keyboard_tab Cyber Resilience Act 2023/2841 ES
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Art. 17
- 12 Art. 21 Obligaciones de notificación
- 1 Art. 22 Coordinación de la respuesta a incidentes y cooperación
CAPITULO I
DISPOSICIONES GENERALES
CAPITULO II
MEDIDAS DESTINADAS A GARANTIZAR UN ELEVADO NIVEL COMUN DE CIBERSEGURIDAD
CAPITULO III
CONSEJO INTERINSTITUCIONAL DE CIBERSEGURIDAD
CAPITULO IV
CERT-EU
CAPITULO V
OBLIGACIONES DE COOPERACION E INFORMACION
CAPITULO VI
DISPOSICIONES FINALES
- entidades de la Unión
- sistemas de redes y de información
- seguridad de los sistemas de redes y de información
- ciberseguridad
- más alto nivel de dirección
- cuasiincidente
- incidente
- incidente grave
- incidente de ciberseguridad a gran escala
- gestión de incidentes
- ciberamenaza
- ciberamenaza significativa
- vulnerabilidad
- riesgo de ciberseguridad
- servicio de computación en nube
- incidente 26
- incidentes 25
- información 17
- sobre 16
- unión 16
- artículo 14
- entidades_de_la_unión 14
- entidad 13
- el cert-eu 12
- significativo 11
- afectada 11
- cuando 10
- demora 9
- virtud 9
- respuesta 9
- proceda 8
- repercusiones 8
- indebida 8
- del cert-eu 8
- informe 8
- entre 7
- directiva 7
- haya 7
- para 7
- apartado 6
- miembro 6
- estado 6
- ciberseguridad 6
- ue / 6
- otros 6
- caso 6
- cooperación 5
- cualquier 5
- plazo 5
- coordinación 5
- ciberamenazas 5
- homólogos 5
- vulnerabilidades 4
- específica 4
- identidad 4
- consentimiento 4
- intercambio 4
- notificación 4
- las 4
- conocimiento 4
- el ciic 4
- el cert-eu 4
- refiere 4
- como 4
- más 4
Artículo 17
1. El CERT-EU cooperará e intercambiará información, sin demora indebida, con sus homólogos de los Estados miembros, en particular los CSIRT designados o establecidos en virtud del artículo 10 de la Directiva (UE) 2022/2555, o, cuando proceda, las autoridades competentes y los puntos de contacto únicos designados o establecidos en virtud del artículo 8 de dicha Directiva, en lo concerniente a incidentes, ciberamenazas, vulnerabilidades y cuasi incidentes, posibles contramedidas, así como mejores prácticas y cualesquiera cuestiones pertinentes para la mejora de la protección del entorno de TIC de las entidades_de_la_Unión, entre otros, a través de la red de CSIRT establecida en virtud del artículo 15 de la Directiva (UE) 2022/2555. El CERT-EU prestará apoyo a la Comisión en EU-CyCLONe, establecida en virtud del artículo 16 de la Directiva (UE) 2022/2555 sobre la gestión coordinada de los incidentes de ciberseguridad a gran escala y las crisis.
2. Cuando el CERT-EU tenga conocimiento de algún incidente significativo que se produzca en el territorio de un Estado miembro, lo notificará, sin demora, al homólogo pertinente de ese Estado miembro, de conformidad con el apartado 1.
3. Siempre que los datos personales estén protegidos de conformidad con el Derecho de la Unión aplicable en materia de protección de datos, el CERT-EU intercambiará, sin demora indebida, información específica pertinente sobre incidentes con sus homólogos de los Estados miembros para facilitar la detección de ciberamenazas o incidentes similares, o para contribuir al análisis de un incidente, sin la autorización de la entidad de la Unión afectada. El CERT-EU intercambiará información específica sobre incidentes en la que se revele la identidad del objetivo del incidente únicamente si concurre alguna de las condiciones siguientes:
| a) | la entidad de la Unión afectada dé su consentimiento; |
| b) | cuando la entidad de la Unión afectada no dé su consentimiento tal como dispone la letra a), pero la divulgación de la identidad de la entidad de la Unión afectada mejore la probabilidad de evitar o mitigar incidentes en otros lugares; |
| c) | la entidad de la Unión afectada ya haya hecho público que se vio afectada. |
Las decisiones de intercambiar información específica sobre incidentes que revele la identidad del objetivo del incidente en virtud del párrafo primero, letra b), serán aprobadas por el director del CERT-EU. Antes de tomar dicha decisión, el CERT-EU se pondrá en contacto por escrito con la entidad de la Unión afectada, para explicar claramente cómo la revelación de su identidad ayudaría a evitar o mitigar incidentes en otros lugares. El director del CERT-EU proporcionará la explicación y solicitará expresamente a la entidad de la Unión afectada que declare si da su consentimiento en un plazo determinado. El director del CERT-EU también informará a la entidad de la Unión afectada de que, a la luz de la explicación proporcionada, se reserva el derecho a revelar la información incluso sin consentimiento. Se informará a la entidad de la Unión afectada antes de revelar la información.
Artículo 21
Obligaciones de notificación
1. Un incidente se considerará significativo si:
| a) | ha causado o puede causar graves perturbaciones operativas o pérdidas económicas para la entidad de la Unión afectada; |
| b) | ha afectado o puede afectar a otras personas físicas o jurídicas al causar perjuicios materiales o inmateriales considerables. |
2. Las entidades_de_la_Unión presentarán al CERT-EU:
| a) | sin demora indebida, y en cualquier caso en el plazo de veinticuatro horas desde que se haya tenido constancia del incidente significativo, una alerta temprana en la que se indicará, cuando proceda, si cabe sospechar que el incidente significativo responde a una acción ilícita o malintencionada o puede tener repercusiones entre entidades o repercusiones transfronterizas; |
| b) | sin demora indebida, y en cualquier caso en el plazo de setenta y dos horas desde que se haya tenido constancia del incidente significativo, una notificación del incidente en la que se actualizará, cuando proceda, la información a que se refiere la letra a) y se expondrá una evaluación inicial del incidente significativo, incluyendo su gravedad e impacto, así como indicadores de compromiso, cuando estén disponibles; |
| c) | a petición del CERT-EU, un informe intermedio con las actualizaciones pertinentes sobre la situación; |
| d) | un informe final, a más tardar un mes después de presentar la notificación del incidente a que se refiere la letra b), en el que se recojan, entre otros, los siguientes elementos:
|
| e) | en el caso de que el incidente esté ocurriendo en el mismo momento de la presentación del informe final mencionado en la letra d), un informe de la situación en ese momento y un informe final en el plazo de un mes a partir de que se haya gestionado el incidente. |
3. Las entidades_de_la_Unión informarán, sin demora indebida, y en cualquier caso en el plazo de veinticuatro horas desde la constatación de un incidente significativo, a los homólogos pertinentes a los que se refiere el artículo 17, apartado 1, del Estado miembro en el que estén ubicadas, de que se ha producido un incidente significativo.
4. Las entidades_de_la_Unión notificarán, entre otras cosas, cualquier información que permita al CERT-EU determinar las repercusiones entre entidades, las repercusiones en el Estado miembro de acogida o las repercusiones transfronterizas después de un incidente significativo. Sin perjuicio de lo dispuesto en el artículo 12, el mero acto de notificar no incrementará la responsabilidad de la entidad de la Unión.
5. Cuando proceda, las entidades_de_la_Unión comunicarán, sin demora indebida, a los usuarios de los sistemas_de_redes_y_de_información afectados o de otros componentes del entorno de TIC que puedan verse afectados por un incidente significativo o una ciberamenaza significativa y que, en su caso, deban adoptar medidas paliativas, las medidas o soluciones que pueden adoptar en respuesta al incidente o la amenaza. Cuando proceda, las entidades_de_la_Unión informarán de la propia ciberamenaza significativa a dichos usuarios.
6. Cuando un incidente significativo o una ciberamenaza significativa afecte a un sistema de redes y de información o a un componente del entorno de TIC de una entidad de la Unión de la que se tenga conocimiento que está conectada con el entorno de TIC de otra entidad de la Unión, el CERT-EU emitirá la correspondiente alerta de ciberseguridad.
7. A petición del CERT-EU, las entidades_de_la_Unión le proporcionarán, sin demora indebida, la información digital generada por el uso de dispositivos electrónicos implicados en sus respectivos incidentes. El CERT-EU podrá proporcionar más detalles sobre el tipo de información que necesita a efectos del conocimiento situacional y la respuesta a incidentes.
8. El CERT-EU presentará al CIIC, a la ENISA, al EU INTCEN y a la red de CSIRT, cada tres meses, un informe de síntesis que contendrá datos anonimizados y agregados sobre los incidentes significativos, los incidentes, las ciberamenazas, los cuasi incidentes y las vulnerabilidades en virtud del artículo 20 y los incidentes significativos notificados en virtud del apartado 2 del presente artículo. El informe de síntesis se incorporará al informe bienal sobre la situación de la ciberseguridad en la Unión, adoptado en virtud del artículo 18 de la Directiva (UE) 2022/2555.
9. A más tardar el 8 de julio de 2024, el CIIC emitirá directrices o recomendaciones que especifiquen con mayor detalle los mecanismos, el formato y el contenido de las notificaciones previstas en el presente artículo. Al preparar dichas directrices o recomendaciones, el CIIC tendrá en cuenta cualquier acto de ejecución adoptado en virtud del artículo 23, apartado 11, de la Directiva (UE) 2022/2555 en el que se especifique el tipo de información, el formato y el procedimiento de las notificaciones. El CERT-EU difundirá los detalles técnicos pertinentes a fin de facilitar la detección proactiva, la respuesta a incidentes o la adopción de medidas paliativas por parte de las entidades_de_la_Unión.
10. Las obligaciones de notificación establecidas en el presente artículo no se exigirán respecto de:
| a) | la ICUE; |
| b) | la información cuya distribución ulterior haya sido excluida mediante una marca visible, a menos que se haya autorizado expresamente su intercambio con el CERT-EU. |
Artículo 22
Coordinación de la respuesta a incidentes y cooperación
1. En el ejercicio de su función de centro de intercambio de información sobre ciberseguridad y coordinación de la respuesta a incidentes, el CERT-EU facilitará el intercambio de información sobre incidentes, ciberamenazas, vulnerabilidades y cuasi incidentes entre:
| a) | las entidades_de_la_Unión; |
| b) | los homólogos a que se refieren los artículos 17 y 18. |
2. El CERT-EU, cuando proceda en estrecha cooperación con la ENISA, facilitará la coordinación de la respuesta a incidentes entre las entidades_de_la_Unión, incluyendo lo siguiente:
| a) | contribución a una comunicación externa coherente; |
| b) | apoyo mutuo, como el intercambio de información pertinente para las entidades_de_la_Unión, o la prestación de asistencia, cuando proceda directamente in situ; |
| c) | uso óptimo de los recursos operativos; |
| d) | coordinación con otros mecanismos de respuesta a las crisis a nivel de la Unión. |
3. El CERT-EU, en estrecha cooperación con la ENISA, apoyará a las entidades_de_la_Unión en lo que respecta al conocimiento situacional en materia de incidentes, ciberamenazas, vulnerabilidades y cuasi incidentes, y compartirá información sobre los avances en materia de ciberseguridad.
4. A más tardar el 8 de enero de 2025, el CIIC adoptará, sobre la base de una propuesta del CERT-EU, directrices o recomendaciones sobre la coordinación de la respuesta a incidentes y la cooperación en caso de incidentes significativos. Cuando se sospeche que un incidente es de carácter delictivo, el CERT-EU ofrecerá asesoramiento sobre el modo de notificar el incidente a las autoridades policiales, sin demora indebida.
5. Previa solicitud específica de un Estado miembro y tras la aprobación de las entidades_de_la_Unión de que se trate, el CERT-EU podrá recurrir a expertos de la lista a que se refiere el artículo 23, apartado 4, para contribuir a la respuesta a un incidente grave que tenga repercusiones en dicho Estado miembro, o a un incidente de ciberseguridad a gran escala, de conformidad con el artículo 15, apartado 3, letra g), de la Directiva (UE) 2022/2555. Las normas específicas sobre el acceso y el recurso a expertos técnicos de las entidades_de_la_Unión serán aprobadas por el CIIC sobre la base de una propuesta del CERT-EU.
whereas