-EU, sin demora indebida tras recibir el llamamiento a la acción, de cómo se han aplicado las medidas urgentes de seguridad.
2. Las directrices y las recomendaciones podrán incluir:
| a) | metodologías comunes y un modelo para evaluar la madurez en materia de ciberseguridad de las entidades_de_la_Unión, incluidos los baremos o KPI correspondientes, que sirvan de referencia en apoyo de la mejora continua de la ciberseguridad en todas las entidades_de_la_Unión y faciliten la priorización de los ámbitos y las medidas de ciberseguridad teniendo en cuenta la posición de las entidades en materia de ciberseguridad; |
| b) | disposiciones para la gestión de riesgos de ciberseguridad y las medidas de gestión de riesgos de ciberseguridad, o mejoras al respecto; |
| c) | mecanismos de las evaluaciones de madurez en materia de ciberseguridad y los planes de ciberseguridad; |
| d) | cuando proceda, el uso de tecnologías, arquitecturas y mejores prácticas de código abierto comunes con miras a la interoperabilidad y el establecimiento de normas comunes, incluido un enfoque coordinado en relación con la seguridad de las cadenas de suministro; |
| e) | cuando proceda, información para facilitar el uso de instrumentos de contratación común para la compra a terceros de los correspondientes servicios y productos de ciberseguridad; |
| f) | mecanismos de intercambio de información en virtud del artículo 20. |
whereas