keyboard_tab Cyber Resilience Act 2023/2841 ES
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 3 Art. 21 Obligaciones de notificación
- 1 Art. 25 Revisión
- Artículo 26 Entrada en vigor
CAPITULO I
DISPOSICIONES GENERALES
CAPITULO II
MEDIDAS DESTINADAS A GARANTIZAR UN ELEVADO NIVEL COMUN DE CIBERSEGURIDAD
CAPITULO III
CONSEJO INTERINSTITUCIONAL DE CIBERSEGURIDAD
CAPITULO IV
CERT-EU
CAPITULO V
OBLIGACIONES DE COOPERACION E INFORMACION
CAPITULO VI
DISPOSICIONES FINALES
- entidades de la Unión
- sistemas de redes y de información
- seguridad de los sistemas de redes y de información
- ciberseguridad
- más alto nivel de dirección
- cuasiincidente
- incidente
- incidente grave
- incidente de ciberseguridad a gran escala
- gestión de incidentes
- ciberamenaza
- ciberamenaza significativa
- vulnerabilidad
- riesgo de ciberseguridad
- servicio de computación en nube
- incidente 18
- informe 11
- significativo 10
- presente 9
- artículo 8
- unión 7
- información 7
- entidades_de_la_unión 7
- repercusiones 7
- incidentes 7
- haya 6
- caso 6
- el cert-eu 6
- más 6
- a 5
- comisión 5
- entre 5
- proceda 5
- cuando 5
- reglamento 5
- cualquier 5
- indebida 5
- demora 5
- sobre 5
- tardar 5
- virtud 4
- tipo 4
- el ciic 4
- las 4
- medidas 4
- apartado 4
- notificación 4
- plazo 4
- refiere 4
- entidad 4
- significativa 3
- entidades 3
- recomendaciones 3
- respuesta 3
- transfronterizas 3
- evaluará 3
- otros 3
- ciberamenaza 3
- aplicación 3
- europeo 3
- artículo 3
- de tic 3
- entorno 3
- paliativas 3
- situación 3
Artículo 21
Obligaciones de notificación
1. Un incidente se considerará significativo si:
| a) | ha causado o puede causar graves perturbaciones operativas o pérdidas económicas para la entidad de la Unión afectada; |
| b) | ha afectado o puede afectar a otras personas físicas o jurídicas al causar perjuicios materiales o inmateriales considerables. |
2. Las entidades_de_la_Unión presentarán al CERT-EU:
| a) | sin demora indebida, y en cualquier caso en el plazo de veinticuatro horas desde que se haya tenido constancia del incidente significativo, una alerta temprana en la que se indicará, cuando proceda, si cabe sospechar que el incidente significativo responde a una acción ilícita o malintencionada o puede tener repercusiones entre entidades o repercusiones transfronterizas; |
| b) | sin demora indebida, y en cualquier caso en el plazo de setenta y dos horas desde que se haya tenido constancia del incidente significativo, una notificación del incidente en la que se actualizará, cuando proceda, la información a que se refiere la letra a) y se expondrá una evaluación inicial del incidente significativo, incluyendo su gravedad e impacto, así como indicadores de compromiso, cuando estén disponibles; |
| c) | a petición del CERT-EU, un informe intermedio con las actualizaciones pertinentes sobre la situación; |
| d) | un informe final, a más tardar un mes después de presentar la notificación del incidente a que se refiere la letra b), en el que se recojan, entre otros, los siguientes elementos:
|
| e) | en el caso de que el incidente esté ocurriendo en el mismo momento de la presentación del informe final mencionado en la letra d), un informe de la situación en ese momento y un informe final en el plazo de un mes a partir de que se haya gestionado el incidente. |
3. Las entidades_de_la_Unión informarán, sin demora indebida, y en cualquier caso en el plazo de veinticuatro horas desde la constatación de un incidente significativo, a los homólogos pertinentes a los que se refiere el artículo 17, apartado 1, del Estado miembro en el que estén ubicadas, de que se ha producido un incidente significativo.
4. Las entidades_de_la_Unión notificarán, entre otras cosas, cualquier información que permita al CERT-EU determinar las repercusiones entre entidades, las repercusiones en el Estado miembro de acogida o las repercusiones transfronterizas después de un incidente significativo. Sin perjuicio de lo dispuesto en el artículo 12, el mero acto de notificar no incrementará la responsabilidad de la entidad de la Unión.
5. Cuando proceda, las entidades_de_la_Unión comunicarán, sin demora indebida, a los usuarios de los sistemas_de_redes_y_de_información afectados o de otros componentes del entorno de TIC que puedan verse afectados por un incidente significativo o una ciberamenaza significativa y que, en su caso, deban adoptar medidas paliativas, las medidas o soluciones que pueden adoptar en respuesta al incidente o la amenaza. Cuando proceda, las entidades_de_la_Unión informarán de la propia ciberamenaza significativa a dichos usuarios.
6. Cuando un incidente significativo o una ciberamenaza significativa afecte a un sistema de redes y de información o a un componente del entorno de TIC de una entidad de la Unión de la que se tenga conocimiento que está conectada con el entorno de TIC de otra entidad de la Unión, el CERT-EU emitirá la correspondiente alerta de ciberseguridad.
7. A petición del CERT-EU, las entidades_de_la_Unión le proporcionarán, sin demora indebida, la información digital generada por el uso de dispositivos electrónicos implicados en sus respectivos incidentes. El CERT-EU podrá proporcionar más detalles sobre el tipo de información que necesita a efectos del conocimiento situacional y la respuesta a incidentes.
8. El CERT-EU presentará al CIIC, a la ENISA, al EU INTCEN y a la red de CSIRT, cada tres meses, un informe de síntesis que contendrá datos anonimizados y agregados sobre los incidentes significativos, los incidentes, las ciberamenazas, los cuasi incidentes y las vulnerabilidades en virtud del artículo 20 y los incidentes significativos notificados en virtud del apartado 2 del presente artículo. El informe de síntesis se incorporará al informe bienal sobre la situación de la ciberseguridad en la Unión, adoptado en virtud del artículo 18 de la Directiva (UE) 2022/2555.
9. A más tardar el 8 de julio de 2024, el CIIC emitirá directrices o recomendaciones que especifiquen con mayor detalle los mecanismos, el formato y el contenido de las notificaciones previstas en el presente artículo. Al preparar dichas directrices o recomendaciones, el CIIC tendrá en cuenta cualquier acto de ejecución adoptado en virtud del artículo 23, apartado 11, de la Directiva (UE) 2022/2555 en el que se especifique el tipo de información, el formato y el procedimiento de las notificaciones. El CERT-EU difundirá los detalles técnicos pertinentes a fin de facilitar la detección proactiva, la respuesta a incidentes o la adopción de medidas paliativas por parte de las entidades_de_la_Unión.
10. Las obligaciones de notificación establecidas en el presente artículo no se exigirán respecto de:
| a) | la ICUE; |
| b) | la información cuya distribución ulterior haya sido excluida mediante una marca visible, a menos que se haya autorizado expresamente su intercambio con el CERT-EU. |
Artículo 25
Revisión
1. A más tardar el 8 de enero de 2025, y anualmente a partir de entonces, el CIIC, asistido por el CERT-EU, informará a la Comisión acerca de la aplicación del presente Reglamento. El CIIC podrá formular recomendaciones a la Comisión para que revise el presente Reglamento.
2. A más tardar el 8 de enero de 2027, y posteriormente cada dos años, la Comisión evaluará la aplicación del presente Reglamento y la experiencia adquirida tanto de tipo estratégico como operativo, e informará de ello al Parlamento Europeo y al Consejo.
El informe a que se refiere el párrafo primero del presente apartado incluirá la revisión prevista en el artículo 16, apartado 1, sobre la posibilidad de constituir el CERT-EU en organismo de la Unión.
3. A más tardar el 8 de enero de 2029, la Comisión evaluará el funcionamiento del presente Reglamento y presentará un informe al Parlamento Europeo, al Consejo, al Comité Económico y Social Europeo y al Comité de las Regiones. La Comisión evaluará asimismo la conveniencia de incluir sistemas_de_redes_y_de_información que manejen ICUE en el ámbito de aplicación del presente Reglamento, teniendo en cuenta otros actos legislativos de la Unión aplicables a dichos sistemas. El informe irá acompañado, en su caso, de una propuesta legislativa.
whereas