keyboard_tab Cyber Resilience Act 2023/2841 ES
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Art. 3 Definiciones
- 1 Art. 7 Evaluaciones de la madurez de la ciberseguridad
- 1 Art. 23 Gestión de incidentes graves
CAPITULO I
DISPOSICIONES GENERALES
CAPITULO II
MEDIDAS DESTINADAS A GARANTIZAR UN ELEVADO NIVEL COMUN DE CIBERSEGURIDAD
CAPITULO III
CONSEJO INTERINSTITUCIONAL DE CIBERSEGURIDAD
CAPITULO IV
CERT-EU
CAPITULO V
OBLIGACIONES DE COOPERACION E INFORMACION
CAPITULO VI
DISPOSICIONES FINALES
- entidades de la Unión
- sistemas de redes y de información
- seguridad de los sistemas de redes y de información
- ciberseguridad
- más alto nivel de dirección
- cuasiincidente
- incidente
- incidente grave
- incidente de ciberseguridad a gran escala
- gestión de incidentes
- ciberamenaza
- ciberamenaza significativa
- vulnerabilidad
- riesgo de ciberseguridad
- servicio de computación en nube
- artículo 20
- ue / 13
- punto 12
- gestión 12
- según 12
- ciberseguridad 11
- directiva 11
- define 11
- incidentes 10
- graves 8
- entidades_de_la_unión 8
- unión 8
- incidente 6
- para 6
- madurez 5
- entidad 5
- apartado 4
- cibercrisis 4
- evaluaciones 4
- virtud 4
- plan 3
- información 3
- entre 3
- elementos 3
- respectivas 3
- las 3
- ciberamenaza 3
- europea 3
- reglamento 3
- tratado 3
- intercambio 2
- técnicos 2
- conocimientos 2
- inventario 2
- arreglo 2
- punto 2
- perjuicio 2
- refiere 2
- sistemas_de_redes_y_de_información 2
- con 2
- cada 2
- menos 2
- cuasi 2
- incidente»: 2
- presente 2
- gran 2
- disponibles 2
- nivel 2
- ciberseguridad»: 2
- pertinente 2
Artículo 3
Definiciones
A los efectos del presente Reglamento, se entenderá por:
| 1) | « entidades_de_la_Unión»: las instituciones, los órganos y los organismos de la Unión creados o constituidos en virtud del Tratado de la Unión Europea, el Tratado de Funcionamiento de la Unión Europea (TFUE) o el Tratado constitutivo de la Comunidad Europea de la Energía Atómica; |
| 2) | « sistemas_de_redes_y_de_información»: los sistemas_de_redes_y_de_información según se definen en el artículo 6, punto 1, de la Directiva (UE) 2022/2555; |
| 3) | «seguridad de los sistemas_de_redes_y_de_información»: la seguridad de los sistemas_de_redes_y_de_información según se define en el artículo 6, punto 2, de la Directiva (UE) 2022/2555; |
| 4) | « ciberseguridad»: la ciberseguridad según se define en el artículo 2, punto 1, del Reglamento (UE) 2019/881; |
| 5) | « más_alto_nivel_de_dirección»: el cargo directivo, el órgano de gestión o el órgano de coordinación y supervisión, al más alto nivel administrativo, responsable del funcionamiento de una entidad de la Unión, y que tenga encomendada la adopción o autorización de decisiones con arreglo a los sistemas de gobernanza de alto nivel de dicha entidad de la Unión, sin perjuicio de las responsabilidades formales de otros niveles de gestión respecto al cumplimiento y a la gestión de riesgos de ciberseguridad en sus respectivas áreas de responsabilidad; |
| 6) | « cuasi incidente»: un cuasi incidente según se define en el artículo 6, punto 5, de la Directiva (UE) 2022/2555; |
| 7) | « incidente»: un incidente según se define en el artículo 6, punto 6, de la Directiva (UE) 2022/2555; |
| 8) | « incidente grave»: un incidente que cause perturbaciones que superen la capacidad de una entidad de la Unión o del CERT-EU para responder a él o que afecte significativamente a dos entidades_de_la_Unión como mínimo; |
| 9) | « incidente de ciberseguridad a gran escala»: un incidente de ciberseguridad a gran escala según se define en el artículo 6, punto 7, de la Directiva (UE) 2022/2555; |
| 10) | «gestión de incidentes»: la gestión de incidentes según se define en el artículo 6, punto 8, de la Directiva (UE) 2022/2555; |
| 11) | « ciberamenaza»: una ciberamenaza según se define en el artículo 2, punto 8, del Reglamento (UE) 2019/881; |
| 12) | « ciberamenaza significativa»: una ciberamenaza significativa según se define en el artículo 6, punto 11, de la Directiva (UE) 2022/2555; |
| 13) | « vulnerabilidad»: una vulnerabilidad según se define en el artículo 6, punto 15, de la Directiva (UE) 2022/2555; |
| 14) | «riesgo de ciberseguridad»: un riesgo según se define en el artículo 6, punto 9, de la Directiva (UE) 2022/2555; |
| 15) | « servicio_de_computación_en_nube»: un servicio_de_computación_en_nube según se define en el artículo 6, punto 30, de la Directiva (UE) 2022/2555. |
Artículo 7
Evaluaciones de la madurez de la ciberseguridad
1. A más tardar el 8 de julio de 2025, y posteriormente al menos cada dos años, cada entidad de la Unión realizará una evaluación de la madurez de ciberseguridad que englobará todos los elementos de su entorno de TIC.
2. Las evaluaciones de la madurez de la ciberseguridad se realizarán, cuando proceda, con la asistencia de un tercero especializado.
3. Las entidades_de_la_Unión con estructuras similares podrán cooperar en la realización de las evaluaciones de la madurez de la ciberseguridad de sus respectivas entidades.
4. Previa solicitud del Consejo Interinstitucional de Ciberseguridad creado en virtud del artículo 10 y con el consentimiento expreso de la entidad de la Unión de que se trate, los resultados de las evaluaciones de la madurez de la ciberseguridad podrán examinarse en el seno de dicho Consejo o en la red informal de responsables locales de ciberseguridad a fin de aprender de la experiencia adquirida y compartir buenas prácticas.
Artículo 23
Gestión de incidentes graves
1. Con el fin de apoyar desde el punto de vista operativo la gestión coordinada de incidentes graves que afecten a entidades_de_la_Unión y de contribuir al intercambio periódico de información pertinente entre las entidades_de_la_Unión y con los Estados miembros, el CIIC establecerá un plan de gestión de cibercrisis, en virtud del artículo 11, letra q), basado en las actividades a que se refiere el artículo 22, apartado 2, en estrecha cooperación con el CERT-EU y con la ENISA. El plan de gestión de cibercrisis incluirá al menos los elementos siguientes:
| a) | los mecanismos para la coordinación y el flujo de información entre las entidades_de_la_Unión para la gestión de incidentes graves en el plano operativo; |
| b) | procedimientos operativos normalizados comunes (SOPs por sus siglas en inglés); |
| c) | una taxonomía común de la gravedad de los incidentes graves y los elementos causantes de crisis; |
| d) | ejercicios periódicos; |
| e) | los canales de comunicación seguros que han de utilizarse. |
2. Con arreglo al plan de gestión de cibercrisis establecido en virtud del apartado 1 del presente artículo y sin perjuicio de lo dispuesto en el artículo 16, apartado 2, párrafo primero, de la Directiva (UE) 2022/2555, el representante de la Comisión en el CIIC será el punto de contacto para el intercambio de información pertinente sobre incidentes graves con EU-CyCLONe.
3. El CERT-EU coordinará la gestión de los incidentes graves entre las entidades_de_la_Unión. Llevará un inventario de los conocimientos técnicos disponibles que serían necesarios para la respuesta a incidentes en caso de incidentes graves y asistirá al CIIC a coordinar los planes de gestión de cibercrisis de las entidades_de_la_Unión para los incidentes graves a que se refiere el artículo 9, apartado 2.
4. Las entidades_de_la_Unión contribuirán al inventario de conocimientos técnicos proporcionando una lista, que actualizarán anualmente, en la que figuren los expertos disponibles en sus respectivas organizaciones, junto con una descripción detallada de sus capacidades técnicas específicas.
CAPITULO VI
DISPOSICIONES FINALES
whereas