keyboard_tab Cyber Resilience Act 2023/2841 ES
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 3 Art. 6 Marco de gestión, gobernanza y control de riesgos de ciberseguridad
- 2 Art. 8 Medidas de gestión de riesgos de ciberseguridad
- 1 Art. 11 Funciones del CIIC
- 2 Art. 15
- 1 Art. 16 Aspectos financieros y de personal
CAPITULO I
DISPOSICIONES GENERALES
CAPITULO II
MEDIDAS DESTINADAS A GARANTIZAR UN ELEVADO NIVEL COMUN DE CIBERSEGURIDAD
CAPITULO III
CONSEJO INTERINSTITUCIONAL DE CIBERSEGURIDAD
CAPITULO IV
CERT-EU
CAPITULO V
OBLIGACIONES DE COOPERACION E INFORMACION
CAPITULO VI
DISPOSICIONES FINALES
- entidades de la Unión
- sistemas de redes y de información
- seguridad de los sistemas de redes y de información
- ciberseguridad
- más alto nivel de dirección
- cuasiincidente
- incidente
- incidente grave
- incidente de ciberseguridad a gran escala
- gestión de incidentes
- ciberamenaza
- ciberamenaza significativa
- vulnerabilidad
- riesgo de ciberseguridad
- servicio de computación en nube
- ciberseguridad 45
- del cert-eu 34
- unión 28
- para 27
- entidad 27
- artículo 24
- entidades_de_la_unión 21
- gestión 19
- sobre 18
- servicios 18
- director 17
- presente 16
- riesgos 16
- aplicación 15
- reglamento 15
- marco 15
- cada 13
- medidas 13
- nivel 13
- seguridad 12
- apartado 11
- el cert-eu 10
- responsable 9
- incluidos 9
- como 9
- aprobar 9
- propuesta 9
- incidentes 9
- personal 9
- cuenta 9
- actividades 8
- de tic 8
- comisión 8
- el 8
- acuerdos 8
- más_alto_nivel_de_dirección 7
- refiere 7
- caso 7
- base 7
- entre 7
- cualquier 7
- funciones 7
- servicio 7
- al cert-eu 7
- local 6
- informes 6
- financiero 6
- anual 6
- del ciic 6
- virtud 6
Artículo 6
Marco de gestión, gobernanza y control de riesgos de ciberseguridad
1. A más tardar el 8 de abril de 2025, cada entidad de la Unión, tras llevar a cabo un análisis inicial de la ciberseguridad, que puede consistir en una auditoría, establecerá un marco interno de gestión, gobernanza y control de riesgos de ciberseguridad (en lo sucesivo, «marco»). El más_alto_nivel_de_dirección de la entidad de la Unión supervisará y será responsable del establecimiento del marco.
2. El marco abarcará la totalidad del entorno de TIC no clasificado de la entidad de la Unión de que se trate, incluidos cualquier entorno local de TIC, de red tecnológica operativa, activos externalizados y servicios en entornos de computación en la nube o alojados por terceros, dispositivos móviles, redes corporativas, redes profesionales no conectadas a internet y dispositivos conectados a dichos entornos (en lo sucesivo, «entorno de TIC»). El marco se basará en un planteamiento que contemple todas las amenazas.
3. El marco garantizará un elevado nivel de ciberseguridad. El marco establecerá políticas internas de ciberseguridad, incluidos objetivos y prioridades, para la seguridad de los sistemas_de_redes_y_de_información, y las funciones y responsabilidades del personal de la entidad de la Unión encargado de garantizar la aplicación efectiva del presente Reglamento. El marco incluirá asimismo mecanismos para medir la eficacia de la aplicación.
4. El marco se revisará de forma periódica, a la luz de la evolución de los riesgos de ciberseguridad, y, como mínimo, cada cuatro años. Cuando proceda y previa solicitud del Consejo Interinstitucional de Ciberseguridad creado en virtud del artículo 10, el marco de una entidad de la Unión se actualizará basándose en las orientaciones del CERT-EU relativas a los incidentes detectados o las posibles deficiencias constatadas en la aplicación del presente Reglamento.
5. El más_alto_nivel_de_dirección de cada entidad de la Unión será responsable de la aplicación del presente Reglamento y supervisará el cumplimiento de sus obligaciones relacionadas con el marco.
6. Cuando proceda, y sin perjuicio de su responsabilidad en la aplicación del presente Reglamento, el más_alto_nivel_de_dirección de cada entidad de la Unión podrá delegar obligaciones específicas en virtud del presente Reglamento en altos funcionarios en el sentido del artículo 29, apartado 2, del Estatuto de los funcionarios, u otros funcionarios de nivel equivalente, dentro de la entidad de la Unión de que se trate. Independientemente de dicha delegación, el más_alto_nivel_de_dirección podrá ser considerado responsable de las infracciones del presente Reglamento en que incurra la entidad de la Unión de que se trate.
7. Cada entidad de la Unión dispondrá de mecanismos eficaces para asegurar que un porcentaje adecuado de su presupuesto de TIC se destine a la ciberseguridad. Al fijar ese porcentaje se tendrá debidamente en cuenta el marco.
8. Cada entidad de la Unión designará a su responsable local de ciberseguridad, o a una persona con una función equivalente, que será el punto de contacto único para todos los aspectos relacionados con la ciberseguridad. El responsable local de ciberseguridad facilitará la aplicación del presente Reglamento e informará directamente al más_alto_nivel_de_dirección de manera periódica sobre el estado de la aplicación. Sin perjuicio de que el responsable local de ciberseguridad sea el punto de contacto en cada entidad de la Unión, la entidad de la Unión podrá delegar determinadas funciones del responsable local de ciberseguridad relativas a la aplicación del presente Reglamento en el CERT-EU mediante un acuerdo de nivel de servicio celebrado entre dicha entidad de la Unión y el CERT-EU, o se podrán compartir esas funciones entre varias entidades_de_la_Unión. Cuando dichas funciones se deleguen en el CERT-EU, el Consejo Interinstitucional de Ciberseguridad creado en virtud del artículo 10 decidirá si la prestación de ese servicio formará parte de los servicios básicos del CERT-EU, teniendo en cuenta los recursos humanos y financieros de la entidad de la Unión de que se trate. Cada entidad de la Unión comunicará al CERT-EU sin demora indebida quién haya sido designado responsable local de ciberseguridad y cualquier cambio posterior a este respecto.
El CERT-EU elaborará y actualizará una lista de los responsables locales de ciberseguridad designados.
9. Los altos funcionarios en el sentido del artículo 29, apartado 2, del Estatuto de los funcionarios, u otros funcionarios de nivel equivalente, de cada entidad de la Unión, así como todo el personal pertinente encargado de aplicar las medidas de gestión de riesgos de ciberseguridad y de cumplir las obligaciones establecidas en el presente Reglamento, recibirán periódicamente formación específica a fin de adquirir los conocimientos y las capacidades suficientes para comprender y evaluar las prácticas de gestión de riesgos de ciberseguridad y su repercusión en las actividades de la entidad de la Unión.
Artículo 8
Medidas de gestión de riesgos de ciberseguridad
1. Sin demora indebida y, en cualquier caso, a más tardar el 8 de septiembre de 2025, cada entidad de la Unión adoptará, bajo la supervisión de su más_alto_nivel_de_dirección, las medidas técnicas, operativas y organizativas adecuadas y proporcionadas para gestionar los riesgos de ciberseguridad identificados en el marco y prevenir o minimizar los efectos de los incidentes. Teniendo en cuenta el estado de la tecnología y, en su caso, las normas técnicas europeas e internacionales, dichas medidas garantizarán un nivel de seguridad de los sistemas_de_redes_y_de_información en todo el entorno de TIC que guarde proporción con los riesgos de ciberseguridad existentes. Al evaluar la proporcionalidad de dichas medidas, se tendrá debidamente en cuenta el grado de exposición de la entidad de la Unión a los riesgos de ciberseguridad, el tamaño de dicha entidad y la probabilidad de que se produzcan incidentes y la gravedad de estos, incluidos sus efectos sociales, económicos e interinstitucionales.
2. Las entidades_de_la_Unión abordarán al menos los siguientes aspectos en la aplicación de las medidas de gestión de riesgos de ciberseguridad:
| a) | la política de ciberseguridad, incluidas las medidas necesarias para alcanzar los objetivos y prioridades a que se refieren el artículo 6 y el apartado 3 del presente artículo; |
| b) | las políticas de análisis de riesgos de ciberseguridad y seguridad de los sistemas de información; |
| c) | los objetivos de la política de ciberseguridad relativos al uso de servicios de computación en nube; |
| d) | la auditoría de ciberseguridad, cuando proceda, que podrá incluir una evaluación de los riesgos de ciberseguridad, de la vulnerabilidad y de las ciberamenazas, y las pruebas de penetración realizadas periódicamente por un proveedor privado de confianza; |
| e) | la aplicación de las recomendaciones resultantes de las auditorías de ciberseguridad a que se refiere la letra d) por medio de actualizaciones de la ciberseguridad y de la política de ciberseguridad; |
| f) | la organización de la ciberseguridad, incluida la determinación de funciones y responsabilidades; |
| g) | la gestión de activos, incluidos un inventario de los activos de TIC y la cartografía de las redes de TIC; |
| h) | la seguridad en materia de recursos humanos y el control del acceso; |
| i) | la seguridad de las operaciones; |
| j) | la seguridad de las comunicaciones; |
| k) | la adquisición, el desarrollo y el mantenimiento de los sistemas, incluidas las políticas de gestión y divulgación de vulnerabilidades; |
| l) | cuando sea posible, las políticas de transparencia del código fuente; |
| m) | la seguridad de la cadena de suministro, incluidos los aspectos de seguridad relativos a las relaciones entre cada entidad de la Unión y sus proveedores o prestadores de servicios directos; |
| n) | la gestión de incidentes y la cooperación con el CERT-EU, como el mantenimiento de los registros y del seguimiento de seguridad; |
| o) | la gestión de la continuidad de las actividades, como la gestión de copias de seguridad y la recuperación en caso de catástrofe, y la gestión de crisis, y |
| p) | la promoción y el desarrollo de programas de educación, capacidades, concienciación, ejercicios y formación en materia de ciberseguridad. |
A efectos del párrafo primero, letra m), las entidades_de_la_Unión tendrán en cuenta las vulnerabilidades específicas de cada proveedor y prestador de servicios directo y la calidad general de los productos y de las prácticas de ciberseguridad de sus proveedores y prestadores de servicios, incluidos sus procedimientos de desarrollo seguro.
3. Las entidades_de_la_Unión adoptarán al menos las siguientes medidas concretas de gestión de riesgos de ciberseguridad:
| a) | disposiciones técnicas para permitir y mantener el teletrabajo; |
| b) | medidas concretas para avanzar hacia principios de confianza cero; |
| c) | uso de la autenticación multifactor como norma en la totalidad de los sistemas_de_redes_y_de_información; |
| d) | uso de la criptografía y el cifrado, y en particular el cifrado de extremo a extremo, así como de la firma digital segura; |
| e) | en su caso, implantación de comunicaciones de voz, vídeo y texto seguras, y de sistemas de comunicaciones de emergencia seguras dentro de la entidad de la Unión; |
| f) | medidas proactivas para la detección y retirada de programas maliciosos y programas espía; |
| g) | garantía de la seguridad de la cadena de suministro de software mediante criterios para la evaluación y desarrollo seguros de software; |
| h) | establecimiento y adopción de programas de formación sobre ciberseguridad que guarden proporción con las tareas exigidas y las capacidades previstas para el más_alto_nivel_de_dirección y para el personal de la entidad de la Unión encargado de garantizar la aplicación efectiva del presente Reglamento; |
| i) | formación periódica en materia de ciberseguridad para el personal; |
| j) | cuando sea pertinente, participación en análisis de riesgos de interconexión entre entidades_de_la_Unión; |
| k) | introducción de mejoras en las normas de contratación pública a fin de garantizar un elevado nivel común de ciberseguridad mediante:
|
Artículo 11
Funciones del CIIC
En el ejercicio de sus responsabilidades, el CIIC deberá en particular:
| a) | proporcionar orientación al director del CERT-EU; |
| b) | hacer un seguimiento y supervisar eficazmente la aplicación del presente Reglamento y apoyar a las entidades_de_la_Unión para reforzar su ciberseguridad, incluyendo, cuando proceda, la solicitud de informes ad hoc a las entidades_de_la_Unión y al CERT-EU; |
| c) | tras un debate estratégico, adoptar una estrategia plurianual sobre el aumento del nivel de ciberseguridad de las entidades_de_la_Unión, evaluar dicha estrategia periódicamente, en cualquier caso cada cinco años, y, de ser necesario, modificar la estrategia; |
| d) | establecer la metodología y los aspectos organizativos para la realización de revisiones interpares voluntarias por parte de las entidades_de_la_Unión, para aprender de las experiencias compartidas, reforzar la confianza mutua, lograr un elevado nivel común de ciberseguridad y mejorar las capacidades de ciberseguridad de las entidades_de_la_Unión, garantizando que dichas revisiones interpares sean realizadas por expertos en ciberseguridad designados por una entidad de la Unión distinta de la entidad de la Unión objeto de revisión y que la metodología se base en el artículo 19 de la Directiva (UE) 2022/2555 y, en su caso, se adapte a las entidades_de_la_Unión; |
| e) | aprobar, sobre la base de una propuesta del director del CERT-EU, el programa de trabajo anual del CERT-EU y hacer un seguimiento de su ejecución; |
| f) | aprobar, sobre la base de una propuesta del director del CERT-EU, el catálogo de servicios del CERT-EU y toda actualización al respecto; |
| g) | aprobar, sobre la base de una propuesta del director del CERT-EU, el plan financiero anual de ingresos y gastos, incluida la dotación de personal, para las actividades del CERT-EU; |
| h) | aprobar, sobre la base de una propuesta del director del CERT-EU, las disposiciones de los acuerdos de nivel de servicio; |
| i) | examinar y aprobar el informe anual elaborado por el director del CERT-EU sobre las actividades y la gestión de fondos del CERT-EU; |
| j) | aprobar y hacer un seguimiento de los indicadores clave de rendimiento (KPI, por sus siglas en inglés) del CERT-EU establecidos sobre la base de una propuesta de su director; |
| k) | aprobar los acuerdos de cooperación, los acuerdos de nivel de servicio o los contratos celebrados entre el CERT-EU y otras entidades en virtud del artículo 18; |
| l) | adoptar directrices y recomendaciones sobre la base de una propuesta del CERT-EU de conformidad con el artículo 14 y dar instrucciones al CERT-EU para que emita, retire o modifique alguna propuesta de directrices o de recomendaciones o algún llamamiento a la acción; |
| m) | establecer grupos de asesoramiento técnico con tareas concretas para asistir al CIIC en su labor, aprobar su mandato y nombrar a los respectivos presidentes; |
| n) | recibir y evaluar los documentos e informes presentados por las entidades_de_la_Unión con arreglo al presente Reglamento, como las evaluaciones de madurez de la ciberseguridad; |
| o) | facilitar la creación de un grupo informal de responsables locales de ciberseguridad de las entidades_de_la_Unión, apoyado por la ENISA, con el objetivo de intercambiar mejores prácticas e información en relación con la aplicación del presente Reglamento; |
| p) | teniendo en cuenta la información proporcionada por el CERT-EU sobre los riesgos de ciberseguridad detectados y las lecciones aprendidas, supervisar la adecuación de los mecanismos de interconexión entre los entornos de TIC de las entidades_de_la_Unión y asesorar sobre posibles mejoras; |
| q) | establecer un plan de gestión de cibercrisis para apoyar, desde el punto de vista operativo, la gestión coordinada de los incidentes graves que afecten a las entidades_de_la_Unión y contribuir al intercambio periódico de información pertinente, en particular en lo que se refiere a los efectos y la gravedad de los incidentes graves y las posibles formas de reducir sus efectos; |
| r) | coordinar la adopción de los planes de gestión de cibercrisis de las distintas entidades_de_la_Unión, a que se refiere el artículo 9, apartado 2; |
| s) | adoptar recomendaciones en relación con la seguridad de la cadena de suministro a que se refiere el artículo 8, apartado 2, párrafo primero, letra m), teniendo en cuenta los resultados de las evaluaciones de riesgo coordinadas a escala de la Unión sobre las cadenas de suministro críticas a las que se refiere el artículo 22 de la Directiva (UE) 2022/2555 para apoyar a las entidades_de_la_Unión en la adopción de medidas de gestión de riesgos de ciberseguridad eficaces y proporcionadas. |
Artículo 15
1. La Comisión, tras obtener la aprobación por mayoría de dos tercios de los miembros del CIIC, nombrará al director del CERT-EU. Se consultará al CIIC en todas las fases del procedimiento de nombramiento, en particular por lo que respecta a la redacción de las convocatorias para la provisión de vacantes, el examen de las candidaturas y la designación de los comités de selección para el puesto. El procedimiento de selección, incluida la lista definitiva de candidatos preseleccionados a partir de la cual se nombrará al director del CERT-EU, garantizará una representación equitativa de cada género, teniendo en cuenta las candidaturas presentadas.
2. El director del CERT-EU será responsable del correcto funcionamiento del CERT-EU y actuará dentro de los límites de sus atribuciones y bajo la dirección del CIIC. El director del CERT-EU informará periódicamente al presidente del CIIC y presentará informes ad hoc al CIIC a petición de este.
3. El director del CERT-EU prestará asistencia al ordenador delegado competente en la redacción del informe anual de actividades que contenga datos financieros y de gestión, incluidos los resultados de los controles, elaborado de conformidad con el artículo 74, apartado 9, del Reglamento (UE, Euratom) 2018/1046 del Parlamento Europeo y del Consejo (9), e informará periódicamente al ordenador delegado sobre la aplicación de las medidas respecto de las cuales se le hayan subdelegado competencias al director del CERT-EU.
4. El director del CERT-EU elaborará anualmente un plan financiero de ingresos y gastos administrativos en relación con sus actividades, una propuesta de programa de trabajo anual, una propuesta de catálogo de servicios del CERT-EU, propuestas de revisión del catálogo de servicios, propuestas de disposiciones de los acuerdos de nivel de servicio y propuestas de KPI del CERT-EU que deberá aprobar el CIIC de conformidad con el artículo 11. A la hora de revisar la lista de servicios del catálogo del CERT-EU, su director tendrá en cuenta los recursos que hayan sido asignados al CERT-EU.
5. El director del CERT-EU presentará, al menos una vez al año, informes al CIIC y a su presidente sobre las actividades y el desempeño del CERT-EU durante el período de referencia, también sobre la ejecución del presupuesto, los acuerdos de nivel de servicio y los acuerdos escritos celebrados, la cooperación con homólogos y socios, y las misiones realizadas por el personal del CERT-EU, incluidos los informes a que se refiere el artículo 11. Dichos informes incluirán el programa de trabajo para el período siguiente, el plan financiero de ingresos y gastos, incluidas la dotación de personal, las actualizaciones previstas del catálogo de servicios del CERT-EU y una evaluación de las repercusiones esperadas que dichas actualizaciones puedan tener en términos de recursos financieros y humanos.
Artículo 16
Aspectos financieros y de personal
1. El CERT-EU se integrará en la estructura administrativa de alguna dirección general de la Comisión con el fin de beneficiarse de las estructuras de apoyo administrativo, financiero y contable de la Comisión, manteniendo al mismo tiempo su condición de proveedor de servicios interinstitucional autónomo para todas las entidades_de_la_Unión. La Comisión informará al CIIC sobre la sede administrativa del CERT-EU y sobre cualquier modificación al respecto. La Comisión revisará los acuerdos administrativos relacionados con el CERT-EU de forma periódica y, en cualquier caso, antes del establecimiento de cualquier marco financiero plurianual en virtud del artículo 312 del TFUE, a fin de permitir la adopción de las medidas adecuadas. La revisión incluirá la posibilidad de constituir el CERT-EU en organismo de la Unión.
2. En la aplicación de los procedimientos administrativos y financieros, el director del CERT-EU actuará bajo la autoridad de la Comisión y bajo la supervisión del CIIC.
3. Las funciones y actividades del CERT-EU, incluidos los servicios que preste en virtud del artículo 13, apartados 3, 4, 5 y 7, y el artículo 14, apartado 1, a las entidades_de_la_Unión financiados con cargo a la rúbrica del marco financiero plurianual dedicada a la administración pública europea, se financiarán mediante una línea presupuestaria específica del presupuesto de la Comisión. Los puestos reservados al CERT-EU se detallarán en una nota a pie de página de la plantilla de personal de la Comisión.
4. Las entidades_de_la_Unión distintas de las mencionadas en el apartado 3 del presente artículo efectuarán una contribución financiera anual al CERT-EU para cubrir los servicios prestados por este de conformidad con dicho apartado. Las contribuciones se basarán en orientaciones del CIIC y serán pactadas entre cada entidad de la Unión y el CERT-EU en acuerdos de nivel de servicio. Las contribuciones representarán una parte equitativa y proporcional del coste total de los servicios prestados. Se consignarán en la línea presupuestaria específica a que se refiere el apartado 3 del presente artículo como ingresos afectados internos, de conformidad con lo previsto en el artículo 21, apartado 3, letra c), del Reglamento (UE, Euratom) 2018/1046.
5. Los costes de los servicios previstos en el artículo 13, apartado 6, se recuperarán de las entidades_de_la_Unión que reciban los servicios del CERT-EU. Los ingresos se asignarán a las líneas presupuestarias con las que se cubran los costes.
whereas