Articulo 23 ciberseguridad en la Unión

1. Cada Estado miembro velará por que las entidades esenciales e importantes notifiquen, sin demora indebida, a su CSIRT o, en su caso, a su autoridad competente de conformidad con el apartado 4 cualquier incidente que tenga un impacto significativo en la prestación de sus servicios según se contempla en el apartado 3 (incidente significativo). Cuando proceda, las entidades afectadas notificarán, sin demora indebida, a los destinatarios de sus servicios los incidentes significativos susceptibles de afectar negativamente a la prestación de dichos servicios. Cada Estado miembro garantizará que dichas entidades notifiquen, entre otros detalles, cualquier información que permita al CSIRT o, en su caso, a la autoridad competente determinar las repercusiones transfronterizas del incidente. El mero acto de notificar no elevará la responsabilidad de la entidad notificante.

Cuando las entidades afectadas notifiquen a la autoridad competente un incidente significativo con arreglo al párrafo primero, el Estado miembro velará por que dicha autoridad competente transmita la notificación al CSIRT en el momento de su recepción.

En caso de un incidente significativo transfronterizo o intersectorial, los Estados miembros velarán por que se facilite a sus puntos de contacto únicos, a su debido tiempo, la información pertinente notificada de conformidad con el apartado 4.

2. Cuando proceda, los Estados miembros garantizarán que las entidades esenciales e importantes comuniquen, sin demora indebida, a los destinatarios de sus servicios que puedan verse afectados por una ciberamenaza significativa las medidas o soluciones que dichos destinatarios pueden aplicar en respuesta a la amenaza. Cuando proceda, las entidades notificarán asimismo la propia ciberamenaza significativa a esos destinatarios.

3. Un incidente se considerará significativo si:

a) ha causado o puede causar graves perturbaciones operativas de los servicios o pérdidas económicas para la entidad afectada;

b) ha afectado o puede afectar a otras personas físicas o jurídicas al causar perjuicios materiales o inmateriales considerables.

4. Los Estados miembros velarán por que, a los efectos de la notificación con arreglo al apartado 1, las entidades afectadas presenten al CSIRT o, en su caso, a la autoridad competente:

a) sin demora indebida y, en cualquier caso, en el plazo de veinticuatro horas desde que se haya tenido constancia del incidente significativo, una alerta temprana en la que se indicará, cuando proceda, si cabe sospechar que el incidente significativo responde a una acción ilícita o malintencionada o puede tener repercusiones transfronterizas;

b) sin demora indebida y, en cualquier caso, en el plazo de setenta y dos horas desde que se haya tenido constancia del incidente significativo, una notificación del incidente en la que se actualizará, cuando proceda, la información contemplada en la letra a) y se expondrá una evaluación inicial del incidente significativo, incluyendo su gravedad e impacto, así como indicadores de compromiso, cuando estén disponibles;

c) a instancias de un CSIRT o, en su caso, de la autoridad competente, un informe intermedio con las actualizaciones pertinentes sobre la situación;

d) un informe final, a más tardar un mes después de presentar la notificación del incidente contemplada en la letra b), en el que se recojan los siguientes elementos:

i) una descripción detallada del incidente, incluyendo su gravedad e impacto;

ii) el tipo de amenaza o causa principal que probablemente haya desencadenado el incidente;

iii) las medidas paliativas aplicadas y en curso;

iv) cuando proceda, las repercusiones transfronterizas del incidente;

e) en el caso de que el incidente siga en curso en el momento de la presentación del informe final contemplado en la letra d), los Estados miembros velarán por que las entidades afectadas presenten un informe de situación en ese momento y un informe final en el plazo de un mes a partir de que hayan gestionado el incidente.

Como excepción a lo dispuesto en la letra b) del párrafo primero, un prestador de servicios de confianza, con respecto a los incidentes significativos que afecten a la prestación de sus servicios de confianza, lo notificará al CSIRT o, en su caso, a la autoridad competente, sin demora indebida y, en cualquier caso, en un plazo de veinticuatro horas desde que haya tenido constancia del incidente significativo.

5. El CSIRT o la autoridad competente ofrecerá, sin demora indebida y, cuando sea posible, en el plazo de veinticuatro horas tras la recepción de la alerta temprana a que se refiere el apartado 4, letra a), una respuesta a la entidad notificante, en particular sus comentarios iniciales sobre el incidente significativo y, a instancias de la entidad, una orientación o asesoramiento operativo sobre la aplicación de posibles medidas paliativas. Cuando el CSIRT no sea el destinatario inicial de la notificación a que se refiere el apartado 1, la orientación será proporcionada por la autoridad competente en colaboración con el CSIRT. El CSIRT prestará apoyo técnico adicional cuando así lo solicite la entidad afectada. Cuando se sospeche que el incidente es de naturaleza delictiva, el CSIRT o la autoridad competente también proporcionará orientación a efectos de denunciar el incidente significativo ante las autoridades encargadas de hacer cumplir la ley.

6. Cuando proceda, y en particular si el incidente significativo afecta a dos o más Estados miembros, el CSIRT, la autoridad competente o el punto de contacto único al que se haya notificado el incidente significativo informará de este, sin demora indebida, a los demás Estados miembros afectados y a la ENISA. Dicha información incluirá el tipo de información recibida de conformidad con el apartado 4. Al hacerlo, los CSIRT, las autoridades competentes o los puntos de contacto únicos preservarán, de conformidad con el Derecho de la Unión o nacional, la seguridad y los intereses comerciales de la entidad, así como la confidencialidad de la información facilitada.

7. Cuando el conocimiento del público sea necesario para evitar un incidente significativo o hacer frente a un incidente significativo en curso, o cuando la divulgación del incidente significativo redunde en el interés público, el CSIRT de un Estado miembro o, si procede, su autoridad competente y, en su caso, los CSIRT o las autoridades competentes de otros Estados miembros afectados, podrán informar al público, después de consultarlo con la entidad afectada, del incidente significativo o exigir a la entidad que lo haga.

8. A instancias del CSIRT o de la autoridad competente, el punto de contacto único remitirá las notificaciones recibidas en virtud del apartado 1 a los puntos de contacto únicos de otros Estados miembros afectados.

9. El punto de contacto único presentará cada tres meses a la ENISA un informe de síntesis que incluya datos anonimizados y agregados sobre los incidentes significativos, los incidentes, las ciberamenazas y los cuasiincidentes notificados de conformidad con el apartado 1 del presente artículo y con el artículo 30. A fin de facilitar el suministro de información comparable, la ENISA podrá adoptar orientaciones técnicas sobre los parámetros de la información que debe figurar en el informe de síntesis. La ENISA informará semestralmente al Grupo de Cooperación y a la red de CSIRT sobre las conclusiones que haya extraído a partir de las notificaciones recibidas.

10. Los CSIRT o, en su caso, las autoridades competentes facilitarán a las autoridades competentes designadas con arreglo a la Directiva (UE) 2022/2557 información sobre los incidentes significativos, los incidentes, las ciberamenazas y los cuasiincidentes notificados de conformidad con el apartado 1 del presente artículo y con el artículo 30 por entidades equivalentes a entidades críticas conforme a lo dispuesto en la Directiva (UE) 2022/2557

11. La Comisión podrá adoptar actos de ejecución para especificar en mayor detalle el tipo de información, el formato y el procedimiento de las notificaciones presentadas de conformidad con el apartado 1 del presente artículo y con el artículo 30, y de una comunicación remitida con arreglo al apartado 2 del presente artículo.

A más tardar el 17 de octubre de 2024, la Comisión, con respecto a los proveedores de servicios de DNS, los registros de nombres de dominio de primer nivel, los proveedores de servicios de computación en nube, los proveedores de servicios de centros de datos, los proveedores de redes de distribución de contenidos, los proveedores de servicios gestionados, los proveedores de servicios de seguridad gestionados, así como los proveedores de mercados en línea, de motores de búsqueda en línea y de plataformas de servicios de redes sociales, adoptará actos de ejecución en los que se especifiquen en mayor medida los casos en los que un incidente se considerará significativo, tal como se contempla en el apartado 3. La Comisión podrá adoptar tales actos de ejecución con respecto a otras entidades esenciales e importantes.

La Comisión intercambiará asesoramiento y colaborará con el Grupo de Cooperación acerca de los proyectos de actos de ejecución a que se refieren los párrafos primero y segundo del presente apartado, de conformidad con el artículo 14, apartado 4, letra e).

Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 39, apartado 2.