Inicio
Articulo 32 ciberseguridad en la Unión
Inicio
Articulo 32 ciberseguridad en la Unión

Articulo 32 ciberseguridad en la Unión

ciberseguridad en la Unión
No hay nodos disponibles
Ver Indice
»

Artículo 32. Medidas de supervisión y ejecución relativas a entidades esenciales

Vigente

Tiempo de lectura: 9 min

Tiempo de lectura: 9 min

1. Los Estados miembros garantizarán que las medidas de supervisión o ejecución impuestas a las entidades esenciales en relación con las obligaciones establecidas en la presente Directiva sean efectivas, proporcionadas y disuasorias, teniendo en cuenta las circunstancias de cada caso individual.

2. Los Estados miembros velarán por que las autoridades competentes, cuando ejerzan sus funciones de supervisión en relación con entidades esenciales, dispongan de competencias para someter a dichas entidades a, como mínimo:

a) inspecciones in situ y supervisión a distancia, incluidos controles aleatorios realizados por profesionales cualificados;

b) auditorías de seguridad periódicas y específicas llevadas a cabo por un organismo independiente o una autoridad competente;

c) auditorías ad hoc, en particular cuando así lo justifiquen un incidente significativo o un incumplimiento de la presente Directiva por parte de la entidad esencial;

d) análisis de seguridad basados en criterios de evaluación del riesgo objetivos, no discriminatorios, justos y transparentes, con la cooperación de la entidad afectada cuando sea necesario;

e) solicitudes de información necesaria para evaluar las medidas para la gestión de riesgos de ciberseguridad adoptadas por la entidad afectada, en particular las políticas de ciberseguridad documentadas, así como el cumplimiento de la obligación de presentar información a las autoridades competentes con arreglo al artículo 27;

f) solicitudes de acceso a datos, documentos e información necesaria para el desempeño de sus funciones de supervisión;

g) solicitudes de pruebas de la aplicación de las políticas de ciberseguridad, como por ejemplo los resultados de las auditorías de seguridad realizadas por un auditor cualificado y las correspondientes pruebas subyacentes.

Las auditorías de seguridad específicas a que se refiere el párrafo primero, letra b), se basarán en evaluaciones del riesgo realizadas por la autoridad competente o la entidad auditada, o en otra información disponible relacionada con el riesgo.

Los resultados de cualquier auditoría de seguridad específica se pondrán a disposición de la autoridad competente. Los costes de dicha auditoría de seguridad específica realizada por un organismo independiente serán sufragados por la entidad auditada, salvo en aquellos casos debidamente motivados en los que la autoridad competente decida lo contrario.

3. En el ejercicio de sus competencias con arreglo al apartado 2, letras e), f) o g), las autoridades competentes indicarán la finalidad de la solicitud y especificarán la información requerida.

4. Los Estados miembros velarán por que sus autoridades competentes, cuando ejerzan sus facultades de ejecución en relación con entidades esenciales, dispongan de competencias para, como mínimo:

a) apercibir por incumplimientos de la presente Directiva por parte de las entidades afectadas;

b) adoptar instrucciones vinculantes, en particular sobre las medidas necesarias para prevenir o subsanar un incidente, así como plazos para la ejecución de esas medidas y notificar su aplicación, o una orden de requerimiento para que las entidades afectadas subsanen las deficiencias detectadas o los incumplimientos de la presente Directiva;

c) exigir a las entidades afectadas que pongan fin a las conductas que infringen la presente Directiva y que se abstengan de repetirlas;

d) exigir a las entidades afectadas que garanticen que sus medidas para la gestión de riesgos de ciberseguridad son conformes con lo dispuesto en el artículo 21 o que cumplan las obligaciones de notificación establecidas en el artículo 23 de una manera específica y en un plazo concreto;

e) ordenar a las entidades afectadas que informen a las personas físicas o jurídicas con respecto a las que prestan servicios o realizan actividades que puedan verse afectadas por una ciberamenaza significativa sobre la naturaleza de la amenaza, así como sobre cualquier posible medida correctora o de protección que dichas personas puedan adoptar en respuesta a la amenaza;

f) ordenar a las entidades afectadas que apliquen las recomendaciones formuladas a raíz de una auditoría de seguridad en un plazo razonable;

g) designar un responsable de supervisión con funciones claramente definidas para que supervise, durante un período determinado, el cumplimiento por parte de las entidades afectadas de las obligaciones previstas en los artículos 21 y 23;

h) ordenar a las entidades afectadas que hagan públicos determinados aspectos del incumplimiento de la presente Directiva de una manera específica;

i) imponer o solicitar la imposición por parte de los organismos u órganos jurisdiccionales competentes de acuerdo con la legislación nacional de una multa administrativa de conformidad con el artículo 34 a título adicional respecto de cualquiera de las medidas referidas en las letras a) a h) del presente apartado.

5. Cuando las medidas de ejecución adoptadas con arreglo al apartado 4, letras a) a d) y f), resulten ineficaces, los Estados miembros garantizarán que sus autoridades competentes estén facultadas para fijar un plazo en el que se requerirá a la entidad esencial que adopte las medidas necesarias para subsanar las deficiencias o cumplir los requisitos de dichas autoridades. Si las medidas requeridas no se adoptan dentro del plazo establecido, los Estados miembros velarán por que las autoridades competentes estén facultadas para:

a) suspender temporalmente o solicitar a un organismo de certificación o autorización o a un órgano jurisdiccional, de conformidad con el Derecho nacional, que suspenda temporalmente una certificación o autorización referente a una parte o la totalidad de los servicios o actividades de que se trate prestados por la entidad esencial;

b) solicitar que los organismos o los órganos jurisdiccionales competentes de acuerdo con el Derecho nacional prohíban temporalmente a cualquier persona que ejerza responsabilidades de dirección a nivel de director general o representante legal en dicha entidad esencial ejercer funciones de dirección en dicha entidad.

Las suspensiones o las prohibiciones temporales impuestas en virtud del presente apartado se aplicarán únicamente hasta que la entidad afectada adopte las medidas necesarias para subsanar las deficiencias o cumplir los requisitos de la autoridad competente a instancias de la cual se aplicaron dichas medidas de ejecución. La imposición de tales suspensiones o prohibiciones temporales estará sujeta a las garantías procesales adecuadas conforme a los principios generales del Derecho de la Unión y de la Carta, incluido el derecho a la tutela judicial efectiva y a un juicio justo, la presunción de inocencia y los derechos de la defensa.

Las medidas de ejecución previstas en el presente apartado no serán aplicables a las entidades de la Administración pública sujetas a la presente Directiva.

6. Los Estados miembros garantizarán que cualquier persona física responsable de una entidad esencial o que actúe como representante de ella con facultades para representarla, la autoridad para tomar decisiones en su nombre o la autoridad para ejercer control sobre ella tenga competencias para velar por que cumpla la presente Directiva. Los Estados miembros velarán por que dichas personas físicas puedan considerarse responsables por el incumplimiento de su deber de garantizar el cumplimiento de la presente Directiva.

Por lo que respecta a las entidades de la Administración pública, el presente apartado se entenderá sin perjuicio del Derecho nacional en materia de responsabilidad de los funcionarios y de los cargos electos o designados.

7. Cuando se adopte una medida de ejecución contemplada en el apartado 4 o 5, las autoridades competentes respetarán los derechos de la defensa y tendrán en cuenta las circunstancias de cada caso particular y, como mínimo, los siguientes aspectos:

a) la gravedad del incumplimiento y la importancia de las disposiciones infringidas, entre otros, constituyen en todo caso incumplimientos graves:

i) los incumplimientos reiterados;

ii) la ausencia de notificación o subsanación de los incidentes significativos,

iii) la ausencia de subsanación de deficiencias tras recibir instrucciones vinculantes de las autoridades competentes;

iv) la obstrucción de las auditorías o actividades de control ordenadas por la autoridad competente tras la constatación de un incumplimiento;

v) el suministro de información falsa o manifiestamente imprecisa en relación con las medidas de gestión del riesgo de ciberseguridad o las obligaciones de notificación establecidas en los artículos 21 y 23;

b) la duración del incumplimiento;

c) todo incumplimiento anterior relevante cometido por la entidad afectada;

d) todo perjuicio material o inmaterial causado, incluidas las pérdidas financieras o económicas, los efectos para otros servicios y el número de usuarios afectados;

e) cualquier intencionalidad o negligencia por parte del autor del incumplimiento;

f) cualesquiera medidas adoptadas por la entidad para prevenir o reducir los perjuicios materiales o inmateriales;

g) cualquier adhesión a códigos de conducta o a mecanismos de certificación aprobados;

h) el grado de cooperación de las personas físicas o jurídicas responsables con las autoridades competentes.

8. Las autoridades competentes argumentarán detalladamente sus medidas de ejecución. Antes de adoptar tales medidas, las autoridades competentes notificarán a las entidades afectadas sus constataciones preliminares. También concederán a dichas entidades un plazo razonable para formular observaciones, salvo en casos debidamente motivados en los que, de otro modo, se obstaculizaría la actuación inmediata para prevenir incidentes o responder a ellos.

9. Los Estados miembros velarán por que sus autoridades competentes designadas con arreglo a la presente Directiva informen a las autoridades competentes pertinentes del mismo Estado miembro designadas con arreglo a la Directiva (UE) 2022/2557 cuando ejerzan sus facultades de supervisión y ejecución con objeto de garantizar el cumplimiento de la presente Directiva por parte de una entidad identificada como crítica con arreglo a la Directiva (UE) 2022/2557. Cuando proceda, las autoridades competentes designadas con arreglo a la Directiva (UE) 2022/2557 podrán solicitar a las autoridades competentes designadas con arreglo a la presente Directiva que ejerzan sus facultades de supervisión y ejecución respecto a una entidad que esté identificada como entidad crítica con arreglo a la Directiva (UE) 2022/2557.

10. Los Estados miembros velarán por que sus autoridades competentes con arreglo a la presente Directiva cooperen con las autoridades competentes pertinentes del Estado miembro en cuestión designadas con arreglo al Reglamento (UE) 2022/2554 En particular, los Estados miembros velarán por que sus autoridades competentes designadas con arreglo a la presente Directiva informen al Foro de Supervisión creado en virtud del artículo 32, apartado 1, del Reglamento (UE) 2022/2554 cuando ejerzan sus facultades de supervisión y ejecución al objeto de garantizar el cumplimiento por parte de una entidad esencial que sea designada como proveedor tercero esencial de servicios de TIC en virtud del artículo 31 del Reglamento (UE) 2022/2554 de la presente Directiva.