keyboard_tab Cyber Resilience Act 2023/2841 ES

1.   A más tardar el 8 de abril de 2025, cada entidad de la Unión, tras llevar a cabo un análisis inicial de la ciberseguridad, que puede consistir en una auditoría, establecerá un marco interno de gestión, gobernanza y control de riesgos de ciberseguridad (en lo sucesivo, «marco»). El más_alto_nivel_de_dirección de la entidad de la Unión supervisará y será responsable del establecimiento del marco.

2.   El marco abarcará la totalidad del entorno de TIC no clasificado de la entidad de la Unión de que se trate, incluidos cualquier entorno local de TIC, de red tecnológica operativa, activos externalizados y servicios en entornos de computación en la nube o alojados por terceros, dispositivos móviles, redes corporativas, redes profesionales no conectadas a internet y dispositivos conectados a dichos entornos (en lo sucesivo, «entorno de TIC»). El marco se basará en un planteamiento que contemple todas las amenazas.

3.   El marco garantizará un elevado nivel de ciberseguridad. El marco establecerá políticas internas de ciberseguridad, incluidos objetivos y prioridades, para la seguridad de los sistemas_de_redes_y_de_información, y las funciones y responsabilidades del personal de la entidad de la Unión encargado de garantizar la aplicación efectiva del presente Reglamento. El marco incluirá asimismo mecanismos para medir la eficacia de la aplicación.

4.   El marco se revisará de forma periódica, a la luz de la evolución de los riesgos de ciberseguridad, y, como mínimo, cada cuatro años. Cuando proceda y previa solicitud del Consejo Interinstitucional de Ciberseguridad creado en virtud del artículo 10, el marco de una entidad de la Unión se actualizará basándose en las orientaciones del CERT-EU relativas a los incidentes detectados o las posibles deficiencias constatadas en la aplicación del presente Reglamento.

5.   El más_alto_nivel_de_dirección de cada entidad de la Unión será responsable de la aplicación del presente Reglamento y supervisará el cumplimiento de sus obligaciones relacionadas con el marco.

6.   Cuando proceda, y sin perjuicio de su responsabilidad en la aplicación del presente Reglamento, el más_alto_nivel_de_dirección de cada entidad de la Unión podrá delegar obligaciones específicas en virtud del presente Reglamento en altos funcionarios en el sentido del artículo 29, apartado 2, del Estatuto de los funcionarios, u otros funcionarios de nivel equivalente, dentro de la entidad de la Unión de que se trate. Independientemente de dicha delegación, el más_alto_nivel_de_dirección podrá ser considerado responsable de las infracciones del presente Reglamento en que incurra la entidad de la Unión de que se trate.

7.   Cada entidad de la Unión dispondrá de mecanismos eficaces para asegurar que un porcentaje adecuado de su presupuesto de TIC se destine a la ciberseguridad. Al fijar ese porcentaje se tendrá debidamente en cuenta el marco.

8.   Cada entidad de la Unión designará a su responsable local de ciberseguridad, o a una persona con una función equivalente, que será el punto de contacto único para todos los aspectos relacionados con la ciberseguridad. El responsable local de ciberseguridad facilitará la aplicación del presente Reglamento e informará directamente al más_alto_nivel_de_dirección de manera periódica sobre el estado de la aplicación. Sin perjuicio de que el responsable local de ciberseguridad sea el punto de contacto en cada entidad de la Unión, la entidad de la Unión podrá delegar determinadas funciones del responsable local de ciberseguridad relativas a la aplicación del presente Reglamento en el CERT-EU mediante un acuerdo de nivel de servicio celebrado entre dicha entidad de la Unión y el CERT-EU, o se podrán compartir esas funciones entre varias entidades_de_la_Unión. Cuando dichas funciones se deleguen en el CERT-EU, el Consejo Interinstitucional de Ciberseguridad creado en virtud del artículo 10 decidirá si la prestación de ese servicio formará parte de los servicios básicos del CERT-EU, teniendo en cuenta los recursos humanos y financieros de la entidad de la Unión de que se trate. Cada entidad de la Unión comunicará al CERT-EU sin demora indebida quién haya sido designado responsable local de ciberseguridad y cualquier cambio posterior a este respecto.

El CERT-EU elaborará y actualizará una lista de los responsables locales de ciberseguridad designados.

9.   Los altos funcionarios en el sentido del artículo 29, apartado 2, del Estatuto de los funcionarios, u otros funcionarios de nivel equivalente, de cada entidad de la Unión, así como todo el personal pertinente encargado de aplicar las medidas de gestión de riesgos de ciberseguridad y de cumplir las obligaciones establecidas en el presente Reglamento, recibirán periódicamente formación específica a fin de adquirir los conocimientos y las capacidades suficientes para comprender y evaluar las prácticas de gestión de riesgos de ciberseguridad y su repercusión en las actividades de la entidad de la Unión.

1.   Sin demora indebida y, en cualquier caso, a más tardar el 8 de septiembre de 2025, cada entidad de la Unión adoptará, bajo la supervisión de su más_alto_nivel_de_dirección, las medidas técnicas, operativas y organizativas adecuadas y proporcionadas para gestionar los riesgos de ciberseguridad identificados en el marco y prevenir o minimizar los efectos de los incidentes. Teniendo en cuenta el estado de la tecnología y, en su caso, las normas técnicas europeas e internacionales, dichas medidas garantizarán un nivel de seguridad de los sistemas_de_redes_y_de_información en todo el entorno de TIC que guarde proporción con los riesgos de ciberseguridad existentes. Al evaluar la proporcionalidad de dichas medidas, se tendrá debidamente en cuenta el grado de exposición de la entidad de la Unión a los riesgos de ciberseguridad, el tamaño de dicha entidad y la probabilidad de que se produzcan incidentes y la gravedad de estos, incluidos sus efectos sociales, económicos e interinstitucionales.

2.   Las entidades_de_la_Unión abordarán al menos los siguientes aspectos en la aplicación de las medidas de gestión de riesgos de ciberseguridad:

a)	la política de ciberseguridad, incluidas las medidas necesarias para alcanzar los objetivos y prioridades a que se refieren el artículo 6 y el apartado 3 del presente artículo;

b)	las políticas de análisis de riesgos de ciberseguridad y seguridad de los sistemas de información;

c)	los objetivos de la política de ciberseguridad relativos al uso de servicios de computación en nube;

d)	la auditoría de ciberseguridad, cuando proceda, que podrá incluir una evaluación de los riesgos de ciberseguridad, de la vulnerabilidad y de las ciberamenazas, y las pruebas de penetración realizadas periódicamente por un proveedor privado de confianza;

e)	la aplicación de las recomendaciones resultantes de las auditorías de ciberseguridad a que se refiere la letra d) por medio de actualizaciones de la ciberseguridad y de la política de ciberseguridad;

f)	la organización de la ciberseguridad, incluida la determinación de funciones y responsabilidades;

g)	la gestión de activos, incluidos un inventario de los activos de TIC y la cartografía de las redes de TIC;

h)	la seguridad en materia de recursos humanos y el control del acceso;

i)	la seguridad de las operaciones;

j)	la seguridad de las comunicaciones;

k)	la adquisición, el desarrollo y el mantenimiento de los sistemas, incluidas las políticas de gestión y divulgación de vulnerabilidades;

l)	cuando sea posible, las políticas de transparencia del código fuente;

m)	la seguridad de la cadena de suministro, incluidos los aspectos de seguridad relativos a las relaciones entre cada entidad de la Unión y sus proveedores o prestadores de servicios directos;

n)	la gestión de incidentes y la cooperación con el CERT-EU, como el mantenimiento de los registros y del seguimiento de seguridad;

o)	la gestión de la continuidad de las actividades, como la gestión de copias de seguridad y la recuperación en caso de catástrofe, y la gestión de crisis, y

p)	la promoción y el desarrollo de programas de educación, capacidades, concienciación, ejercicios y formación en materia de ciberseguridad.

A efectos del párrafo primero, letra m), las entidades_de_la_Unión tendrán en cuenta las vulnerabilidades específicas de cada proveedor y prestador de servicios directo y la calidad general de los productos y de las prácticas de ciberseguridad de sus proveedores y prestadores de servicios, incluidos sus procedimientos de desarrollo seguro.

3.   Las entidades_de_la_Unión adoptarán al menos las siguientes medidas concretas de gestión de riesgos de ciberseguridad:

a)	disposiciones técnicas para permitir y mantener el teletrabajo;

b)	medidas concretas para avanzar hacia principios de confianza cero;

c)	uso de la autenticación multifactor como norma en la totalidad de los sistemas_de_redes_y_de_información;

d)	uso de la criptografía y el cifrado, y en particular el cifrado de extremo a extremo, así como de la firma digital segura;

e)	en su caso, implantación de comunicaciones de voz, vídeo y texto seguras, y de sistemas de comunicaciones de emergencia seguras dentro de la entidad de la Unión;

f)	medidas proactivas para la detección y retirada de programas maliciosos y programas espía;

g)	garantía de la seguridad de la cadena de suministro de software mediante criterios para la evaluación y desarrollo seguros de software;

h)

establecimiento y adopción de programas de formación sobre ciberseguridad que guarden proporción con las tareas exigidas y las capacidades previstas para el más_alto_nivel_de_dirección y para el personal de la entidad de la Unión encargado de garantizar la aplicación efectiva del presente Reglamento;

i)	formación periódica en materia de ciberseguridad para el personal;

j)	cuando sea pertinente, participación en análisis de riesgos de interconexión entre entidades_de_la_Unión;

k)

introducción de mejoras en las normas de contratación pública a fin de garantizar un elevado nivel común de ciberseguridad mediante: i) la eliminación de los obstáculos contractuales que limitan la comunicación de información al CERT-EU, por parte de los proveedores de servicios de TIC, acerca de incidentes, vulnerabilidades y ciberamenazas, ii) obligaciones contractuales de notificar incidentes, vulnerabilidades y ciberamenazas, así como de disponer de mecanismos adecuados de respuesta y seguimiento de incidentes.

1.   El CERT-EU podrá cooperar con otros homólogos pertenecientes a la Unión distintos de los mencionados en el artículo 17, que deban cumplir los requisitos de la Unión en materia de ciberseguridad, incluidos los de sectores específicos de la industria, en lo tocante a herramientas y métodos tales como técnicas, tácticas, procedimientos y mejores prácticas, y en lo tocante a las ciberamenazas y las vulnerabilidades. A los efectos de la cooperación con dichos homólogos, el CERT-EU solicitará la aprobación previa del CIIC en función de cada caso. Cuando el CERT-EU establezca una cooperación con dichos homólogos, informará a los homólogos pertinentes de los Estados miembros a que se refiere el artículo 17, apartado 1, del Estado miembro en el que esté ubicado el homólogo. Cuando proceda y resulte apropiado, dicha cooperación y sus condiciones, incluidas las relativas a la ciberseguridad, la protección de datos y el manejo de la información, se establecerán en acuerdos de confidencialidad específicos, como contratos o acuerdos administrativos. Los acuerdos de confidencialidad no requerirán la aprobación previa del CIIC, pero sí se informará a su presidente. En caso de necesidad urgente e inminente de intercambiar información sobre ciberseguridad en interés de las entidades_de_la_Unión o de otra parte, el CERT-EU podrá hacerlo con una entidad cuya competencia, capacidad y experiencia específicas sean necesarios justificadamente para prestar asistencia ante tal necesidad urgente e inminente, incluso si el CERT-EU no cuenta con un acuerdo de confidencialidad con dicha entidad. En tales casos, el CERT-EU informará inmediatamente al presidente del CIIC e informará al CIIC mediante informes periódicos o reuniones.

2.   El CERT-EU podrá cooperar con socios, como entidades comerciales, incluidas entidades de sectores específicos de la industria, organizaciones internacionales, entidades nacionales no pertenecientes a la Unión o expertos individuales, con el fin de recopilar información sobre ciberamenazas, cuasi incidentes, vulnerabilidades y posibles contramedidas generales y específicas. A los efectos de una cooperación más amplia con dichos socios, el CERT-EU solicitará la aprobación previa del CIIC en función de cada caso.

3.   El CERT-EU podrá proporcionar, con el consentimiento de la entidad de la Unión afectada por un incidente y siempre que exista un acuerdo o contrato de confidencialidad con el homólogo o socio pertinente, información relacionada con el incidente específico a los homólogos o socios a que se refieren los apartados 1 y 2 con el único fin de contribuir a su análisis.

1.   De forma voluntaria, las entidades_de_la_Unión podrán notificar y proporcionar al CERT-EU información sobre incidentes, ciberamenazas, cuasi incidentes y vulnerabilidades que les afecten. El CERT-EU velará por disponer de medios eficaces de comunicación, con un alto grado de trazabilidad, confidencialidad y fiabilidad, al objeto de facilitar el intercambio de información con las entidades_de_la_Unión. Al tratar las notificaciones, el CERT-EU podrá dar prioridad a la tramitación de notificaciones obligatorias sobre la de notificaciones voluntarias. Sin perjuicio de lo dispuesto en el artículo 12, la notificación voluntaria no dará lugar a la imposición de obligaciones adicionales a la entidad de la Unión notificante a las que no estaría sujeta de no haber presentado dicha notificación.

2.   A fin de desempeñar su misión y las funciones atribuidas en virtud del artículo 13, el CERT-EU podrá solicitar a las entidades_de_la_Unión que le proporcionen información acerca de sus respectivos inventarios de sistemas de TIC, incluida información sobre ciberamenazas, cuasi incidentes, vulnerabilidades, indicadores de compromiso, alertas de ciberseguridad y recomendaciones relativas a la configuración de las herramientas de ciberseguridad para detectar incidentes. La entidad de la Unión objeto de la solicitud transmitirá sin demora indebida la información solicitada, así como toda actualización posterior de la información.

3.   El CERT-EU podrá intercambiar con las entidades_de_la_Unión información específica sobre incidentes en la que se revele la identidad de la entidad de la Unión afectada por el incidente, siempre que esta dé su consentimiento. Cuando una entidad de la Unión deniegue su consentimiento, comunicará al CERT-EU los motivos que justifiquen su decisión.

4.   Previa solicitud, las entidades_de_la_Unión compartirán información con el Parlamento Europeo y el Consejo sobre la finalización de los planes de ciberseguridad.

5.   El CIIC o el CERT-EU, según proceda, compartirán, previa solicitud, directrices, recomendaciones y llamamientos a la acción con el Parlamento Europeo y el Consejo.

6.   Las obligaciones de intercambio de información establecidas en el presente artículo no se exigirán respecto de:

a)

la ICUE;

b)	la información cuya distribución ulterior haya sido excluida mediante una marca visible, a menos que se haya autorizado expresamente su intercambio con el CERT-EU.

1.   Un incidente se considerará significativo si:

a)	ha causado o puede causar graves perturbaciones operativas o pérdidas económicas para la entidad de la Unión afectada;

b)	ha afectado o puede afectar a otras personas físicas o jurídicas al causar perjuicios materiales o inmateriales considerables.

2.   Las entidades_de_la_Unión presentarán al CERT-EU:

a)

sin demora indebida, y en cualquier caso en el plazo de veinticuatro horas desde que se haya tenido constancia del incidente significativo, una alerta temprana en la que se indicará, cuando proceda, si cabe sospechar que el incidente significativo responde a una acción ilícita o malintencionada o puede tener repercusiones entre entidades o repercusiones transfronterizas;

b)

sin demora indebida, y en cualquier caso en el plazo de setenta y dos horas desde que se haya tenido constancia del incidente significativo, una notificación del incidente en la que se actualizará, cuando proceda, la información a que se refiere la letra a) y se expondrá una evaluación inicial del incidente significativo, incluyendo su gravedad e impacto, así como indicadores de compromiso, cuando estén disponibles;

c)	a petición del CERT-EU, un informe intermedio con las actualizaciones pertinentes sobre la situación;

d)

un informe final, a más tardar un mes después de presentar la notificación del incidente a que se refiere la letra b), en el que se recojan, entre otros, los siguientes elementos: i) una descripción detallada del incidente, incluidos su gravedad y repercusiones, ii) el tipo de amenaza o causa principal que probablemente haya desencadenado el incidente, iii) las medidas paliativas aplicadas y en curso, iv) cuando proceda, las repercusiones transfronterizas o entre entidades del incidente;

e)	en el caso de que el incidente esté ocurriendo en el mismo momento de la presentación del informe final mencionado en la letra d), un informe de la situación en ese momento y un informe final en el plazo de un mes a partir de que se haya gestionado el incidente.

3.   Las entidades_de_la_Unión informarán, sin demora indebida, y en cualquier caso en el plazo de veinticuatro horas desde la constatación de un incidente significativo, a los homólogos pertinentes a los que se refiere el artículo 17, apartado 1, del Estado miembro en el que estén ubicadas, de que se ha producido un incidente significativo.

4.   Las entidades_de_la_Unión notificarán, entre otras cosas, cualquier información que permita al CERT-EU determinar las repercusiones entre entidades, las repercusiones en el Estado miembro de acogida o las repercusiones transfronterizas después de un incidente significativo. Sin perjuicio de lo dispuesto en el artículo 12, el mero acto de notificar no incrementará la responsabilidad de la entidad de la Unión.

5.   Cuando proceda, las entidades_de_la_Unión comunicarán, sin demora indebida, a los usuarios de los sistemas_de_redes_y_de_información afectados o de otros componentes del entorno de TIC que puedan verse afectados por un incidente significativo o una ciberamenaza significativa y que, en su caso, deban adoptar medidas paliativas, las medidas o soluciones que pueden adoptar en respuesta al incidente o la amenaza. Cuando proceda, las entidades_de_la_Unión informarán de la propia ciberamenaza significativa a dichos usuarios.

6.   Cuando un incidente significativo o una ciberamenaza significativa afecte a un sistema de redes y de información o a un componente del entorno de TIC de una entidad de la Unión de la que se tenga conocimiento que está conectada con el entorno de TIC de otra entidad de la Unión, el CERT-EU emitirá la correspondiente alerta de ciberseguridad.

7.   A petición del CERT-EU, las entidades_de_la_Unión le proporcionarán, sin demora indebida, la información digital generada por el uso de dispositivos electrónicos implicados en sus respectivos incidentes. El CERT-EU podrá proporcionar más detalles sobre el tipo de información que necesita a efectos del conocimiento situacional y la respuesta a incidentes.

8.   El CERT-EU presentará al CIIC, a la ENISA, al EU INTCEN y a la red de CSIRT, cada tres meses, un informe de síntesis que contendrá datos anonimizados y agregados sobre los incidentes significativos, los incidentes, las ciberamenazas, los cuasi incidentes y las vulnerabilidades en virtud del artículo 20 y los incidentes significativos notificados en virtud del apartado 2 del presente artículo. El informe de síntesis se incorporará al informe bienal sobre la situación de la ciberseguridad en la Unión, adoptado en virtud del artículo 18 de la Directiva (UE) 2022/2555.

9.   A más tardar el 8 de julio de 2024, el CIIC emitirá directrices o recomendaciones que especifiquen con mayor detalle los mecanismos, el formato y el contenido de las notificaciones previstas en el presente artículo. Al preparar dichas directrices o recomendaciones, el CIIC tendrá en cuenta cualquier acto de ejecución adoptado en virtud del artículo 23, apartado 11, de la Directiva (UE) 2022/2555 en el que se especifique el tipo de información, el formato y el procedimiento de las notificaciones. El CERT-EU difundirá los detalles técnicos pertinentes a fin de facilitar la detección proactiva, la respuesta a incidentes o la adopción de medidas paliativas por parte de las entidades_de_la_Unión.

10.   Las obligaciones de notificación establecidas en el presente artículo no se exigirán respecto de:

a)

la ICUE;

b)	la información cuya distribución ulterior haya sido excluida mediante una marca visible, a menos que se haya autorizado expresamente su intercambio con el CERT-EU.