Derecho y NBIC

El Derecho de NBIC es una materia transversal, relacionada con tecnologías convergentes (Nanotecnologías, Biotecnologías, Tecnologías de la Información y ciencias Cognitivas). Enfatizan la creciente interconexión entre lo infinitamente pequeño (N), la creación de seres vivos (B), las máquinas pensantes (I) y el estudio del cerebro humano (C). Inciden en la ciencia y el derecho, tornando complejo establecer sus límites, desafíos y consecuencias económicas, político- sociales y éticas.

miércoles, 30 de marzo de 2022

RECOMENDACIÓN DE LA JUNTA EUROPEA DE RIESGO SISTÉMICO SOBRE UN MARCO PANEUROPEO DE COORDINACIÓN DE CIBERINCIDENTES

Por: Carlos A. FERREYROS SOTO

Doctor en Derecho
Universidad de Montpellier I Francia.

cferreyros@hotmail.com

Resumen

El 25 de marzo, el Diario Oficial de la Unión Europea publicó la Recomendación de la Junta Europea de Riesgo Sistémico (UE) 2022/C 134/01 sobre un marco paneuropeo de coordinación de cíberincidentes para las autoridades pertinentes, tal como se prevé en la propuesta de la Comisión de Reglamento del Parlamento Europeo y del Consejo sobre la resiliencia operativa digital del sector financiero (en lo sucesivo, «DORA»), las Autoridades Europeas de Supervisión (AES), conjuntamente a través del Comité Mixto y junto con el Banco Central Europeo (BCE), la Junta Europea de Riesgo Sistémico (JERS) y las autoridades nacionales pertinentes, a fin de que comiencen a prepararse para el establecimiento gradual de una respuesta coordinada eficaz a escala de la Unión en caso de cíberincidentes transfronterizos graves o amenazas conexas que pueda tener un impacto sistémico en el sector financiero de la Unión.

Si desea mayor información sobre la presente regulación, consúltenos al correo electrónico:cferreyros@ferreyros-ferreyros.com del Estudio Jurídico Ferreyros-Ferreyros.com

_______________________________________________________

RECOMENDACIÓN DE LA JUNTA EUROPEA DE RIESGO SISTÉMICO

de 2 de diciembre de 2021

sobre un marco paneuropeo de coordinación de ciberincidentes sistémicos para las autoridades pertinentes

(JERS/2021/17)

(2022/C 134/01)

LA JUNTA GENERAL DE LA JUNTA EUROPEA DE RIESGO SISTÉMICO,

Visto el Tratado de Funcionamiento de la Unión Europea,

Visto el Acuerdo sobre el Espacio Económico Europeo (¹), en particular, su anexo IX,

Visto el Reglamento (UE) n.^o 1092/2010 del Parlamento Europeo y del Consejo, de 24 de noviembre de 2010, relativo a la supervisión macroprudencial del sistema financiero en la Unión Europea y por el que se crea una Junta Europea de Riesgo Sistémico (²), en particular el artículo 3, apartado, 2, letras b) y d), y los artículos 16 y 18,

Vista la Decisión JERS/2011/1 de la Junta Europea de Riesgo Sistémico, de 20 de enero 2011, por la que se adopta el Reglamento interno de la Junta Europea de Riesgo Sistémico (³), en particular los artículos 18 a 20,

Considerando lo siguiente:

(1) Como se señala en el considerando 4 de la Recomendación JERS/2013/1 de la Junta Europea de Riesgo Sistémico (⁴), el objetivo final de la política macroprudencial es contribuir a la protección de la estabilidad del sistema financiero en su conjunto, incluso mediante el refuerzo de la capacidad de resistencia del sistema financiero y la atenuación de los riesgos sistémicos, garantizando así una aportación sostenible del sector financiero al crecimiento económico. La Junta Europea de Riesgo Sistémico (JERS) se encarga de la vigilancia macroprudencial del sistema financiero de la Unión. En el cumplimiento de su mandato, la JERS debe contribuir a prevenir y reducir los riesgos sistémicos para la estabilidad financiera, inclusive los relacionados con ciberincidentes, y proponer cómo atenuarlos.

(2) Los ciberincidentes graves pueden suponer un riesgo sistémico para el sistema financiero, dado que pueden interrumpir operaciones y servicios financieros esenciales. La amplificación de una perturbación inicial puede producirse a través del contagio operativo o financiero o a través de una erosión de la confianza en el sistema financiero. Si el sistema financiero no puede absorber estas perturbaciones, la estabilidad financiera correrá peligro, y esta situación puede dar lugar a una crisis cibernética sistémica (⁵).

(3) El panorama de ciberamenazas en constante evolución y el reciente aumento de ciberincidentes graves son indicadores de mayor riesgo para la estabilidad financiera de la Unión. La pandemia de COVID-19 ha puesto de relieve la importancia del papel que desempeña la tecnología en el funcionamiento del sistema financiero. Las autoridades e instituciones pertinentes deben adaptar su infraestructura técnica y sus marcos de gestión de riesgos a un aumento repentino del trabajo a distancia, que ha elevado la exposición global del sistema financiero a las ciberamenazas y ha permitido a los delincuentes concebir nuevos modos de operar y adaptar los existentes para aprovechar la situación (⁶). En este contexto, el número de ciberincidentes notificados a la supervisión bancaria del BCE en 2020 se incrementó en un 54 % en comparación con 2019 (⁷).

(4) La gran escala, velocidad y tasa de propagación de un ciberincidente grave exigen una respuesta eficaz por parte de las autoridades competentes para atenuar los posibles efectos negativos sobre la estabilidad financiera. Una rápida coordinación y comunicación entre las autoridades pertinentes de la Unión puede contribuir a la evaluación temprana de los efectos de un ciberincidente grave en la estabilidad financiera, mantener la confianza en el sistema financiero y limitar el contagio a otras entidades financieras, contribuyendo así a evitar que un ciberincidente grave se convierta en un riesgo para la estabilidad financiera.

(5) La perturbación subyacente tiene su origen en una forma novedosa en comparación con las crisis financieras y de liquidez tradicionales a las que se suelen enfrentar las autoridades pertinentes. Además de los aspectos financieros, la evaluación global de riesgos debe incluir la magnitud y los efectos de las perturbaciones operativas, ya que podrían influir en la elección de los mecanismos macroprudenciales. Del mismo modo, la estabilidad financiera también podría influir en la elección de medidas operativas por parte de los ciberexpertos. Esto requiere una coordinación estrecha y rápida y una comunicación abierta para, entre otras cosas, facilitar el conocimiento de la situación.

(6) El riesgo de fallo de coordinación por parte de las autoridades existe y debe abordarse. Las autoridades pertinentes de la Unión tendrán que coordinarse entre sí y con otras autoridades, como la Agencia de Seguridad de las Redes y de la Información de la Unión Europea (ENISA), con las que normalmente no interactúan. Dado que un número significativo de instituciones financieras de la Unión operan a escala mundial, es probable que un ciberincidente grave no se limite a la Unión o pueda desencadenarse fuera de esta y requiera una coordinación global de la respuesta.

(7) Las autoridades pertinentes deben estar preparadas para estas interacciones. De lo contrario, podrían adoptar medidas incoherentes que contradigan o pongan en peligro las respuestas de otras autoridades. Este fallo de coordinación podría amplificar la perturbación del sistema financiero al provocar una erosión de la confianza en su funcionamiento que, en el peor de los casos, supondría un riesgo para la estabilidad financiera (⁸). Por lo tanto, deben adoptarse las medidas necesarias para abordar el riesgo para la estabilidad financiera derivado de un fallo de coordinación en caso de ciberincidente grave.

(8) El informe de la JERS (2021) Mitigating systemic cyber risk (⁹) identifica la necesidad de establecer un marco paneuropeo de coordinación de ciberincidentes sistémicos (EU-SCICF) para las autoridades pertinentes de la Unión. El objetivo del EU-SCICF sería aumentar el nivel de preparación de las autoridades pertinentes para facilitar una respuesta coordinada a un ciberincidente potencialmente grave. El informe de la JERS (2021) Mitigating system cyber risk presenta la evaluación de la JERS sobre las características marco que serían necesarias, a primera vista, para hacer frente al riesgo de fallo de coordinación.

(9) El objetivo principal de la presente recomendación es basarse en una de las funciones previstas de las Autoridades Europeas de Supervisión (AES) en virtud de la propuesta de Reglamento del Parlamento Europeo y del Consejo sobre la resiliencia operativa digital del sector financiero (¹⁰) (en lo sucesivo, «DORA») para permitir gradualmente una respuesta coordinada eficaz a nivel de la Unión en caso de un incidente transfronterizo grave relacionado con las tecnologías de la información y la comunicación (TIC) o una amenaza conexa que tenga efectos sistémicos en el sector financiero de la Unión en su conjunto. Este proceso dará lugar a la creación del EU-SCICF para las autoridades pertinentes.

(10) El EU-SCICF no debe tener como objetivo sustituir los marcos existentes, sino colmar las lagunas de coordinación y comunicación entre las propias autoridades pertinentes y con otras autoridades de la Unión y otros actores esenciales en el ámbito internacional. A este respecto, debe tenerse en cuenta el posicionamiento del EU-SCICF en el actual marco de crisis financiera y en el panorama del marco de ciberincidentes de la Unión. Por lo que respecta a la coordinación entre las propias autoridades pertinentes, deben considerarse, entre otras cosas, las funciones y actividades del Grupo de Cooperación sobre Redes y Sistemas de Información (SRI) para las entidades financieras en virtud de la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo (¹¹), y los mecanismos de coordinación previstos a través de la creación de la Unidad Informática Conjunta junto con la participación de la ENISA.

(11) En particular, la propuesta de poner en marcha la preparación del EU-SCICF tiene por objeto respaldar las funciones potenciales de las AES, tal como se prevé en la propuesta de DORA. La DORA propone que «las AES, a través del Comité Mixto y en colaboración con las autoridades competentes, el Banco Central Europeo (BCE) y la JERS, podrán establecer mecanismos que permitan compartir prácticas eficaces en todos los sectores financieros a fin de mejorar la conciencia situacional y detectar las vulnerabilidades y los riesgos cibernéticos comunes a los diversos sectores» y «podrán organizar ejercicios de gestión de crisis y contingencia que incluyan escenarios de ciberataques con el fin de desarrollar los canales de comunicación y hacer posible gradualmente una respuesta coordinada eficaz a nivel de la UE en caso de que se produzca un incidente grave relacionado con las TIC de alcance transfronterizo o una amenaza conexa que tenga un impacto sistémico en el sector financiero de la Unión en su conjunto» (¹²). Todavía no existe un marco paneuropeo como el EU-SCICF, que debe establecerse y desarrollarse en el contexto de la DORA.

(12) Habida cuenta del riesgo para la estabilidad financiera de la Unión derivado del riesgo cibernético, los trabajos preparatorios para el establecimiento gradual del EU-SCICF deben comenzar, en la medida de lo posible, incluso antes de que el marco jurídico y político necesario para su establecimiento sea plenamente aplicable. Este marco jurídico y político se completaría plenamente y se concluiría una vez sean aplicables las disposiciones pertinentes de la DORA y de sus actos delegados.

(13) Una comunicación eficaz contribuye al conocimiento de la situación entre las autoridades pertinentes y, por lo tanto, es un requisito previo indispensable para la coordinación a escala de la Unión durante los ciberincidentes graves. A este respecto, debe definirse la infraestructura de comunicación necesaria para coordinar una respuesta a un ciberincidente grave. Esto implicaría especificar el tipo de información que debe compartirse, los canales regulares que deben utilizarse para compartir dicha información y los puntos de contacto con los que debe compartirse la información. El intercambio de información debe respetar los requisitos legales existentes. Además, las autoridades pertinentes pueden tener que definir un plan de acción claro y los protocolos que deben seguirse para garantizar una coordinación adecuada entre las autoridades implicadas en la planificación de una respuesta coordinada a un ciberincidente grave.

(14) Una crisis cibernética sistémica requerirá la puesta en marcha de una plena cooperación a nivel nacional y de la Unión. Por consiguiente, puede preverse la designación de puntos de contacto para las AES, el BCE y cada Estado miembro entre sus autoridades nacionales pertinentes, que deben comunicarse a las AES, a fin de establecer los principales interlocutores en el sistema de coordinación del EU-SCICF que deben ser informados en caso de ciberincidente grave. La necesidad de designar puntos de contacto debe evaluarse durante el desarrollo del EU-SCICF, teniendo en cuenta el punto de contacto único designado en virtud de la Directiva (UE) 2016/1148 que los Estados miembros han establecido sobre la seguridad de las redes y sistemas de información para garantizar la cooperación transfronteriza con otros Estados miembros y con el Grupo de Cooperación SRI (¹³).

(15) La realización de ejercicios de gestión de crisis y contingencias podría facilitar la aplicación del EU-SCICF y permitir a las autoridades evaluar su disposición y preparación ante una cibercrisis sistémica a escala de la Unión. Estos ejercicios proporcionarían a las autoridades las enseñanzas extraídas y permitirían una mejora y evolución continuas del EU-SCICF.

(16) Para la creación del EU-SCICF es esencial que las AES lleven a cabo conjuntamente los trabajos preparatorios pertinentes a fin de considerar los posibles elementos esenciales del marco y los recursos necesarios para su creación. A continuación, las AES podrían empezar a trabajar en un análisis preliminar de cualquier impedimento que pudiera dificultar su capacidad y la de las autoridades pertinentes para establecer el EU-SCICF y compartir información pertinente a través de canales de comunicación en caso de ciberincidente grave. Este análisis sería un paso importante para dar a conocer cualquier otra medida, ya sea de carácter legislativo u otras iniciativas de apoyo que la Comisión Europea pueda adoptar en la fase de aplicación posterior a la DORA.

HA ADOPTADO LA PRESENTE RECOMENDACIÓN:

SECCIÓN 1

RECOMENDACIONES

Recomendación A – Establecimiento de un marco paneuropeo de coordinación de ciberincidentes sistémicos (EU-SCICF)

1. Se recomienda que, tal como se prevé en la propuesta de la Comisión de Reglamento del Parlamento Europeo y del Consejo sobre la resiliencia operativa digital del sector financiero (en lo sucesivo, «DORA»), las Autoridades Europeas de Supervisión (AES), conjuntamente a través del Comité Mixto y junto con el Banco Central Europeo (BCE), la Junta Europea de Riesgo Sistémico (JERS) y las autoridades nacionales pertinentes, comiencen a prepararse para el establecimiento gradual de una respuesta coordinada eficaz a escala de la Unión en caso de ciberincidente transfronterizo grave o amenaza conexa que pueda tener un impacto sistémico en el sector financiero de la Unión. El trabajo preparatorio para lograr una respuesta coordinada a nivel de la Unión debe conllevar el establecimiento gradual del EU-SCICF para las AES, el BCE, la JERS y las autoridades nacionales pertinentes. Esto también debe incluir una evaluación de las necesidades de recursos para la creación efectiva del EU-SCICF.

2. Se recomienda a las AES, a la vista de la recomendación A, apartado 1, que, en consulta con el BCE y la JERS, emprendan un inventario y un análisis posterior de los obstáculos actuales, jurídicos y de otra índole para la creación efectiva del EU-SCICF.

Recomendación B – Establecimiento de puntos de contacto del EU-SCICF

Se recomienda a las AES, al BCE y a cada Estado miembro, que, entre sus autoridades nacionales pertinentes, designen un punto de contacto principal que debe comunicarse a las AES. Esta lista de contactos facilitará la creación del marco y, una vez establecido el EU-SCICF, los puntos de contacto y la JERS deben ser informados en caso de ciberincidente grave. También debe preverse la coordinación entre el EU-SCICF y el punto de contacto único designado en virtud de la Directiva (UE) 2016/1148 que los Estados miembros hayan establecido sobre la seguridad de las redes y sistemas de información para garantizar la cooperación transfronteriza con otros Estados miembros y con el Grupo de Cooperación sobre Redes y Sistemas de Información.

Recomendación C – Medidas adecuadas a escala de la Unión

Se recomienda que, sobre la base de los resultados de los análisis realizados de conformidad con la recomendación A, la Comisión considere las medidas adecuadas necesarias para garantizar una coordinación eficaz de las respuestas a los ciberincidentes sistémicos.

SECCIÓN 2

APLICACIÓN

1. Definiciones

A efectos de la presente recomendación, se entenderá por:

(a) «cibernético», relacionado con, dentro o a través del soporte de la infraestructura de información interconectada de las interacciones entre personas, procesos, datos y sistemas de información (¹⁴);

(b) «ciberincidente grave», un incidente relacionado con las TIC que puede tener efectos negativos importantes en las redes y los sistemas de información que respaldan las funciones esenciales de las entidades financieras (¹⁵);

(c) «crisis cibernética sistémica», un ciberincidente grave que causa un nivel de perturbación del sistema financiero de la Unión que puede acarrear graves consecuencias negativas para el buen funcionamiento del mercado interior y el funcionamiento de la economía real. Una crisis de estas características podría ser consecuencia de un ciberincidente grave que provoque perturbaciones en una serie de canales, incluidos los aspectos operativos, de confianza y financieros;

(d) «Autoridades Europeas de Supervisión» o «AES», la Autoridad Europea de Supervisión (Autoridad Bancaria Europea), creada en virtud del Reglamento (UE) n.^o 1093/2010 del Parlamento Europeo y del Consejo (¹⁶), la Autoridad Europea de Supervisión (Autoridad Europea de Seguros y Pensiones de Jubilación), creada en virtud del Reglamento (UE) n.^o 1094/2010 del Parlamento Europeo y del Consejo (¹⁷), y la Autoridad Europea de Supervisión (Autoridad Europea de Valores y Mercados), creada en virtud del Reglamento (UE) n.^o 1095/2010 del Parlamento Europeo y del Consejo (¹⁸);

(e) «Comité Mixto», el Comité Mixto de las Autoridades Europeas de Supervisión previsto en el artículo 54 del Reglamento (UE) n.^o 1093/2010, del Reglamento (UE) n.^o 1094/2010 y del Reglamento (UE) n.^o 1095/2010;

(f) «autoridad nacional pertinente»,

1. una autoridad competente o de supervisión de un Estado miembro especificada en los actos de la Unión a que se refiere el artículo 1, apartado 2, del Reglamento (UE) n.^o 1093/2010, del Reglamento (UE) n.^o 1094/2010 y del Reglamento (UE) n.^o 1095/2010, y cualquier otra autoridad nacional competente especificada en los actos de la Unión que confieran funciones a las AES;

2. una autoridad competente de un Estado miembro designada de conformidad con:

i. el artículo 4 de la Directiva 2013/36/UE del Parlamento Europeo y del Consejo (¹⁹), sin perjuicio de las funciones específicas atribuidas al BCE por el Reglamento (UE) n.^o 1024/2013 del Consejo (²⁰);

ii. el artículo 22 del Reglamento (UE) n.^o 2015/2366 del Parlamento Europeo y del Consejo (²¹);

iii. el artículo 37 de la Directiva 2009/110/CE del Parlamento Europeo y del Consejo (²²);

iv. el artículo 4 de la Directiva (UE) 2019/2034 del Parlamento Europeo y del Consejo (²³);

v. el artículo 3, apartado 1, sexies sexies, primer guion, de la propuesta de Reglamento del Parlamento Europeo y del Consejo relativo a los mercados de criptoactivos y por el que se modifica la Directiva (UE) 2019/1937 (²⁴);

vi. el artículo 11 del Reglamento (UE) n.^o 909/2014 del Parlamento Europeo y del Consejo (²⁵);

vii. el artículo 22 del Reglamento (UE) n.^o 648/2012 del Parlamento Europeo y del Consejo (²⁶);

viii. el artículo 67 de la Directiva 2014/65/CE del Parlamento Europeo y del Consejo (²⁷);

ix. el artículo 22 del Reglamento (UE) n.^o 648/2012,

x. el artículo 44 de la Directiva 2011/61/UE del Parlamento Europeo y del Consejo (²⁸);

xi. el artículo 97 de la Directiva 2009/65/UE del Parlamento Europeo y del Consejo (²⁹);

xii. el artículo 30 de la Directiva 2009/138/CE del Parlamento Europeo y del Consejo (³⁰);

xiii. el artículo 12 de la Directiva (UE) 2016/97 del Parlamento Europeo y del Consejo (³¹);

xiv. el artículo 47 de la Directiva (UE) 2016/2341 del Parlamento Europeo y del Consejo (³²);

xv. el artículo 22 del Reglamento (CE) n.^o 1060/2009 del Parlamento Europeo y del Consejo (³³);

xvi. el artículo 3, apartado 2, y el artículo 32, de la Directiva 2006/43/CE del Parlamento Europeo y del Consejo (³⁴);

xvii. el artículo 40 del Reglamento (UE) n.^o 2016/1011 del Parlamento Europeo y del Consejo (³⁵);

xviii. el artículo 29 del Reglamento (UE) n.^o 2020/1503 del Parlamento Europeo y del Consejo (³⁶);

3. una autoridad a la que se haya encomendado la adopción o la activación de medidas de política macroprudencial, u otras funciones de estabilidad financiera, como, por ejemplo, el análisis de apoyo correspondiente, entre otras, a modo de ejemplo:

i. una autoridad designada de conformidad con el capítulo 4, del título VII, de la Directiva 2013/36/UE, o con el artículo 458, apartado 1, del Reglamento (UE) n.^o 575/2013 del Parlamento Europeo y del Consejo (³⁷);

ii. una autoridad macroprudencial con los objetivos, los acuerdos, las funciones, las competencias, los instrumentos, los requisitos de rendición de cuentas y otras características establecidos en la Recomendación JERS/2011/3 de la Junta Europea de Riesgo Sistémico (³⁸);

(g) «autoridad pertinente»,

1. una AES;

2. el BCE en lo que respecta a las funciones que se le atribuyen de conformidad con el artículo 4, apartados 1 y 2, y artículo 5, apartado 2, del Reglamento (UE) n.^o 1024/2013;

3. una autoridad nacional pertinente.

2. Criterios de aplicación

La aplicación de la presente recomendación se regirá por los siguientes criterios:

(a) Debe prestarse la debida consideración al principio de necesidad de conocer y al principio de proporcionalidad, teniendo en cuenta el objetivo y el contenido de cada recomendación.

(b) Se deben satisfacer los criterios específicos de cumplimiento establecidos en el anexo en relación con cada recomendación.

3. Plazos de seguimiento

De acuerdo con el artículo 17, apartado 1, del Reglamento (UE) n.^o 1092/2010, los destinatarios de la presente recomendación deben comunicar al Parlamento Europeo, al Consejo, a la Comisión, y a la JERS, las medidas que tomen al respecto, así como la justificación adecuada de cualquier inacción. Se pide a los destinatarios que realicen dicha comunicación de conformidad con los siguientes plazos:

1. Recomendación A

(a) A más tardar el 30 de junio de 2023, pero no antes de seis meses después de la entrada en vigor de la DORA, se pide a las AES que presenten al Parlamento Europeo, al Consejo, a la Comisión y a la JERS un informe provisional sobre la aplicación de la recomendación A, apartado 1.

(b) A más tardar el 30 de junio de 2024, pero no antes de 18 meses después de la entrada en vigor de la DORA, se pide a las AES que presenten al Parlamento Europeo, al Consejo, a la Comisión y a la JERS un informe final sobre la aplicación de la recomendación A, apartado 1.

(c) A más tardar el 30 de junio de 2025, pero no antes de 30 meses después de la entrada en vigor de la DORA, se pide a las AES que presenten al Parlamento Europeo, al Consejo, a la Comisión y a la JERS un informe sobre la aplicación de la recomendación A, apartado 2.

2. Recomendación B

A más tardar el 30 de junio de 2023, pero no antes de seis meses después de la entrada en vigor de la DORA, se pide a las AES, al BCE y a los Estados miembros que presenten al Parlamento Europeo, al Consejo, a la Comisión y a la JERS un informe sobre la aplicación de la recomendación B.

3. Recomendación C

(a) A más tardar el 31 de diciembre de 2023, pero no antes de 12 meses después de la entrada en vigor de la DORA, se pide a la Comisión que presente al Parlamento Europeo, al Consejo y a la JERS un informe sobre la aplicación de la recomendación C en vista del informe provisional de las AES de conformidad con la recomendación A, apartado 1.

(b) A más tardar el 31 de diciembre de 2025, pero no antes de 36 meses después de la entrada en vigor de la DORA, se pide a la Comisión que presente al Parlamento Europeo, al Consejo y a la JERS un informe sobre la aplicación de la recomendación C en vista de los informes de las AES de conformidad con la recomendación A.

4. Vigilancia y evaluación

1. La Secretaría de la JERS:

(a) prestará asistencia a los destinatarios garantizando la coordinación de la presentación de información, facilitando las plantillas pertinentes y especificando, en caso necesario, el procedimiento y los plazos de seguimiento;

(b) verificará el seguimiento realizado por los destinatarios, les prestará asistencia si así lo solicitan y presentará informes de seguimiento a la Junta General. Las evaluaciones se iniciarán de la manera siguiente:

(i) en un plazo de 12 meses a partir de la entrada en vigor de la DORA, en relación con la aplicación de las recomendaciones A y B;

(ii) en un plazo de 18 meses a partir de la entrada en vigor de la DORA, en relación con la aplicación de la recomendación C;

(iii) en un plazo de 24 meses a partir de la entrada en vigor de la DORA, en relación con la aplicación de la recomendación A;

(iv) en un plazo de 36 meses a partir de la entrada en vigor de la DORA, en relación con la aplicación de la recomendación A;

(v) en un plazo de 42 meses a partir de la entrada en vigor de la DORA, en relación con la aplicación de la recomendación C;

2. La Junta General evaluará las medidas y justificaciones que comuniquen los destinatarios de la presente recomendación y, cuando proceda, podrá decidir que la presente recomendación no se ha aplicado y que el destinatario pertinente no ha justificado adecuadamente su inacción.

Hecho en Fráncfort del Meno el 2 de diciembre de 2021.

El Jefe de la Secretaría de la JERS,

en nombre de la Junta General de la JERS

Francesco MAZZAFERRO

(¹) DO L 1 de 3.1.1994, p. 3.

(²) DO L 331 de 15.12.2010, p. 1.

(³) DO C 58 de 24.2.2011, p. 4.

(⁴) Recomendación de la Junta Europea de Riesgo Sistémico, de 4 de abril de 2013, sobre objetivos intermedios e instrumentos de política macroprudencial (JERS/2013/1) (OJ C 170, 15.6.2013, p. 1).

(⁵) Véase «Systemic cyber risk», JERS, febrero de 2020, disponible en inglés en la dirección de la JERS en Internet: www.esrb.europa.eu

(⁶) Véase la Evaluación de la amenaza de la delincuencia organizada en Internet, Europol, 2020, disponible en la dirección de Europol en Internet: www.europol.europa.eu

(⁷) Véase «IT and cyber risk: a constant challenge», BCE, 2021, disponible en inglés en la dirección de supervisión bancaria del BCE en internet, www.bankingsupervision.europa.eu

(⁸) Véase «Systemic cyber risk», JERS, febrero de 2020, disponible en inglés en la dirección de la JERS en Internet: www.esrb.europa.eu

(⁹) Véase «Mitigating systemic cyber risk», JERS, 2021, (disponible).

(¹⁰) COM(2020) 595 final.

(¹¹) Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión (DO L 194 de 19.7.2016, p. 1).

(¹²) Véase el proyecto de artículo 43 de la propuesta de la DORA.

(¹³) Véase Comisión Europea, Grupo de cooperación SRI, disponible en la dirección de la Comisión Europea en Internet: www.ec.europa.eu

(¹⁴) Véase «Cyber Lexicon», FSB, 12 de noviembre de 2018, disponible en inglés en la dirección del FSB de internet en www.fsb.org

(¹⁵) Véase el proyecto de artículo 3, punto 7, de la propuesta de la DORA.

(¹⁶) Reglamento (UE) n.^o 1093/2010 del Parlamento Europeo y del Consejo, de 24 de noviembre de 2010, por el que se crea una Autoridad Europea de Supervisión (Autoridad Bancaria Europea), se modifica la Decisión n.^o 716/2009/CE y se deroga la Decisión 2009/78/CE de la Comisión (DO L 331 de 15.12.2010, p. 12).

(¹⁷) Reglamento (UE) n.^o 1094/2010 del Parlamento Europeo y del Consejo, de 24 de noviembre de 2010, por el que se crea una Autoridad Europea de Supervisión (Autoridad Europea de Seguros y Pensiones de Jubilación), se modifica la Decisión n.^o 716/2009/CE y se deroga la Decisión 2009/79/CE de la Comisión (DO L 331 de 15.12.2010, p. 48).

(¹⁸) Reglamento (UE) n.^o 1095/2010 del Parlamento Europeo y del Consejo, de 24 de noviembre de 2010, por el que se crea una Autoridad Europea de Supervisión (Autoridad Europea de Valores y Mercados), se modifica la Decisión n.^o 716/2009/CE y se deroga la Decisión 2009/77/CE de la Comisión (DO L 331 de 15.12.2010, p. 84).

(¹⁹) Directiva 2013/36/UE del Parlamento Europeo y del Consejo, de 26 de junio de 2013, relativa al acceso a la actividad de las entidades de crédito y a la supervisión prudencial de las entidades de crédito, por la que se modifica la Directiva 2002/87/CE y se derogan las Directivas 2006/48/CE y 2006/49/CE (DO L 176 de 27.6.2013, p. 338).

(²⁰) Reglamento (UE) n.^o 1024/2013 del Consejo, de 15 de octubre de 2013, que encomienda al Banco Central Europeo tareas específicas respecto de políticas relacionadas con la supervisión prudencial de las entidades de crédito (DO L 287 de 29.10.2013, p. 63).

(²¹) Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo, de 25 de noviembre de 2015, sobre servicios de pago en el mercado interior y por la que se modifican las Directivas 2002/65/CE, 2009/110/CE y 2013/36/UE y el Reglamento (UE) n.^o 1093/2010 y se deroga la Directiva 2007/64/CE (DO L 337 de 23.12.2015, p. 35).

(²²) Directiva 2009/110/CE del Parlamento Europeo y del Consejo, de 16 de septiembre de 2009, sobre el acceso a la actividad de las entidades de dinero electrónico y su ejercicio, así como sobre la supervisión prudencial de dichas entidades, por la que se modifican las Directivas 2005/60/CE y 2006/48/CE y se deroga la Directiva 2000/46/CE (DO L 267 de 10.10.2009, p. 7).

(²³) Directiva (UE) 2019/2034 del Parlamento Europeo y del Consejo, de 27 de noviembre de 2019, relativa a la supervisión prudencial de las empresas de servicios de inversión, y por la que se modifican las Directivas 2002/87/CE, 2009/65/CE, 2011/61/UE, 2013/36/UE, 2014/59/UE y 2014/65/UE (DO L 314 de 5.12.2019, p. 64).

(²⁴) COM(2020) 593 final.

(²⁵) Reglamento (UE) n.^o 909/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, sobre la mejora de la liquidación de valores en la Unión Europea y los depositarios centrales de valores y por el que se modifican las Directivas 98/26/CE y 2014/65/UE y el Reglamento (UE) n.^o 236/2012 (DO L 257 de 28.8.2014. p. 1).

(²⁶) Reglamento (UE) n.^o 648/2012 del Parlamento Europeo y del Consejo, de 4 de julio de 2012, relativo a los derivados extrabursátiles, las entidades de contrapartida central y los registros de operaciones (DO L 201 de 27.7.2012, p. 1).

(²⁷) Directiva 2014/65/UE del Parlamento Europeo y del Consejo, de 15 de mayo de 2014, relativa a los mercados de instrumentos financieros y por la que se modifican la Directiva 2002/92/CE y la Directiva 2011/61/UE (DO L 173 de 12.6.2014, p. 349).

(²⁸) Directiva 2011/61/UE, del Parlamento Europeo y del Consejo, de 8 de junio de 2011, relativa a los gestores de fondos de inversión alternativos y por la que se modifican las Directivas 2003/41/CE y 2009/65/CE y los Reglamentos (CE) n.^o 1060/2009 y (UE) n.^o 1095/2010 (DO L 174 de 1.7.2011, p. 1).

(²⁹) Directiva 2009/65/CE del Parlamento Europeo y del Consejo, de 13 de julio de 2009, por la que se coordinan las disposiciones legales, reglamentarias y administrativas sobre determinados organismos de inversión colectiva en valores mobiliarios (OICVM) (DO L 302 de 17.11.2009, p. 32).

(³⁰) Directiva 2009/138/CE del Parlamento Europeo y del Consejo, de 25 de noviembre de 2009, relativa al acceso a la actividad de seguro y reaseguro y a su ejercicio (Solvencia II) (DO L 335 de 17.12.2009, p. 1).

(³¹) Directiva (UE) 2016/97 del Parlamento Europeo y del Consejo, de 20 de enero de 2016, sobre la distribución de seguros (versión refundida) (DO L 26 de 2.2.2016, p. 19).

(³²) Directiva (UE) 2016/2341 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2016, relativa a las actividades y la supervisión de los fondos de pensiones de empleo (FPE) (DO L 354 de 23.12.2016, p.37).

(³³) Reglamento (CE) n.^o 1060/2009 del Parlamento Europeo y del Consejo, de 16 de septiembre de 2009, sobre las agencias de calificación crediticia (DO L 302 de 17.11.2009, p. 1).

(³⁴) Directiva 2006/43/CE del Parlamento Europeo y del Consejo, de 17 de mayo de 2006, relativa a la auditoría legal de las cuentas anuales y de las cuentas consolidadas, por la que se modifican las Directivas 78/660/CEE y 83/349/CEE del Consejo y se deroga la Directiva 84/253/CEE (DO L 157 de 9.6.2006, p.87).

(³⁵) Reglamento (UE) 2016/1011 del Parlamento Europeo y del Consejo, de 8 de junio de 2016, sobre los índices utilizados como referencia en los instrumentos financieros y en los contratos financieros o para medir la rentabilidad de los fondos de inversión, y por el que se modifican las Directivas 2008/48/CE y 2014/17/UE y el Reglamento (UE) n.^o 596/2014 (DO L 171 de 29.6.2016, p.1).

(³⁶) Reglamento (UE) 2020/1503 del Parlamento Europeo y del Consejo, de 7 de octubre de 2020, relativo a los proveedores europeos de servicios de financiación participativa para empresas, y por el que se modifican el Reglamento (UE) 2017/1129 y la Directiva (UE) 2019/1937 (DO L 347 de 20.10.2020, p. 1).

(³⁷) Reglamento (UE) No 575/2013 del Parlamento Europeo y del Consejo de 26 de junio de 2013 sobre los requisitos prudenciales de las entidades de crédito y las empresas de inversión, y por el que se modifica el Reglamento (UE) no 648/2012 (DO L 176 de 27.6.2013, p. 1).

(³⁸) Recomendación de la Junta Europea de Riesgo Sistémico, de 22 de diciembre de 2011, sobre el mandato macroprudencial de las autoridades nacionales (JERS/2011/3) (DO C 41 de 14.2.2012, p. 1).

ANEXO

CRITERIOS DE APLICACIÓN ESPECÍFICOS DE LAS RECOMENDACIONES

Recomendación A – Establecimiento de un marco paneuropeo de coordinación de ciberincidentes sistémicos (EU-SCICF)

Se especifican los siguientes criterios de cumplimiento para la recomendación A, apartado 1.

1. A la hora de preparar una respuesta coordinada eficaz a nivel de la Unión, que debería implicar el establecimiento gradual del EU-SCICF mediante el ejercicio de las competencias previstas en el futuro Reglamento del Parlamento Europeo y del Consejo sobre la resiliencia operativa digital del sector financiero (en lo sucesivo, «DORA»), las Autoridades Europeas de Supervisión (AES), actuando a través del Comité Mixto, y junto con el Banco Central Europeo (BCE), la Junta Europea de Riesgo Sistémico (JERS) y las autoridades nacionales pertinentes, y en consulta con la Agencia de Seguridad de las Redes y de la Información de la Unión Europea y la Comisión, cuando se considere necesario, deben considerar la posibilidad de incluir en la preparación prevista para el EU-SCICF al menos los aspectos siguientes:

a. análisis de las necesidades de recursos para un establecimiento eficaz del EU-SCICF;

b. preparación de ejercicios de gestión de crisis y contingencias que impliquen escenarios de ciberataque con vistas a desarrollar canales de comunicación;

c. elaboración de un vocabulario común;

d. creación de una clasificación coherente de ciberincidentes;

e. establecimiento de canales de intercambio de información seguros y fiables, incluidos sistemas de respaldo;

f. establecimiento de puntos de contacto;

g. abordar la confidencialidad en el intercambio de información;

h. iniciativas de colaboración e intercambio de información con la ciberinteligencia del sector financiero;

i. desarrollo de procesos eficaces de activación y escalada a través del conocimiento de la situación;

j. aclaración de las responsabilidades de los participantes en el marco;

k. creación de interfaces para la coordinación intersectorial y, en su caso, de terceros países;

l. garantizar una comunicación coherente de las autoridades pertinentes con el público para preservar la confianza;

m. establecimiento de líneas de comunicación predefinidas para la comunicación oportuna;

n. realización de ejercicios de pruebas marco adecuados, incluidas pruebas interjurisdiccionales y coordinación con terceros países, y evaluaciones de las que se extraigan las enseñanzas obtenidas y que contribuyan a la evolución del marco;

o. garantizar una comunicación eficaz y contramedidas contra la desinformación.

Recomendación B – Establecimiento de puntos de contacto del EU-SCICF

Se especifican los siguientes criterios de cumplimiento para la recomendación B.

1. Las autoridades nacionales pertinentes de las AES, del BCE y de cada Estado miembro deben acordar un enfoque común para compartir y mantener actualizada la lista de puntos de contacto designados del EU-SCICF.

2. La designación del punto de contacto debe evaluarse atendiendo al punto de contacto único designado en virtud de la Directiva (UE) 2016/1148 que los Estados miembros hayan establecido respecto a la seguridad de las redes y sistemas de información para garantizar la cooperación transfronteriza con otros Estados miembros y con el Grupo de Cooperación sobre Redes y Sistemas de Información.

Recomendación C – Medidas adecuadas a escala de la Unión

Se especifican los siguientes criterios de cumplimiento para la recomendación C.

La Comisión debe considerar si son necesarias medidas, incluidos cambios en la legislación pertinente de la Unión, como resultado del análisis realizado de conformidad con la recomendación A, a fin de garantizar que las AES, a través del Comité Mixto y junto con el BCE, la JERS y las autoridades nacionales pertinentes, puedan establecer el EU-SCICF de conformidad con la recomendación A, apartado 1, y garantizar que las AES, el BCE, la JERS y las autoridades nacionales pertinentes, así como otras autoridades, puedan emprender acciones de coordinación e intercambio de información que sea lo suficientemente detallada y coherente como para apoyar un EU-SCICF eficaz.

martes, 29 de marzo de 2022

COMISION DE INVESTIGACION EUROPEA ENCARGADA DE EXAMINAR EL USO DEL PROGRAMA ESPIA DE VIGILANCIA PEGASUS Y OTROS PROGRAMAS EQUIVALENTES.

Por: Carlos A. FERREYROS SOTO

Doctor en Derecho
Universidad de Montpellier I Francia.

cferreyros@hotmail.com

Resumen

El 10 de marzo, el Diario Oficial de la Unión Europea publicó la Decisión (UE) 2022/480 que constituye la Comisión de Investigación encargada de examinar el uso del Programa Espía Pegasus y otros programas equivalentes, por revelaciones de que varios países, incluidos algunos Estados miembros, han utilizado este programa espía de vigilancia contra periodistas, políticos, autoridades policiales, diplomáticos, abogados, empresarios, miembros de la sociedad civil y otros actores, y que estas prácticas son extremadamente alarmantes y parecen confirmar los peligros del uso indebido de la tecnología de vigilancia en detrimento de los derechos humanos y la democracia.

Decide que la comisión de investigación se encargue, entre otros, de investigar el alcance de las supuestas infracciones o casos de mala administración en la aplicación del Derecho de la Unión que resulten del uso del programa espía de vigilancia Pegasus y otros programas equivalentes; recopilar información sobre la medida en que los Estados miembros, incluidos, entre otros, Hungría y Polonia, o terceros países recurren a una vigilancia intrusiva que vulnera los derechos y libertades reconocidos en la Carta; y evaluar el nivel de riesgo que ello supone para los valores reconocidos en el artículo 2 del TUE, como la democracia, el Estado de Derecho y el respeto de los derechos humanos.

Si desea mayor información sobre la regulación en materia programas de vigilancia, consúltenos al correo electrónico:cferreyros@ferreyros-ferreyros.com del Estudio Jurídico Ferreyros-Ferreyros.com

_______________________________________________________________

DECISIÓN (UE) 2022/480 DEL PARLAMENTO EUROPEO

de 10 de marzo de 2022

sobre la constitución, el objeto de la investigación, las competencias, la composición numérica y la duración del mandato de la Comisión de Investigación encargada de examinar el uso del programa espía de vigilancia Pegasus y otros programas equivalentes

EL PARLAMENTO EUROPEO,

— Vista la petición presentada por 290 diputados para que se constituya una comisión de investigación encargada de examinar las alegaciones de infracción o de mala administración en la aplicación del Derecho de la Unión en lo que respecta al uso del programa espía de vigilancia Pegasus y otros programas espía de vigilancia equivalentes instalados en dispositivos móviles aprovechando vulnerabilidades informáticas (en lo sucesivo, «programas equivalentes»),

— Vista la propuesta de la Conferencia de Presidentes,

— Visto el artículo 226 del Tratado de Funcionamiento de la Unión Europea (TFUE),

— Vista la Decisión 95/167/CE, Euratom, CECA del Parlamento Europeo, del Consejo y de la Comisión, de 19 de abril de 1995, relativa a las modalidades de ejercicio del derecho de investigación del Parlamento Europeo (¹),

— Vista la adhesión de la Unión Europea a los principios de libertad, democracia y respeto de los derechos humanos y de las libertades fundamentales y del Estado de Derecho, tal como se establece en el preámbulo del Tratado de la Unión Europea (TUE) y, en especial, en sus artículos 2, 6 y 21,

— Visto el artículo 4, apartado 2, del TUE, que reafirma la competencia exclusiva de los Estados miembros para mantener el orden público y salvaguardar la seguridad nacional,

— Vistos los artículos 16 y 223 del TFUE,

— Vista la Carta de los Derechos Fundamentales de la Unión Europea (en lo sucesivo, «Carta»), y en particular sus artículos 7, 8, 11, 21 y 47, que reconocen los derechos, libertades y principios específicos establecidos en ella, como el respeto de la vida privada y familiar y la protección de los datos de carácter personal, la libertad de expresión e información, el derecho a la no discriminación, así como el derecho a la tutela judicial efectiva y a un juez imparcial, y que son plenamente aplicables a los Estados miembros cuando aplican el Derecho de la Unión, y su artículo 52, apartado 1, que permite cierta limitación del ejercicio de los derechos y libertades fundamentales,

— Vista la Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas) (²),

— Visto el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, y por la que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (³),

— Vista la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos, y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo (⁴),

— Vista la Decisión (PESC) 2019/797 del Consejo, de 17 de mayo de 2019, relativa a medidas restrictivas contra los ciberataques que amenacen a la Unión o a sus Estados miembros (⁵), en su versión modificada por la Decisión (PESC) 2021/796 del Consejo, de 17 de mayo de 2021 (⁶),

— Visto el Reglamento (UE) 2021/821 del Parlamento Europeo y del Consejo, de 20 de mayo de 2021, por el que se establece un régimen de la Unión de control de las exportaciones, el corretaje, la asistencia técnica, el tránsito y la transferencia de productos de doble uso (⁷),

— Vista el Acta relativa a la elección de los diputados al Parlamento Europeo por sufragio universal directo (⁸),

— Visto el Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales, y en particular sus artículos 8, 9, 13 y 17 y sus Protocolos,

— Vistos los Principios Rectores de las Naciones Unidas sobre Empresas y Derechos Humanos (⁹),

— Vistas su Resolución, de 12 de marzo de 2014, sobre el programa de vigilancia de la Agencia Nacional de Seguridad de los EE. UU., los órganos de vigilancia en diversos Estados miembros y su impacto en los derechos fundamentales de los ciudadanos de la UE y en la cooperación transatlántica en materia de justicia y asuntos de interior (¹⁰), y sus recomendaciones para reforzar la seguridad informática en las instituciones, órganos y organismos de la Unión,

— Visto el artículo 208 de su Reglamento interno,

A. Considerando que recientemente han salido a luz revelaciones de que varios países, incluidos algunos Estados miembros, han utilizado el programa espía de vigilancia Pegasus contra periodistas, políticos, autoridades policiales, diplomáticos, abogados, empresarios, miembros de la sociedad civil y otros actores, y que estas prácticas son extremadamente alarmantes y parecen confirmar los peligros del uso indebido de la tecnología de vigilancia en detrimento de los derechos humanos y la democracia;

1. Decide constituir una comisión de investigación para examinar las alegaciones de infracción y mala administración en la aplicación del Derecho de la Unión en relación con el uso del programa espía de vigilancia Pegasus y otros programas equivalentes, sin perjuicio de las competencias de los órganos jurisdiccionales nacionales o de la Unión;

2. Decide que la comisión de investigación se encargue de:

— investigar el alcance de las supuestas infracciones o casos de mala administración en la aplicación del Derecho de la Unión que resulten del uso del programa espía de vigilancia Pegasus y otros programas equivalentes, recopilar información sobre la medida en que los Estados miembros, incluidos, entre otros, Hungría y Polonia, o terceros países recurren a una vigilancia intrusiva que vulnera los derechos y libertades reconocidos en la Carta, y evaluar el nivel de riesgo que ello supone para los valores reconocidos en el artículo 2 del TUE, como la democracia, el Estado de Derecho y el respeto de los derechos humanos;

— para el ejercicio de sus funciones, recopilar y analizar información a fin de determinar:

— el uso y el funcionamiento del programa espía de vigilancia Pegasus y otros programas equivalentes y sus supuestas repercusiones negativas en los derechos fundamentales reconocidos en la Carta, en los casos en que los Estados miembros estuvieran el Derecho de la Unión;

— el marco jurídico vigente en el que los Estados miembros han adquirido y utilizado el programa espía de vigilancia Pegasus y otros programas equivalentes;

— si las autoridades de los Estados miembros han utilizado el programa espía de vigilancia Pegasus y otros programas equivalentes con fines injustificados, ya sean políticos, económicos o de otro tipo, para espiar a periodistas, políticos, autoridades policiales, diplomáticos, abogados, empresarios, miembros de la sociedad civil u otros actores, infringiendo con ello el Derecho de la Unión y vulnerando los valores reconocidos en el artículo 2 del TUE o los derechos reconocidos en la Carta;

— si el uso, contrario al Derecho de la Unión, del programa espía de vigilancia Pegasus y otros programas equivalentes tuvo repercusiones negativas en los procesos democráticos de los Estados miembros relativos a elecciones locales, nacionales y europeas;

— las supuestas infracciones o casos de mala administración por parte de los Estados miembros derivados de la utilización del programa espía de vigilancia Pegasus y otros programas equivalentes en relación con la Directiva 2002/58/CE, en particular por lo que respecta al principio de confidencialidad de las comunicaciones y a la prohibición de la escucha, la grabación, el almacenamiento u otros tipos de intervención o vigilancia de las comunicaciones y los datos de tráfico de particulares asociados a ellas;

— si el uso del programa espía de vigilancia Pegasus y otros programas equivalentes por parte de los Estados miembros ha constituido, ha dado lugar o puesto de manifiesto infracciones de la Directiva (UE) 2016/680 y del Reglamento (UE) 2016/679;

— si la Comisión disponía de información sobre el uso del programa espía de vigilancia Pegasus y otros programas equivalentes contra personas;

— si los Estados miembros han garantizado salvaguardias institucionales y jurídicas suficientes para evitar el uso ilegal de programas espía, y si las personas que sospechan que sus derechos han sido vulnerados por el uso de este tipo de programas tienen acceso a una tutela judicial efectiva;

— la supuesta inacción de los Estados miembros ante la participación de entidades de la Unión en el desarrollo, la difusión o la financiación del programa espía de vigilancia Pegasus y otros programas equivalentes, incluida la cadena de suministro por lo que se refiere a la tecnología y su explotación, en la medida en que se haya infringido el Derecho de la Unión, incluido el Reglamento (UE) 2021/821, también en el caso de que los programas de vigilancia comercializados para un fin determinado (por ejemplo, la lucha contra el terrorismo) se utilicen en otro contexto;

— el papel del Gobierno de Israel y de otros terceros países en el suministro a los Estados miembros del programa espía de vigilancia Pegasus y otros programas equivalentes;

— si el uso del programa espía de vigilancia Pegasus y otros programas equivalentes por parte de las autoridades de los Estados miembros ha dado lugar a la transferencia de datos personales a terceros países, como, entre otros, al NSO Group, así como a los Gobiernos de terceros países;

— si el uso del programa espía de vigilancia Pegasus y otros programas equivalentes en el que hayan intervenido directa o indirectamente entidades vinculadas a la Unión contribuyó al espionaje ilegal de periodistas, políticos, autoridades policiales, diplomáticos, abogados, empresarios, miembros de la sociedad civil u otros actores en terceros países, y si dio lugar a violaciones o abusos de los derechos humanos que sean motivo de grave preocupación en relación con los objetivos de la política exterior y de seguridad común de la Unión, y si dicho uso conculcó los valores reconocidos en el artículo 21 del TUE y en la Carta, también teniendo debidamente en cuenta los Principios Rectores de las Naciones Unidas sobre las Empresas y los Derechos Humanos y otros derechos reconocidos en el Derecho internacional en materia de derechos humanos;

— si existían motivos suficientes para que el Consejo adoptase medidas restrictivas o sanciones en el marco de la política exterior y de seguridad común de la Unión contra uno o varios terceros países en el caso de que una decisión, adoptada de conformidad con el capítulo 2 del título V del TUE, previera la interrupción o la reducción de las relaciones económicas o financieras, de conformidad con el artículo 215, apartado 1, del TFUE;

— si el uso del programa espía de vigilancia Pegasus y otros programas equivalentes por parte de terceros países repercutió en los derechos fundamentales garantizados por el Derecho de la Unión y si había motivos suficientes para que el Consejo reevaluara cualquier acuerdo de cooperación internacional en el espacio de libertad, seguridad y justicia celebrado con terceros países de conformidad con el artículo 218 del TFUE;

— formular las recomendaciones que considere necesarias al respecto;

— formular recomendaciones para proteger a las instituciones de la Unión y a sus miembros y su personal contra dichos programas espía de vigilancia;

3. Decide que la comisión de investigación presente su informe final en el plazo de doce meses a partir de la aprobación de la presente Decisión;

4. Decide que la comisión de investigación tenga en cuenta en sus trabajos todos los hechos pertinentes que se produzcan durante su mandato e incidan en su ámbito de competencias;

5. Subraya que, a fin de garantizar una buena cooperación y un buen flujo de información entre la comisión de investigación y las comisiones y subcomisiones permanentes pertinentes, los titulares de la presidencia y la ponencia de la comisión de investigación podrían participar en los debates pertinentes de las comisiones y subcomisiones permanentes, y viceversa, en particular en el caso de las audiencias de la comisión de investigación;

6. Decide que toda recomendación elaborada por la comisión de investigación se remita a las comisiones y subcomisiones permanentes pertinentes en sus respectivos ámbitos de competencia definidos en el anexo VI del Reglamento interno;

7. Decide que la comisión de investigación esté compuesta por treinta y ocho miembros;

8. Encarga a su presidenta que disponga la publicación de la presente Decisión en el Diario Oficial de la Unión Europea.

(¹) DO L 113 de 19.5.1995, p. 1.

(²) DO L 201 de 31.7.2002, p. 37.

(³) DO L 119 de 4.5.2016, p. 1.

(⁴) DO L 119 de 4.5.2016, p. 89.

(⁵) DO L 129 I de 17.5.2019, p. 13.

(⁶) DO L 174 I de 18.5.2021, p. 1.

(⁷) DO L 206 de 11.6.2021, p. 1.

(⁸) DO L 278 de 8.10.1976, p. 5.

(⁹) https://www.ohchr.org/Documents/Publications/GuidingPrinciplesBusinessHR_SP.pdf.

(¹⁰) DO C 378 de 9.11.2017, p. 104.