Artículo 21 se establecen medidas destinadas a reforzar la solidaridad y las capacidades en la Unión a fin de detectar ciberamenazas e incidentes, prepararse y responder a ellos (Reglamento de Cibersolidaridad)

1. A petición de la Comisión o de la EU-CyCLONe, ENISA, con el apoyo de la red de CSIRT y la aprobación del Estado miembro afectado, revisará y evaluará las ciberamenazas, vulnerabilidades aprovechables conocidas y medidas paliativas con respecto a un incidente de ciberseguridad significativo específico o a gran escala. Una vez finalizada la revisión y evaluación de un incidente, ENISA presentará un informe de revisión del incidente con el objetivo de extraer conclusiones que permitan evitar o paliar futuros incidentes, a EU-CyCLONe, a la red de CSIRT, a los Estados miembros afectados y a la Comisión para ayudarlos en el desempeño de sus cometidos, en particular a la luz de los establecidos en los artículos 15 y 16 de la Directiva (UE) 2022/2555. Si un incidente afecta a un tercer país asociado al Programa Europa Digital, ENISA facilitará el informe al Consejo. En tales casos, la Comisión entregará el informe al Alto Representante.

2. Para preparar el informe de revisión del incidente a que se refiere el apartado 1 del presente artículo, ENISA cooperará con todas las partes interesadas pertinentes y recopilará sus observaciones, incluidos los representantes de los Estados miembros, la Comisión, otras instituciones, órganos y organismos pertinentes de la Unión, de la industria, incluidos los proveedores de servicios de seguridad gestionados, y de los usuarios de servicios de ciberseguridad. Cuando proceda, ENISA, en cooperación con los CSIRT y, en su caso, las autoridades competentes designadas o creadas en virtud del artículo 8, apartado 1, de la Directiva (UE) 2022/2555, también cooperará con las entidades afectadas por incidentes de ciberseguridad significativos o a gran escala. Los representantes consultados revelarán cualquier posible conflicto de intereses.

3. El informe de revisión del incidente a que se refiere el apartado 1 del presente artículo incluirá una revisión y un análisis del incidente de ciberseguridad significativo específico o a gran escala, incluidas las principales causas, vulnerabilidades aprovechables conocidas y conclusiones extraídas. ENISA garantizará que el informe cumple la legislación nacional o de la Unión relativa a la protección de la información sensible o clasificada. Si el Estado o Estados miembros pertinentes u otros usuarios a que se refiere el artículo 14, apartado 3, afectados por el incidente, así lo solicitan, los datos e información que figuren en el informe estarán anonimizados. No incluirá ningún dato sobre las vulnerabilidades aprovechadas activamente que permanezcan sin subsanar.

4. Cuando proceda, el informe de revisión del incidente formulará recomendaciones para mejorar la posición de la Unión en materia cibernética y podrá incluir las mejores prácticas y las conclusiones extraídas de las partes interesadas pertinentes.

5. ENISA podrá publicar una versión del informe accesible al público. Dicha versión del informe solo incluirá información pública fiable u otra información con el consentimiento de los Estados miembros afectados y, por lo que respecta a la información relativa a un usuario a que se refiere el artículo 14, apartado 3, letras b) o c), con el consentimiento de dicho usuario.