miércoles, 15 de enero de 2025

REGLAMENTO DE CIBERSOLIDARIDAD PARA DETECTAR CIBERATAQUES - UNION EUROPEA

 Por: Carlos A. Ferreyros Soto

 Doctor en Derecho

Universidad de Montpellier I Francia.

 

cferreyros@hotmail.com

RESUMEN

El Reglamento (UE) 2025/38, también conocido como Reglamento de Cibersolidaridad, establece medidas para fortalecer la solidaridad y las capacidades de la Unión Europea en materia de ciberseguridad. Este reglamento surge como respuesta al creciente número y complejidad de las ciberamenazas que afectan a la UE.

Los objetivos principales del Reglamento son:

·          Mejorar la detección de ciberamenazas e incidentes

·          Aumentar la preparación frente a ataques cibernéticos

·          Fortalecer la capacidad de respuesta ante incidentes de ciberseguridad

·          Fomentar la solidaridad entre los Estados miembros en materia de ciberseguridad

Las medidas claves se aplican a la(s):

  • Infraestructura de seguridad (Promoción de una infraestructura de centros de operaciones de seguridad (COS) a nivel de la UE; Implementación de principios de confianza cero y autenticación multifactor en los sistemas de información; Uso de criptografía y cifrado, incluyendo cifrado de extremo a extremo y firma digital segura)
  • Capacidades de respuesta (Creación gradual de una ciberreserva a escala de la UE con servicios de proveedores privados de confianza; Establecimiento de sistemas de comunicaciones de emergencia seguros; Desarrollo de programas para detectar y retirar software malicioso y espía)
  • Evaluación y gestión de riesgos (Realización de pruebas en entidades críticas para detectar vulnerabilidades basadas en evaluaciones de riesgos de la UE; Implementación de un marco interno de gestión, gobernanza y control de riesgos de ciberseguridad en cada entidad de la Unión)
  • Cooperación y solidaridad (Fomento de la colaboración entre el sector público, privado, académico, sociedad civil y medios de comunicación; Refuerzo de la solidaridad a escala de la UE para mejorar la detección, preparación, respuesta y recuperación ante ciberamenazas e incidentes)

Los plazos de implementación han sido fijados para la:

  • Finalización del análisis inicial de ciberseguridad y definición del marco interno de gestión de riesgos - 8 de abril de 2025:
  • Evaluación de la madurez de ciberseguridad (repetible cada dos años) - 8 de julio de 2025:
  • Implementación de medidas técnicas, operativas y organizativas para gestionar riesgos de ciberseguridad - 8 de septiembre de 2025:
  • Aprobación del plan de ciberseguridad de cada entidad - 8 de enero de 2026:

Este Reglamento complementa otras medidas de la UE en materia de ciberseguridad, como el Reglamento (UE) 2019/881 y las Directivas 2013/40/UE y (UE) 2022/2555, con el objetivo de crear un marco jurídico uniforme que promueva una inteligencia artificial centrada en el ser humano y fiable, garantizando al mismo tiempo un alto nivel de protección de la salud, la seguridad y los derechos fundamentales.

A fin de acceder a normas similares y estándares europeos, las empresas, organizaciones públicas y privados interesados en asesorías, consultorías, capacitaciones, estudios, evaluaciones, auditorías sobre el tema, sírvanse comunicar al correo electrónico: cferreyros@hotmail.com

________________________________________________________ 

bandera europea

Diario Oficial
de la Unión Europea

ES

Serie L

2025/38

15.1.2025

REGLAMENTO (UE) 2025/38 DEL PARLAMENTO EUROPEO Y DEL CONSEJO

del 19 al diciembre 2024

Para que podamos establecer los medios destinados a reforzar la solidaridad y las capacidades en la Unión para detectar ciberataques e incidentes, prepararlos y responder a ellos y si modificamos el Reglamento (UE) 2021/694 (Reglamento de Cibersolidaridad)

EL PARLAMENTO EUROPEO Y EL CONSEJO DE LA UNIÓN EUROPEA,

Ver el Acuerdo Operativo de la Unión Europea, en particular el artículo 173, apartado 3, y el artículo 322, apartado 1, letra a),

Ver la propuesta de la Comisión Europea,

Previa transmisión del proyecto de acto legislativo a los Parlamentos Nacionales,

Visto el dictamen del Tribunal de Cuentas  1 ) ,

Visto el dictamen del Comité Económico y Social Europeo  2 ) ,

Visto el dictamen del Comité de las Regiones  3 ) ,

De conformidad con el procedimiento legislativo ordinario  4 ) ,

Considere lo siguiente:

(1)

El uso y dependencia de las tecnologías de la información y las comunicaciones constituyen un elemento esencial en todos los sectores de la actividad económica y de la sociedad ante la creciente interconectividad e interdependencia de las administraciones públicas de los Estados miembros, las Empresas y ciudades de todos los sectores y de todas las fronteras, que generan posibles vulnerabilidades simultáneas.

(2)

La magnitud, la frecuencia y los efectos de los incidentes de ciberseguridad, incluidos los ataques a la cadena de seguridad con multas de ciberespionaje, programas de seguridad (“ransomware”) o perturbaciones, están aumentando en la Unión y en todo el mundo. Representa un grave problema con el funcionamiento de las luces y sistemas de información. Ante la rápida evolución del panorama de acontecimientos, la aparición de posibles incidentes de ciberseguridad a gran escala que provoquen perturbaciones o daños importantes en infraestructuras críticas requiere una mayor preparación de la política de ciberseguridad de la Unión. Esto trae cada vez más guerra de agresión de Rusia a Ucrania y probablemente persistirá, debido a la multiplicidad de agentes involucrados en las tensiones geopolíticas actuales. Las historias incidentales pueden obstaculizar la prestación de servicios públicos, porque los ataques cibernéticos con frecuencia se dirigen a infraestructuras y servicios públicos locales, regionales o nacionales, y las autoridades locales son especialmente vulnerables, en particular debido a sus recursos limitados. Es posible impedir que el fracaso de las actividades económicas, incluidos los sectores muy críticos y otros sectores críticos, genere pérdidas económicas significativas, socave la confianza de los usuarios, cause graves daños a las economías y los sistemas democráticos de la Unión e, incluso, Suponer una amenaza para la salud o la vida. Además, los incidentes de ciberseguridad son impredecibles, solo unas pocas cosas surgen y evolucionan rápidamente, no se limitan a ningún área geográfica específica y se producen simultáneamente o se propagan instantáneamente por muchos países. Es importante que exista una fuerte cooperación entre el sector público, el sector privado, el mundo académico, la sociedad civil y los medios de comunicación.

(3)

Es necesario reforzar la posición competitiva de la industria y los servicios de la Unión en el contexto de la economía digital y apoyar su transformación digital mejorando el nivel de ciberseguridad en el mercado digital único, y por ello se recomienda en tres diferentes propuestas de la conferencia sobrio el. Futuro de Europa. Es necesario aumentar la resiliencia de las ciudades, las empresas, incluidas las microempresas, las pequeñas y medianas empresas y las empresas emergentes, y las empresas que gestionan infraestructuras críticas, junto con la creación de una ciberseguridad que pueda mantenerse. devastadoras repercusiones sociales y económicas. Por lo tanto, es necesario invertir infraestructura y servicios y adquirir habilidades para desbloquear capacidades de ciberseguridad que brinden una rápida detección y respuesta a ciberataques e incidentes. Además, los Estados cuentan con asistencia más precisa para prepararse y responder mejor a incidentes de ciberseguridad significativos y de alto nivel, así como su recuperación inicial. Basándose en las estructuras existentes y en esta colaboración con ellas, la Unión también debe aumentar sus capacidades en sus ambiciones, en particular en lo que se refiere a la recopilación y análisis de datos para que se tengan en cuenta los incidentes de ciberseguridad.

(4)

La Unión cuenta con una serie de medidas para reducir las vulnerabilidades y aumentar la resiliencia de las infraestructuras y preocupaciones críticas relacionadas con las regulaciones, en particular el Reglamento (UE) 2019/881 del Parlamento Europeo y del Consejo  5 ) , las Directivas 2013/40/UE  6 ) y (UE) 2022/2555  7 ) del Parlamento Europeo y del Consejo, y la Recomendación (UE) 2017/1584 de la Comisión  8 ) . Además, la Recomendación del Consejo de 8 de diciembre de 2022 pide un esfuerzo coordinado para ampliar la escala de la Unión para reformar la resiliencia de las infraestructuras críticas invitando a los Estados a actuar y cooperar entre ellos, con la Comisión y otras autoridades. publicaciones relevantes, así como de los afectados, con el fin de aumentar la resiliencia de las infraestructuras críticas utilizadas para proporcionar servicios esenciales en el mercado interior.

(5)

Los crecientes riesgos de ciberseguridad y un panorama general de desarrollos completos, con un claro riesgo de rápida propagación de incidentes de un Estado miembro a otro y de un tercer país a la Unión, requieren el rechazo de la escalada solidaria de la Unión para mejorar la detección, preparación, responder y recuperar respecto de los daños e incidentes, especialmente negando las capacidades de las estructuras existentes. Además, las Conclusiones del Consejo del 23 de mayo de 2022 se basan en el alejamiento de la posición de la Unión en materia cibernética mediante la invitación a la Comisión a presentar una propuesta de una nueva Fundación para la Responsabilidad Emergente en Ciberseguridad.

(6)

La comunicación conjunta de la Comisión y el Alto Representante de la Unión para Asuntos Exteriores y Políticas del Parlamento Europeo y el Consejo sobre la política de ciberdefensa de la UE del 10 de noviembre de 2022 anuncia una Iniciativa de Cibersolidaridad de la UE con los objetivos reforzar las capacidades comunes de detección, la conciencia situacional y la responsabilidad de la Unión mediante la promoción de la implantación de una infraestructura de la Unión de centros operativos de seguridad (COS) y el apoyo a la creación gradual de una creciente reserva cibernética de la Unión con la prestación de servicios nos vemos privados de confianza y de la realización de pruebas básicas de hechos críticos para detectar posibles vulnerabilidades basadas en evaluaciones de riesgos de la Unión.

(7)

Es necesario reforzar la capacidad de detección y la conciencia situacional de los incidentes de ciberseguridad en toda la Unión y garantizar una mejor preparación solidaria y las capacidades de Oriente Medio y de la Unión para prevenir y responder a incidentes de ciberseguridad importantes. . gran escala. Proceder, por tanto, a crear una red de centros paneuropeos de ciberseguridad (en adelante, “Sistema Europeo de Alerta de Ciberseguridad”) para descubrir las capacidades de coordinación de detección y conciencia situacional, reforzando las capacidades de la Unión de detección. de datos y seguridad en la comunidad de la información; Debe crear un Mecanismo Emergente de Seguridad Cibernética para ayudar con los proyectos inmediatos, solicitar notificación previa, prepararse, responder a incidentes de seguridad cibernética importantes y de gran escala, evitar repercusiones e iniciar la recuperación de incidentes de seguridad cibernética. significativos y de gran escala, se aplican a otros usuarios que son responsables de incidentes de ciberseguridad importantes e incidentes de ciberseguridad equivalentes; y debe crearse un Mecanismo Europeo de Revisión de Incidentes de Ciberseguridad para revisar y evaluar incidentes de ciberseguridad significativos o a la gran escala específica. Las actuaciones vigentes en el presente Reglamento deberán realizarse de conformidad con la competencia de las empresas mixtas y deberán complementar, sin duplicar, las actividades que he realizado por la Red de CSIRT, la Red Europea de Organismos de Enlace para la Gestión de la cibercrisis (EU-CyCLONe, en su idioma inglés) o el Grupo de Cooperación establecido bajo la Directiva (UE) 2022/2555. Estas actuaciones se entienden sin perjuicio de lo dispuesto en los artículos 107 y 108 del Tratado de Funcionamiento de la Unión Europea (TFUE).

(8)

Para modificar estos objetos se procede a modificar el Reglamento (UE) 2021/694 del Parlamento Europeo y del Consejo  9 ) de acuerdo con sus ámbitos. En particular, este Reglamento debe ser modificado por el Reglamento (UE) 2021/694 en el que se respeta la incorporación de nuevos objetos operativos relacionados con el Sistema Europeo de Alerta de Ciberseguridad y el Mecanismo Emergente en Materia de Ciberseguridad en el área temática. . específico 3 del Programa Europa Digital, cuya finalidad es garantizar la resiliencia, la integridad y la fiabilidad del único mercado digital, reforzar las capacidades para seguir los ciberataques y ciberamenazas y responder aellos, y reforzar la cooperación y la coordinación transfronterizas en materia de ciberseguridad. . El Sistema Europeo de Alerta de Ciberseguridad puede representar un apoyo importante para Oriente Medio a la hora de anticipación y protección contra la ciberseguridad, y la Reserva de Ciberseguridad de la UE puede ofrecer un apoyo considerable a Oriente Medio, a las instituciones, Organismos y organismos de la Unión y tres países asociados al Programa Europa Digital a la hora de responder y mitigar las repercusiones de incidentes de ciberseguridad significativos, incidentes de ciberseguridad a gran escala e incidentes de ciberseguridad equivalentes a gran escala. Estas repercusiones pueden incluir daños materiales o inmateriales considerables y riesgos graves para la seguridad y el orden públicos. A la vista de las funciones específicas que pueden quedar excluidas por el Sistema Europeo de Alerta de Seguridad y la Reserva de Seguridad de la UE, este Reglamento debe ser modificado por el Reglamento (UE) 2021/694 en el que se respeta la participación de las personas jurídicas. establecidos en la Unión, pero controlados desde terceros píses, en los casos en que a riesgo real de que las herramientas, infraestructuras y servicios necesarios y suficientes, o la tecnología, los conocimientos especializados y la capacidad, no estén disponibles en la Unión y el Beneficios de la inclusión de palabras. Las entidades compensan el riesgo para la seguridad. Esto se completará con el establecimiento de las condiciones específicas en las que se podrá conceder apoyo financiero a las acciones de expulsión del Sistema Europeo de Alerta de Ciberseguridad y de la Reserva de Ciberseguridad de la UE y mediante la definición de los mecanismos de gobernanza y coordinación necesaria para organizar los objetos planificados. Otras modificaciones del Reglamento (UE) 2021/694 deberán incluir descripciones de las acciones propuestas en el ámbito de los nuevos objetos operativos, así como indicadores mensurables para garantizar la aplicación de estos nuevos objetos operativos.

(9)

Para reformar la respuesta de la Unión a las amenazas e incidentes cibernéticos, la cooperación con las organizaciones internacionales es esencial, como es el caso de los socios internacionales, en orden y confianza. En este contexto, debemos entender los socios internacionales y confiar en los países que comparan los principios que inspiraron la creación de la Unión, para socavar la democracia, el estado de derecho, la universalidad e indivisibilidad de los derechos humanos y las libertades fundamentales, el respeto de la dignidad humana, así como los principios de solidaridad y solidaridad y respeto a los principios de la Carta de las Naciones Unidas y del Derecho internacional, y que no perseguimos los intereses esenciales de seguridad de la Unión o de nuestros Estados miembros. Esta cooperación también puede resultar beneficiosa en relación con las acciones adoptadas en virtud del presente Reglamento, en particular con el Sistema Europeo de Alerta de Ciberseguridad y la Reserva de Ciberseguridad de la UE. El Reglamento (UE) 2021/694 debe establecer que, si se determinan las condiciones de disponibilidad y seguridad, las solicitudes del Sistema Europeo de Alerta de Seguridad y de la Reserva de Seguridad de la UE están sujetas a control legal por parte de terceros. paz, cuando cumple con los requisitos de seguridad. Para evaluar la seguridad de este contrato público, es importante tener en cuenta los principios y valores que la Unión tiene con los fideicomisos e intereses internacionales, cuando sus principios están relacionados con sus intereses y valores esenciales de seguridad de la Unión. Además, cuando los requisitos de seguridad se consideran de conformidad con el Reglamento (UE) 2021/694, pueden estar sujetos a diversos elementos, como la estructura corporativa y el proceso de decisiones de las entidades, la seguridad de los datos y la seguridad. de los datos. o sensible, y garantizar que los resultados de la acción no sean controlados o restringidos por algunos de los países no admisibles.

(10)

La financiación de las acciones al amparo de este Reglamento debe estar prevista en el Reglamento (UE) 2021/694, que debe considerarse como el acto de base pertinente para las acciones contempladas en el objeto específico 3 del Programa Europa Digital. En los programas de trabajo correspondientes, se establecen las condiciones específicas de participación en relación con cada acción, de conformidad con el Reglamento (UE) 2021/694.

(11)

Su aplicación en este ámbito es el Reglamento de normas financieras horizontales adoptado por el Parlamento Europeo y el Consejo de conformidad con el artículo 322 del TFUE. Estas normas están establecidas en el Reglamento (UE, Euratom) 2024/2509 del Parlamento Europeo y del Consejo  10 ) y determinan, en particular, el proceso de elaboración y ejecución de la asunción de la Unión, e impiden el control de la responsabilidad de agentes financieros. Las normas adoptadas con arreglo al artículo 322 del TFUE también incluyen un régimen general de condiciones para la protección de la presunción de la Unión según lo establecido en el Reglamento (UE, Euratom) 2020/2092 del Parlamento Europeo y del Consejo  11 ) .

(12)

Aunque las medidas de prevención y preparación son esenciales para aumentar la resiliencia de la Unión ante incidentes de ciberseguridad importantes, incidentes de ciberseguridad a gran escala y incidentes de ciberseguridad a gran escala, la frecuencia, el momento de aparición y la magnitud de incidentales dichos son, por su propia naturaleza, impredecibles. Los recursos financieros necesarios para garantizar una cobertura adecuada pueden variar considerablemente de un año a otro y pueden estar disponibles inmediatamente. Conciliar el principio presupuestario de previsibilidad con la necesidad de actuar rápidamente ante las nuevas necesidades requiere la adaptación, por tanto, de la ejecución financiera de los programas de trabajo. Por tanto, se procede a autorizar la autorización de créditos no utilizados, aunque sólo sea antes del año siguiente y únicamente para la Reserva de Seguridad de la UE y las actuaciones que sustentan la asistencia mutua, además de la autorización de créditos autorizados conforme al artículo 12, apartado 4, del Reglamento (UE, Euratom) 2024/2509.

(13)

Para prevenir, evaluar, responder y recuperar ciberataques e incidentes que sean más efectivos, es necesario conocer más a fondo las infraestructuras y actividades críticas en el territorio de la Unión, incluida su distribución geográfica, incluyendo interconexión y posibles efectos en el caso de ciberataques que afecten a nuestras infraestructuras. Un enfoque proactivo para detectar, prevenir y prevenir ciberataques incluye una mayor capacidad en habilidades avanzadas de detección. El Sistema Europeo de Alerta de Ciberseguridad debe considerarse como una variedad de cibercentros transfronterizos interoperables, cada uno integrado por tres o más cibercentros nacionales. Esta infraestructura debe servir a los intereses y necesidades nacionales de la Unión en el ámbito de la ciberseguridad, y debe aprovechar la tecnología de vanguardia para la recogida de las datas e informaciones relevantes, en su caso, anonimizados, y los instrumentos analíticos, mejorar las capacidades. des coordinadas de ciberdetección y gestión y planificación para estar al tanto de la situación actual. Esta infraestructura debe servir para mejorar la posición en materia de ciberseguridad, aumentar la detección, agregación y análisis de datos e información con el objetivo de prevenir ataques e incidentes de ciberseguridad y complementar y apoyar a las entidades y autoridades de la Unión responsables de la gestión de crisis en Unión, en particular EU-CyCLONe.

(14)

La participación en el Sistema Europeo de Alerta de Ciberseguridad es voluntaria para nuestros países miembros. Este estado debe ser designado como una entidad única a nivel nacional responsable de coordinar las actividades de detección cibernética en el mismo estado. Estos cibercentros nacionales deben actuar como puntos de referencia y pasar el nivel nacional para la participación en el Sistema Europeo de Alerta de Ciberseguridad y garantizar que la información en Internet procedente de información pública y privada sea compartida y copiada a nivel nacional. gestión eficiente y racional. Los cibercentros nacionales pueden reformar la cooperación y los canales comunes de información entre entidades públicas y privadas y también pueden responder al intercambio de datos e información relevantes con las comunidades sectoriales e intersectoriales relevantes, incluidos los centros públicos centrales. y análisis de información relevante (ISAC, por sus siglas en inglés). Para fortalecer la ciberresiliencia de la Unión, es esencial establecer y coordinar la cooperación entre entidades públicas y privadas. Esta cooperación es especialmente válida en el contexto de la comunidad de inteligencia sobre ciberseguridad con vistas a mejorar la ciberprotección activa. Como parte de la cooperación y el intercambio de información, los centros cibernéticos nacionales pueden solicitar y recibir información específica. Estos centros no tienen la obligación ni la autoridad en virtud de este Reglamento para atender sus solicitudes. Si cumple con la Unión y el Gobierno Nacional, la información solicitada o recibida puede incluir datos de telemetría, sensores y registros relacionados con datos, como los proporcionados por los servicios de gestión de seguridad, que operan en sectores de alta criticidad y otros sectores críticos dentro. del estado actual, con el fin de mejorar la detección rápida de posibles ciberataques e incidentes de forma más oportuna, aumentando el conocimiento de la situación. Si el cibercentro nacional no cuenta con la autoridad competente designada o establecida por el Estado, de conformidad con el artículo 8, aparte del 1, de la Directiva (UE) 2022/2555, es imprescindible que esté coordinado con su autoridad competente. . lo que respeta a solicitudes de tales datos y a su. recepción.

(15)

Como parte del Sistema Europeo de Alerta de Ciberseguridad, debemos crear una serie de cibercentros transfronterizos. Estos centros cibernéticos transfronterizos deben reunirse con los centros cibernéticos nacionales de nuestros tres países, para garantizar que puedan aprovechar plenamente los beneficios de la detección y la comunicación transfronterizas en común y la gestión de la información. El objeto general de los cibercentros transfronterizos debe ser reforzar las capacidades para analizar, prevenir y detectar las ciberamenazas y apoyar la producción de inteligencia de alta calidad sobre las ciberamenazas, en particular a través de la posibilidad de compartir información relevante, en su caso anonimizada, en un giro de confianza y seguridad, proviene de diversas fuentes, públicas o privadas, así como de la puerta común y del uso de una combinación de vanguardias, y de la pérdida de una combinación de capacidades de detección, análisis y prevención en un entorno de confianza y seguridad. Los cibercentros transfronterizos deben proporcionar nuevas capacidades adicionales, aprovechando y complementando los COS y “CSIRT” existentes y otros agentes relevantes, incluido el código CSIRT.

(16)

El Estado miembro seleccionado por el Centro Europeo de Investigación en Competencia Industrial, Tecnología y Ciberseguridad (ECCC, en inglés), creado por el Reglamento (UE) 2021/887 del Parlamento y del Consejo  12 ) tras una convocatoria de manifestaciones de Interesado en crear un centro cibernético nacional o mejorar las capacidades de una entidad existente para adquirir instalaciones, infraestructura o servicios relevantes junto con las ECCC. Este Estado debe poder optar por una subvención para explotar las plantas, infraestructuras o servicios. La ECCC debe poder seleccionar un consorcio compuesto por nuestros tres estados miembros, mediante una convocatoria de partes interesadas para crear un cibercentro transfronterizo o mejorar las capacidades de uno existente, debe adquirir las instalaciones, infraestructuras o servicios relevantes junto con el ECCC. La subvención deberá poder optar a una subvención para explotar las instalaciones, infraestructuras o servicios. El procedimiento de contratación pública para adquirir las herramientas, infraestructuras o servicios pertinentes deberá realizarse conjuntamente con las ECCC y los órganos de contratación pertinentes de los Estados seleccionados a los efectos de convocar manifestaciones de interés. Este contrato público deberá ajustarse a lo dispuesto en el artículo 168, apartado 2, del Reglamento (UE, Euratom) 2024/2509 y a las normas financieras de las CECC. Por lo tanto, las entidades privadas no pueden participar en convocatorias de eventos de interés para adquirir conjuntamente herramientas, infraestructura o servicios con las ECCC, ni recibir subsidios para explotar sus activos, infraestructura o servicios. Sin embargo, tenemos la posibilidad de participar en entidades privadas en la creación, mejora y operación de nuestros cibercentros nacionales y transfronterizos a través de otras vías que consideremos adecuadas, de conformidad con el Derecho de la Union y nacional. Las entidades privadas también deberán optar por recibir financiación del Reglamento (UE) 2021/887 de la Unión Europea para poder cumplir con los cibercentros nacionales.

(17)

Con el objetivo de mejorar la detección de ciberamenazas y el conocimiento de la situación en la Unión, el Estado fue seleccionado mediante una convocatoria de partes interesadas para crear un cibercentro nacional o mejorar las capacidades de una entidad existente que estuviera dispuesta a solicitar la participación en un cibercentro. centro transfronterizo. Si el Estado miembro ne participación en un centro cibernético transfronterizo en el plazo de dos años de la fecha en que se aquieran las herramientas, infraestructuras o servicios, o de la fecha en que reiba la financiación viante subsidios, sicha fecha fuera anterior, debe no participar en otras acciones de interés de la Unión en el Sistema Europeo de Alerta de Ciberseguridad para mejorar las capacidades de su cibercentro nacional. En estos casos, la totalidad de los Estados podemos participar en convocatorias de propuestas sobre otros temas en el Marco del Programa Europa Digital o de otros programas de financiación de la Unión, incluidas las convocatorias de capacidades para la detección cibernética y la puesta en comunidad. de información, asegúrese de que estas entradas incluyan los criterios de admisibilidad establecidos en estos programas.

(18)

El CSIRT intercambia información dentro del código CSIRT, de conformidad con la Directiva (UE) 2022/2555. El Sistema Europeo de Alerta de Seguridad debe constituir una nueva capacidad que complemente la red CSIRT, contribuyendo a la creación de una conciencia situacional de la Unión que permita reforzar las capacidades de la red CSIRT. Los centros cibernéticos transfronterizos deben coordinar y cooperar estrechamente con el CSIRT. Deberá proceder a la agregación y acceso a datos comunes, así como al acceso a información relevante, en su caso anonimizada, en el caso de ciberamenazas de información pública y privada, incrementando el valor de los datos y la información a través del análisis de expertos y la adquisición conjunta de infraestructuras y herramientas de vanguardia, y contribuyendo a la soberanía tecnológica de la Unión, su autonomía estratégica abierta, su competitividad y resiliencia y el desarrollo de las capacidades de la Unión.

(19)

Los centros cibernéticos transfronterizos deben actuar como puntos centrales que permitan una expansión de la agregación y puedan compartir datos e inteligencia relevantes en el campo cibernético, y permitir que la difusión de información llegue entre un grupo amplio y diverso de partes interesadas, historias como los equipos de Responsable de la informática emergente (CERT, por sus siglas en inglés), CSIRT, ISAC y operadores de infraestructura crítica. Los miembros del consorcio deberán especificar en la consulta de la información relevante que será compartida en común entre los participantes del cibercentro transfronterizo que se esté procesando. La información intercambiada entre los participantes en un cibercentro transfronterizo puede incluir, por ejemplo, datos relativos a redes y sensores, fuentes de información sobre amenazas, indicadores de compromiso e información contextualizada sobre incidentes, ciberamenazas, cuasiincidentes, vulnerabilidades y, técnicas y procedimientos, tácticas de los adversarios, información específica de los agentes de seguridad, alertas de ciberseguridad y recomendaciones relativas a la configuración de dispositivos de ciberseguridad para detectar ciberataques. Además, los centros cibernéticos transfronterizos también deben celebrar la cooperación entre ellos. Es necesario precisar las historias de cooperación, en particular los principios de comunicación e interoperabilidad. Estas cláusulas relativas a la interoperabilidad, en particular los formatos y protocolos de acceso a la información común, se rigen por las directrices de interoperabilidad publicadas por la Agencia de Ciberseguridad de la Unión Europea establecidas por el Reglamento (UE) 2019/881 (ENISA). , por tanto, tomarlas como punto de partida. Estas directrices deben enviarse rápidamente para garantizar que los centros cibernéticos transfronterizos puedan enviarse de manera oportuna. Debemos tener en cuenta las normas internacionales, las mejores prácticas y el funcionamiento de los centros cibernéticos transfronterizos establecidos.

(20)

Los cibercentros transfronterizos y la red CSIRT deben cooperar estrechamente para garantizar la sinergia y la complementariedad de sus actividades. Al finalizar, aceptar el procedimiento a seguir en materia de cooperación y se le podrá facilitar la información pertinente. Esto puede incluir la capacidad de compartir información relevante sobre ciberseguridad e incidentes importantes de ciberseguridad y la garantía de que tiene experiencia común con las herramientas de vanguardia, en particular, la inteligencia artificial y la tecnología de análisis de datos, utilizadas en los centros. cibernética transfronteriza, con el rojo del CSIRT.

(21)

Que las autoridades pertinentes tomen conciencia de la situación es un requisito indispensable para la preparación y la coordinación de la escalada de la Unión con respecto a incidentes de ciberseguridad significativos y de gran escalada. La Directiva (UE) 2022/2555 creó el EU-CyCLONe para responder a la gestión coordinada de incidentes y crisis de ciberseguridad a gran escala en el entorno operativo y garantizar el intercambio periódico de información relevante entre la Edad Media y las instituciones. , organos y organizaciones sindicales. La Directiva (UE) 2022/2555 también constituye el Código CSIRT, para promover una cooperación operativa ágil y eficaz entre nuestros Estados miembros. Para garantizar el conocimiento situacional y fortalecer la solidaridad, en situaciones en las que los cibercentros transfronterizos obtengan información relacionada con un incidente de ciberseguridad a gran escala, potencial o en curso, debemos proporcionar información relevante a la red CSIRT, e informarle, en el momento de la alerta. , en el UE-Ciclón. En particular, dependiendo de la situación, la información que tengan en común puede incluir información técnica, información natural y motivaciones del atacante o posible atacante, e información no técnica de nivel superior sobre un incidente de ciberseguridad a gran escala, ya sea potencial. oh en el currículo. En este contexto, debemos prestar atención al principio de la necesidad de comprender y a la naturaleza potencialmente sensible de la información que podemos compartir. La Directiva (UE) 2022/2555 también reiterará las responsabilidades de la Comisión del Mecanismo de Protección Civil de la Unión (MPCU, en su idioma inglés) establecido por la Decisión 1313/2013/UE del Parlamento Europeo y del Consejo  13 ) , así como en relativo a la presentación de información analítica para el sistema de respuesta política de la UE integrado a la crisis (en adelante, “DIRPC”) de conformidad con la Decisión Ejecutiva (UE) 2018/1993 del Consejo  14 ). Cuando los centros cibernéticos transfronterizos tienen información relevante y oportuna relacionada con un incidente de seguridad cibernética a gran escala, potencial o actual, con la red EU-CyCLONe y CSIRT, es imposible que esta información se comparta en común en todo el país de esas. Redes con las autoridades de los Estados miembros, así como con la Comisión. En este sentido, la Directiva (UE) 2022/2555 establece que el objeto del EU-CyCLONE es encargarse de la gestión coordinada de incidentes y crisis de ciberseguridad a gran escala en el entorno operativo y de garantizar el intercambio periódico de información relevante entre Los Estados miembros y las instituciones, los órganos y los organismos de la Unión. Las funciones de EU-CyCLON incluyen el desarrollo de la conciencia situacional en relación con incidentes y historias de crisis. Es de vital importancia que EU-CyCLONe garantice, de acuerdo con sus objetivos y funciones, que la información se transmita inmediatamente a los representantes de los Estados pertinentes y a la Comisión. En definitiva, es fundamental que el reglamento interno de EU-CyCLONe reciba las disposiciones adecuadas.

(22)

Las entidades que participan en el Sistema Europeo de Alerta de Ciberseguridad garantizan un alto nivel de interoperabilidad entre ellas, incluso, a la hora de proceder, en lo que respecta a los formatos de datos, la taxonomía, las herramientas de tratamiento herramientas analíticas de totos. Para ello, deberá garantizar canales de comunicación seguros, así como un nivel mínimo de seguridad para la capacidad de la aplicación, un cuádruple de comandos e indicadores de conocimiento situacional. La adopción de una taxonomía común y el desarrollo de una planta de información situacional para describir las causas de los ciberataques detectados y sus consecuencias deben considerarse como trabajos existentes realizados en el contexto de la aplicación de la Directiva (UE) 2022/2555.

(23)

Para permitir el intercambio de datos e información relevante sobre ciberseguridad procedente de diversas fuentes, a gran escala, en un entorno de confianza y seguridad, las entidades que participan en el Sistema Europeo de Alerta de Ciberseguridad deben estar dotadas de herramientas. , equipamiento e infraestructura de vanguardia e infraestructura alta seguridad, así como personal calificado. Esto le permitirá mejorar sus capacidades de detección colectiva y posibles alertas a autoridades y entidades relevantes, particularmente mediante el uso de las últimas tecnologías de inteligencia artificial y análisis de datos.

(24)

Al recopilar, analizar, compartir e intercambiar datos e información relevantes, el Sistema Europeo de Alerta de Ciberseguridad debe fortalecer la sostenibilidad tecnológica de la Unión y su autonomía estratégica en el entorno de la ciberseguridad, su competitividad y su resiliencia. La agregación y recopilación de datos seleccionados de alta calibración también puede contribuir al desarrollo de tecnologías avanzadas de inteligencia artificial y análisis de datos. Una supervisión humana y, de hecho, eficaz es un manual cualificado, imprescindible para el montaje y que puede proporcionar datos eficaces y de gran calidad.

(25)

Aunque el Sistema Europeo de Alerta de Ciberseguridad es un proyecto civil, la comunidad de ciberseguridad puede beneficiarse de capacidades civiles de detección y conciencia situacional más sólidas para la protección de infraestructuras críticas.

(26)

El canal de comunicación entre los participantes del Sistema Europeo de Alerta de Ciberseguridad deberá cumplir con los requisitos legales y, en particular, la legislación nacional y de la Unión en materia de protección de datos, así como las normas de la Unión en esta materia competencial. que rigen el intercambio de información. El destinatario de la información deberá aplicar, de la misma forma que es necesario para el tratamiento de datos personales, medios técnicos y organizativos para salvar la pérdida y libertades de los interesados, destruir los datos con la mayor brevedad que sean necesarios para la finalidad declarada. e informar Sepa que tiene disponibles los datos que han sido destruidos.

(27)

Es de vital importancia preservar la confidencialidad y seguridad de la información en relación a los efectos de los tres pilares de este Reglamento, es importante mantener la comunicación en común o el intercambio de información en el contexto de la Ciberseguridad Europea. Sistema de Alerta, para preservarlos interesados ​​en las cosas que. Solicitar el Mecanismo Emergente en Materia de Ciberseguridad, o garantizar que la información del Mecanismo Europeo de Revisión de Incidentes de Ciberseguridad pueda reportar conclusiones útiles sin causar un efecto negativo en los casos afectados por los incidentes. La participación de los Estados miembros y las entidades en dichos mecanismos depende de las relaciones de confianza entre sus constituyentes. Cuando la información, en virtud de las normas de la Unión o nacionales, esta confidencial, su puesta en común o intercambio con arreglo al presente Reglamento debe limitarse a lo que esta pertinente y proporcionado para la finalidad de la puesta en común o el intercambio. Esto puede hacerse en común o intercambiado para preservar la confidencialidad de la información y proteger sus intereses comerciales y la seguridad de las entidades afectadas. El canal de comunicación o el intercambio de información al respecto puede estar sujeto al uso de información no divulgada o lineamientos para la distribución de información, como el protocolo de semáforo o TLP (en inglés, “traffic light protocol”). El TLP debe entenderse como un medio para facilitar la información sin limitaciones respecto a la posterior difusión de la información. Utilizado en todos los casos CSIRT e ISAC. Además de estos requisitos generales, en cumplimiento del Sistema Europeo de Alerta de Ciberseguridad, los acuerdos de los consorcios anfitriones deben establecer estándares específicos relativos a las condiciones para el suministro de información transfronteriza relevante en el cibercentro transfronterizo correspondiente. . Los acuerdos podrían, en particular, exigir que sólo se proceda a poner en común la información de conformidad con el Derecho de la Unión y nacional.

(28)

De conformidad con el establecimiento de la Reserva de Ciberseguridad de la UE, se requieren normas de confidencialidad específicas. El asesoramiento será solicitado, evaluado y entregado en un contexto de crisis y de respeto a las entidades que operan en sectores sensibles. Para que la Reserva de Seguridad de la UE funcione eficazmente, es fundamental que se pueda comunicar y acceder a los usuarios y entidades, sin demora, para que tengan toda la información necesaria para que no cumplan su función en la evaluación de solicitudes y la prestación de servicios. la ayuda. En consecuencia, este Reglamento debe establecer que toda esta información se utilice sola o en común cuando sea necesario para el funcionamiento de la Reserva de Ciberseguridad de la UE, y que la información sea confidencial o clasificada en el contexto de la Unión y del Gobierno Nacional. ha de utilizarse y ponerse en común únicamente de conformidad con dicho Derecho. Además, los usuarios siempre deberían poder hacerlo utilizando protocolos de información comunes, como el TLP, para especificar mejores limitaciones. Aunque los usuarios mantienen su discreción, es importante que, al aplicar las limitaciones, tengan en cuenta las posibles consecuencias, en particular cuando se refieren a los comentarios en la evaluación o la prestación de los servicios solicitados. Para disponer de una Reserva de Ciberseguridad de la UE efectiva es importante que el órgano de contratación así lo declare como consecuencia del uso de la solicitud. Estas medidas de seguridad se limitan a la solicitud y prestación de Servicios de Ciberseguridad de la UE y no afectan al intercambio de información en otros contextos, como el contrato público de la Reserva de Ciberseguridad de la UE.

(29)

Ante el aumento de los riesgos y el número de incidentes que afectan a Oriente Medio, es necesario crear un instrumento para combatir la crisis, el Mecanismo de Emergencia en Materiales de Ciberseguridad, para mejorar la resiliencia de la actual ciberseguridad de la Unión. incidentes significativa, una gran escalada y equivalentes a una gran escalada y complementar las acciones de los Estados Intermedios mediante el apoyo financiero de emergencia para la preparación, la respuesta a los incidentes y la recuperación inicial de los servicios esenciales. Por tanto, la recuperación total de un incidente es un proceso global de restauración del funcionamiento de la entidad afectada por el incidente con antelación a que éste se produzca y puede ser un proceso largo que conlleva costes importantes, además del fin de la Reserva de Seguridad de la UE. debe Se limita a la etapa inicial del proceso de recuperación, que conduce a la restauración de las funciones básicas de los sistemas. El Mecanismo de Emergencia de Seguridad Cibernética debe permitir la prestación de servicios rápida y eficaz en circunstancias definidas y condiciones claras y permitir un seguimiento cuidadoso y una evaluación cuidadosa del método en el que se utilizan los recursos. Si bien la principal responsabilidad en la prevención de incidentes y crisis es prepararlos y responder a ellos en sus respectivos Estados, el Mecanismo de Emergencia en materia de Ciberseguridad promueve la solidaridad entre los Estados de conformidad con el artículo 3, apartado 3, del Tratado de la Unión Europea. (MATAS).

(30)

El Mecanismo de Emergencia de Ciberseguridad debe brindar apoyo a los Estados que complemente sus propios y recursos, así como otras opciones de apoyo que existan para la respuesta inicial y recuperación de incidentes de ciberseguridad significativos y en escalada. Servicios prestados por ENISA de conformidad con su mandato, respuesta coordinada y asistencia del CSIRT, y asistencia de EU-CyCLONe, así como asistencia de otros países, también en el contexto del punto 42, apartado 7, de TUE, y los equipos de respuesta telemática rápida de la Cooperación Estructural Permanente (CEP) creados de conformidad con la Decisión (PESC) 2017/2315 del Consejo  15 ) . Debemos abordar la necesidad de garantizar la disponibilidad de medios especializados para apoyar la preparación, respuesta y recuperación de incidentes de ciberseguridad en toda la Unión y otros países asociados al Programa Europa Digital.

(31)

El presente Reglamento se entiende sin perjuicio de los procedimientos y medidas para coordinar la respuesta a la crisis en la escalada de la Unión, en particular la Directiva (UE) 2022/2555, y el Mecanismo de Protección Civil de la Unión establecido por la Decisión 1313/2013/UE. del Parlamento Europeo y del Consejo  16 ) , el DIRPC, la Recomendación (UE) 2017/1584 de la Comisión  17 ) . El apoyo proporcionado en el Mecanismo Emergente en Material de Ciberseguridad puede complementar la asistencia proporcionada en el contexto de la política de seguridad exterior y común y la política común de seguridad y defensa, en particular a través de los Equipos de Responsabilidad Telemática. Rápidamente aprendimos sobre el carácter cívico del Mecanismo Emergente en Materiales de Ciberseguridad. El apoyo previsto en el Marco del Mecanismo Emergente en Materia de Ciberseguridad puede complementar las actuaciones adoptadas en el contexto del artículo 42, apartado 7, de la TUE, incluye la asistencia prestada por un Estado mío a otro Estado de miembro, o formar parte de las respuestas juntas entre La Unión y los Estados comparten las situaciones a que se refiere el artículo 222 del TFUE. La aplicación de este Reglamento también deberá coordinarse con la aplicación de los medicamentos dispuestos con el conjunto de instrumentos de ciberdiplomacia, según proceda.

(32)

La asistencia brindada a este respecto debe cumplir y complementar las medidas adoptadas por los países establecidos a nivel nacional. Para ello, debe garantizarse la cooperación y la consulta entre la Comisión, ENISA y nuestros respectivos Estados y, en este caso, las ECCC. Al solicitar asistencia del Mecanismo Emergente en Materia de Ciberseguridad, el Estado debe facilitar información relevante que justifique la necesidad de asistencia.

(33)

La Directiva (UE) 2022/2555 exige que nuestros Estados designen o establezcan una variedad de autoridades de ciberseguridad y gestión de crisis de seguridad para que estén disponibles para los recursos adecuados que les permitan lograr una gestión eficaz y eficiente. Asimismo, exigimos a nuestros Estados que determinen las capacidades, actividades y procedimientos que pueden desplegarse en caso de una crisis, así como la adopción de un plan nacional para responder a los incidentes y a la crisis de ciberseguridad a gran escala en el que Se fijan los objetos y las disposiciones de la gestión de la misma. Incidentes y crisis de ciberseguridad a escala. En consecuencia, nuestros proyectos están obligados a establecer una o más variantes de CSIRT con responsabilidad en el cumplimiento de la gestión de incidentes con un proceso bien definido y que estén incluidos en el ámbito de aplicación de esta Directiva. velar por que dispongan de los recursos adecuados para llevar a cabo de manera efectiva sus cometidos. Este Reglamento se entiende sin perjuicio del papel de la Comisión a la hora de garantizar el cumplimiento de los Estados mimbros de las obligaciones que los imponen en virtud de la Directiva (UE) 2022/2555. El Mecanismo de Emergencia en Ciberseguridad debe brindar apoyo a las acciones destinadas a restablecer la preparación, así como a las acciones de respuesta e incidentes para prevenir incidentes de ciberseguridad significativos y de gran escala, que conduzcan a una recuperación inicial o restablecible. Las funciones básicas de los servicios prestados por quienes operan en sectores altamente críticos y otros sectores críticos.

(34)

Como parte de las acciones de preparación, para promover una implementación coherente y reforzar la seguridad en toda la Unión y su mercado interior, se debe prever la puerta a la seguridad y la evaluación de la ciberseguridad de las entidades que operan en el sectores de alta criticidad determinados de conformidad con la Directiva (UE) 2022/2555 de gestión coordinada, incluida la formación y la capacitación. A tal fin, la Comisión, mediante consultas con ENISA, el Grupo de Cooperación y EU-CyCLONe, debe determinar periódicamente los sectores o subsectores pertinentes que deberían poder optar por aceptar ayuda financiera para la aplicación de medidas preparatorias para la escalada de la crisis. Unión. Los sectores o subsectores deberán seleccionarse entre los sectores de alta criticidad enumerados en el anexo I de la Directiva (UE) 2022/2555. Las preparaciones coordinadas deben basarse en metodologías y escenarios de riesgo comunes. La selección de sectores y el desarrollo de escenarios de riesgo deben incluir las evaluaciones de riesgos y escenarios de riesgo relevantes a la escala de la Unión, incluida la necesidad de evitar duplicaciones, como la evaluación de riesgos y los escenarios de riesgo solicitados. en las Conclusiones del Consejo sobre el desarrollo de la posición en materia cibernética de la Unión Europea que llevan a cabo la Comisión, el Alto Representante de la Unión para Asuntos Exteriores y Política de Seguridad (en adelante, “Alto Representante”) y el Grupo de cooperación, en coordinación con organismos y Agencias civiles y militares pertinentes y normativa establecida, incluido el EU-CyCLONe, así como la evaluación de los recursos e infraestructuras de comunicaciones solicitada por la Comisión Ministerial de Nevers y planteada por el Grupo de Cooperación, con el apoyo de la Comisión. y ENISA, y en cooperación con el Organismo de Reguladores Europeos de las Comunicaciones Electrónicas (ORECE), establecido por el Reglamento (UE) 2018/1971 del Parlamento de Europa y el Consejo  18 ) , las evaluaciones coordinadas por los riesgos de seguridad del Los candados más críticos de la Unión están ubicados de conformidad con el artículo 22 de la Directiva (UE) 2022/2555 y están sujetos a la resiliencia operativa digital según el Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo Europeo  19) . ) . La selección de sectores también debe basarse en la Recomendación del Consejo relativa a un esfuerzo coordinado en toda la Unión para fortalecer la resiliencia de las infraestructuras críticas.

(35)

Además, el Mecanismo de Emergencia de Seguridad Cibernética debe ser responsable de otras acciones de preparación y apoyo a la preparación en otros sectores no incluidos en la coordinación de preparación de entidades que operan en sectores altamente críticos o entidades que operan en otros sectores críticos. Estas acciones pueden incluir varios tipos de actividades de preparación nacional.

(36)

Si recibimos subvenciones para apoyar acciones preparatorias, muchos sectores de alta criticidad tienen la posibilidad de participar en estas acciones voluntarias. Es una buena práctica que, a través de estas acciones, todos los participantes desarrollen un plan correctivo para aplicar las recomendaciones resultantes de medicamentos específicos con el fin de obtener el mayor beneficio posible de la acción de preparación. Si bien es importante que los Estados miembros soliciten, como parte de las acciones, que las entidades participantes elaboren y apliquen sus planes correctos, los Estados miembros no están obligados ni facultades por el presente Reglamento para hacer cumplir dichas solicitudes. Estas solicitudes están sujetas a los requisitos aplicables a las entidades y a las facultades de supervisión de las autoridades competentes, de conformidad con la Directiva (UE) 2022/2555.

(37)

El Mecanismo de Emergencia de Ciberseguridad también debe responder a acciones de respuesta incidentales para mitigar los efectos de incidentes significativos de ciberseguridad, a gran escala y equivalente a gran escala, para permitir la recuperación inicial o restablecer el funcionamiento de los servicios. esenciales. A medida que avanzamos, debemos complementar el MPCU para garantizar una respuesta global que responda a las repercusiones de los incidentes en las ciudades.

(38)

El Mecanismo de Emergencia de Ciberseguridad debe estar respaldado por asistencia técnica proporcionada por un Estado anterior que se vio afectado por un incidente de ciberseguridad significativo o de gran escala, incluido el CSIRT a que se refiere el artículo 11, Parte 3, Letra f), de el Directiva (UE) 2022/2555. Los Estados miembros que presentan la asistencia deben poder presentar solicitudes para cubrir los costos relacionados con el envío de equipos de expertos en el marco de la asistencia mutua. Los costos subsidiados pueden incluir gastos de viaje, dietas y dietas para expertos en ciberseguridad.

(39)

Dada la importancia esencial de las empresas privadas en la detección de incidentes de ciberseguridad de gran escala y equivalentes a gran escala, y en la preparación y respuesta a los mismos, es crucial para reconocer el valor de la cooperación voluntaria y gratuita con nuestras empresas, en virtud de la cual ofrecerán Servicios sin remuneración en caso de incidentes y crisis de ciberseguridad a gran escala y equivalentes a alta escala. ENISA, en cooperación con EU-CyCLONe, puede llevar a cabo una secuencia de evolución de iniciativas libres y promover la acumulación en base a estos criterios aplicables a los proveedores de servicios de seguridad probados con arreglo al presente Reglamento, también en relación con la confiabilidad de las empresas, su experiencia y la capacidad de procesar información confiable de manera segura.

(40)

Como parte del Mecanismo Emergente de Ciberseguridad, debemos crear gradualmente una Reserva de Ciberseguridad de la UE, compilada por proveedores de servicios de seguridad de confianza para responder e iniciar acciones de recuperación en caso de un incidente de seguridad. ciberseguridad significativa, a gran escala o equivalentes a gran escala que afectan a los Estados miembros, a las instituciones, órganos y organismos de la Unión o a terceros países asociados al Programa Europa Digital. La Reserva de Seguridad de la UE debe garantizar la disponibilidad y preparación de los servicios. Deben incluirse, por tanto, servicios comprometidos con previo aviso, también, por ejemplo, capacidades que estén reservadas y puedan enviarse a la siguiente ubicación. Los servicios de la Reserva de Ciberseguridad de la UE deben servir para ayudar a las autoridades nacionales a proporcionar asistencia a entidades que operan en sectores de alta crítica o a entidades que operan en otros sectores críticos como complemento a nuestras propiedades a nivel nacional. Los servicios de la Reserva de Seguridad de la UE también pueden servir para apoyar a instituciones, organizaciones y organizaciones sindicales en condiciones similares. La Reserva de Ciberseguridad de la UE también puede contribuir a reforzar la posición competitiva de la industria y los servicios en la Unión en toda la economía digital, incluidas las microempresas y las pequeñas y medianas empresas, así como las empresas emergentes, entre otras empresas, incentivando la inversión en investigación e innovación. Es importante contar con el mercado europeo de capacidades de ciberseguridad de ENISA a la hora de contratar los servicios de la Reserva de Ciberseguridad de la UE. Al solicitar el apoyo de la Reserva de Seguridad Cibernética de la UE, los usuarios deben incluir en su solicitud la información adecuada sobre el impacto total y las posibles repercusiones, información sobre el servicio solicitado de la Reserva de Seguridad Cibernética de la UE, el apoyo brindado por la entidad. asignado al nivel nacional, el cual deberá ser presentado para evaluar la petición del solicitante. Para garantizar la complementariedadadadadadadadadadad con otras formas de apoyo de las que dispone la entidad afectada, la solicitud deberá incluir al mismo tiempo, al proceder, información sobre los acuerdos contractuales vigentes para la respuesta a incidentes y los servicios de recuperación iniciales, así como los contrados de seguro ¿qué puedes comer? tipo de incidente.

(41)

Para garantizar el uso efectivo de la financiación de la Unión, los servicios objeto de compromiso previo con arreglo a la Reserva de Ciberseguridad podrán convertirse, de conformidad con el correspondiente contrato, en servicios de preparación relacionados con la prevención y respuesta a incidentes. , en caso de que servicios se opongan El compromiso previo no sirve para dar respuesta a incidencias durante el período en que tenga el objeto del compromiso anterior. Estos servicios deben ser complementarios y no duplicar las acciones de preparación que deben gestionar las ECCC.

(42)

Las solicitudes para postularse a la Reserva de Ciberseguridad de la UE y a las Autoridades de Gestión de Crisis de Ciberseguridad de nuestros Estados miembros y a los CSIRT, o CERT-UE, en el número de instituciones, organizaciones y organizaciones sindicales, serán evaluadas por el órgano de contrato. Si ha confiado a ENISA la administración y el funcionamiento de la Reserva de Ciberseguridad de la UE, considerará a ENISA como órgano de contratación. La Comisión evaluará las solicitudes de terceros países asociados al programa Europa Digital. Para facilitar la presentación y evaluación de las solicitudes de los clientes, ENISA puede crear una plataforma segura.

(43)

Cuando se acepten múltiples solicitudes concurrentes, se deberá establecer el orden de prioridad de las solicitudes de conformidad con los criterios establecidos en este Reglamento. A la luz de los objetos generales de este Reglamento, estos criterios deben incluir la dimensión y gravedad del incidente, el tipo de entidad afectada, la posible repercusión del incidente en los estados medios y usuarios afectados, el posible carácter transfronterizo del incidente y el riesgo de contagio, y los medicamentos son adoptados por el usuario para ayudar en la respuesta inicial y la recuperación. A la luz de estos objetos y sabemos que las solicitudes de los usuarios de los Estados miembros están destinadas exclusivamente a ayudar, en toda la Unión, a todas las actividades en sectores de alta crítica o todas las actividades en otros sectores críticos, las solicitudes de los usuarios de los Estados Debemos aceptar la máxima prioridad cuando nuestras solicitudes o solicitudes se consideren consistentes con los criterios de evaluación. Todo ello se entiende sin perjuicio de las obligaciones que nuestros países miembros puedan tener con los correspondientes acuerdos de adopción de medidas para proteger y asistir a las instituciones, órganos y organismos de la Unión.

(44)

La Comisión tendrá la responsabilidad general de la expulsión de la Reserva de Ciberseguridad de la UE. Dada la amplia experiencia adquirida por ENISA con la acción de apoyo a la ciberseguridad, es la agencia más adecuada para expulsar la Reserva de Ciberseguridad de la UE, de la que debe encargarse la Comisión, particularmente o, si la Comisión lo considera oportuno, en saber totalidad, funcionamiento y administración de la Reserva de Ciberseguridad de la UE. El requisito deberá cumplir con las normas aplicables según el Reglamento (UE, Euratom) 2024/2509 y, en particular, deberá cumplir con las condiciones pertinentes para la empresa de pago de cotizaciones. Todos los aspectos del funcionamiento y administración de la Reserva de Ciberseguridad de la UE no se recomiendan a ENISA como objeto de gestión directa para la Comisión, incluso antes de la empresa de contribución.

(45)

Los Estados miembros deben desempeñar un papel central en la constitución, la implantación y la fase posterior a la implantación de la Reserva de Ciberseguridad de la UE. Según el Reglamento (UE) 2021/694, es el acto básico de relevancia para las acciones de expulsión de la Reserva de Ciberseguridad de la UE, las actuaciones en el área de la Reserva están previstas en los programas de trabajo a los que se refiere el artículo 24 de la Reglamentos (UE) 2021/694. Además del 6 de este artículo, estos programas de trabajo son adoptados por la Comisión mediante actos de ejecución de conformidad con el procedimiento de examen. Además, la Comisión, en coordinación con el Grupo de Cooperación, debe determinar las prioridades y la evolución de la Reserva de Ciberseguridad de la UE.

(46)

Los contratos que se establecen en la Reserva de Ciberseguridad de la UE no afectan a la relación entre empresas ni a las obligaciones existentes entre la entidad afectada por los usuarios y el prestador de servicios.

(47)

De cara a la selección de proveedores de servicios privados para prestar servicios en el contexto de la Reserva de Ciberseguridad de la UE, es necesario establecer un conjunto de criterios y requisitos mínimos que deben incluirse en la convocatoria para seleccionar a los prestados, para la propósito de garantizar que usted está satisfecho las necesidades de las autoridades, entidades de los Estados miembros que operan en sectores de alta criticidad y entidades que operan en otros sectores críticos. Para cumplir con los requisitos específicos de nuestros Estados miembros, para contratar servicios de la Reserva de Seguridad de la UE, el órgano de contratación deberá, siempre que sea necesario, seguir los criterios de selección y requisitos complementarios a los de establecimiento establecidos en este Reglamento. Es importante incentivar la participación de pequeños productores, en actividades a nivel regional y local.

(48)

A la hora de seleccionar las fuentes para su inclusión en la Reserva de Ciberseguridad de la UE, la organización contratante deberá garantizar que la Reserva de Ciberseguridad de la UE, considerada en su totalidad, contenga documentos acreditados capaces de satisfacer las necesidades lingüísticas de los usuarios. Para ello, antes de preparar el conjunto de condiciones, la organización del contrato debe predeterminar si los usuarios potenciales de la Reserva de Ciberseguridad de la UE tienen requisitos lingüísticos específicos, como los servicios prestados por la Reserva de Ciberseguridad de la UE. Podrá utilizar una de las lenguas oficiales de las instituciones de la Unión o de los Estados actuales, que pueda ser entendida por el usuario o la entidad afectada. En caso de que un usuario requiera más de un idioma para la prestación de servicios de la Reserva de Ciberseguridad de la UE y otros servicios que se contraten en dichos idiomas para el usuario, deberá especificarlo, en la solicitud de apoyo de la UE. Reserva de Ciberseguridad, En lo que respecta a estos idiomas, deberás prestar servicios en relación con la incidencia concreta que debas contactar.

(49)

Para apoyar la creación de la Reserva de Ciberseguridad de la UE, es importante que la Comisión solicite a ENISA que prepare una propuesta de modelo de certificación de ciberseguridad para los servicios de seguridad gestionados en virtud del Reglamento (UE) 2019/881. sí aplica el Mecanismo Emergente en Materiales de Ciberseguridad.

(50)

Para apoyar los objetivos del presente Reglamento de promover una conciencia situacional común, mejorar la resiliencia de la Unión y permitir una respuesta eficaz a incidentes de ciberseguridad importantes y de gran escala, la Comisión o la Red EU-CyCLONe deben solicitar una ENISA, con el apoyo de la red de CSIRT y con la autorización de los Estados miembros afectados, que revisan y evalúan las ciberamenazas, las vulnerabilidades aprovechables conocidas y las medidas paliativas con respecto a un incidente de ciberseguridad significativo o a gran escala específica. Una vez finalizada la revisión y evaluación de un incidente, ENISA debe preparar un informe de revisión del incidente, en colaboración con el Estado afectado, las partes interesadas pertinentes, incluidos los representantes del sector privado, la Comisión y otras instituciones, organizaciones y organismos pertinentes para la Unión. Sobre la base de la colaboración con las partes interesadas, incluidas las provenientes del sector privado, deberá realizarse la revisión de incidentes específicos con el fin de evaluar las causas, efectos y medidas paliativas de un incidente que se haya producido. Deberá prestarse especial atención a las disposiciones y conclusiones de los proveedores de servicios de gestión de seguridad que incluyan las condiciones de máxima probidad profesional, desconocimiento y conocimientos técnicos necesarios, tal y como exige este Reglamento. La información debe presentarse a EU-CyCLONe, al CSIRT y a la Comisión y debe utilizarse para informar nuestras respectivas actividades, así como a la ENISA. Si el incidente se refiere a un país asociado al Programa Europa Digital, la Comisión también deberá informar e informar al Representante de Alto.

(51)

Contiene el carácter inexpugnable de los ciberataques y el hecho de que este menú no se limita a un área geográfica específica y plantas que no son susceptibles de contagios, el rechazo de la resiliencia de nuestros países y nuestra capacidad de responder eficazmente a incidentes de ciberseguridad. Contribuyan de manera significativa y equivalente a gran escala a la protección de la Unión en su comunidad, y especialmente de su mercado interior y su industria. Estas actividades pueden contribuir más a la ciberdiplomacia de la Unión. Por tanto, los terceros países asociados al Programa Europa Digital podrán solicitar el acceso a la Reserva de Ciberseguridad de la UE, en la totalidad o en parte de nuestros territorios, si se prevé en el transcurso del cual el tercer país está asociado al Programa Europa Digital. . Financiación para los terceros países asociados al Programa Europa Digital debe contar con el apoyo de la Unión en el marco de las asociaciones e instrumentos de financiación pertinentes para dichos países. También debe cancelar los servicios en el rango de respuesta a incidentes importantes de seguridad cibernética o equivalentes a una gran escalada y recuperación inicial del suyo.

(52)

Estas condiciones se establecen en este Reglamento para la Reserva de Seguridad de la UE y aquellas provistas de servicios de seguridad de confianza deberán aplicarse en el momento de la entrega sujetas a los terceros países asociados al Programa Europa Digital. Los terceros países asociados al Programa Europa Digital deberán poder solicitar el apoyo de la Reserva de Ciberseguridad de la UE cuando los destinatarios y quienes soliciten el apoyo de la Reserva de Ciberseguridad de la UE sean entidades que operen en sectores de alta crítica. o entidades que operan en otros sectores críticos y cuando se detecten incidentes en los que existan perturbaciones operativas significativas o puedan tener efectos de contagio en la Unión. Los tres países asociados al Programa Europa Digital sólo deben optar por aceptar si han sido asociados específicamente al Programa Europa Digital antes de registrarse. Además, estos tres países sólo tienen que mantener el derecho a aceptar el principio de que se basan en tres criterios. En primer lugar, el tercer país debe cumplir plenamente las condiciones pertinentes del acuerdo. En segundo lugar, debido al carácter complementario de la Reserva de Ciberseguridad de la UE, el tercer país debe haber adoptado medidas adecuadas para prepararse ante incidentes de ciberseguridad significativos o equivalentes a gran escala. A este respecto, el servicio de la Reserva de Ciberseguridad de la UE debe ser coherente con las políticas de la Unión y sus relaciones generales con ella, así como con otras políticas de la Unión en el contexto de la seguridad. En el contexto de la evaluación del cumplimiento de este criterio, la Comisión deberá consultar con el Representante del Alto para la adaptación de la concepción de este apoyo a la política exterior y de seguridad de la comunidad.

(53)

El servicio prestado a terceros países asociado al Programa Europa Digital puede afectar a las relaciones con otros países y a la política de seguridad de la Unión, así como en el contexto de las políticas de seguridad exterior y comunitaria. defendido. Por tanto, se procede a permitir que el Consejo de competencias de ejecución autorice y señale el plazo durante el cual podrá realizarse en consecuencia. El Consejo deberá actuar sobre la base de una propuesta de la Comisión, basándose debidamente en la evaluación de la Comisión de los tres criterios. Esto mismo es aplicable a las renovaciones y propuestas de modificación o derogación de las leyes. El Consejo, en el caso de que, en circunstancias excepcionales, considere que se ha producido un cambio significativo de circunstancias en relación con el tercer criterio, deberá ser posible actuar iniciando la propia para modificar o derogar un acto de ejecución, sin esperar que una propuesta de la Comisión. Es probable que estos cambios significativos requieran medidas urgentes, con implicaciones especialmente importantes para las relaciones con otros países y no requieran una evaluación previa detallada por parte de la Comisión. Además, la Comisión debe cooperar con el Alto Representante en relación con las solicitudes de terceros países asociados al Programa Europa Digital y la expulsión del apoyo concedido a otros países. La Comisión también debe tener en cuenta los puntos de vista facilitados por ENISA respecto de sus solicitudes y apoyo. La Comisión deberá informar al Consejo del resultado de la evaluación de las solicitudes, así como de las consideraciones pertinentes realizadas al respecto, y de los servicios prestados.

(54)

La Comunicación de la Comisión del 18 de abril de 2023 sobre la Academia de Cibercapacidades reconoció el lugar de los profesionales calificados. Tenga en cuenta que estas cualificaciones son necesarias para cumplir los fines del presente Reglamento. La Unión necesita urgentemente profesionales con capacidades y competencias para prevenir, detectar y disuadir ciberataques y defender la Unión, incluida su infraestructura más crítica, para combatir los rumores de ataques, así como para garantizar su resiliencia. Para ello, es importante promover la cooperación entre las partes interesadas, incluidas las del sector privado, el mundo académico y el sector público. También es importante crear recursos, en todos los territorios de la Unión, para la inversión en educación y formación con el fin de promover la creación de socorristas para evitar la pérdida de talentos y que el déficit de habilidades no empeore más en algunas regiones. que en otras. Para resolver urgentemente el déficit de capacidades en ciberseguridad, prestar especial atención a la reducción de la brecha generacional en el ámbito de la ciberseguridad para promover la presencia y participación de las mujeres en el diseño de la gobernanza digital.

(55)

Con vistas a impulsar la innovación en un mercado digital único, es importante reformar la investigación y la innovación en ciberseguridad, con vistas a contribuir a aumentar la resiliencia de nuestro Oriente Medio y la autonomía estratégica de la Unión, ambos objetos de los presentes Reglamentos. Los principios son esenciales para fortalecer la cooperación y la coordinación entre diversas partes interesadas, incluidas las del sector privado, la sociedad civil y el mundo académico.

(56)

Este Reglamento debe ser conforme al compromiso, formulado en la Declaración del Año 26 de 2022 del Parlamento Europeo, el Consejo y la Comisión titulada “Declaración de Europa sobre los Derechos y Principios Digitales para la Década Digital”, para proteger su intereses de las democracias, los pueblos, Las empresas e instituciones públicas de la Unión se ocupan de la ciberseguridad y la ciberdelincuencia, incluidas las violaciones de la seguridad de los datos y el robo o manipulación de la identidad.

(57)

Para completar los elementos no esenciales del presente Reglamento, deberá delegar en la Comisión la adopción de los actos previstos en el artículo 290 del TFUE, de acuerdo con la especificación de los tipos y número de servicios necesarios para la reserva. . de Ciberseguridad de la UE. Es especialmente importante que la Comisión tenga la oportunidad de consultar durante la fase preparatoria, en particular con expertos, y que estas consultas sean consistentes con los principios establecidos en el Acuerdo Interinstitucional del 13 de abril de 2016 bajo la mejora de la legislación  20 ). . En particular, para garantizar una participación equitativa en la preparación de los actos delegados, el Parlamento de Europa y el Consejo reciben toda la documentación al mismo tiempo que los expertos de los Estados son mimbros, y sus expertos tienen acceso sistemático a la reuniones de los grupos de expertos de la Comisión que se encarga de la preparación de los documentos delegados.

(58)

Para garantizar las condiciones uniformes de entrega de este Reglamento, debemos consultar con la Comisión de Ejecución Competente para especificar la forma más detallada de los procedimientos para la asignación de los servicios de la Reserva de Seguridad Cibernética de la UE. Son competentes para cumplir con el Reglamento (UE) n. o  182/2011 del Parlamento Europeo y del Consejo  21 ) .

(59)

Sin perjuicio de las normas relativas al presupuesto anual de la Unión con arreglo a los Tratados, la Comisión deberá respetar las obligaciones derivadas del presente Reglamento para evaluar las necesidades presupuestarias y de personal de ENISA.

(60)

La Comisión deberá evaluar periódicamente los medicamentos establecidos en este Reglamento. La primera de estas evaluaciones deberá realizarse en los primeros años a partir de la fecha de entrada en vigor del presente Reglamento y, posteriormente, al menos cada cuatro años, teniendo en cuenta el calendario de revisión del marco financiero plurianual establecido en virtud del artículo. 312 TFUE. La Comisión debe presentar un informe informado sobre los avances realizados al Parlamento Europeo y al Consejo. Para evaluar los diversos elementos necesarios, incluida la disponibilidad de información disponible en el Sistema Europeo de Alerta de Seguridad, la Comisión debe basarse exclusivamente en información que esté fácilmente disponible o que se facilite voluntariamente. Habida cuenta de la evolución geopolítica y con el fin de garantizar la continuidad y el ulterior desarrollo de las medidas establecidas en el presente Reglamento más allá de 2027, es importante que la Comisión evalúe la necesidad de firmar un presupuesto adecuado en el cofinanciero multianual para el período 2028-2034.

(61)

Dado que los objetivos del presente Reglamento, a saber, reforzar la posición competitiva de la industria y los servicios en la Unión en toda la economía digital y contrir à la soberanía tecnológica de la Unión y su autonomía estratégica abierta en el ámbito de la ciberseguridad, no se nos puede permitir usar Sin embargo, dependiendo de las dimensiones y efectos de la acción, es posible mejorar la escala de la Unión, es posible adoptar las medidas de adquisición con el principio de subsidiariedad establecido en el artículo 5 del TUE. De conformidad con el principio de proporcionalidad establecido en este artículo, este Reglamento no excede de la necesidad de dar cabida a estos objetos.

ADOPTÓ A MANO ESTAS REGLAMENTACIONES:

CAPÍTULO I

DISPOSICIONES GENERALES

Artículo 1

Objetos y objetos

1. El presente Reglamento establece medidas para reforzar las capacidades de la Unión con el fin de detectar amenazas e incidentes de ciberseguridad, prepararse para ellos y responder a ellos, en particular durante la creación:

a)

de una red paneuropea de centros de ciberseguridad (en adelante, “Sistema Europeo de Alerta de Ciberseguridad”) con el fin de detectar y mejorar las capacidades de detección coordinada y conocimiento situacional común;

b)

de un Mecanismo de Emergencia en Material de Ciberseguridad para ayudar a los Estados a prepararse ante incidentes significativos de ciberseguridad, de gran escala y equivalente a gran escala, para responder a ellos, evitar repercusiones e iniciar la recuperación de los mismos, así como ayudar a otros usuarios para responder a incidentes de ciberseguridad que sean significativos y equivalentes a gran escala;

c)

de un Mecanismo Europeo de Revisión de Incidentes de Ciberseguridad para revisar y evaluar incidentes de ciberseguridad significativos a gran escala.

2. El presente Reglamento persigue los objetivos generales de reforzar la posición competitiva de la industria y los servicios en la Unión en toda la economía digital, incluidas las microempresas y las pequeñas y medianas empresas, así como las empresas emergentes, y contribuir a la soberanía tecnológica. de la unión Ha habido autonomía estratégica en el ámbito de la ciberseguridad, particularmente impulsando la innovación en el singular mercado digital. Persigue dichos objetivos reforzando la solidaridad a escala de la Unión, consolidando el ecosistema de ciberseguridad, mejorando la ciberresiliencia de los Estados miembros y desarrollando las capacidades, los conocimientos técnicos, las skills y las competencias de la mano de obra en relación con la ciberseguridad.

3. Los objetos generales a los que se refiere la parte 2 se enumeran entre los siguientes objetos específicos:

a)

reforzar las capacidades coordinadas comunes de detección de la Unión y la conciencia situacional común de ciberamenazas e incidentes;

b)

consolidar la preparación de las entidades que operan en sectores de alta criticidad y de entidades que operan en otros sectores críticos en toda la Unión y reforzar la solidaridad mediante el desarrollo de pruebas coordinaciones de preparación y capacidades mejoradas de respuesta y recuperación con vistas a gestionar incidentes incidentales de La ciberseguridad significativa, a gran escala o equivalente a gran escala, incluye la posibilidad de hacer funcionar la Unión para responder a incidentes de ciberseguridad a disposición de otros países asociados al Programa Europa Digital;

c)

mejorar la resiliencia de la Unión y contribuir a una respuesta eficaz a los incidentes mediante la revisión y evaluación de incidentes de ciberseguridad significativos o de gran escala, incluida la extracción de conclusiones y, en este caso, la formulación de recomendaciones.

4. Las actuaciones previstas en el presente Reglamento deberán tenerse en cuenta de acuerdo con las competencias de las empresas conjuntas y serán complementarias de las actividades realizadas por el CSIRT, EU-CyCLONe y el Grupo de Cooperación.

5. Este Reglamento se entiende sin perjuicio de las funciones estatales esenciales de nuestros respectivos Estados, incluida la garantía de la integridad territorial del Estado, el mantenimiento del orden público y la protección de la seguridad nacional. En particular, la seguridad nacional está sujeta a la responsabilidad exclusiva de cada Estado.

6. La puesta en común o el intercambio de información con arreglo al presente Reglamento que se se confidencial en virtud de las normas de la Unión o nacionales se limitará aquella que esta pertinente y proporcionada en cuanto a la finalidad de ce puesta en común o intercambio. Puede comunicarse o intercambiar información para preservar la confidencialidad de la información y proteger sus intereses comerciales y la seguridad de las entidades afectadas. No supondrá facilitar información o divulgación contraria a los intereses esenciales de nuestros Estados en materia de seguridad nacional, seguridad pública o defensa.

Artículo 2

Definiciones

Los efectos de este Reglamento se entenderán como sigue:

1)

“Cibercentro transfronterizo”: una plataforma multinacional creada mediante un acuerdo de consorcio escrito que consiste en una estructura coordinada por los cibercentros nacionales de muchos de nuestros estados, y que está diseñada para mejorar la secuencia, detección y analizar ciberataques, prevenir incidentes y prevenir la producción de ciberinteligencia, en particular mediante el intercambio de datos e información relevantes, en sus casos anonimizados, así como la transmisión de vanguardias y la pérdida de una combinación de capacidades de detección, análisis, prevención y protección cibernética en un entorno confiable;

2)

“consorcio anfitrión”: un consorcio compuesto por Estados participantes, que se ha acordado contribuir a la adquisición de herramientas, infraestructuras y servicios para un centro cibernético transfronterizo y su funcionamiento;

3)

“CSIRT”: un CSIRT designado o establecido en virtud del artículo 10 de la Directiva (UE) 2022/2555;

4)

“entidad”: una entidad se define en el artículo 6, punto 38, de la Directiva (UE) 2022/2555;

5)

“entidades que operan en sectores de alta criticidad”: el tipo de entidades enumeradas en el anexo I de la Directiva (UE) 2022/2555;

6)

“entidades que operan en otros sectores críticos”: el tipo de entidades enumeradas en el anexo II de la Directiva (UE) 2022/2555

7)

“riesgo”: un riesgo se define en el artículo 6, punto 9, de la Directiva (UE) 2022/2555;

8)

“ciberamenaza”: una ciberamenaza se define en el artículo 2, punto 8, del Reglamento (UE) 2019/881;

9)

“incidente”: el incidente se define en el artículo 6, punto 6, de la Directiva (UE) 2022/2555;

10)

“incidente significativo de ciberseguridad”: un incidente que cumple los criterios establecidos en el artículo 23, apartado 3, de la Directiva (UE) 2022/2555;

11)

“incidente grave”: un incidente grave se define en el artículo 3, punto 8, del Reglamento (UE, Euratom) 2023/2841 del Parlamento Europeo y del Consejo  22 ) ;

12)

“incidente de ciberseguridad a gran escala”: un incidente de ciberseguridad a gran escala se define en el artículo 6, punto 7, de la Directiva (UE) 2022/2555;

13)

“incidente de ciberseguridad equivalente a gran escala”: en el caso de instituciones, organizaciones y organismos de la Unión, un incidente grave y, en el caso de terceros países asociados al Programa Europa Digital, un incidente que provoca un nivel de perturbación que una gran capacidad para responder a las necesidades del país asociado al Programa Europa Digital afectado;

14)

“Tercer país asociado al Programa Europa Digital”: país que forma parte de una unión que permite su participación en el Programa Europa Digital de conformidad con el artículo 10 del Reglamento (UE) 2021/694;

15)

“poder adjudicador”: la Comisión, en la que el funcionamiento y administración de la Reserva de Ciberseguridad de la UE está encomendada a ENISA en virtud del artículo 14, apartado 5, de ENISA;

16)

“proveedor de servicios de seguridad gestionados”: un proveedor de servicios de seguridad gestionados tal como se define en el artículo 6, punto 40, de la Directiva (UE) 2022/2555;

17)

“Proveedores de servicios de seguridad ads de confianza”: los proveedores de servicios de seguridad ados seleccionados para parte de la Reserva de Ciberseguridad de la UE de conformidad con el artículo 17.

CAPÍTULO II

SISTEMA EUROPEO DE ALERTA DE SEGURIDAD CIBERS

Artículo 3

Establecimiento del Sistema Europeo de Alerta de Ciberseguridad

1. Se creará una red paneuropea de infraestructuras integrada por los centros cibernéticos nacionales y los centros cibernéticos transfronterizos que voluntariamente se integran en él, el Sistema Europeo de Alerta de Ciberseguridad, para apoyar el desarrollo de capacidades avanzadas para que la Unión mejore las capacidades de detección, análisis y tratamiento de datos en relación con la ciberdelincuencia y la prevención de incidentes en la Unión.

2. El Sistema Europeo de Alerta de Ciberseguridad:

a)

contribuirá a una mejor protección y respuesta a las amenazas cibernéticas, la cooperación y el rechazo de las capacidades de las entidades relevantes, en particular, CSIRT, CSIRT, EU-CyCLONe y las autoridades competentes designadas o establecidos de conformidad con el artículo 8, apartado 1 de la Directiva (UE) 2022/2555;

b)

agregó y recopiló datos e información relevantes sobre seguridad cibernética e incidentes que surgieron de varios centros cibernéticos transfronterizos y comparó la información analizada o agregada entre centros cibernéticos transfronterizos, cuando se procedió, con la red CSIRT;

c)

recibirá y activará la producción de información e inteligencia de alto calibre y eyectable sobre ciberamenazas, mediante el uso de herramientas de vanguardia y tecnologías avanzadas, y proporcionará información e inteligencia común sobre ciberamenazas;

d)

contribuirá a mejorar la detección coordinada de ciberamenazas y la conciencia situacional común en toda la Unión, así como la emisión de alertas, en particular, al proceder, formulando recomendaciones concretas a las entidades;

e)

prestar servicios a la comunidad de ciberseguridad de la Unión y apoyar sus actividades comunitarias, incluida la contribución al desarrollo de herramientas y tecnologías avanzadas, como la inteligencia artificial y el análisis de datos.

3. Estas medidas se aplican al Sistema Europeo de Alerta de Ciberseguridad y están sujetas al objeto específico 3.

Artículo 4

Centros Cibernéticos Nacionales

1. Cuando un Estado miembro decida participar en el Sistema Europeo de Alerta de Ciberseguridad designará o, en su caso, establecerá un cibercentro nacional con los efectos de este Reglamento.

2. El cibercentro nacional será una entidad única que operará bajo la autoridad de su estado actual. Puede ser un CSIRT o, en este caso, una autoridad de gestión de crisis de ciberseguridad u otra autoridad competente designada o establecida en virtud del artículo 8, apartado 1, de la Directiva (UE) 2022/2555, u otra entidad. El cibercentro nacional:

a)

tienden a tener la capacidad de actuar como punto de referencia y pasar a otras organizaciones públicas y privadas a nivel nacional para recopilar y analizar información sobre incidentes cibernéticos y contribuir a un centro cibernético transfronterizo, al que se hace referencia en el artículo 5, y

b)

Podrá detectar, agregar y analizar datos e información relevantes para ciberataques e incidentes, como la ciberinteligencia, utilizando en particular tecnologías de vanguardia, con el objetivo de prevenir incidentes.

3. Como parte de las funciones mencionadas en la Parte 2 de este artículo, los centros cibernéticos nacionales pueden cooperar con entidades del sector privado para intercambiar datos e información relevantes con el fin de detectar y prevenir ataques e incidentes cibernéticos, particularmente con las comunidades sectoriales e intersectoriales. cuestiones esenciales e importantes a las que se hace referencia en el artículo 3 de la Directiva (UE) 2022/2555. A medida que avance, y de conformidad con la Unión y el Gobierno Nacional, la información solicitada o recibida por los centros cibernéticos nacionales puede incluir datos de telemetría, sensores y registros.

4. Los Estados seleccionados para cumplir con el artículo 9, aparte del 1, se comprometen a solicitar que nuestros respectivos cibercentros nacionales participen en un cibercentro transfronterizo.

Artículo 5

Cibercentros transfronterizos

1. Mientras nuestros otros Estados se comprometan a garantizar que nuestros centros cibernéticos nacionales colaboren para coordinar sus actividades de detección cibernética y desarrollos posteriores, nuestros propios Estados pueden crear un consenso para apoyar los efectos de este Reglamento.

2. Un consorcio anfitrión estará compuesto por al menos tres Estados miembros participantes que hayan acordado establecer y contribuir a la adquisición de herramientas, infraestructuras y servicios para un centro cibernético transfronterizo y su funcionamiento de conformidad con el apartado 4.

3. Si selecciona un acuerdo de cumplimiento del artículo 9, apartado 3, celebraremos un acuerdo escrito de la siguiente manera:

a)

establecer las disposiciones internas para la aplicación del dispositivo y su uso a que se refiere el artículo 9, apartado 3;

b)

El nuevo consorcio creará el cibercentro transfronterizo y

c)

Se incluyen las cláusulas específicas exigidas en el apartado 6, apartados 1 y 2.

4. Un cibercentro transfronterizo estará constituido por una plataforma de múltiples países creada a través de un consorcio escrito al que se refiere el apartado 3. Reunidos en una estructura roja coordinada de los cibercentros nacionales de los Estados conjuntamente con la asociación conjunta. Debe estar diseñado para mejorar el seguimiento, la detección y el análisis de los ciberataques, prevenir incidentes y evitar la producción de inteligencia sobre las ciberamenazas, en particular, mediante el intercambio de datos e información relevantes, anonimizar al proceder, así como a través de la puerta. . Una colección común de vanguardias y una combinación de capacidades de detección, análisis y ciberprotección en un entorno confiable.

5. El cibercentro transfronterizo está representado para los efectos jurídicos por un miembro del órgano consultivo en calidad de coordinador, o por la persona jurídica si ésta es persona jurídica. La responsabilidad por el pago del presente Reglamento y la recepción del pago y uso por parte del centro cibernético transfronterizo se indica en el documento de consentimiento por escrito al que se hace referencia en el apartado 3.

6. Un Estado miembro puede adherirse a un consorcio que exista con conocimiento de los miembros de este consorcio. Las instrucciones escritas deberán consultarse en el apartamento 3 y las instrucciones e instrucciones se modificarán en consecuencia. Esto no se ve afectado por los desarrollos del Centro Europeo de Competencias Industriales, Tecnología y Ciberseguridad (ECCC) en base a sus infraestructuras, infraestructuras o servicios adquiridos junto con el consorcio anterior.

Artículo 6

Cooperación y comunicación entre cibercentros transfronterizos y otros

1. Los miembros de un consorcio garantizarán que nuestros cibercentros nacionales sean comunes, de conformidad con el consentimiento del consorcio a que se refiere el artículo 5, apartado 3, dentro del cibercentro transfronterizo, la información pertinente, anonimizada siguiendo el procedimiento , como, por ejemplo, información relativa a ciberseguridad, incidentes, vulnerabilidades, técnicas y procesos, indicadores de compromiso, tácticas de adversarios, información específica del agente de riesgo, alertas de ciberseguridad y recomendaciones relativas a la configuración del Capacidades de ciberseguridad para detectar ciberataques, por lo que podrás ver la siguiente información:

a)

promover y mejorar la detección de ciberataques y hacer referencia a las capacidades del CSIRT para prevenir y responder a incidentes o mitigar sus repercusiones;

b)

hacer referencia al nivel de ciberseguridad, por ejemplo, conocer la ciberseguridad, limitar o anular la capacidad de difusión de los mensajes, permitir una batería de capacidades de defensa, corregir y revelar vulnerabilidades, técnicas de detección, contención y prevención de amenazas, estrategias paliativas, medidas de respuesta y recuperación, o fomento de la investigación de amenazas en colaboración con entidades públicas y privadas.

2. El documento de consentimiento escrito a que se refiere el artículo 5, apartado 3, establece:

a)

el compromiso que deberán realizar en común entre los miembros del consorcio anfitrión la información a que se refiere el apartado 1 y las condiciones en que será ponderada en común con dicha información;

b)

un código de aprobación que declara y fomenta la posibilidad de compartir información relevante, en su caso anonimizada, que se refiere al apartado 1 entre todos los participantes;

c)

objetos por la contribución al desarrollo de herramientas y tecnologías avanzadas, tales como herramientas de inteligencia artificial y análisis de datos.

El documento de consentimiento escrito podrá especificar que la información a que se refiere el Apartado 1 será conforme con la Unión y el Gobierno Nacional.

3. Los cibercentros transfronterizos celebran los logros de la cooperación entre ellos, especifican los principios de interoperabilidad y pueden compartir información entre ellos. Los cibercentros transfronterizos serán informados por la Comisión de Acompañamientos Celebrados de Cooperación.

4. El intercambio de información relativo a la separación 1 entre cibercentros transfronterizos está garantizado por un alto nivel de interoperabilidad. Para apoyar la interoperabilidad de ENISA, en esta consulta con la Comisión, que sin demora será posterior al 5 de febrero de 2026, emitirá directrices de interoperabilidad específicas, en particular, a los formatos y protocolos de acceso a la información común, teniendo en cuenta los estándares y las mejores prácticas internacionales, tal como existe la funcionalidad de cualquier cibercentro transfronterizo. Los requisitos de interoperabilidad previstos en la cooperación de los cibercentros transfronterizos se basan en las directrices publicadas por ENISA.

Artículo 7

La cooperación y la comunicación se pueden lograr con la ayuda de los dirigentes sindicales.

1. Los cibercentros transfronterizos y la red CSIRT deben cooperar ampliamente, en particular para proporcionar información común. A tal efecto, aceptaremos el procedimiento de cooperación y facilitaremos la información relevante en común y, sin perjuicio de lo dispuesto en la Parte 2, los tipos de información que se encontrarán en común.

2. Cuando los centros de ciberseguridad transfronterizos obtienen información relativa a un incidente de ciberseguridad con un alto nivel de potencial o en curso, garantizado, las autoridades de los respectivos Estados y la Comisión facilitan un efecto de conciencia situacional común con información relevante allí. son alertas tempranas a través de la EU-CyCLONe y de la red de CSIRT, sin demora indebida.

Artículo 8

Seguridad

1. Los Estados que participan en el Sistema Europeo de Alerta de Ciberseguridad garantizan un alto nivel de ciberseguridad, incluida la confidencialidad y seguridad de los datos, así como la seguridad física de la infraestructura del Sistema Europeo de Alerta de Ciberseguridad. y velarán por que la red sea gestionada y controlada adecuadamente, de modo que se proteja de los activos y garantice su seguridad y la de los sistemas, incluidos los datos e información que puedan compartirse a través de la red.

2. Los Estados que participan en el Sistema Europeo de Alerta de Ciberseguridad están amparados en que se puede encontrar información común en el artículo 6, aparte del 1, en el Sistema Europeo de Alerta de Ciberseguridad con cualquier entidad que no contenga cualquiera de ellos. público de un Estado miembro no afecte negativamente a los intereses de seguridad de la Unión o de los Estados miembros.

Artículo 9

Financiación del Sistema Europeo de Alerta de Ciberseguridad

1. Tras una convocatoria de manifestaciones de interés, las ECCC seleccionarán, entre aquellos Estados que tengan la intención de participar en el Sistema Europeo de Alerta de Ciberseguridad, aquellos que participarán con las ECCC en un contrato junto con herramientas, infraestructura o servicios, con el fin de crear o mejorar las capacidades de los cibercentros nacionales designados o establecidos conforme al artículo 4, apartado 1. Las ECCC podrán otorgar subsidios a los Estados seleccionados para financiar la operación de sus proyectos, infraestructuras y servicios. La contribución financiera de la Unión será de hasta el 50% del coste de adquisición de plantas, infraestructuras o servicios, y hasta el 50% del coste de operación. Los estados seleccionados están sujetos a los costos restantes. Antes de iniciar el proceso para la adquisición de las herramientas, infraestructura o servicios, las ECCC y los Estados seleccionados celebran un reconocimiento de entrega y uso que regula el uso de las herramientas, infraestructura o servicios.

2. Si el centro cibernético nacional de un Estado miembro ne participante en un centro cibernético transfronterizo en el plazo dos años de la fecha en que se aquieran las herramientas, infraestructuras y servicios, o la de la fecha en que reiba la financiación mediante subsidios, si han sido concedidos previamente, Este miembro no podrá beneficiarse de otro apoyo de la Unión previsto en este capítulo que nos adheriremos a un centro cibernético transfronterizo.

3. Previa convocatoria de manifestaciones de intereses, las ECCC seleccionarán un consorcio con el que participar en un contrato conjunto de herramientas, infraestructuras o servicios. Las ECCC podrán otorgar al consorcio una subvención para financiar el funcionamiento de sus instalaciones, infraestructura o servicios. La contribución financiera de la Unión será de hasta el 75% de los costes de adquisición de las plantas, infraestructuras o servicios, y hasta el 50% de los costes de funcionamiento. El consorcio anfitrión será suficiente para cubrir el resto de los gastos. Antes de iniciar el proceso para la adquisición de las herramientas, infraestructuras y servicios, la ECCC y el consorcio anfitrión celebran un reconocimiento de alojamiento y uso que regula el uso de las herramientas, infraestructuras o servicios.

4. Las ECCC elaborarán, cada pocos años, un mapa de herramientas, infraestructuras o servicios necesarios y de calidad adecuada para crear o mejorar las capacidades de los cibercentros nacionales y transfronterizos, así como su disponibilidad. parte de personas jurídicas establecidas cuando se consideran establecidas en sus propios estados y controladas por sus propios estados o a nivel nacional por sus propios estados. Para preparar el mapa, las ECCC consultarán con el CSIRT, cualquier cibercentro transfronterizo existente, ENISA y la Comisión.

CAPÍTULO III

MECANISMO DE EMERGENCIA EN MATERIA DE CIBERSEGURIDAD

Artículo 10

Creación del Mecanismo Emergente en Materiales de Ciberseguridad

1. Se crea un Mecanismo de Emergencia en materia de Cyberseguridad to Enhance the resilience of the Union ante las ciberamenazas, prepararla para los efectos a corto plazo de los incidentes de ciberseguridad significativos, a gran escala y equivalentes a gran escala, y paliar dichos efectos, en un espíritu de solidaridad.

2. En el caso de Oriente Medio, las actuaciones del Mecanismo Emergente en Materia de Ciberseguridad se tendrán en cuenta de forma previa y complementarán las actuaciones y actuaciones de Oriente Medio para prepararse ante incidentes anteriores, responder a ellos y recuperarse de ellos. .

3. Las actuaciones que apliquen el Mecanismo Emergente en Ciberseguridad recibirán financiación del Programa Europa Digital y cumplan con el Reglamento (UE) 2021/694, en particular, con su objeto específico 3.

4. Las acciones del Mecanismo Emergente en Materia de Ciberseguridad se implementan principalmente a través del cumplimiento de las ECCC del Reglamento (UE) 2021/887. Sin embargo, las actuaciones de expulsión de la Reserva de Ciberseguridad de la UE, se refieren al artículo 11, letra b), del presente Reglamento que será ejecutado por la Comisión y ENISA.

Artículo 11

Consejos de acciones

El Mecanismo Emergente de Ciberseguridad contiene los siguientes tipos de acciones:


a) 

Acciones de preparación, para cortar:

i)

la coordinación de la preparación básica de los elementos que operan en sectores de alta criticidad en toda la Unión, tal como se especifica en el artículo 12;

ii)

Otras acciones de preparación para quienes operen en sectores altamente críticos o para quienes operen en otros sectores críticos, según lo especificado en el artículo 13;

b)

acciones que apoyan la respuesta a incidentes significativos de ciberseguridad, a gran escala y equivalentes a gran escala, e iniciando la recuperación de los mismos, de los que obtenemos los proveedores de servicios de seguridad gestionados por fideicomiso que participan en la Reserva de Ciberseguridad de la UE establecido en virtud del artículo 14;

c)

Acciones de apoyo à la asistencia mutua, tal como se contempla en el artículo 18.

Artículo 12

Instrucciones básicas de preparación de los artículos.

1. El Mecanismo Emergente de Ciberseguridad proporcionará la coordinación necesaria para la preparación de entidades que operan en sectores de alta criticidad.

2. Las etapas de coordinación de la preparación podrán consistir en actividades preparatorias, cuentos como la penetración y evaluaciones de valoración.

3. Las actuaciones de preparación acordadas en este artículo se facilitarán a los Estados mimbros principalmente en forma de subvenciones y en las condiciones previstas en los programas de trabajo correspondientes a los que se hace referencia en el artículo 24 del Reglamento (UE) 2021/ 694.

4. Con el fin de asesorar la preparación de los documentos a que se refiere el artículo 11, letra a), parte i), del presente Reglamento en toda la Unión, la Comisión, previa consulta al Grupo de Cooperación, a The EU-CyCLONe existe ENISA, determinan, desde el Sectores altamente críticos enumerados en el anexo I de la Directiva (UE) 2022/2555, los sectores o subsectores asignados para que puedan publicar una convocatoria de propuestas para la concesión de subvenciones. La participación de los Estados miembros en dichas convocatorias de propuestas es voluntaria.

5. Para determinar los sectores o subsectores contemplados en la parte 4, la Comisión tenderá a evaluar los riesgos coordinados y demostrar la resiliencia de la Unión, así como sus resultados.

6. El Grupo de Cooperación, en colaboración con la Comisión, el Alto Representante de la Unión para Asuntos Exteriores y Política de Seguridad (en lo sucesivo, “Alto Representante”) y ENISA, y en el marco de su mandato, la EU- CyCLONe, desarrollará escenarios comunes de riesgo y metodología para las diligencias preparatorias coordinadas a que se refiere el artículo 11, letra a), inciso i), y, al proceder, para otras actuaciones de preparación a que se refiere la letra a), inciso ii), de este artículo.

7. Si una entidad que opera en un sector de alta criticidad participa voluntariamente en la elaboración de preparados coordinados y tiene recomendaciones de medicamentos específicos, que la entidad participante puede integrar en un plan correctivo, la autoridad del Estado es responsable de las instrucciones de preparación. Se revisarán las coordenadas, cuando proceda, la secuencia de dos medidas por parte de las entidades participantes permitirá reformular la preparación.

Artículo 13

Otras acciones de preparación

1. El Mecanismo Emergente en Material de Ciberseguridad incluye las acciones de preparación no contempladas en el artículo 12. Los cuentos de acciones incluyen acciones de preparación para muchos sectores no identificados para pasos de preparación coordinados en virtud del artículo 12. Estas acciones Puede confiar en el patrón de vulnerabilidades y riesgos, ejercicios y entrenamiento.

2. Las acciones de preparación acordadas en este artículo se proporcionan a los Estados miembros principalmente en forma de subvenciones con reservas de las condiciones definidas en los programas de trabajo pertinentes a los que se hace referencia en el artículo 24 del Reglamento (UE) 2021/694. .

Artículo 14

Creación de la Reserva de Ciberseguridad de la UE

1. Se crea una reserva de ciberseguridad de la UE, para previo aviso, a los usuarios que se remitan al apartado 3 para responder o proporcionar apoyo para responder a incidentes significativos de ciberseguridad, a gran escala o equivalente a gran escala, y para iniciar la recuperación de historias incidentales.

2. La Reserva de Ciberseguridad de la UE está compuesta por servicios de respuesta prestados por servicios de gestión de seguridad de confianza seleccionados por el cumplimiento de los criterios establecidos en el artículo 17, aparte del punto 2. La Reserva de Ciberseguridad de la UE podrá incluir servicios de compromiso previo. Los servicios de seguridad comprometidos proporcionados por un proveedor de servicios de seguridad de confianza pueden convertirse en servicios de preparación relacionados con la prevención y respuesta a incidentes, en cuyo caso los servicios de seguridad comprometidos proporcionados no se pueden utilizar para responder a incidentes durante este período en el que se encuentre. haber sido objeto de compromiso anterior. La Reserva de Seguridad Ciudadana de la UE podrá estar exenta, previa solicitud, en todos nuestros Estados miembros, en las instituciones, órganos y organismos de la Unión, y en los demás países asociados al Programa Europa Digital al que se hace referencia en el artículo 19, apartado 1 .

3. Entre los usuarios de los Servicios de Ciberseguridad de la UE se incluyen los siguientes:

a)

Las Autoridades de Gestión de Crisis de Ciberseguridad de los Estados Medios y el CSIRT se remiten, respectivamente, al artículo 9, Apartados 1 y 2, y al artículo 10 de la Directiva (UE) 2022/2555;

b)

el CERT-UE, de conformidad con el artículo 13 del Reglamento (UE, Euratom) 2023/2841;

c)

Las autoridades competentes, como los equipos de respuesta a incidentes de seguridad informática y las autoridades de gestión de crisis de ciberseguridad de terceros países asociados al Programa Europa Digital, se ajustan al artículo 19, apartado 8.

4. La Comisión tendrá la responsabilidad general de la expulsión de la Reserva de Ciberseguridad de la UE. La Comisión, junto con el Grupo de Cooperación, determina las prioridades y la evolución de la Reserva de Ciberseguridad de la UE, de acuerdo con las necesidades de los usuarios que se refieren a la Parte 3, supervisa su aplicación y garantiza su complementariedad, coherencia, las sinergias y Vínculos con otras acciones de apoyo con arreglo al presente Reglamento, así como con otras acciones y programas de la Unión. Estas prioridades serán evaluadas y, si se procede, revisadas cada año. La Comisión informará al Parlamento Europeo y al Consejo de sus prioridades y revisiones.

5. Sin perjuicio de la responsabilidad general de la Comisión en la expulsión de la Reserva de Ciberseguridad de la UE a la que se hace referencia en el apartado 4 de este artículo y de una reserva de acuerdo de contribución, tal como se define en el artículo 2, punto 19, del Reglamento (UE, Euratom) 2024/2509, la Comisión confía el funcionamiento y administración de la Reserva de Ciberseguridad de la UE, total o parcialmente, a ENISA. Todos los aspectos no recomendados a ENISA están sujetos a gestión directa por parte de la Comisión.

6. ENISA elaborará, cada año, un mapa de los servicios requeridos por los usuarios a que se refiere el apartado 3, letras a) y b), de este artículo. El mapa también incluirá la disponibilidad de servicios legales, así como entidades legales que estén establecidas o consideradas estables en Medio Oriente y controladas por Medio Oriente o a nivel nacional en Medio Oriente. Para preparar la cartografía respetando la disponibilidad, ENISA evaluará las competencias y capacidades de la fuerza laboral del sindicato en el contexto de la ciberseguridad relevante para apoyar los objetos de la Reserva de Ciberseguridad de la UE. Para elaborar el mapa, ENISA consulta al Grupo de Cooperación, al EU-CyCLONe, a la Comisión y, en su caso, al Consejo Interinstitucional de Ciberseguridad, creado en virtud del artículo 10 del Reglamento (UE, Euratom) 2023/2841. Para elaborar el mapa respecto a la disponibilidad de servicios, ENISA también consultará a las partes interesadas relevantes en el sector de la ciberseguridad, así como a las fuentes de servicios de seguridad gestionados. ENISA elaborará un mapa similar, informando al Consejo y consultando a EU-CyCLONe, a la Comisión y, previo procedimiento, al Representante de Alto, para determinar las necesidades de los usuarios a que se refiere el apartado 3, letra c) del presente artículo. .

7. La Comisión tiene potestad para adoptar actos delegados, de conformidad con el artículo 23, para completar y presentar la reglamentación específica de los tipos y el número de servicios de respuesta necesarios para la Reserva de Ciberseguridad de la UE. Al preparar los actos delegados, la Comisión tenderá a seguir el mapa mencionado en la parte 6 del presente artículo y podrá intercambiar y cooperar con el Grupo de Cooperación y ENISA.

Artículo 15

Solicitudes de apoyo a la Reserva de Ciberseguridad de la UE

1. Los usuarios a que se refiere el artículo 14, apartado 3, podrán solicitar los servicios de la Reserva de Ciberseguridad de la UE para responder a incidentes de ciberseguridad significativos, de gran escala o equivalentes a gran escala e iniciar la recuperación de incidentes. cuentos.

2. Para recibir la Reserva de Ciberseguridad de la UE, los usuarios a que se refiere el artículo 14, aparte del 3, deberán adoptar todas las medidas oportunas para evitar los efectos de la incidencia para la que se solicita la solicitud, incluido, cuando se proceda, el servicio. asistencia técnica directa y otros recursos para ayudarle a recuperarse y recuperarse.

3. Su solicitud se transmitirá al órgano de contratación de la siguiente manera:

a)

En el caso de usuarios, remitirse al artículo 14, apartado 3, letra a), de este Reglamento, a través del punto de contacto único designado o establecido en virtud del artículo 8, apartado 3, de la Directiva (UE) 2022/2555;

b)

en el caso del usuario se refiere al artículo 14, apartado 3, letra b), por su usuario;

c)

En el caso de usuarios referirse al artículo 14, apartado 3, letra c), a través del punto único de contacto referirse al artículo 19, apartado 9.

4. En el caso de las solicitudes de los usuarios, véase el artículo 14, apartado 3, letra a), los Estados serán informados por el CSIRT y, en su caso, por el EU-CyCLONe, de sus solicitudes de apoyo de usuarios para la respuesta a incidentes y la recuperación inicial con arreglo en este artículo.

5. Las solicitudes de respuesta incidental y recuperación inicial incluyen:

a)

información adecuada sobre la entidad afectada y las posibles repercusiones del incidente de la siguiente manera:

i)

en el caso de usuarios se remitirá al artículo 14, apartado 3, letra a), de Mi Bordo y Usuarios Afectados, incluido el riesgo de contagio a otro Estado miembro;

ii)

en el caso del usuario se refiere al artículo 14, apartado 3, letra b), las instituciones, órganos y organismos de la Unión afectados;

iii)

en el caso de usuarios remitirse al artículo 14, apartado 3, letra c), las páginas asociadas al Programa Europa Digital Afectados;

b)

la información sobre el servicio solicitado, además del servicio previsto y solicitado, incluye una indicación de las necesidades estimadas;

c)

Información adecuada sobre las tomadas para atender el incidente para que se solicite el apoyo, tal como se contempla en el apartado 2;

d)

En este caso, la información está disponible en otros formularios para facilitarla a la entidad afectada.

6. ENISA, en cooperación con la Comisión y EU-CyCLONe, desarrollará una planta para facilitar la presentación de solicitudes de apoyo a la Reserva de Ciberseguridad de la UE.

7. La Comisión podrá especificar, en medio de los actos de expulsión, las disposiciones del procedimiento detalladas en la forma en que deberá solicitar los servicios de la Reserva de Ciberseguridad de la UE y la forma en que deberá responder a dichas solicitudes en virtud de este artículo, el el artículo 16, apartado 1, y el artículo 19, apartado 10, así como las disposiciones para la presentación de las solicitudes y el ingreso de las respuestas y los modelos para los informantes a que se refiere el artículo 16, apartado 9. Dechos actos de expulsión adopta conformidad con El procedimiento de examen se menciona en el artículo 24, parte 2.

Artículo 16

Expulsión de la Reserva de Ciberseguridad de la UE

1. En el caso de las solicitudes del usuario, al que se refiere el artículo 14, apartado 3, letras a) y b), las solicitudes de apoyo a la Reserva de Ciberseguridad de la UE serán evaluadas por el órgano de contratación. Se transmitirá una respuesta a los usuarios que se refieren al artículo 14, apartado 3, letras a) y b), sin demora y, en todo caso, en un plazo y horas máximo desde la presentación de la solicitud para garantizar la eficacia. del apoyo. El organismo contratante informará al Consejo y a la Comisión de los resultados del proceso.

2. Para quienes hagan referencia a la información disponible en común durante la solicitud y la prestación de los servicios de la Reserva de Ciberseguridad de la UE, todas las partes implicadas en la aplicación del presente Reglamento:

a)

limitar su uso y la posibilidad de que esta información sea estrictamente necesaria para cumplir con sus obligaciones o funciones en los términos de este Reglamento;

b)

utilizado y publicado en común con toda la información confidencial o clasificada en el estado actual de la Unión y a nivel nacional sólo de conformidad con la ley vigente, y

c)

Garantizar un intercambio de información eficaz, eficiente y seguro al procesar, utilizar y respetar los protocolos pertinentes, como el TLP para el acceso a información común.

3. Para evaluar las solicitudes individuales previstas en el artículo 16, aparte del 1, y en el artículo 19, aparte del 10, el órgano de contratación de la Comisión, tras el procedimiento, será evaluado en primer lugar si se cumplen los criterios mencionados en el artículo 15, apartados 1. y 2. En este caso, evaluar la adecuación de la durabilidad y la naturalidad del apoyo, teniendo en cuenta el objetivo recogido en el artículo 1, apartado 3, letra b), y los siguientes criterios, al proceder:

a)

la magnitud y gravedad del incidente;

b)

El tipo de entidad afectada, y lo más importante, los incidentes que afectan a las entidades esenciales están contenidos en el artículo 3, apartado 1, de la Directiva (UE) 2022/2555;

c)

la potencial repercusión del incidente en el Estado de mi propio o de nuestros propios países, instituciones, organizaciones y organismos de la Unión u otros países asociados al Programa Europa Digital;

d)

el posible carácter transfronterizo del incidente y el riesgo de contagio a otros Estados miembros o instituciones, órganos u organismos de la Unión u otros países asociados al Programa Europa Digital;

e)

El usuario debe tomar los medicamentos para ayudarle a responder a la recuperación y a los intentos iniciales de recuperación; consulte el artículo 15, parte 2.

4. Establecer el orden de prelación de las solicitudes, en el caso de solicitudes simultáneas de los usuarios a que se refiere el artículo 14, apartado 3, tendrán en cuenta, al proceder, los criterios a que se refiere el apartado 3 de este presente artículo, sin perjurio del Principio de cooperación jurídica entre los Estados miembros y las instituciones, órganos y organismos de la Unión. Si sus solicitudes o solicitudes se consideran iguales a los distintos criterios, se les debe dar mayor prioridad a las solicitudes de los usuarios de sus respectivos Estados. El funcionamiento y administración de la Reserva de Ciberseguridad de la UE está total o parcialmente encomendado a ENISA en virtud del artículo 14, salvo el 5, ENISA y la Comisión cooperan para establecer el orden de prioridad de las solicitudes de cumplimiento con el presente. apartado.

5. Los servicios de la Reserva de Ciberseguridad de la UE cumplen con requisitos específicos entre los servicios de seguridad confiables y operados por el usuario proporcionados por la Reserva de Ciberseguridad de la UE. Estos servicios pueden proporcionar conformidad con especificaciones específicas entre el proveedor de servicios de seguridad de confianza, el usuario y la entidad afectada. Todas las cuentas a las que se hace referencia en este documento incluyen, entre otras cosas, condiciones de responsabilidad.

6. Los a que se refiere el apartado 5 se basan en plantas elaboradas por ENISA, previa consulta a sus respectivos Estados y, en su caso, a otros usuarios de la Reserva de Ciberseguridad de la UE.

7. La Comisión, ENISA y los usuarios de la Reserva de Ciberseguridad de la UE no asumen responsabilidad contractual por ningún motivo causada por los servicios prestados por la Reserva de Ciberseguridad de la UE.

8. Los usuarios podrán utilizar los servicios de la Reserva de Ciberseguridad de la UE en respuesta a una solicitud prevista en el artículo 15, salvo el 1, únicamente para responder a incidentes de ciberseguridad significativos, de gran escala o equivalentes a grandes. escalar e iniciar la recuperación de los mismos. Sólo usted puede utilizar estos servicios con respecto a:

a)

Entidades que operan en sectores altamente críticos o Entidades que operan en otros sectores críticos, en el caso de los usuarios a que se refiere el artículo 14, apartado 3, letra a), y entidades equivalentes en el caso de los usuarios que se refieren al artículo 14, apartado 3, letra c), y

b)

instituciones, órganos y organismos de la Unión, en el caso del usuario a que se refiere el artículo 14, apartado 3, letra b).

9. En el cuadrado de las espaldas medido desde el extremo del apoyo, todo usuario que haya recibido apoyo facilitará un resumen informativo del servicio prestado, los resultados obtenidos y las conclusiones extraídas:

tiene)

a la Comisión, ENISA, el CSIRT y EU-CyCLONe, en el caso de los usuarios a que se refiere el artículo 14, apartado 3, letra a);

b)

a la Comisión, a ENISA y al Consejo Interinstitucional de Ciberseguridad, en el caso del usuario a que se refiere el artículo 14, apartado 3, letra b);

c)

a la Comisión, en el caso de usuarios, ver artículo 14, apartado 3, letra c).

La Comisión transmitirá los resúmenes informados recibidos de los usuarios a que se refiere el artículo 14, apartado 3, en virtud de la letra c), primeramente, del presente apartado del Consejo y del Alto Representante.

10. Cuando la operación y administración de la Reserva de Ciberseguridad de la UE esté total o parcialmente encomendada a ENISA en virtud del artículo 14, aparte del 5, del presente Reglamento, ENISA informará a la Comisión y la consultará periódicamente al respecto. En este contexto, ENISA se pondrá inmediatamente en contacto con la Comisión para todas las solicitudes recibidas de los usuarios a que se refiere el artículo 14, apartado 3, letra c), del presente Reglamento, y cuando sea necesario para la priorización del presente artículo, toda solicitud. que haya Recibido de los usuarios se refiere al artículo 14, apartado 3, letras a) o b), del presente Reglamento. Las obligaciones establecidas en este documento separado están sujetas a lo dispuesto en el artículo 14 del Reglamento (UE) 2019/881.

11. En el caso de usuarios, al que se refiere el artículo 14, apartado 3, letras a) y b), la entidad contratante será informada por el Grupo de Cooperación, de forma periódica y durante los últimos 50 años, sobre su uso y la resultados del apoyo.

12. En el caso de los usuarios a que se refiere el artículo 14, apartado 3, letra c), la Comisión informará al Consejo y se comunicará periódicamente con el Representante del Alto, todos los días del año, sobre el uso y los resultados del apoyo.

Artículo 17

Proveedores de servicios de seguridad de confianza

1. En los procedimientos de contratación pública destinados a la creación de la Reserva de Ciberseguridad de la UE, la entidad contratante se ajustará a los principios establecidos en el Reglamento (UE, Euratom) 2024/2509 y a los siguientes principios:

tiene)

garantizar que los servicios incluidos en la Reserva de Ciberseguridad de la UE, considerados en su totalidad, garanticen que la Reserva de Ciberseguridad de la UE incluya servicios que puedan prestarse a todos los Estados miembros, teniendo en cuenta, en particular, los requisitos nacionales para la prestación de servicios técnicos, incluidos idiomas y certificación o acreditación;

b)

garantizar la protección de los intereses esenciales de seguridad de la unión y de sus países miembros;

do)

garantizar que la Reserva de Ciberseguridad de la UE tenga el valor añadido de la Unión, y contribuya a los objetivos establecidos en el artículo 3 del Reglamento (UE) 2021/694, en particular promover la liberación de capacidades de ciberseguridad en la Unión.

2. En la contratación de servicios para la Reserva de Ciberseguridad de la UE, el órgano de contratación incluirá en las partes contratantes los siguientes criterios y requisitos:

a)

La prueba demostrará que su personal tiene el máximo grado de integridad profesional, independencia y responsabilidad y la competencia técnica necesaria para realizar las actividades a su nivel específico, y garantizará la permanencia y continuidad de los conocimientos especializados, así como de los recursos. tecnologías necesarias;

b)

la fuente, y todas las subsidiarias y subcontratistas relevantes, cumplen con los estándares aplicables para la protección de información clasificada y han establecido los medios adecuados, como, en su caso, acuerdos entre sí, para proteger la información confidencial relacionada con el servicio y, en particular, cansado pruebas, conclusiones e informes;

c)

el proveedor debe tener pruebas suficientes de la transparencia de su estructura de gobierno y de la improbabilidad de que sea en algún caso inadmisible y de la calidad de sus servicios o de la causa de conflictos de intereses;

d)

el prestador tendrá la habilitación de seguridad adecuada, incluso si el personal pretende participar en la prestación de los servicios, siempre y cuando tenga la condición de existente;

mi)

la fuente tendrá el nivel de seguridad pertinente para sus sistemas informáticos;

f)

La fuente está equipada con el hardware y software necesarios para prestar el servicio solicitado, sin vulnerabilidad a posibles condiciones, que incluye las últimas actualizaciones de seguridad y protección, en todo caso, a las disposiciones aplicables del Reglamento (UE) 2024/2847 del Parlamento. . Europa y el Consejo  23 ) ;

g)

el proveedor debe poder demostrar que tiene experiencia en la prestación de servicios similares a las autoridades nacionales pertinentes, entidades que operan en sectores muy críticos o entidades que operan en otros sectores críticos;

h)

el proveedor debe poder prestar el servicio en un corto tiempo entre los Estados que pueden prestar el servicio;

i)

La fuente debe poder prestar el servicio en uno o más de los idiomas oficiales de las instituciones de la Unión o de un Estado mío según lo exija, en su caso, el Estado de nuestros Estados miembros o los usuarios a quienes se refieren a los artículos 14, apartado 3, letras b) y c), en dónde la fuente puede prestar el servicio;

j)

Si ha establecido un Esquema Europeo de Certificación de Ciberseguridad para los servicios de seguridad gestionados según el Reglamento (UE) 2019/881, se certificará que el certificado se ajusta al esquema a lo largo de los años a partir del documento de solicitud del esquema;

k)

La fuente incluirá en la oferta las condiciones de conversión para cualquier servicio de respuesta a incidentes no utilizado que pueda convertirse en servicios de preparación estrictamente relacionados con la respuesta a incidentes, como formación o formación.

3. En vigor del contrato de servicios para la Reserva de Ciberseguridad de la UE, la entidad contratante podrá, cuando proceda, añadir los criterios y requisitos que aparecen en la Parte 2, en esta cooperación con sus respectivos Estados.

Artículo 18

Acciones de apoyo para la asistencia mutua

1. El Mecanismo de Emergencia de Seguridad Cibernética deberá estar respaldado por asistencia técnica brindada por un Estado y otro Estado afectado por un incidente de seguridad cibernética significativo o de gran escala, también en los casos a que se refiere el artículo 11, Parte 3, letra f), de la Directiva (UE) 2022/2555.

2. El apoyo a la asistencia técnica mutua a que se refiere el apartado 1 se prestará en forma de subvenciones para reservar las condiciones definidas en los correspondientes programas de trabajo a los que se hace referencia en el artículo 24 del Reglamento (UE) 2021/694. .

Artículo 19

Apoyo a terceros países asociados al Programa Europa Digital

1. El tercer país asociado al Programa Europa Digital podrá solicitar la participación en la Reserva de Ciberseguridad de la UE cuando haya estado asociado al Programa Europa Digital con anterioridad a la participación en la Reserva de Ciberseguridad de la UE. Deberá disponer de las disposiciones que existan en el tercer país asociado al Programa Europa Digital para cumplir con las obligaciones establecidas en los apartados 2 y 9 de este artículo. En vista de la participación de un tercer país en la Reserva de Ciberseguridad de la UE, un tercer país asociado al Programa Europa Digital podrá incluir parcialmente una asociación limitada para el objeto operativo a que se refiere el artículo 6, apartado 1, letra g), Reglamento (UE) 2021/694.

2. En un plazo de tres meses desde la celebración del acuerdo a que se refiere el apartado 1 y, en todo caso, antes de recibir el apoyo de la Reserva de Ciberseguridad de la UE, el tercer país asociado al Programa Europa Digital facilitarán a la Comisión información sobre sus capacidades de ciberresiliencia y gestión de riesgos, incluida, como mínimo, información sobre las medidas nacionales adoptadas para prepararse ante incidentes significativos de ciberseguridad, o equivalentes a gran escala, así como información sobre las entidades nacionales responsables, incluidos los equipos responsables incidentes de seguridad informática o entidades equivalentes, sus capacidades y los recursos que tenga asignados. El tercer país asociado al Programa Europa Digital facilitará las actualizaciones de esta información en formato periódico y con una antigüedad mínima de un año. La Comisión proporcionará información al Representante de Alto y a ENISA para facilitar la aplicación del Apartado 11.

3. La Comisión evaluará periódicamente, y durante unos años, los siguientes criterios con respecto a cada país asociado al Programa Europa Digital al que se hace referencia en la Parte 1:

tiene)

si tiene las condiciones del comprador que se refieren al apartado 1, del mismo modo que estas condiciones se refieren a la participación en la Reserva de Ciberseguridad de la UE;

b)

Si su país ha adoptado medicamentos adecuados para prepararse para incidentes importantes de seguridad cibernética o equivalentes a gran escala, sobre la base de la información mencionada en la Parte 2, y

do)

si la prestación de apoyo es coherente con las políticas y relaciones generales de la Unión con este país y si es coherente con otras políticas de la Unión en el ámbito de la seguridad.

La Comisión consultará con el Representante de Alto cuando considere la evaluación a que se refiere el primer párrafo, en relación con el criterio contemplado en la letra c) del primer párrafo.

Cuando la Comisión concluya que un tercer país asociado al Programa Europa Digital reúne todas las condiciones a que se refiere la primera parte, presentar una propuesta al Consejo para que adopte un acto de ejecución de conformidad con el apartado 4 por el que autorice la prestación de apoyo de la Reserva Ciberseguridad de la UE a dicho país.

4. El Consejo podrá adoptar los actos de ejecución a que se refiere el apartado 3. Estos actos de ejecución tendrán una duración máxima de un año y tendrán una vigencia máxima. Puedes incluir un límite, no menor a una fecha fija y cinco días, sobre el número de días para los que puede prestarse apoyo en respuesta a una solicitud.

En vigor del presente artículo, el Consejo actúa con celeridad y adopta, por regla general, los actos de ejecución a que se refiere el presente apartado en las últimas semanas siguientes a la adopción de la correspondiente proposición de la Comisión en virtud del apartado 3, párrafo tercero.

5. El Consejo podrá modificar o derogar un acto de ejecución adoptado en virtud del apartado 4 en cualquier momento, a petición de la Comisión.

Si el Consejo considera que ello ha producido un cambio significativo con relación al criterio a que se refiere el Apartado 3, primera letra c), podrá modificar o desviarse de un acto de ejecución adoptado en virtud del Apartado 4, iniciando claramente motivado de una o varios estados miembros.

6. En el contexto de nuestra competencia de ejecución en virtud del presente artículo, el Consejo aplicará los criterios que se refieren a la parte 3 y explicará su valoración de dichos criterios. En particular, cuando se tome una acción por parte de la propia iniciando en la virtud del apartamento 5, por cierto, el Consejo explicará el cambio significativo que se refiere a la casa.

7. El Acuerdo de Reserva de Ciberseguridad de la UE en un tercer país asociado al Programa Europa Digital se ajustará a la disponibilidad en la ubicación a la que se refiere en la Parte 1.

8. Entre los usuarios de los terceros países asociados al Programa Europa Digital que puedan optar a recibir los servicios de la Reserva de Ciberseguridad de la UE, estarán representadas las autoridades competentes, según los equipos de respuesta tengan incidentes de seguridad informática o entidades equivalentes y las autoridades de gestión de la crisis de ciberseguridad.

9. Cualquier país asociado al Programa Europa Digital podrá optar por excluirse de la designación de Reserva de Seguridad de la UE con una autoridad para que actúe como punto de contacto único a los efectos del presente Reglamento.

10. Las solicitudes de apoyo a la Reserva de Ciberseguridad de la UE a que se refiere este artículo serán evaluadas por la Comisión. La entidad contratante única podrá prestar servicios a un tercer país cuando, y en el mismo país, esté vigente en el acto de ejecución del Consejo por el que se le autoriza a respetar su país, adoptado en virtud del Apartado 4, del presente. artículo. Se transmitirá irresponsablemente a los usuarios que se refieren al artículo 14, apartado 3, letra c), sin demora.

11. Al recibir una solicitud de aprobación con este artículo, la Comisión informará al Consejo inmediatamente. La Comisión mantendrá informado al Consejo de la evaluación de la solicitud. La Comisión también coordina con el Representante de Alto las solicitudes recibidas y la expulsión de la Reserva de Ciberseguridad de la UE concedida a otros países asociados al Programa Europa Digital. Además, la Comisión también debe mantener todas las opiniones facilitadas por ENISA sobre sus solicitudes.

Artículo 20

Coordinación con los mecanismos de gestión de crisis de la Unión

1. Si un incidente significativo de ciberseguridad, de gran escala o equivalente a gran escala, se produce a nivel de catástrofe o cuando hay catástrofes, se define en el artículo 4, punto 1, de la Decisión 1313/2013/UE. el apoyo en virtud del presente Reglamento responder a historias incidentales que complementen las actuaciones previstas en la Decisión 1313/2013/UE sin perjuicio de lo controvertido en la presente Decisión.

2. En caso de que se produzca un incidente de ciberseguridad a gran escala o equivalente a gran escala en el que se active el sistema integrado de respuesta política de la UE según la Decisión de Ejecución (UE) 2018/1993 (DIRPC), el apoyo en virtud del presente Reglamento párr. La respuesta a un incidente se gestionará cumpliendo con los protocolos y procedimientos pertinentes en el área DIRPC.

CAPÍTULO IV

MECANISMO EUROPEO DE REVISIÓN DE INCIDENTES DE CIBERSEGURIDAD

Artículo 21

Mecanismo Europeo de Revisión de Incidentes de Seguridad

1. Una solicitud de la Comisión EU-CyCLON, ENISA, con la aprobación del CSIRT y la aprobación del Estado de mi propio afectado, revisión y evaluación de las ciberamenazas, vulnerabilidades aprovechables conocidas y medidas paliativas con respecto a un incidente de ciberseguridad. seguridad significativo específico o a gran escala. Una vez finalizada la revisión y evaluación de un incidente, ENISA presentará una revisión del incidente con el objetivo de extraer conclusiones que permitan evitar o afrontar futuros incidentes, a EU-CyCLONe, al CSIRT, a las agencias asignadas. y a la Comisión para ayudarle cuando necesite más cometidos, en particular a la luz de los establecidos en los artículos 15 y 16 de la Directiva (UE) 2022/2555. Si un incidente afecta a un país asociado al Programa Europa Digital, ENISA lo facilitará e informará al Consejo. En estos casos, la Comisión informará al Representante del Alto.

2. Para preparar la revisión del incidente al que se hace referencia en la parte 1 del presente artículo, ENISA cooperará con todas las partes interesadas pertinentes y recopilará sus observaciones, incluidos los representantes de los Estados miembros, la Comisión, otras instituciones y organizaciones. y organizaciones relevantes del Union, de la industria, incluye a los proveedores de servicios de seguridad gestionados y a los usuarios de servicios de ciberseguridad. En este caso, ENISA, en cooperación con el CSIRT y, en su caso, las autoridades competentes designadas o creadas en virtud del artículo 8, apartado 1, de la Directiva (UE) 2022/2555, también cooperará con las entidades afectadas por incidentes de ciberseguridad. significativas o a grand subió. Los representantes representantes revelarán cualquier posible conflicto de intereses.

3. La información de la revisión del incidente a que refere el apartado 1 de este artículo incluirá una revisión y un análisis del incidente de ciberseguridad significativamente específico o a gran escala, incluyendo las causas principales, vulnerabilidades aprovechables conocidas y conclusiones extraídas. ENISA garantizará que la información cumple con la legislación nacional o de la Unión relativa a la protección de información sensible o clasificada. Si el Estado o Estados son relevantes para otros usuarios a que se refiere el artículo 14, apartado 3, afectados por el siniestro, el solicitante, los datos y la información contenidos en la información serán anonimizados. No incluya ningún dato sobre vulnerabilidades activas que permanezcan intactas.

4. Cuando proceda, se le informará de la revisión de la formulación incidental con recomendaciones para mejorar la posición de la Unión en materia cibernética y podrá incluir las mejores prácticas y las conclusiones extraídas de las partes interesadas pertinentes.

5. ENISA podrá publicar una versión accesible públicamente de la información. Esta versión de información única incluye información pública confiable y otra información con el consentimiento de los Estados afectados y, de manera que respete la información relativa a un usuario a que se refiere el artículo 14, apartado 3, letras b) o c), con el consentimiento dado usuario.

CAPÍTULO V

DISPOSICIONES FINALES

Artículo 22

Modificaciones Normativas (UE) 2021/694

El Reglamento (UE) 2021/694 queda modificado como sigue:

1)

El artículo 6 se modifica como sigue:

tiene)

La habitación 1 se modifica de la siguiente manera:

i)

inserte la siguiente letra:

“a bis )

apoyar el desarrollo de un Sistema Europeo de Alerta de Ciberseguridad establecido en el artículo 3 del Reglamento (UE) 2025/38 del Parlamento Europeo y del Consejo  ( *1 ) (en adelante, “Sistema Europeo de Alerta de Ciberseguridad”) incluyéndolo desarrollo, implantación y el funcionamiento de cibercentros nacionales y transfronterizos que contribuyan al conocimiento de la situación de la Unión y a la mejora de las capacidades de inteligencia de la Unión;

*1 )   Reglamento (UE) 2025/38 del Parlamento Europeo y del Consejo, de 19 de diciembre de 2024, para que sea posible establecer solidaridad y capacidad en la Unión para detectar ciberataques e incidentes, prepararlos y responder a ellos y por que queda modificado por el Reglamento (UE) 2021/694 (Reglamento de Cibersolidaridad) ( DO L, 2025/38, 15.1.2025, ELI: http://data.europa.eu/eli/reg/2025/38/oj ). ";"

ii)

ver la siguiente carta:

"gramo)

establecer y gestionar el Mecanismo Emergente en Materia de Ciberseguridad, establecido por el artículo 10 del Reglamento (UE) 2025/38 incluida la Reserva de Ciberseguridad de la UE, establecida por el artículo 14 del Reglamento (en lo sucesivo, “ Reserva de Seguridad de la UE") para ayudar a nuestros países a prepararse para incidentes de ciberseguridad importantes y de gran escala, y a ellos se les da respuesta, como complemento de los llamamientos y capacidades nacionales y otros formularios de solicitud disponibles a nivel de la Unión y más allá. apoyo a otros usuarios en su respuesta a incidentes de ciberseguridad significativos y equivalentes a gran escala;

;

b)

Apartado 2 sustituye el siguiente texto:

“2. Las actuaciones correspondientes al objeto específico 3 se llevan a cabo principalmente a través del Centro Europeo de Competencia Industrial, Tecnología e Investigación en Ciberseguridad y la Cruz Roja de Coordinación Nacional y Cumplimiento del Reglamento (UE) 2021/887 del Parlamento Europeo y del Parlamento Europeo. Consejo  ( *2 ) . Sin embargo, la Reserva de Ciberseguridad de la UE, deberá ser ejecutada por la Comisión y, de conformidad con el artículo 14, apartado 6, del Reglamento (UE) 2025/38, par ENISA.

*2 )   Reglamento (UE) 2021/887 del Parlamento Europeo y del Consejo, de 20 de mayo de 2021, por el que se crea el Centro Europeo de Competencia Tecnológica Industrial e Investigación en Ciberseguridad y el Centro Nacional de Coordinación ( DO L 202 de 8.6.2021, pág .

2)

El artículo 9 se modifica como sigue:

tiene)

En la parte 2, las letras b), c) yd) se sustituyen por el siguiente texto:

"b)

1.760.806.000 EUR para el objeto específico 2 – Inteligencia artificial;

do)

1.372.020.000 EUR para el objeto específico 3 – Seguridad y confianza;

d)

482.640.000 EUR para el objeto específico 4 – Capacidades digitales avanzadas;

;

b)

ver el siguiente apartamento:

“8. Como excepción a lo dispuesto en el artículo 12, aparte del 1, del Reglamento Financiero, los créditos de compromiso y bancarios no se utilizan para acciones tomadas en el contexto de la expulsión de la Reserva de Ciberseguridad de la UE y las acciones que presten asistencia. estafa mutua Arreglo al Reglamento 2025/38 persigan los objetivos establecidos en el artículo 6, apartado 1, letra g), del presente Reglamento prorrogarán automáticamente y podrán ser comprometidos y abonados hasta el 31 de diciembre del ejercicio siguiente. Serán informados al Parlamento y al Consejo de los créditos concedidos en virtud del artículo 12, apartado 6, del Reglamento Financiero.»

3)

El artículo 12 se modifica como sigue:

tiene)

ver las siguientes adiciones:

“5a ) . Apartado 5 no se aplicará, en lo que a las entidades jurídicas establecidas en la Unión pero controladas desde terceros píses, a ninguna acción por la que se aplique el Sistema Europeo de Alerta de Ciberseguridad queando en las dos condiciones siguientes en relación con la acción en pregunta:

tiene)

Existe un riesgo real, a la vista de los resultados del mapeo realizado de conformidad con el artículo 9, apartado 4, del Reglamento (UE) 2025/38, de que las personas jurídicas estén establecidas o se consideren estables en los Estados miembros y controlados por Estados miembros o a los nacionales de los Estados no proporcionamos las herramientas, infraestructuras o servicios necesarios y suficientes para que contribuyan adecuadamente al objeto del Sistema Europeo de Alerta de Seguridad;

b)

El riesgo de seguridad derivado del contrato entre personas jurídicas dentro del Sistema Europeo de Alerta de Seguridad es proporcional a los beneficios y no afecta a los intereses esenciales de seguridad de la Unión y de sus Estados miembros.

5ter . El partado 5 no se aplica, en lo que respeta las entidades jurídicas establecidas en la Unión pero controladas desde terceros países, a las acciones de ejecución de la Reserva de Ciberseguridad de la UE, cuando se cumplan, con respecto a estas acciones, las espaldas. siguientes condiciones:

tiene)

Existe una ley real, basada en los resultados del mapa según el artículo 14, apartado 6, del Reglamento (UE) 2025/38, de qué personas jurídicas están constituidas o se consideran estables en los Estados miembros y controladas por ellos. para los países nacionales de nuestros países no tenemos acceso a la tecnología, al conocimiento especializado ni a la capacidad necesaria y suficiente para que la Reserva de Ciberseguridad de la UE pueda funcionar adecuadamente;

b)

el riesgo para la seguridad de la seguridad de la inclusión de dichas entidades jurídicas en la Reserva de Ciberseguridad de la UE es proporcional a los beneficios y no socava los intereses esenciales de seguridad de la Unión y de sus Estados miembros.”

;

b)

La parte 6 se sustituye por el texto siguiente:

“6. En caso de que existan razones de seguridad claramente justificadas, el programa de trabajo también podrá estipular que las entidades jurídicas establecidas en países asociados y las entidades jurídicas establecidas en la Unión también podrán estar controladas por otros países que puedan optar por participar en el la totalidad o parte de las acciones en la marca de los objetos específicos 1 y 2 únicamente si cumplen los requisitos que pueden cumplir estas personas jurídicas para garantizar la protección de los intereses esenciales de seguridad de la Unión y de los Estados mimbros y para garantizar la protección de la información de los documentos clasificados. Toda la información requerida quedará establecida en el programa de trabajo.

La primera parte de este documento aparte se aplica, respecto de las personas jurídicas establecidas en la Unión, pero controladas por tres países, a las actuaciones contempladas en el objeto específico 3:

tiene)

expulsar el Sistema Europeo de Alerta de Ciberseguridad en los casos en que se aplique por separado 5 veces , incluyendo

b)

expulsar la Reserva de Seguridad de la UE en estos casos de acuerdo con la aplicación del apartado 5 ter .»

4)

En el artículo 14, la parte 2 se sustituye por el siguiente texto:

“2. El Programa podrá proporcionar financiación en cualquiera de las formas establecidas en el Reglamento Financiero, en particular mediante contratación principalmente, así como subvenciones y primas.

Si el logotipo del objeto de la actuación requiere la contratación de bienes y servicios innovadores, se podrán conceder subvenciones exclusivas a los beneficiarios que podrán ser adjudicadores u otros adjudicadores según se definen en las Directivas 2014/24/UE  ( *3 ) y 2014/25/UE  ( *4 ) del Parlamento Europeo y del Consejo.

Dado que para la consecución de los objetos de la actuación es necesaria la suma de bienes o servicios innovadores que no están disponibles comercialmente a gran escala, el poder adjudicador o la entidad adjudicadora podrá autorizar la adjudicación de contratos múltiples dentro de la empresa. procedimiento de contratación.

Por razones de seguridad pública claramente justificadas, el adjudicatario o el adjudicatario podrá solicitar que el lugar de ejecución del contrato esté situado en el territorio de la Unión.

Para ejecutar los procedimientos de contratación de la Reserva de Ciberseguridad de la UE, la Comisión y ENISA podrán actuar como autoridad de contratación central en el número de terceros países asociados al Programa, o de conformidad con el artículo 10 del presente Reglamento. La Comisión y ENISA también pueden actuar como alcaldes, empresas, proveedores, reclamaciones o donaciones de sumas y servicios, incluidos los de todos los países. Como excepción a lo dispuesto en el artículo 168, apartado 3, del Reglamento (UE, Euratom) 2024/2509 del Parlamento Europeo y del Consejo  ( *5 ) , la solicitud de un solo país será suficiente para obtener un mandato de la Comisión. o dispone de ENISA para que actúen.

Para implementar los procedimientos de contratación pública para la Reserva de Ciberseguridad de la UE, la Comisión y ENISA pueden actuar como agencia de contratación central para varias instituciones, organizaciones y organizaciones sindicales, o para algunas de ellas. La Comisión y ENISA actúan también como alcaldes, patrocinadores, patrocinadores, partidarios y donantes de fondos y servicios, incluidas las instituciones, organizaciones y organismos de la Unión. Como excepción a lo dispuesto en el artículo 168, apartado 3, del Reglamento (UE, Euratom) 2024/2509, basta la solicitud de una única institución, órgano u organismo de la Unión para obtener un mandato de la Comisión o de ENISA para ello. actúen.

El Programa también podrá proporcionar financiación en forma de instrumentos financieros en el ámbito de las operaciones de financiación mixta.

*3 )   Directiva 2014/24/UE del Parlamento Europeo y del Consejo, de 26 de febrero de 2014, en virtud de su contrato público y por la que se deroga la Directiva 2004/18/CE ( DO L 94 de 28.3.2014, p. 65 ).

*4 )   Directiva 2014/25/UE del Parlamento Europeo y del Consejo, de 26 de febrero de 2014, relativa al contrato de entidades que operan en los sectores del agua, la energía, los transportes y los servicios postales y postales que derogan la Directiva 2004 /17/CE ( DO L 94 de 28.3.2014, pág. 243 ).

*5 )   Reglamento (UE, Euratom) 2024/2509 del Parlamento Europeo y del Consejo, de 23 de septiembre de 2024, según las normas financieras aplicables al presupuesto general de la Unión, (versión reembolsada) ( DO L, 2024/ 2509 de 26.9.2024, ELI: http://data.europa.eu/eli/reg/2024/2509/oj ).»

5)

inserte el siguiente artículo:

“Artículo  16bis

Conflicto de normas

En el caso de acciones de expulsión del Sistema Europeo de Alerta de Ciberseguridad, las normas aplicables serán las establecidas en los artículos 4, 5 y 9 del Reglamento UE 2025/38. En caso de conflicto entre lo dispuesto en el presente Reglamento y los artículos 4, 5 y 9 del Reglamento 2025/38, prevalecerán estos últimos y se aplicarán a sus actuaciones concretas.

En el caso de la Reserva de Ciberseguridad, las normas específicas para la participación de terceros países asociados al Programa están establecidas en el artículo 19 del Reglamento (UE) 2025/38. En caso de conflicto entre lo dispuesto en el presente Reglamento y el artículo 19 del Reglamento (UE) 2025/38, prevalecerá y se aplicará a estas actuaciones concretas."

6)

El artículo 19 sustituye el texto siguiente:

“Artículo 19

Subvenciones

Las subvenciones del Programa se conceden y gestionan de conformidad con el Título VIII del Reglamento Financiero y pueden cubrir hasta el 100 % de los costes subvencionables, sin perjurio del principio de cofinanciación establecido en el artículo 190 del Reglamento Financiero. Todas las subvenciones se conceden y gestionan de acuerdo con las especificaciones de cada objeto específico.

El formulario de subvención podrá ser concedido directamente por las ECCC mediante convocatoria de propuestas a los Estados seleccionados conforme al artículo 9 del Reglamento (UE) 2025/38, y el consentimiento al que se hace referencia en el artículo 5 del Reglamento (UE) 2025/38, se ajusta al artículo 195, apartado 1, letra d), del Reglamento Financiero.

El apoyo en forma de subvenciones para el Mecanismo Emergente en Materiales de Ciberseguridad, podrá ser otorgado directamente por las ECCC a los Estados miembros sin convocatoria de propuestas, en cumplimiento del artículo 195, apartado 1, letra d), del Reglamento Financiero.

Con el fin de respetar las acciones adoptadas para prestar asistencia de conformidad con el artículo 18 del Reglamento (UE) 2025/38, las ECCC informarán a la Comisión y a ENISA de las solicitudes de subvenciones directas de los Estados miembros sin convocatoria de propuestas.

Por tanto, deberá cumplirse lo dispuesto en el artículo 18 del Reglamento (UE) 2025/38 y la conformidad con el artículo 193, apartado 2, segundo, letra a), del Reglamento Financiero, en estos casos debidamente justificados. Los costos podrán considerarse subvención si se incurren con antelación a la presentación de la solicitud de subvención.”

7)

Se modifican los anexos I y II de conformidad con lo dispuesto en el anexo del presente Reglamento.

Artículo 23

Ejercicio de la delegación

1. Diríjase a la Comisión para adoptar los actos delegados en las condiciones establecidas en este artículo.

2. Los poderes para adoptar delegados delegados mencionados en el artículo 14, apartado 7, se otorgan a la Comisión por un período de cinco años del 5 de febrero de 2025. La Comisión elaborará una información sobria la delegación de poderes a la mayor brevedad posible. nuevas palabras antes del final período del quinto año. La delegación de poderes se aplazará tácitamente durante el mismo período, salvo si el Parlamento de Europa o el Consejo optan por esta prórroga al menos algunos meses antes del final de cada período.

3. La delegación de poderes mencionada en el artículo 14, apartado 7, podrá ser revocada en cualquier momento por el Parlamento Europeo o por el Consejo. La decisión de revocación se basará en la delegación de las facultades que le corresponden. La decisión tendrá efectos al día siguiente de su publicación en el Diario Oficial de la Unión Europea o en una decisión posterior indicada en el mismo. No afectan la validación de las acciones delegadas que se encuentren vigentes.

4. Antes de la adopción de un acto delegado, la Comisión consultará con los expertos designados por cada Estado de conformidad con los principios establecidos en el Acuerdo Interinstitucional de 13 de abril de 2016 sobre la mejora de la legislación.

5. Tan pronto como la Comisión adopte un acto delegado lo notificará simultáneamente al Parlamento de Europa y al Consejo.

6. Los actos delegados adoptados en virtud del artículo 14, salvo el 7, entrarán en vigor únicamente si, en el plazo de dos meses desde su notificación al Parlamento de Europa y al Consejo, notando una de estas instituciones formula objeciones o si, antes del entrega de plazo, ambas Informar a la Comisión que no existen fórmulas. El plazo será apoyado por iniciativa del Parlamento Europeo o del Consejo.

Artículo 24

Procedimiento del comité

1. La Comisión estará asistida por el Comité de Coordinación del Programa Europa Digital de conformidad con el artículo 31, apartado 1 del Reglamento (UE) 2021/694. Este comité será un comité en el Sentido del Reglamento (UE) n. 182/2011  .

2. En los casos en que esta referencia se haga por separado, el artículo 5 del Reglamento (UE) n. 182/2011  .

Artículo 25

Evaluación y revisión

1. A partir del 5 de febrero de 2027 y, posteriormente, cada pocos años, la Comisión evaluará el funcionamiento de las medidas establecidas en el presente Reglamento y presentará un informe al Parlamento Europeo y al Consejo.

2. La evaluación se refiere al análisis del apartado 1, en particular:

a)

El número de cibercentros nacionales y transfronterizos creados, la disponibilidad de información que se puede compartir, incluidos, si es posible, los efectos del trabajo del CSIRT y el hecho de que estos centros contribuyen a la detección y concientización sobre las reformas. situación común de la Unión en materia de ciberseguridad y de incidentes y descubrimiento de tecnologías de vanguardia; y el uso de financiación del Programa Europa Digital para servicios de soporte, infraestructuras o ciberseguridad contratados conjuntamente; y, si hay información disponible, el nivel de cooperación entre los cibercentros nacionales y las comunidades sectoriales e intersectoriales de entidades esenciales e importantes se menciona en el artículo 3 de la Directiva (UE) 2022/2555;

b)

El uso y efectividad de las acciones del Mecanismo Emergente en Materiales de Seguridad Cibernética incluyen la preparación, capacitación, respuesta a incidentes significativos de seguridad cibernética, de gran escala y equivalentes a gran escala, y la recuperación inicial con respecto a estos. incluye el uso de la financiación del Programa Europa Digital, así como las conclusiones extraídas y las recomendaciones derivadas de la expulsión del Mecanismo Emergente en Materiales de Ciberseguridad;

c)

el uso y eficacia de la Reserva de Ciberseguridad de la UE en relación con el tipo de usuarios, incluido el uso de la financiación del Programa Europa Digital, la adopción de servicios, incluido su tipo, el tiempo medio de respuesta y las solicitudes de implantación de la Reserva de Ciberseguridad de la UE, la mayoría de servicios convertidos en servicios de preparación relacionados con la prevención y respuesta a incidentes, así como conclusiones y recomendaciones extrajudiciales derivadas de la aplicación de la Reserva de Ciberseguridad de la UE;

d)

la contribución del presente Reglamento al deterioro de la posición competitiva de la industria y los servicios en la Unión en toda la economía digital, incluidas las microempresas y las pequeñas y medianas empresas, así como las empresas emergentes, y la contribución al objeto general de la reforma las habilidades y habilidades en materia ciberseguridad de la mano de tu mano.

3. A partir de la información mencionada en la parte 1, la Comisión presentará, si procede, una propuesta legislativa al Parlamento Europeo y al Consejo para modificar el presente Reglamento.

Artículo 26

Entrada en vigor

Este Reglamento entrará en vigor pocos días después de su publicación en el Diario Oficial de la Unión Europea .

El presente Reglamento será de cumplimiento obligatorio en todos sus elementos y directamente aplicable en cada Estado del país.

Hecho en Bruselas, el 19 de diciembre de 2024.

Por el Parlamento de Europa

el presidente

R. METSOLA

Por el Consejo

el presidente

BOKA J.

1 )   Dictamen de 18 de abril de 2023 (pendiente de publicación en el Diario Oficial).

2 )    DO C 349 de 29.9.2023, p. 167 .

3 )    DO C, C/2024/1049 de 9.2.2024, ELI: http://data.europa.eu/eli/C/2024/1049/oj .

4 )   Posición del Parlamento Europeo de 24 de abril de 2024 (pendiente de publicación en el Diario Oficial) y Decisión del Consejo de 2 de diciembre de 2024.

5 )   Reglamento (UE) 2019/881 del Parlamento Europeo y del Consejo, de 17 de abril de 2019, relativo a ENISA (Agencia de la Unión Europea para la Ciberseguridad) y la certificación de la ciberseguridad de las tecnologías de la información y las comunicaciones y por el que deroga el Reglamento (UE) n. o  526/2013 (“Reglamento sobre la Ciberseguridad”) ( DO L 151 de 7.6.2019, p. 15 ).

6 )   La Directiva 2013/40/UE del Parlamento Europeo y del Consejo, de 12 de agosto de 2013, se refiere a los ataques contra los sistemas de información y, por tanto, sustituye a la Decisión 2005/222/JAI del Consejo ( DO) L 218 de 14.8.2013, pág.8 ).

7 )   Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, relativa a las medidas destinadas a garantizar un alto nivel de seguridad en todas las Uniones, si cambia el Reglamento (UE) n. o  910/2014 y la Directiva (UE) 2018/1972 y por tanto la Directiva (UE) 2016/1148 (Directiva SRI 2) ( DO L 333 de 27.12.2022, p. 80 ).

8 )   Recomendación (UE) 2017/1584 de la Comisión, de 13 de septiembre de 2017, sobre la respuesta coordinada a los incidentes y crisis de ciberseguridad a gran escala ( DO L 239 de 19.9.2017, p. 36 ).

9 )   Reglamento (UE) 2021/694 del Parlamento Europeo y del Consejo, de 29 de abril de 2021, por el que se crea el Programa Europa Digital y por la Decisión (UE) 2015/2240 ( DO L) 166 de 11.5.2021 , pág.1 ).

10 )   Reglamento (UE, Euratom) 2024/2509 del Parlamento Europeo y del Consejo, de 23 de septiembre de 2024, según las normas financieras aplicables al supuesto general de la Unión ( DO L, 2024/2509, de 26.9.2024, ELI: http://data.europa.eu/eli/reg/2024/2509/oj ).

11 )   Reglamento (UE, Euratom) 2020/2092 del Parlamento Europeo y del Consejo, de 16 de diciembre de 2020, en virtud de un régimen general de condiciones para la protección del presupuesto de la Unión ( DO L 433 I de 22.12.2020 , pág.1 , ELI: http://data.europa.eu/eli/reg/2020/2092/oj).

12 )   Reglamento (UE) 2021/887 del Parlamento Europeo y del Consejo, de 20 de mayo de 2021, por el que se crea el Centro Europeo de Competencia Tecnológica Industrial e Investigación en Ciberseguridad y el Centro Nacional de Coordinación ( DO L 202 8.6.2021, pág. 1 , ELI: http://data.europa.eu/eli/reg/2021/887/oj).

13 )   Decisión n. o 1313/2013/UE del Parlamento Europeo y del Consejo, de 17 de diciembre de 2013, relativa a un Mecanismo de Protección Civil de la Unión ( DO L 347 de 20.12.2013, p. 924 , ELI: http://data.europa.eu/eli/dec/2013/1313/oj).

14 )   Decisión de Ejecución (UE) 2018/1993 del Consejo, de 11 de diciembre de 2018, sobre el dispositivo de la UE para una respuesta política integrada a la crisis ( DO L 320 de 17.12.2018, p. 28 , ELI : http://data.europa.eu/eli/dec_impl/2018/1993/oj).

15 )   Decisión (PESC) 2017/2315 del Consejo, de 11 de diciembre de 2017, por la que se establece una cooperación estructurada permanente y se establece la lista de Estados participantes. ( DO L 331 de 14.12.2017, p. 57 , ELI: http://data.europa.eu/eli/dec/2017/2315/2023-05-23).

16 )   Decisión n. o  1313/2013/UE del Parlamento Europeo y del Consejo, de 17 de diciembre de 2013, relativa a un Mecanismo de Protección Civil de la Unión ( DO L 347 de 20.12.2013, p. 924 ).

17 )   Recomendación (UE) 2017/1584 de la Comisión, de 13 de septiembre de 2017, sobre la respuesta coordinada a los incidentes y la ciberseguridad a gran escala ( DO L 239 de 19.9.2017, p. 36 ).

18 )   Reglamento (UE) 2018/1971 del Parlamento Europeo y del Consejo, de 11 de diciembre de 2018, por el que se crea el Organismo de Reguladores Europeos de las Comunicaciones Electrónicas (ORECE) y la Agencia de apoyo al ORECE (Oficina del ORECE), por la modificación del Reglamento (UE) 2015/2120 y por la desviación del Reglamento (CE) n. o  1211/2009 ( DO L 321 de 17.12.2018, p. 1 ).

19 )   Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, sobre la resiliencia operativa digital del sector financiero y modificado por el Reglamento (CE) n. o  1060/2009, (UE) n. o  648/2012, (UE) n. o  600/2014, (UE) n. o  909/2014 y (UE) 2016/1011 ( DO L 333 de 27.12.2022, p. 1 ).

20 )    DO L 123 de 12.5.2016, p. 1 , ELI: http://data.europa.eu/eli/agree_interinstit/2016/512/oj.

21 )   Reglamento (UE) n. o  182/2011 del Parlamento de Europa y del Consejo, de 16 de febrero de 2011, por la que se establecen las normas y principios generales relativos a las modalidades de control por parte de los Estados miembros del ejercicio de las competencias de ejecución por la Comisión ( DO L 55 de 28.2.2011, p. 13 , ELI: http://data.europa.eu/eli/reg/2011/182/oj).

22 )   Reglamento (UE, Euratom) 2023/2841 del Parlamento Europeo y del Consejo, de 13 de diciembre de 2023, por el que se establecen las medidas destinadas a garantizar un alto nivel de ciudadanía en las instituciones, organizaciones y organismos de la Unión ( DO L, 2023/2841, 18.12.2023, ELI: http://data.europa.eu/eli/reg/2023/2841/oj ).

23 )   Reglamento (UE) 2024/2847 del Parlamento Europeo y del Consejo, de 23 de octubre de 2024, relativo a los requisitos horizontales de ciberseguridad para productos con elementos digitales y modificado por el Reglamento (UE) n. o  168/2013 y el Reglamento (UE) 2019/1020 y la Directiva (UE) 2020/1828 (Reglamento de Ciberresiliencia) ( DO L, 2024/2847, 20.11.2024, ELI: http://data.europa.eu /eli/reg/2024/2847/oj ).

ANEXO

El Reglamento (UE) 2021/694 queda modificado como sigue:

1)

En el Anexo I, se sustituye el apartado “Finalidad Específica 3 – Seguridad y Confianza” por el siguiente texto:

“Objeto específico 3 – Seguridad y confianza

El Programa estimula el rechazo, la creación y la adquisición de la capacidad esencial para proteger la economía digital, la sociedad y la democracia de la Unión fortaleciendo el potencial industrial y la competitividad en materia de ciberseguridad de la Unión, como si mejorara las capacidades. de los sectores públicos y privado para proteger a los ciudadanos y las ciberempresas, incluida la aplicación de la Directiva (UE) 2016/1148.

Las actuaciones iniciales y, al proceder, posteriores, en el marco del presente objeto, comprenderán:

1.

La conversión con nuestros Estados pasa por equipos avanzados de ciberseguridad, infraestructuras y conocimientos especializados que son esenciales para proteger las infraestructuras críticas y el mercado único digital en general. Esta coinversión puede incluir inversiones en instalaciones cuantitativas y recursos de datos para la ciberseguridad, conocimiento de la situación en el ciberespacio, incluidos los cibercentros nacionales y los cibercentros transfronterizos que forman el Sistema Europeo de Alerta de Ciberseguridad, así como otras herramientas que están disponibles para los sectores público y privado en toda Europa.

2.

Existe la ampliación de la capacidad tecnológica y la integración en rojo de los centros de competencia de los Estados Medios y la garantía de que esta capacidad responda a las necesidades del sector público y de la industria, en particular en el caso de los productos y servicios. que refuercen la ciberseguridad y la confianza en el mercado digital único.

3.

La garantía de una amplia implementación de soluciones efectivas de seguridad en ciberseguridad y confianza en nuestros respectivos Estados. Esta implementación incluye la renuncia a la seguridad y la protección de los productos de su diseño antes de su comercialización.

4.

Apoyo para solucionar el déficit de competencias en materiales de ciberseguridad, teniendo en cuenta el equilibrio de género, por ejemplo, alineando los programas de competencias en materiales de ciberseguridad, adaptándolos a las necesidades sectoriales específicas y facilitando el acceso a una formación especializada especifica.

5.

La promoción de la solidaridad entre los Estados se basa en el respeto a la preparación de incidentes significativos de ciberseguridad y a los incidentes de ciberseguridad de gran escala y la respuesta a los mismos mediante la prestación de servicios de ciberseguridad transfronterizos, incluido el apoyo apoyo a la asistencia mutua entre autoridades públicas y el establecimiento de una reserva de proveedores de ciberseguridad de confianza de servicios de seguridad gestionados a escala de la Unión.”

2)

En el Anexo II, se sustituye el apartado “Finalidad Específica 3 – Seguridad y Confianza” por el siguiente texto:

“Objeto específico 3 – Seguridad y confianza

3.1.

Número de infraestructuras o herramientas de ciberseguridad, o abas contratadas conjuntamente, ambiente en el contexto del Sistema Europeo de Alerta de Ciberseguridad

3.2.

Número de usuarios y comunidades de usuarios con acceso a las instalaciones europeas de ciberseguridad

3.3

Número de acciones de apoyo a la preparación frente a incidentes de ciberseguridad y la respuesta a ellos en el marco del Mecanismo de Emergencia en materia de Cyberseguridad”.

Ha realizado una declaración con respecto a este acto y puede encontrarla en la DO C, C/2025/308, 15.1.2025, ELI: http://data.europa.eu/eli/C/2025/308/ do .

ELI: http://data.europa.eu/eli/reg/2025/38/oj

ISSN 1977-0685 (edición electrónica)

Publicado por en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)