keyboard_tab Cyber Resilience Act 2023/2841 ES
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Art. 11 Funciones del CIIC
- 1 Art. 22 Coordinación de la respuesta a incidentes y cooperación
- 3 Art. 23 Gestión de incidentes graves
- 1 Art. 25 Revisión
- Artículo 26 Entrada en vigor
CAPITULO I
DISPOSICIONES GENERALES
CAPITULO II
MEDIDAS DESTINADAS A GARANTIZAR UN ELEVADO NIVEL COMUN DE CIBERSEGURIDAD
CAPITULO III
CONSEJO INTERINSTITUCIONAL DE CIBERSEGURIDAD
CAPITULO IV
CERT-EU
CAPITULO V
OBLIGACIONES DE COOPERACION E INFORMACION
CAPITULO VI
DISPOSICIONES FINALES
- entidades de la Unión
- sistemas de redes y de información
- seguridad de los sistemas de redes y de información
- ciberseguridad
- más alto nivel de dirección
- cuasiincidente
- incidente
- incidente grave
- incidente de ciberseguridad a gran escala
- gestión de incidentes
- ciberamenaza
- ciberamenaza significativa
- vulnerabilidad
- riesgo de ciberseguridad
- servicio de computación en nube
- entidades_de_la_unión 24
- sobre 21
- incidentes 20
- artículo 17
- para 16
- del cert-eu 14
- gestión 13
- ciberseguridad 12
- propuesta 10
- presente 10
- información 10
- graves 10
- base 9
- apartado 9
- aprobar 8
- el cert-eu 8
- reglamento 8
- refiere 8
- el ciic 7
- director 7
- respuesta 7
- cooperación 6
- entre 6
- comisión 6
- unión 6
- cibercrisis 6
- intercambio 6
- coordinación 6
- nivel 5
- recomendaciones 5
- plan 5
- caso 5
- aplicación 5
- incidente 4
- apoyar 4
- informe 4
- la enisa 4
- a 4
- ue / 4
- directiva 4
- cuando 4
- expertos 4
- operativo 4
- tardar 4
- pertinente 4
- más 4
- el de enero 4
- anual 3
- teniendo 3
- cuenta 3
Artículo 11
Funciones del CIIC
En el ejercicio de sus responsabilidades, el CIIC deberá en particular:
| a) | proporcionar orientación al director del CERT-EU; |
| b) | hacer un seguimiento y supervisar eficazmente la aplicación del presente Reglamento y apoyar a las entidades_de_la_Unión para reforzar su ciberseguridad, incluyendo, cuando proceda, la solicitud de informes ad hoc a las entidades_de_la_Unión y al CERT-EU; |
| c) | tras un debate estratégico, adoptar una estrategia plurianual sobre el aumento del nivel de ciberseguridad de las entidades_de_la_Unión, evaluar dicha estrategia periódicamente, en cualquier caso cada cinco años, y, de ser necesario, modificar la estrategia; |
| d) | establecer la metodología y los aspectos organizativos para la realización de revisiones interpares voluntarias por parte de las entidades_de_la_Unión, para aprender de las experiencias compartidas, reforzar la confianza mutua, lograr un elevado nivel común de ciberseguridad y mejorar las capacidades de ciberseguridad de las entidades_de_la_Unión, garantizando que dichas revisiones interpares sean realizadas por expertos en ciberseguridad designados por una entidad de la Unión distinta de la entidad de la Unión objeto de revisión y que la metodología se base en el artículo 19 de la Directiva (UE) 2022/2555 y, en su caso, se adapte a las entidades_de_la_Unión; |
| e) | aprobar, sobre la base de una propuesta del director del CERT-EU, el programa de trabajo anual del CERT-EU y hacer un seguimiento de su ejecución; |
| f) | aprobar, sobre la base de una propuesta del director del CERT-EU, el catálogo de servicios del CERT-EU y toda actualización al respecto; |
| g) | aprobar, sobre la base de una propuesta del director del CERT-EU, el plan financiero anual de ingresos y gastos, incluida la dotación de personal, para las actividades del CERT-EU; |
| h) | aprobar, sobre la base de una propuesta del director del CERT-EU, las disposiciones de los acuerdos de nivel de servicio; |
| i) | examinar y aprobar el informe anual elaborado por el director del CERT-EU sobre las actividades y la gestión de fondos del CERT-EU; |
| j) | aprobar y hacer un seguimiento de los indicadores clave de rendimiento (KPI, por sus siglas en inglés) del CERT-EU establecidos sobre la base de una propuesta de su director; |
| k) | aprobar los acuerdos de cooperación, los acuerdos de nivel de servicio o los contratos celebrados entre el CERT-EU y otras entidades en virtud del artículo 18; |
| l) | adoptar directrices y recomendaciones sobre la base de una propuesta del CERT-EU de conformidad con el artículo 14 y dar instrucciones al CERT-EU para que emita, retire o modifique alguna propuesta de directrices o de recomendaciones o algún llamamiento a la acción; |
| m) | establecer grupos de asesoramiento técnico con tareas concretas para asistir al CIIC en su labor, aprobar su mandato y nombrar a los respectivos presidentes; |
| n) | recibir y evaluar los documentos e informes presentados por las entidades_de_la_Unión con arreglo al presente Reglamento, como las evaluaciones de madurez de la ciberseguridad; |
| o) | facilitar la creación de un grupo informal de responsables locales de ciberseguridad de las entidades_de_la_Unión, apoyado por la ENISA, con el objetivo de intercambiar mejores prácticas e información en relación con la aplicación del presente Reglamento; |
| p) | teniendo en cuenta la información proporcionada por el CERT-EU sobre los riesgos de ciberseguridad detectados y las lecciones aprendidas, supervisar la adecuación de los mecanismos de interconexión entre los entornos de TIC de las entidades_de_la_Unión y asesorar sobre posibles mejoras; |
| q) | establecer un plan de gestión de cibercrisis para apoyar, desde el punto de vista operativo, la gestión coordinada de los incidentes graves que afecten a las entidades_de_la_Unión y contribuir al intercambio periódico de información pertinente, en particular en lo que se refiere a los efectos y la gravedad de los incidentes graves y las posibles formas de reducir sus efectos; |
| r) | coordinar la adopción de los planes de gestión de cibercrisis de las distintas entidades_de_la_Unión, a que se refiere el artículo 9, apartado 2; |
| s) | adoptar recomendaciones en relación con la seguridad de la cadena de suministro a que se refiere el artículo 8, apartado 2, párrafo primero, letra m), teniendo en cuenta los resultados de las evaluaciones de riesgo coordinadas a escala de la Unión sobre las cadenas de suministro críticas a las que se refiere el artículo 22 de la Directiva (UE) 2022/2555 para apoyar a las entidades_de_la_Unión en la adopción de medidas de gestión de riesgos de ciberseguridad eficaces y proporcionadas. |
Artículo 22
Coordinación de la respuesta a incidentes y cooperación
1. En el ejercicio de su función de centro de intercambio de información sobre ciberseguridad y coordinación de la respuesta a incidentes, el CERT-EU facilitará el intercambio de información sobre incidentes, ciberamenazas, vulnerabilidades y cuasi incidentes entre:
| a) | las entidades_de_la_Unión; |
| b) | los homólogos a que se refieren los artículos 17 y 18. |
2. El CERT-EU, cuando proceda en estrecha cooperación con la ENISA, facilitará la coordinación de la respuesta a incidentes entre las entidades_de_la_Unión, incluyendo lo siguiente:
| a) | contribución a una comunicación externa coherente; |
| b) | apoyo mutuo, como el intercambio de información pertinente para las entidades_de_la_Unión, o la prestación de asistencia, cuando proceda directamente in situ; |
| c) | uso óptimo de los recursos operativos; |
| d) | coordinación con otros mecanismos de respuesta a las crisis a nivel de la Unión. |
3. El CERT-EU, en estrecha cooperación con la ENISA, apoyará a las entidades_de_la_Unión en lo que respecta al conocimiento situacional en materia de incidentes, ciberamenazas, vulnerabilidades y cuasi incidentes, y compartirá información sobre los avances en materia de ciberseguridad.
4. A más tardar el 8 de enero de 2025, el CIIC adoptará, sobre la base de una propuesta del CERT-EU, directrices o recomendaciones sobre la coordinación de la respuesta a incidentes y la cooperación en caso de incidentes significativos. Cuando se sospeche que un incidente es de carácter delictivo, el CERT-EU ofrecerá asesoramiento sobre el modo de notificar el incidente a las autoridades policiales, sin demora indebida.
5. Previa solicitud específica de un Estado miembro y tras la aprobación de las entidades_de_la_Unión de que se trate, el CERT-EU podrá recurrir a expertos de la lista a que se refiere el artículo 23, apartado 4, para contribuir a la respuesta a un incidente grave que tenga repercusiones en dicho Estado miembro, o a un incidente de ciberseguridad a gran escala, de conformidad con el artículo 15, apartado 3, letra g), de la Directiva (UE) 2022/2555. Las normas específicas sobre el acceso y el recurso a expertos técnicos de las entidades_de_la_Unión serán aprobadas por el CIIC sobre la base de una propuesta del CERT-EU.
Artículo 23
Gestión de incidentes graves
1. Con el fin de apoyar desde el punto de vista operativo la gestión coordinada de incidentes graves que afecten a entidades_de_la_Unión y de contribuir al intercambio periódico de información pertinente entre las entidades_de_la_Unión y con los Estados miembros, el CIIC establecerá un plan de gestión de cibercrisis, en virtud del artículo 11, letra q), basado en las actividades a que se refiere el artículo 22, apartado 2, en estrecha cooperación con el CERT-EU y con la ENISA. El plan de gestión de cibercrisis incluirá al menos los elementos siguientes:
| a) | los mecanismos para la coordinación y el flujo de información entre las entidades_de_la_Unión para la gestión de incidentes graves en el plano operativo; |
| b) | procedimientos operativos normalizados comunes (SOPs por sus siglas en inglés); |
| c) | una taxonomía común de la gravedad de los incidentes graves y los elementos causantes de crisis; |
| d) | ejercicios periódicos; |
| e) | los canales de comunicación seguros que han de utilizarse. |
2. Con arreglo al plan de gestión de cibercrisis establecido en virtud del apartado 1 del presente artículo y sin perjuicio de lo dispuesto en el artículo 16, apartado 2, párrafo primero, de la Directiva (UE) 2022/2555, el representante de la Comisión en el CIIC será el punto de contacto para el intercambio de información pertinente sobre incidentes graves con EU-CyCLONe.
3. El CERT-EU coordinará la gestión de los incidentes graves entre las entidades_de_la_Unión. Llevará un inventario de los conocimientos técnicos disponibles que serían necesarios para la respuesta a incidentes en caso de incidentes graves y asistirá al CIIC a coordinar los planes de gestión de cibercrisis de las entidades_de_la_Unión para los incidentes graves a que se refiere el artículo 9, apartado 2.
4. Las entidades_de_la_Unión contribuirán al inventario de conocimientos técnicos proporcionando una lista, que actualizarán anualmente, en la que figuren los expertos disponibles en sus respectivas organizaciones, junto con una descripción detallada de sus capacidades técnicas específicas.
CAPITULO VI
DISPOSICIONES FINALES
Artículo 25
Revisión
1. A más tardar el 8 de enero de 2025, y anualmente a partir de entonces, el CIIC, asistido por el CERT-EU, informará a la Comisión acerca de la aplicación del presente Reglamento. El CIIC podrá formular recomendaciones a la Comisión para que revise el presente Reglamento.
2. A más tardar el 8 de enero de 2027, y posteriormente cada dos años, la Comisión evaluará la aplicación del presente Reglamento y la experiencia adquirida tanto de tipo estratégico como operativo, e informará de ello al Parlamento Europeo y al Consejo.
El informe a que se refiere el párrafo primero del presente apartado incluirá la revisión prevista en el artículo 16, apartado 1, sobre la posibilidad de constituir el CERT-EU en organismo de la Unión.
3. A más tardar el 8 de enero de 2029, la Comisión evaluará el funcionamiento del presente Reglamento y presentará un informe al Parlamento Europeo, al Consejo, al Comité Económico y Social Europeo y al Comité de las Regiones. La Comisión evaluará asimismo la conveniencia de incluir sistemas_de_redes_y_de_información que manejen ICUE en el ámbito de aplicación del presente Reglamento, teniendo en cuenta otros actos legislativos de la Unión aplicables a dichos sistemas. El informe irá acompañado, en su caso, de una propuesta legislativa.
whereas