Acerca de operadores lógicos
Preambulo Agencia de la U.E. para la Ciberseguridad y certificación de la ciberseguridad de las tecnologías de la información y la comunicación
Preambulo
GPT Iberley IA
Copiloto jurídico
REGLAMENTO (UE) 2019/881 DEL PARLAMENTO EUROPEO Y DEL CONSEJO
de 17 de abril de 2019
relativo a ENISA (Agencia de la Unión Europea para la Ciberseguridad) y a la certificación de la ciberseguridad de las tecnologías de la información y la comunicación y por el que se deroga el Reglamento (UE) n.º 526/2013 («Reglamento sobre la Ciberseguridad»)
(Texto pertinente a efectos del EEE)
EL PARLAMENTO EUROPEO Y EL CONSEJO DE LA UNIÓN EUROPEA,
Visto el Tratado de Funcionamiento de la Unión Europea, y en particular su artículo 114,
Vista la propuesta de la Comisión Europea,
Previa transmisión del proyecto de acto legislativo a los Parlamentos nacionales,
Visto el dictamen del Comité Económico y Social Europeo (1),
Visto el dictamen del Comité de las Regiones (2),
De conformidad con el procedimiento legislativo ordinario (3),
Considerando lo siguiente:
(1) Las redes y los sistemas de información y las redes y servicios de comunicaciones electrónicas desempeñan un papel vital en la sociedad y se han convertido en la espina dorsal del crecimiento económico. Las tecnologías de la información y la comunicación (TIC) son la base de los complejos sistemas que sustentan las actividades cotidianas de la sociedad, garantizan el funcionamiento de nuestras economías en sectores clave como la salud, la energía, las finanzas y el transporte y, en particular, respaldan el funcionamiento del mercado interior.
(2) La utilización de las redes y los sistemas de información por los ciudadanos, organizaciones y empresas de toda la Unión está ya muy generalizada. La digitalización y la conectividad se están convirtiendo en elementos esenciales de un número cada vez mayor de productos y servicios, y con la llegada de la internet de las cosas, se espera que durante la próxima década se utilicen en la Unión un número extremadamente alto de dispositivos digitales conectados. Mientras aumenta el número de dispositivos conectados a internet, la seguridad y la resiliencia no se tienen suficientemente en cuenta desde el diseño, lo que provoca insuficiencias en la ciberseguridad. En este contexto, el uso limitado de la certificación priva a los usuarios individuales, las organizaciones y las empresas de información suficiente sobre las características de ciberseguridad de los productos de ITC, servicios de TIC y los procesos de ITC, lo que socava la confianza en las soluciones digitales.
(3) La intensificación de la digitalización y de la conectividad trae consigo un aumento de los riesgos en materia de ciberseguridad, con lo que la sociedad en general resulta más vulnerable a las ciberamenazas y se exacerban los peligros a que se enfrentan las personas, incluidas las personas vulnerables como los niños. A fin de atenuar dichos riesgos, es preciso adoptar todas las medidas necesarias para mejorar la ciberseguridad en la Unión a fin de proteger mejor de las ciberamenazas a las redes y los sistemas de información, las redes de telecomunicaciones y los productos, los servicios y dispositivos digitales utilizados por los ciudadanos, las organizaciones y las empresas, desde las pequeñas y medianas empresas (pymes), según se definen en la Recomendación n.º 2003/361/CE (4) de la Comisión, a los operadores de infraestructuras críticas.
(4) Al hacer que la información pertinente esté a disposición del público, la Agencia de Seguridad de las Redes y de la Información de la Unión Europea (ENISA) establecida por el Reglamento (UE) n.º 526/2013 del Parlamento Europeo y del Consejo (5) contribuye al desarrollo del sector de la ciberseguridad en la Unión, en particular en lo que respecta a las pymes y las empresas emergentes. ENISA debe trabajar en pro de una cooperación más estrecha con las universidades y los organismos de investigación con el fin de contribuir a un planteamiento estratégico para reducir la dependencia de productos y servicios de ciberseguridad de fuera de la Unión y reforzar las cadenas de suministro de dentro de la Unión.
(5) Los ciberataques van en aumento, y una economía y una sociedad conectadas, más vulnerables a las ciberamenazas y los ciberataques, requieren unas defensas más sólidas. Sin embargo, mientras que los ciberataques a menudo son transfronterizos, las competencias de las autoridades de ciberseguridad y policiales, así como las respuestas políticas de las mismas, son predominantemente nacionales. Los ciberincidentes a gran escala podrían perturbar la prestación de servicios esenciales en toda la Unión. Esta situación requiere una respuesta efectiva y coordinada y una gestión de crisis a escala de la Unión, basadas en políticas específicas y en instrumentos más amplios que propicien la solidaridad y la asistencia mutua en Europa. Además, es importante para los responsables políticos, la industria y los usuarios que se lleve a cabo una evaluación periódica del estado de la ciberseguridad y la resiliencia en la Unión, basada en datos fiables de la Unión, y que se haga una previsión sistemática de los avances, retos y amenazas futuros.
(6) A la luz de los crecientes retos a los que debe hacer frente la Unión en materia de ciberseguridad, es necesario un conjunto completo de medidas que se apoye en actuaciones previas de la Unión y promueva objetivos que se refuercen mutuamente. Dichos objetivos incluyen la necesidad de aumentar las capacidades y la preparación de los Estados miembros y de las empresas, así como de mejorar la cooperación, el intercambio de información y la coordinación entre los Estados miembros y las instituciones, órganos y organismos de la Unión. Por otra parte, habida cuenta de la naturaleza transfronteriza de las ciberamenazas, es necesario aumentar las capacidades de la Unión que podrían complementar la acción de los Estados miembros, en particular en el caso de ciberincidentes y crisis transfronterizas a gran escala, al tiempo que se ha de tener en cuenta la importancia de mantener y seguir mejorando las capacidades nacionales de respuesta a las ciberamenazas de cualquier envergadura.
(7) Son necesarios igualmente esfuerzos adicionales para aumentar la sensibilización de los ciudadanos, las organizaciones y las empresas sobre las cuestiones de ciberseguridad. Además, dado que los ciberincidentes merman la confianza en los proveedores de servicios digitales y en el propio mercado único digital, en especial entre los consumidores, debe reforzarse la confianza ofreciendo información transparente sobre el nivel de seguridad de los productos, servicios y procesos de TIC y subrayando que incluso un elevado nivel de certificación de la ciberseguridad no puede garantizar que un producto o servicio o proceso de TIC sea completamente seguro. Esto puede verse facilitado por una certificación a escala de la Unión que establezca requisitos y criterios de evaluación de la ciberseguridad comunes para todos los mercados y sectores nacionales.
(8) La ciberseguridad no es una cuestión meramente tecnológica sino que en ella desempeña un papel igualmente importante el comportamiento humano. Por ello, debe promoverse enérgicamente la «ciberhigiene», a saber, medidas sencillas de rutina que, aplicadas con regularidad por los ciudadanos, las organizaciones y las empresas, minimizan su exposición a los riesgos derivados de las ciberamenazas.
(9) Con el fin de reforzar las estructuras de ciberseguridad de la Unión, es importante mantener y desarrollar las capacidades de los Estados miembros para responder globalmente a las ciberamenazas, incluidos los incidentes transfronterizos.
(10) Las empresas y los consumidores particulares deben disponer de información precisa sobre el nivel de garantía con el que se ha certificado la seguridad de sus productos, servicios y procesos de TIC. Al mismo tiempo, ningún producto o servicio de TIC es totalmente ciberseguro y se deben promover y priorizar normas básicas de ciberhigiene. Habida cuenta de la creciente disponibilidad de dispositivos de la internet de las cosas, hay una serie de medidas voluntarias que el sector privado puede adoptar para reforzar la confianza en la seguridad de los productos, servicios y procesos de TIC.
(11) A menudo, los modernos productos y sistemas de TIC integran una o varias tecnologías y componentes de terceros y se basan en ellos, por ejemplo, módulos de programas, bibliotecas o interfaces de programación de aplicaciones. Esta relación, llamada de «dependencia», puede presentar riesgos adicionales en materia de ciberseguridad, pues las vulnerabilidades de los componentes de terceros pueden afectar también a los productos, servicios y procesos de TIC. En gran número de casos, determinar y documentar dichas dependencias permite a los usuarios finales de los productos, servicios y procesos de TCI optimizar sus actividades de gestión relacionadas con la ciberseguridad mejorando, por ejemplo, los procedimientos que ponen a punto para detectar las vulnerabilidades en materia de ciberseguridad y ponerles remedio.
(12) Las organizaciones, fabricantes y proveedores implicados en el diseño y desarrollo de productos, servicios y procesos de TIC deben ser animadas a aplicar medidas desde las primeras fases del diseño y desarrollo que permitan proteger desde el principio y en la máxima medida posible la seguridad de tales productos, procesos y servicios, presuponer que se van a producir ataques y prever y limitar sus repercusiones («seguridad desde el diseño»). La seguridad se debe tener en cuenta durante todo el ciclo de vida del producto, servicio o proceso de TIC y los procesos de diseño y desarrollo deben evolucionar constantemente para reducir el riesgo de daños derivados de la explotación malintencionada.
(13) Las empresas, las organizaciones y el sector público que participan en el diseño deben configurar los productos, servicios o procesos de TIC de manera que se garantice un nivel de seguridad más elevado, lo que debe permitir que el primer usuario reciba una configuración por defecto que sea lo más segura posible (en lo sucesivo, «seguridad por defecto»), de modo que se reduzca la carga del usuario de configurar el producto, servicio o proceso de TIC de manera adecuada. La seguridad por defecto debe funcionar sin que sea necesaria una configuración minuciosa, unos conocimientos técnicos específicos o un comportamiento no evidente por parte del usuario y debe funcionar fácilmente y de manera fiable cuando se aplique. Si del análisis de riesgos y de manejabilidad, que se llevará a cabo caso por caso, se desprende que tal configuración no es viable, se deberá incitar a los usuarios a optar por la configuración más segura.
(14) El Reglamento (CE) n.º 460/2004 del Parlamento Europeo y del Consejo (6) creó ENISA con el objetivo de contribuir al establecimiento de un elevado y efectivo nivel de seguridad de las redes y de la información en la Unión y al desarrollo de una cultura de la seguridad de las redes y de la información en beneficio de los ciudadanos, los consumidores, las empresas y las administraciones públicas. El Reglamento (CE) n.º 1007/2008 del Parlamento Europeo y del Consejo (7), prorrogó el mandato de ENISA hasta marzo de 2012. El Reglamento (UE) n.º 580/2011 del Parlamento Europeo y del Consejo (8) prorrogó nuevamente el mandato de ENISA hasta el 13 de septiembre de 2013. El Reglamento (UE) n.º 526/2013 del Parlamento Europeo y del Consejo ha prorrogado el mandato de ENISA hasta el 19 de junio de 2020.
(15) La Unión ha adoptado ya medidas importantes para garantizar la ciberseguridad y aumentar la confianza en las tecnologías digitales. En 2013, se adoptó una Estrategia de Ciberseguridad de la Unión Europea para orientar la respuesta política de la Unión a las amenazas y riesgos relacionados con la ciberseguridad. En su esfuerzo por proteger mejor a los ciudadanos en línea, el primer acto jurídico en el ámbito de la ciberseguridad de la Unión fue adoptado en 2016, fue la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo (9). La Directiva (UE) 2016/1148 instauró una serie de requisitos relativos a las capacidades nacionales en el ámbito de la ciberseguridad, estableció los primeros mecanismos para mejorar la cooperación estratégica y operativa entre los Estados miembros e introdujo obligaciones relativas a medidas de seguridad y notificaciones de incidentes en todos los sectores fundamentales de la economía y la sociedad, como la energía, los transportes, el agua potable, el suministro y la distribución, la banca, las infraestructuras de los mercados financieros, la sanidad o las infraestructuras digitales, así como para los proveedores de servicios digitales clave (motores de búsqueda, servicios en la nube y mercados en línea).
Se atribuyó un papel clave a ENISA para respaldar la aplicación de dicha Directiva. Además, la lucha eficaz contra la ciberdelincuencia constituye una prioridad importante de la Agenda Europea de Seguridad, que contribuye al objetivo general de conseguir un elevado nivel de ciberseguridad. También contribuyen al elevado nivel de ciberseguridad en el mercado único digital otros actos jurídicos, como el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (10) y las Directivas 2002/58/CE (11) y (UE) 2018/1972 (12) del Parlamento Europeo y del Consejo.
(16) Desde la adopción de la Estrategia de Ciberseguridad de la Unión Europea en 2013 y la última revisión del mandato de ENISA, el contexto político general ha cambiado considerablemente y el contexto mundial ha pasado a ser más incierto y menos seguro. En este contexto y en el marco de la positiva evolución del cometido de ENISA a lo largo de los años como punto de referencia en materia de asesoramiento y conocimientos y como facilitadora de la coordinación y el desarrollo de capacidades, así como en el marco de la nueva política de ciberseguridad de la Unión, es necesario revisar el mandato de ENISA para definir su función en el nuevo ecosistema de la ciberseguridad y garantizar que contribuya eficazmente a configurar la respuesta de la Unión a los desafíos de ciberseguridad derivados de la transformación radical de las amenazas, para lo cual, como reconoció la evaluación de ENISA, el mandato actual resulta insuficiente.
(17) ENISA tal como se establece en el presente Reglamento debe suceder a ENISA tal como fue creada por el Reglamento (UE) n.º 526/2013. ENISA debe llevar a cabo las tareas que le confiere el presente Reglamento y otros actos jurídicos de la Unión en el ámbito de la ciberseguridad aportando, entre otras cosas, conocimientos y asesoramiento y actuando como centro de información y conocimientos de la Unión. Debe fomentar el intercambio de mejores prácticas entre los Estados miembros y las partes interesadas del sector privado, sugiriendo políticas a la Comisión y los Estados miembros, actuando como punto de referencia para las iniciativas políticas sectoriales de la Unión en lo que respecta a la ciberseguridad y fomentando la cooperación operativa tanto entre los Estados miembros, como entre los Estados miembros y las instituciones, órganos y organismos de la Unión.
(18) En el marco de la Decisión 2004/97/CE, Euratom, tomada de común acuerdo por los representantes de los Estados miembros, reunidos a nivel de jefes de Estado o de Gobierno (13), los representantes de los Estados miembros decidieron que ENISA tendría su sede en una ciudad de Grecia que determinaría el Gobierno griego. El Estado miembro que acoge a ENISA debe ofrecer las mejores condiciones posibles para su funcionamiento correcto y eficaz. Para el desempeño correcto y eficaz de sus funciones, para atraer y conservar al personal y para establecer contactos con el exterior de manera más eficaz, es imperativo que ENISA tenga su sede en un lugar adecuado que, entre otras cosas, ofrezca conexiones de transporte adecuadas y servicios para los cónyuges y los hijos que acompañen a su personal. Las disposiciones necesarias deben recogerse en un acuerdo entre ENISA y el Estado miembro anfitrión, cuya celebración ha de contar con la aprobación del Consejo de Administración de ENISA.
(19) En vista de los crecientes riesgos y amenazas en materia de ciberseguridad a los que debe hacer frente la Unión, deben incrementarse los recursos financieros y humanos asignados a ENISA, en consonancia con la ampliación de sus cometidos y tareas, así como su posición crucial en el ecosistema de organizaciones que defienden el ecosistema digital de la Unión, a fin de permitir que ENISA pueda desempeñar eficazmente las tareas que le encomienda el presente Reglamento.
(20) ENISA debe desarrollar y mantener un elevado nivel de conocimientos técnicos y actuar como punto de referencia que genere confianza en el mercado único en virtud de su independencia, la calidad del asesoramiento prestado y la información difundida, la transparencia de sus procedimientos, la transparencia de sus métodos de funcionamiento y su diligencia en el desempeño de sus tareas. ENISA debe apoyar activamente los esfuerzos nacionales y contribuir proactivamente a los esfuerzos de la Unión y desempeñar sus funciones cooperando plenamente con las instituciones, órganos y organismos de la Unión y con los Estados miembros, evitando la duplicación de tareas y promoviendo las sinergias. Además, ENISA debe apoyarse en las aportaciones del sector privado y otras partes interesadas pertinentes y en la cooperación con tales agentes.
La manera en que ENISA debe alcanzar sus objetivos se debe definir a través de un conjunto de tareas que permita cierta flexibilidad en su funcionamiento.
(21) Para poder prestar un apoyo adecuado a la cooperación operativa entre los Estados miembros, ENISA debe seguir reforzando sus capacidades y destrezas técnicas y humanas. ENISA debe reforzar sus conocimientos técnicos y capacidades. ENISA y los Estados miembros pueden, de forma voluntaria, elaborar programas para la comisión de servicios de expertos nacionales en ENISA, la creación de contingentes de expertos y el intercambio de personal.
(22) ENISA debe prestar asistencia a la Comisión mediante asesoramiento, dictámenes y análisis en todos los asuntos de la Unión relacionados con la formulación, la actualización y la revisión de políticas y disposiciones legislativas en el ámbito de la ciberseguridad y sus aspectos sectoriales para potenciar la pertinencia de las políticas y la legislación de la Unión que presenten aspectos relacionados con la ciberseguridad y permitir la coherencia en su aplicación a nivel nacional. La Agencia debe actuar como punto de referencia de asesoramiento y conocimientos en relación con las iniciativas políticas y legislativas sectoriales de la Unión, cuando intervengan cuestiones relacionadas con la ciberseguridad. ENISA debe informar periódicamente al Parlamento Europeo de sus actividades.
(23) El núcleo público de la internet abierta, consistente en sus protocolos e infraestructura principales, que constituyen un bien público mundial, posibilita la funcionalidad esencial de internet en su conjunto, y en él se sustenta su funcionamiento normal. ENISA debe promover la seguridad una internet pública esencial y abierta y la estabilidad de su funcionamiento, lo que incluye, a título meramente enunciativo, sus protocolos esenciales (en particular, DNS, BGP e IPv6), el funcionamiento del sistema de nombres de dominio (incluido el funcionamiento de todos los dominios de nivel superior) y el funcionamiento de la zona raíz.
(24) La principal tarea de ENISA es promover la aplicación coherente del marco jurídico pertinente, en particular la aplicación efectiva de la Directiva (UE) 2016/1148 y otros instrumentos jurídicos pertinentes que contienen disposiciones en materia de ciberseguridad, lo que es esencial para aumentar la ciberresiliencia. Habida cuenta de la constante evolución de las amenazas para la ciberseguridad, es evidente que los Estados miembros deben estar respaldados por un enfoque más global y transversal en lo que se refiere a la creación de ciberresiliencia.
(25) ENISA debe asistir a los Estados miembros y a las instituciones, órganos y organismos de la Unión en sus esfuerzos por crear y mejorar su capacidad y preparación para prevenir, detectar y dar respuesta a las ciberamenazas y los ciberincidentes, así como en relación con la seguridad de las redes y los sistemas de información. En particular, ENISA debe prestar apoyo al establecimiento y mejora de los equipos de respuesta a incidentes de seguridad informática (en lo sucesivo, «CSIRT», por sus siglas en inglés de «computer security incident response teams») nacionales y de la Unión previstos en la Directiva (UE) 2016/1148 con vistas a alcanzar un elevado nivel común de madurez en la Unión. Las actividades realizadas por ENISA en relación con las capacidades operativas de los Estados miembros deben respaldar activamente las acciones emprendidas por los Estados miembros para el cumplimiento de sus obligaciones en virtud de la Directiva (UE) 2016/1148 y no deben, por tanto, sustituirlas.
(26) ENISA también debe prestar asistencia en la elaboración y actualización de las estrategias en materia de seguridad de las redes y los sistemas de información a escala de la Unión y, previa solicitud, a escala de los Estados miembros, en particular, en materia de ciberseguridad, y debe promover la difusión de dichas estrategias y hacer un seguimiento de los avances en su aplicación. Asimismo, ENISA debe ofrecer aportaciones para satisfacer la necesidad de cursos y material de formación, en particular a los organismos públicos y, cuando proceda, y en gran medida, «formar formadores», sobre la base del Marco de Competencias Digitales para los Ciudadanos con el fin de ayudar a los Estados miembros y a las instituciones, órganos y organismos de la Unión a desarrollar sus propias capacidades de formación.
(27) ENISA debe apoyar a los Estados miembros en el ámbito de la sensibilización y la educación en materia de ciberseguridad facilitando una coordinación más estrecha y el intercambio de mejores prácticas entre los Estados miembros. Dicho apoyo debe consistir en la creación de una red de puntos de contacto nacionales en materia de educación y en el establecimiento de una plataforma de formación sobre ciberseguridad. La red de puntos de contacto nacionales en materia de educación puede funcionar en el marco de la red de funcionarios de enlace nacionales y servir de punto de partida para la coordinación futura dentro de los Estados miembros.
(28) ENISA debe asistir al Grupo de cooperación creado por la Directiva (UE) 2016/1148 en la ejecución de sus tareas, en particular ofreciendo asesoramiento y consejo y facilitando el intercambio de mejores prácticas, particularmente con respecto a la identificación de los operadores de servicios esenciales por parte de los Estados miembros, así como en relación con las dependencias transfronterizas, en lo que se refiere a riesgos e incidentes.
(29) Con el fin de estimular la cooperación entre los sectores público y privado y dentro del sector privado, en particular para apoyar la protección de las infraestructuras críticas, ENISA debe animar a que los sectores intercambien información entre sí y también en su propio seno, en particular aquellos que figuran en el anexo II de la Directiva (UE) 2016/1148, proporcionando directrices y mejores prácticas sobre las herramientas disponibles y los procedimientos, y orientando sobre la manera de abordar los asuntos normativos relacionados con la puesta en común de la información, por ejemplo, facilitando la creación de centros sectoriales de puesta en común y análisis de la información).
(30) Mientras el posible impacto negativo de las vulnerabilidades detectadas en los productos, servicios y procesos de TIC siga aumentando, será de vital importancia identificarlas y subsanarlas con el fin de reducir los riesgos generales en materia de ciberseguridad. Se ha demostrado que la cooperación entre organizaciones, fabricantes o proveedores de productos, servicios y procesos de TIC vulnerables y los miembros de la comunidad investigadora en materia de ciberseguridad y las autoridades encargadas de la identificación de dichas vulnerabilidades aumenta considerablemente la tasa de identificación y corrección de las vulnerabilidades detectadas en los productos, servicios y procesos de TIC. La divulgación coordinada de vulnerabilidades es un proceso estructurado de cooperación en el que se informa al propietario del sistema de información de las vulnerabilidades detectadas, lo que ofrece a la organización la oportunidad de identificar y subsanar una vulnerabilidad antes de que la información detallada relacionada con esta se haga pública o pueda divulgarse a terceros. Este proceso facilita además la coordinación entre el identificador y la organización en lo que respecta a la publicación de dichas vulnerabilidades. Las políticas de la divulgación coordinada de vulnerabilidades pueden desempeñar un papel importante en los esfuerzos de los Estados miembros por mejorar la ciberseguridad.
(31) ENISA debe agregar y analizar, compartidos de forma voluntaria, los informes nacionales de los CSIRT y del equipo de respuesta a emergencias informáticas de las instituciones, órganos y organismos de la UE (CERT-UE) establecido por el Acuerdo entre el Parlamento Europeo, el Consejo Europeo, el Consejo de la Unión Europea, la Comisión Europea, el Tribunal de Justicia de la Unión Europea, el Banco Central Europeo, el Tribunal de Cuentas Europeo, el Servicio Europeo de Acción Exterior, el Comité Económico y Social Europeo, el Comité Europeo de las Regiones y el Banco Europeo de Inversiones sobre la organización y el funcionamiento del Equipo de Respuesta a Emergencias Informáticas de las instituciones, órganos y organismos de la UE (CERT-UE) (14), a los efectos de contribuir al establecimiento de unos procedimientos, un lenguaje y una terminología comunes para el intercambio de información. En este contexto, ENISA debe fomentar la participación del sector privado, en el marco de la Directiva (UE) 2016/1148, que establece las bases para el intercambio voluntario de información técnica a nivel operativo dentro de la red de equipos de respuesta a incidentes de seguridad informática (en lo sucesivo, «red CSIRT») creada por dicha Directiva.
(32) ENISA debe contribuir a aportar una respuesta a nivel de la Unión en caso de incidentes y crisis transfronterizos a gran escala relacionados con la ciberseguridad. Esta tarea debe desempeñarse conforme al mandato de ENISA en virtud del presente Reglamento y a una fórmula que acordarán los Estados miembros en el contexto de la Recomendación (UE) 2017/1584 (15) de la Comisión y a las conclusiones del Consejo de 26 de junio de 2018 sobre la respuesta coordinada de la UE a los incidentes y crisis de ciberseguridad a gran escala. La citada tarea podría incluir la recogida de información pertinente y el desempeño del papel de mediador entre la red de CSIRT y la comunidad técnica, así como entre los responsables políticos de gestionar la crisis. Por otra parte, ENISA debe apoyar la cooperación operativa entre Estados miembros, a petición de uno o más Estados miembros, para el tratamiento de incidentes desde una perspectiva técnica facilitando el intercambio de soluciones técnicas pertinentes entre los Estados miembros y aportando información a las comunicaciones públicas. ENISA debe apoyar la cooperación operativa ensayando las disposiciones de esa cooperación a través de ejercicios periódicos de ciberseguridad.
(33) Al apoyar la cooperación operativa, ENISA debe hacer uso de las competencias técnicas y operativas disponibles del CERT-UE a través de una cooperación estructurada. La cooperación estructurada puede permitir acumular conocimientos a ENISA. Cuando proceda, deben establecerse disposiciones específicas adecuadas entre las dos entidades para definir los aspectos prácticos de dicha cooperación y evitar la duplicación de actividades.
(34) Al desempeñar sus tareas de apoyo de la cooperación operativa dentro de la red de CSIRT, ENISA debe poder prestar ayuda a los Estados miembros si estos se la piden, por ejemplo, asesorándolos sobre el modo de mejorar sus capacidades para prevenir, detectar y responder ante incidentes, facilitando la gestión técnica de incidentes que tengan un impacto significativo o sustancial o garantizando que se realicen análisis de ciberamenazas e incidentes. ENISA debe facilitar la gestión técnica de los incidentes que tengan un impacto significativo o sustancial, en particular, apoyando el intercambio voluntario de soluciones técnicas entre Estados miembros o aporte información técnica combinada, como las soluciones técnicas que pongan en común voluntariamente los Estados miembros. La Recomendación (UE) 2017/1584 recomienda que los Estados miembros cooperen de buena fe y compartan entre ellos y con ENISA información sobre las crisis e incidentes a gran escala relacionados con la ciberseguridad sin demora indebida. Dicha información debe servir de ayuda a ENISA en el desempeño de sus funciones de apoyo a la cooperación operativa.
(35) Dentro de la cooperación regular a nivel técnico para ayudar a la Unión a conocer la situación, ENISA, en estrecha cooperación con los Estados miembros, debe elaborar periódicamente un informe detallado de situación técnica en materia de ciberseguridad de la UE sobre incidentes y ciberamenazas, basándose en la información públicamente disponible, en su propio análisis y en los informes compartidos por los CSIRT de los Estados miembros o los puntos de contacto únicos nacionales sobre la seguridad de las redes y sistemas de información (en lo sucesivo, «puntos de contacto únicos») previstos en la Directiva (UE) 2016/1148 (ambos de forma voluntaria), el Centro Europeo de Ciberdelincuencia (EC3) de Europol, el CERT-UE y, cuando proceda, el Centro de Análisis de Inteligencia de la Unión Europea (UE-INTCEN) del Servicio Europeo de Acción Exterior (. Dicho informe debe ponerse a disposición del Consejo, la Comisión, la Alta Representante de la Unión para Asuntos Exteriores y Política de Seguridad y la red de CSIRT.
(36) El apoyo de ENISA a las investigaciones técnicas ex post en relación con incidentes con efectos significativos facilitado a petición de los Estados miembros afectados debe centrarse en la prevención de incidentes futuros. Los Estados miembros afectados deben proporcionar la información y asistencia necesarias para que ENISA pueda apoyar de forma efectiva la investigación técnica ex post.
(37) Los Estados miembros podrán invitar a las empresas afectadas por el incidente a colaborar facilitando a ENISA toda la información y asistencia necesarias, sin perjuicio de su derecho a proteger la información sensible desde el punto de vista comercial y que afecte a la seguridad pública.
(38) Para comprender mejor los retos en el campo de la ciberseguridad, y con el fin de facilitar asesoramiento estratégico a largo plazo a los Estados miembros y a las instituciones, órganos y organismos de la Unión, ENISA necesita analizar los riesgos actuales y emergentes de ciberseguridad. A tal efecto, ENISA, en cooperación con los Estados miembros y, si procede, con los organismos estadísticos o de otro tipo, debe recopilar la información pertinente que esté disponible públicamente o se comparta de forma voluntaria y llevar a cabo análisis de las tecnologías emergentes y proporcionar evaluaciones temáticas sobre los efectos jurídicos, económicos, sociales y reglamentarios que se esperan de las innovaciones tecnológicas sobre la seguridad de las redes y de la información, en particular la ciberseguridad. Además, ENISA debe apoyar a los Estados miembros y a las instituciones, órganos y organismos de la Unión a la hora de detectar nuevos riesgos relacionados con la ciberseguridad y prevenir los incidentes, mediante la realización de análisis de ciberamenazas, vulnerabilidades e incidentes.
(39) Con el fin de aumentar la resiliencia de la Unión, ENISA debe impulsar conocimientos en el ámbito de la ciberseguridad de las infraestructuras prestando apoyo, en particular, a los sectores recogidos en el anexo II de la Directiva (UE) 2016/1148 y los que utilicen los proveedores de servicios digitales que figuran en el anexo III de dicha Directiva, ofreciendo asesoramiento y orientaciones e intercambiando mejores prácticas. Con el fin de facilitar el acceso a una información mejor estructurada sobre los riesgos relacionados con la ciberseguridad y las posibles soluciones, ENISA debe crear y mantener la «plataforma de información» de la Unión, un portal único con información sobre ciberseguridad para los ciudadanos procedente de las instituciones, órganos y organismos nacionales y de la Unión. Facilitar el acceso a una información mejor estructurada sobre los riesgos relacionados con la ciberseguridad y las posibles soluciones también puede ayudar a los Estados miembros a consolidar sus capacidades, a alinear sus prácticas y, por ende, a mejorar su resiliencia general frente a los ciberataques.
(40) ENISA debe contribuir a la sensibilización del público sobre los riesgos relacionados con la ciberseguridad, en particular mediante una campaña de sensibilización a nivel europeo y la promoción de la educación, y facilitar orientaciones sobre buenas prácticas para usuarios individuales dirigidas a ciudadanos, organizaciones y empresas. ENISA debe contribuir asimismo a promover las mejores prácticas y soluciones, incluidas la ciberhigiene y la ciberalfabetización de los ciudadanos, a nivel de ciudadanos, organizaciones y empresas mediante la recogida y el análisis de la información disponible públicamente relativa a incidentes significativos, y mediante la elaboración y publicación de informes y orientaciones para ciudadanos, organizaciones y empresas y mejorar el nivel general de preparación y resiliencia. ENISA también debe trabajar para proporcionar a los consumidores la correspondiente información acerca de los esquemas de certificación aplicables, por ejemplo, ofreciendo orientaciones y recomendaciones. ENISA debe además organizar, en consonancia con el Plan de Acción de Educación Digital establecido en la Comunicación de la Comisión de 17 de enero de 2018 y en colaboración con los Estados miembros y las instituciones, agencias y organismos de la Unión, campañas sistemáticas de comunicación y educación pública destinadas a los usuarios finales, con miras a promover comportamientos individuales en línea más seguros y la alfabetización digital y a concienciar sobre las ciberamenazas potenciales, incluyendo actividades criminales en línea como los ataques por suplantación de identidad (phishing), las redes infectadas (botnets) o los fraudes bancarios y financieros, e incidentes de fraude en materia de datos, así como dar consejos básicos en materia de autenticaciones multifactores, correcciones, cifrado, anonimización y protección de datos.
(41) ENISA debe desempeñar un papel central para acelerar la sensibilización de los usuarios finales con respecto a la seguridad de los dispositivos y el uso seguro de los servicios, promoviendo a nivel de la Unión la seguridad y la protección de la intimidad desde la concepción de los mismos. Para lograr ese objetivo, ENISA debe aprovechar al máximo las mejores prácticas y experiencias existentes, en especial las de las instituciones académicas y de los investigadores en materia de seguridad informática.
(42) Con el fin de apoyar a las empresas que trabajan en el sector de la ciberseguridad, así como a los usuarios de soluciones de ciberseguridad, ENISA debe crear y mantener un «observatorio del mercado», llevando a cabo análisis y difundiendo las principales tendencias en el mercado de la ciberseguridad, tanto en el lado de la oferta como en el de la demanda.
(43) ENISA debe contribuir a los esfuerzos de la Unión de cooperar con organismos internacionales y en marcos de cooperación internacional pertinentes en el ámbito de la ciberseguridad. En particular, ENISA debe contribuir, cuando proceda, a la cooperación con organismos tales como la OCDE, la OSCE y la OTAN. Dicha cooperación podría incluir la realización de ejercicios conjuntos de ciberseguridad y la coordinación conjunta de la respuesta a incidentes. Dichas actividades deben realizarse respetando plenamente los principios de inclusión, reciprocidad y autonomía del proceso decisorio de la Unión, sin perjuicio del carácter específico de la política de seguridad y defensa de los Estados miembros.
(44) Para asegurar que cumple plenamente sus objetivos, ENISA debe permanecer en contacto con las correspondientes autoridades de supervisión de la Unión y otras autoridades competentes de la Unión, instituciones, órganos y organismos de la Unión, incluidos el CERT-UE, el Centro Europeo de Ciberdelincuencia (EC3) de Europol, Agencia Europea de Defensa (AED), la Agencia del Sistema Global de Navegación por Satélite Europeo (Agencia del GNSS Europeo), el Organismo de Reguladores Europeos de las Comunicaciones Electrónicas (ORECE), la Agencia Europea para la Gestión Operativa de los Sistemas Informáticos de Gran Magnitud en el espacio de libertas, seguridad y justicia (eu-LISA), el Banco Central Europeo (BCE), la Autoridad Bancaria Europea (ABE), el Comité Europeo de Protección de Datos, la Agencia de la Unión Europea para la Cooperación de los Reguladores de la Energía (ACER), la Agencia Europea de Seguridad Aérea (EASA) y cualquier otro órgano de la Unión relacionado con la ciberseguridad.
ENISA debe mantener contactos con las autoridades encargadas de la protección de datos a fin de intercambiar conocimientos y mejores prácticas y facilitar asesoramiento sobre los aspectos de la ciberseguridad que podrían repercutir en su trabajo. Los representantes de las autoridades nacionales y de la Unión encargadas de hacer cumplir la ley y proteger los datos deben poder estar representados en el Grupo Consultivo de ENISA. En sus relaciones con las autoridades encargadas de hacer cumplir la ley sobre aspectos relacionados con la seguridad de las redes y de la información que puedan tener repercusiones en su trabajo, ENISA debe respetar los canales de información y las redes existentes.
(45) Pueden establecerse asociaciones con instituciones académicas que desarrollen iniciativas de investigación en los ámbitos pertinentes, y deben contar con cauces apropiados de las aportaciones de las organizaciones de consumidores y otras organizaciones, que deben tenerse en cuenta.
(46) ENISA, en su función de secretaría de la red de CSIRT, debe prestar apoyo a los CSIRT de los Estados miembros y al CERT-UE en la cooperación operativa relativa a todas las tareas pertinentes de la red de CSIRT, tal como se definen en la Directiva (UE) 2016/1148. Además, ENISA debe promover y apoyar la cooperación entre los CSIRT pertinentes en caso de incidentes, ataques o perturbaciones en las redes o infraestructuras gestionadas o protegidas por los CSIRT y que impliquen o puedan implicar al menos a dos CSIRT, teniendo siempre debidamente en cuenta los procedimientos operativos estándar de la red de CSIRT.
(47) Con el fin de aumentar la preparación de la Unión para una respuesta a los incidentes, ENISA debe organizar periódicamente ejercicios de ciberseguridad a nivel de la Unión y, cuando lo soliciten, apoyar a los Estados miembros y las instituciones, órganos y organismos de la Unión en la organización de ejercicios. Los ejercicios exhaustivos de seguridad a gran escala en el que se incluyan elementos técnicos, operativos y estratégicos deben organizarse cada dos años. Además, ENISA debe poder organizar periódicamente ejercicios menos exhaustivos con el mismo objetivo de mejorar la preparación de la Unión para responder a los incidentes.
(48) ENISA debe desarrollar y mantener sus conocimientos técnicos en materia de certificación de la ciberseguridad con vistas a respaldar la política de la Unión en este ámbito. ENISA debe aprovechar las buenas prácticas existentes y promover la asimilación de la certificación de la ciberseguridad en la Unión, en particular contribuyendo a la creación y mantenimiento de un marco de certificación de la ciberseguridad a nivel de la Unión (marco europeo de certificación de la ciberseguridad), con el fin de aumentar la transparencia de la garantía de la ciberseguridad de los productos, servicios y procesos de TIC y reforzar así la confianza en el mercado interior digital, así como su competitividad.
(49) Unas políticas de ciberseguridad eficientes deben basarse en métodos de evaluación de riesgos bien elaborados, tanto en el sector público como en el privado. Los métodos de evaluación de riesgos se utilizan en distintos niveles sin que existan prácticas comunes para su aplicación eficiente. La promoción y el desarrollo de las mejores prácticas de evaluación de riesgos y de soluciones interoperables de gestión de riesgos en las organizaciones de los sectores público y privado incrementarán el nivel de ciberseguridad en la Unión. A tal efecto, ENISA debe apoyar la cooperación entre las partes interesadas a escala de la Unión y facilitar sus esfuerzos en relación con el establecimiento y la adopción de normas a escala europea e internacional para la gestión del riesgo y la seguridad mensurable de los productos, sistemas, redes y servicios electrónicos que, junto a los programas informáticos, conforman las redes y los sistemas de información.
(50) ENISA debe alentar a los Estados miembros, a los fabricantes o los proveedores de productos, servicios o procesos de TIC a aumentar sus niveles generales de seguridad, a fin de que todos los usuarios de internet puedan tomar las medidas necesarias para garantizar su propia ciberseguridad personal y deben dar incentivos para ello. En particular, los fabricantes y proveedores de productos, servicios o procesos de TIC deben aportar las actualizaciones necesarias y recuperar, retirar o reciclar los productos, servicios o procesos de TIC que no cumplan las normas de ciberseguridad, mientras que los importadores y distribuidores deben asegurarse de que los productos, servicios y procesos de TIC que introduzcan en el mercado de la Unión cumplen los requisitos aplicables y no supongan un riesgo para los consumidores de la Unión.
(51) En cooperación con las autoridades competentes, ENISA debe poder difundir información relativa al nivel de ciberseguridad de los productos, servicios y procesos de TIC ofrecidos en el mercado interior, y emitir advertencias dirigidas a los fabricantes y los proveedores de productos, servicios o procesos de TIC solicitándoles que mejoren la seguridad de los mismos, incluida la ciberseguridad.
(52) ENISA debe tener plenamente en cuenta las actividades en curso de investigación, desarrollo y evaluación tecnológica, en especial las llevadas a cabo por las distintas iniciativas de investigación de la Unión, para asesorar a las instituciones, órganos y organismos de la Unión y, cuando proceda, a los Estados miembros que lo soliciten sobre las necesidades de investigación en el ámbito de la ciberseguridad. A fin de determinar las necesidades y prioridades en materia de investigación, ENISA debe consultar asimismo a los grupos de usuarios pertinentes. Más concretamente, puede establecerse una cooperación con el Consejo Europeo de Investigación y el Instituto Europeo de Innovación y Tecnología, así como con el Instituto de Estudios de Seguridad de la Unión Europea.
(53) ENISA debe consultar de forma regular a organizaciones de normalización, en particular a organizaciones de normalización europeas, a la hora de preparar los esquemas europeos de certificación de la ciberseguridad.
(54) Las ciberamenazas tienen un alcance mundial. Es necesaria una cooperación internacional más estrecha para mejorar las normas de ciberseguridad, incluida la necesidad de definir normas de comportamiento comunes, la adopción de códigos de conducta, el uso de normas internacionales y el intercambio de información, promoviendo una colaboración internacional que responda con mayor prontitud a los problemas de seguridad de las redes y de la información, y promueva un enfoque mundial común al respecto. A tal efecto, ENISA debe respaldar una mayor relación y cooperación de la Unión con los terceros países y las organizaciones internacionales proporcionando, cuando proceda, los conocimientos y el análisis necesarios a las correspondientes instituciones, órganos y organismos de la Unión.
(55) ENISA debe estar en condiciones de responder a las solicitudes específicas de asesoramiento y asistencia por parte de los Estados miembros y las instituciones, órganos y organismos de la Unión en materias que correspondan al mandato de ENISA.
(56) Es razonable y recomendable aplicar determinados principios relativos a la gobernanza de ENISA para cumplir con la declaración conjunta y el enfoque común aprobados en julio de 2012 por el Grupo de trabajo interinstitucional sobre las agencias descentralizadas, cuya finalidad es la racionalización las actividades de las agencias descentralizadas y la mejora de su funcionamiento. Las recomendaciones de la declaración conjunta y el enfoque común también han de quedar reflejados, cuando proceda, en los programas de trabajo de ENISA, sus evaluaciones y sus prácticas administrativas y de presentación de informes.
(57) El Consejo de Administración, integrado por los representantes de Estados miembros y de la Comisión, debe establecer la orientación general del funcionamiento de ENISA y garantizar que desempeña su cometido de conformidad con el presente Reglamento. El Consejo de Administración debe estar dotado de las facultades necesarias para establecer el presupuesto, supervisar su ejecución, aprobar el correspondiente reglamento financiero, establecer procedimientos de trabajo transparentes para la toma de decisiones por ENISA, adoptar el documento único de programación de ENISA, adoptar su propio reglamento interno, nombrar al director ejecutivo y decidir la prórroga y terminación del mandato del director ejecutivo.
(58) Para que ENISA funcione correcta y eficazmente, la Comisión y los Estados miembros deben garantizar que las personas que se nombren como miembros del Consejo de Administración dispongan de las competencias profesionales y de experiencia adecuadas. La Comisión y los Estados miembros deben asimismo tratar de limitar la rotación de sus respectivos representantes en el Consejo de Administración, con el fin de garantizar la continuidad en su labor.
(59) Para un buen funcionamiento de ENISA, es preciso que su director ejecutivo sea nombrado atendiendo a sus méritos y a su capacidad administrativa y de gestión debidamente acreditada, así como a su competencia y experiencia en relación con la ciberseguridad. También es necesario que desempeñe sus funciones con completa independencia. El director ejecutivo debe preparar una propuesta de programa de trabajo anual de ENISA, previa consulta con la Comisión, y tomar todas las medidas necesarias para garantizar la correcta ejecución de dicho programa de trabajo. El director ejecutivo debe preparar un informe anual que incluya la aplicación del programa de trabajo anual de ENISA que presentará al Consejo de Administración, redactar un proyecto de declaración de las previsiones de ingresos y gastos de ENISA y ejecutar el presupuesto. Además, el director ejecutivo debe tener la posibilidad de crear grupos de trabajo ad hoc para que examinen asuntos concretos, en particular los de índole científica, técnica, jurídica o socioeconómica. En particular, en relación con la preparación de una propuesta de esquema específica de certificación europea de ciberseguridad (en lo sucesivo, «propuesta de esquema»), la creación de un grupo de trabajo ad hoc se considera necesaria. El director ejecutivo debe garantizar que los miembros de los grupos de trabajo ad hoc sean seleccionados entre los expertos de mayor nivel, teniendo debidamente en cuenta la necesidad de lograr un equilibrio representativo y de género, según proceda en función de las cuestiones específicas de que se trate, entre las administraciones públicas de los Estados miembros, las instituciones, órganos y organismos de la Unión, el sector privado, incluida la industria, los usuarios y los expertos académicos en seguridad de las redes y de la información.
(60) El Comité Ejecutivo debe contribuir al buen funcionamiento del Consejo de Administración. Como parte de sus trabajos preparatorios relativos a las decisiones del Consejo de Administración, el Comité Ejecutivo debe examinar en detalle la información pertinente, explorar las opciones disponibles y ofrecer asesoramiento y soluciones para preparar las decisiones del Consejo de Administración.
(61) ENISA debe contar con un Grupo Consultivo de ENISA en calidad de organismo consultivo, a fin de garantizar un diálogo sistemático con el sector privado, las organizaciones de consumidores y otras partes interesadas pertinentes. El Grupo Consultivo de ENISA, establecido por el Consejo de Administración a propuesta del director ejecutivo, debe centrarse en cuestiones que afecten a las partes interesadas y ponerlas en conocimiento de ENISA. El Grupo Consultivo de ENISA debe ser consultado en particular en lo que se refiere al proyecto de programa de trabajo anual. La composición del Grupo Consultivo de ENISA y las tareas asignadas a este grupo deben garantizar una representación suficiente de las partes interesadas en los trabajos de ENISA.
(62) Debe crearse el Grupo de las Partes Interesadas sobre Certificación de la Ciberseguridad para ayudar a ENISA y a la Comisión a facilitar la consulta de las partes interesadas pertinentes. El Grupo de las Partes Interesadas sobre Certificación de la Ciberseguridad debe estar compuesto por miembros que representen a la industria en una proporción equilibrada, tanto del lado de la demanda como de la oferta de productos y servicios de TIC, y entre ellos, en particular, las pymes, los proveedores de servicios digitales, los organismos de normalización europeos e internacionales, los organismos nacionales de acreditación, las autoridades de supervisión de la protección de datos y los organismos de evaluación de la conformidad en virtud del Reglamento (CE) n.º 765/2008 del Parlamento Europeo y del Consejo (16), el mundo académico y las organizaciones de consumidores.
(63) ENISA debe instaurar normas para la prevención y gestión de los conflictos de intereses. ENISA debe aplicar asimismo las disposiciones pertinentes de la Unión relativas al acceso del público a los documentos, según establece el Reglamento (CE) n.º 1049/2001 del Parlamento Europeo y del Consejo (17). Los datos personales deben ser tratados por ENISA de conformidad con el Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo (18),. ENISA debe cumplir las disposiciones aplicables a las instituciones, órganos y organismos de la Unión, así como la legislación nacional en materia de tratamiento de la información, en particular la información sensible no clasificada y la información clasificada de la Unión Europea (ICUE).
(64) Con el fin de garantizar la plena autonomía e independencia de ENISA y para que pueda desempeñar funciones adicionales y nuevas, incluidas tareas de emergencia imprevistas, se considera necesario concederle un presupuesto suficiente y autónomo cuyos ingresos procedan principalmente de una contribución de la Unión y de contribuciones de los terceros países que participen en los trabajos de ENISA. Es primordial que ENISA disponga de un presupuesto adecuado de modo que disponga de la capacidad suficiente para cumplir todos sus cometidos y objetivos, que cada vez son mayores. La mayor parte del personal de ENISA debe estar dedicado directamente a la ejecución operativa del mandato de ENISA. Debe permitirse que el Estado miembro anfitrión, o cualquier otro Estado miembro, efectúe aportaciones voluntarias a los ingresos de ENISA. El procedimiento presupuestario de la Unión debe seguir siendo aplicable por lo que respecta a las subvenciones imputables al presupuesto general de la Unión. Además, el Tribunal de Cuentas Europeo debe realizar una auditoría de las cuentas de ENISA para garantizar la transparencia y la responsabilidad.
(65) La certificación de la ciberseguridad desempeña un importante papel a la hora de aumentar la confianza y la seguridad en los productos, servicios y procesos de TIC. El mercado único digital, y en particular la economía de los datos y la internet de las cosas, solo pueden prosperar si el público en general confía en que dichos productos, servicios y procesos ofrecen un determinado nivel de ciberseguridad. Los vehículos conectados y automatizados, los dispositivos médicos electrónicos, los sistemas de control de la automatización industrial o las redes inteligentes son solo algunos ejemplos de sectores en los que la certificación se utiliza ya ampliamente o es probable que se utilice en un futuro próximo. También en los sectores regulados por la Directiva (UE) 2016/1148 resulta crítica la certificación de la ciberseguridad.
(66) En la Comunicación de 2016 «Reforzar el sistema de ciberresiliencia de Europa y promover una industria de la ciberseguridad competitiva e innovadora», la Comisión indicó la necesidad de productos y soluciones de ciberseguridad de alta calidad, asequibles e interoperables. El suministro de los productos, servicios y procesos de TIC dentro del mercado único sigue estando muy fragmentado desde el punto de vista geográfico. Esto se debe a que la industria de la ciberseguridad en Europa se ha desarrollado en gran medida a partir de la demanda de los gobiernos nacionales. Además, la falta de soluciones interoperables (normas técnicas), prácticas y mecanismos de certificación a escala de la Unión es otra de las carencias que padece el mercado único de la ciberseguridad. Esto hace difícil que las empresas europeas compitan a nivel nacional, de la Unión y mundial. Ello también reduce las opciones de contar con tecnologías de ciberseguridad viables y utilizables a las que puedan acceder particulares y empresas. Del mismo modo, en la revisión intermedia de la comunicación de 2017 sobre la aplicación de la Estrategia para el Mercado Único Digital-Un Mercado Único Digital conectado para todos, la Comisión destacó la necesidad de seguridad en los productos y sistemas conectados, indicando que la creación de un marco europeo de seguridad de las TIC que establezca pautas para organizar la certificación de seguridad de las TIC en la Unión podría tanto preservar la confianza en internet como combatir la actual fragmentación del mercado interior.
(67) En la actualidad, la certificación de la ciberseguridad de los productos, servicios y procesos de TIC se utiliza solo en medida limitada. Cuando existe, es principalmente a nivel de los Estados miembros o en el marco de esquemas impulsados por la industria. En este contexto, un certificado expedido por una autoridad nacional de certificación de la ciberseguridad no se ve reconocido en principio por los demás Estados miembros. Así, las empresas pueden tener que certificar sus productos, servicios y procesos TIC en los distintos Estados miembros en que operen, con vistas, por ejemplo, a tomar parte en procedimientos de contratación nacionales, con el correspondiente aumento de sus costes. Por otra parte, aun cuando están surgiendo nuevos esquemas, no parece haber un planteamiento coherente y holístico con respecto a las cuestiones horizontales relacionadas con la ciberseguridad, por ejemplo en el ámbito de la internet de las cosas.
Los esquemas existentes presentan deficiencias significativas y diferencias en cuanto a cobertura de productos, niveles de garantía, criterios sustantivos y utilización real, lo que crea dificultades a los mecanismos de reconocimiento mutuo dentro de la Unión.
(68) Se han realizado esfuerzos en el pasado para velar por el reconocimiento mutuo de los certificados dentro de la Unión, pero solo han tenido un éxito parcial. El ejemplo más importante a este respecto es el Acuerdo de Reconocimiento Mutuo (ARM) del Grupo de altos funcionarios sobre seguridad de los sistemas de información (SOG-IS). Si bien constituye el modelo más importante para la cooperación y el reconocimiento mutuo en el ámbito de la certificación de la seguridad, el SOG-IS incluye solo a algunos Estados miembros. Esto ha limitado la eficacia del ARM del SOG-IS desde el punto de vista del mercado interior.
(69) Por consiguiente, es necesario adoptar un planteamiento común y establecer un marco europeo de certificación de la ciberseguridad que establezca los principales requisitos horizontales para desarrollar esquemas europeos de certificación de la ciberseguridad y permita que los certificados de ciberseguridad europeos y las declaraciones de conformidad de la UE de productos, servicios o procesos de TIC sean reconocidos y usados en todos los Estados miembros. A este respecto, es esencial basarse en los esquemas nacionales e internacionales existentes, así como en los sistemas de reconocimiento mutuo, en particular el SOG-IS, y permitir una transición fluida de los esquemas existentes bajo dichos sistemas a los esquemas del nuevo marco europeo de certificación de la ciberseguridad. El marco europeo de certificación de la ciberseguridad. debe tener un doble objetivo. Primero, debe contribuir a aumentar la confianza en los productos, servicios y procesos de TIC que hayan sido certificados con arreglo a los esquemas europeos de certificación de la ciberseguridad. Segundo, evitar la multiplicación de los esquemas de certificaciones nacionales de la ciberseguridad contradictorias o redundantes y, por ende, reducir los costes para las empresas que operan en el mercado único digital. Los esquemas europeos de certificación de la ciberseguridad deben ser no discriminatorios y basarse en normas internacionales o europeas, a menos que dichas normas resulten ineficaces o inadecuadas para alcanzar los objetivos legítimos de la Unión al respecto.
(70) El marco europeo de certificación de la ciberseguridad debe implantarse de forma uniforme en todos los Estados miembros, a fin de evitar la práctica de escoger entre ellos en función de las diferencias en los niveles de exigencia en diferentes Estados miembros.
(71) Los esquemas europeos de certificación de la ciberseguridad deben basarse en los ya existentes a nivel nacional e internacional y, de ser necesario, en especificaciones técnicas de foros y consorcios, aprendiendo de los puntos fuertes actuales y evaluando y corrigiendo los puntos débiles.
(72) Se necesitan soluciones de ciberseguridad flexibles para que la industria vaya por delante de las ciberamenazas y, por tanto, cualquier esquema de certificación debe concebirse de tal manera que se evite el riesgo de quedarse rápidamente desfasado.
(73) La Comisión debe estar facultada para adoptar esquemas europeos de certificación de la ciberseguridad relativos a grupos específicos de productos, servicios y procesos de TIC. Estos esquemas deben ser implantados y supervisados por las autoridades nacionales de certificación de la ciberseguridad y los certificados expedidos con arreglo a ellos deben ser válidos y reconocidos en toda la Unión. Los esquemas de certificación operados por el sector industrial u otras organizaciones privadas deben quedar fuera del ámbito de aplicación del presente Reglamento. No obstante, los organismos responsables de dichos esquemas deben poder proponer a la Comisión que los tome en consideración como base para su aprobación como esquemas europeos de certificación de la ciberseguridad.
(74) Las disposiciones del presente Reglamento deben entenderse sin perjuicio de la legislación de la Unión que fija normas específicas sobre la certificación de productos, servicios y procesos de TIC. En particular, el Reglamento (UE) 2016/679 establece disposiciones para implantar mecanismos de certificación y sellos y marcas de protección de datos a fin de demostrar la conformidad con ese Reglamento de las operaciones realizadas por los responsables y los encargados del tratamiento. Estos mecanismos de certificación y sellos y marcas de protección de datos deben permitir a los interesados evaluar rápidamente el nivel de protección de datos de los correspondientes productos, servicios y procesos de TIC. El presente Reglamento se entiende sin perjuicio de la certificación de las operaciones de tratamiento de datos en el marco del Reglamento (UE) 2016/679, incluso cuando dichas operaciones se encuentran integradas en productos, servicios y procesos de TIC.
(75) El objetivo de los esquemas europeos de certificación de la ciberseguridad debe ser garantizar que los productos, servicios y procesos de TIC certificados con arreglo a un esquema cumplan los requisitos especificados con objeto de proteger la disponibilidad, autenticidad, integridad y confidencialidad de los datos almacenados, transmitidos o procesados o las funciones conexas de estos productos, servicios y procesos a lo largo de su ciclo de vida, o los servicios ofrecidos por ellos o accesibles a través de ellos. No es posible definir con detalle los requisitos de ciberseguridad relativos a todos los productos, servicios y procesos de TIC en el presente Reglamento. Los productos, servicios y procesos de TIC y las necesidades de ciberseguridad relativas a dichos productos, servicios y procesos son tan dispares que es muy difícil elaborar unos requisitos de ciberseguridad generales que sean válidos en todas las circunstancias. Por lo tanto, es necesario adoptar un concepto amplio y general de la ciberseguridad a efectos de la certificación, que debe ser complementado por una serie de objetivos específicos de ciberseguridad que deben tenerse en cuenta a la hora de diseñar los esquemas europeos de certificación de ciberseguridad. Las disposiciones con que se lograrán tales objetivos para determinados productos, servicios y procesos de TIC deben especificarse luego con más detalle a nivel de cada esquema de certificación adoptado por la Comisión, por ejemplo, mediante referencia a normas o especificaciones técnicas cuando no se disponga de normas apropiadas.
(76) Las especificaciones técnicas que deben utilizarse en un esquema europeo de certificación de la ciberseguridad deben respetar los requisitos establecidos en el anexo II del Reglamento (UE) n.º 1025/2012 del Parlamento Europeo y del Consejo (19). No obstante, podrían considerarse necesarias algunas variaciones con respecto a estos requisitos en casos debidamente justificados en los que dichas especificaciones técnicas vayan a utilizarse en un esquema europeo de certificación de la ciberseguridad de nivel de garantía «elevado». Los motivos que justifican tales variaciones deben hacerse públicos.
(77) La evaluación certificada de la conformidad es el procedimiento por el que se evalúa si se han cumplido los requisitos especificados en relación con un proceso, producto o servicio de TIC. Para llevar a cabo este procedimiento es necesario un tercero independiente, que no sea el fabricante del producto ni el proveedor del producto, servicio o proceso de TIC que está siendo evaluado. Un certificado europeo de ciberseguridad debe ser expedido tras un procedimiento de evaluación exitoso de un producto, servicio o proceso de TIC. Un certificado europeo de ciberseguridad debe considerarse una confirmación de que la evaluación se ha llevado a cabo de forma apropiada. En función del nivel de garantía, el esquema europeo de certificación de la ciberseguridad debe determinar si el encargado de expedir el certificado es un organismo público o privado.
La evaluación de la conformidad y la certificación no pueden garantizar por sí mismas la ciberseguridad de los productos, servicios y procesos de TIC certificados. Se trata más bien de un procedimiento y una metodología técnica que garantizan que los productos, servicios y procesos de TIC han sido sometidos a ensayo y cumplen determinados requisitos de ciberseguridad establecidos en otro lugar, por ejemplo en las normas técnicas.
(78) La elección del nivel adecuado de certificación y de los requisitos de seguridad asociados por parte de los usuarios de certificados europeos de ciberseguridad debe basarse en el análisis del riesgo asociado con el uso de productos, servicios o procesos de TIC. Por tanto, el nivel de garantía debe así reflejar el nivel de riesgo asociado con el uso previsto de un producto, servicio o proceso de TIC.
(79) Un esquema europeo de certificación de la ciberseguridad podría determinar que la evaluación de la conformidad se realice bajo la responsabilidad exclusiva del fabricante o proveedor de productos, servicios y procesos de TIC (autoevaluación de la conformidad). En tales casos, basta con que el fabricante o proveedor de productos, servicios y procesos de TIC lleve a cabo por sí mismo todas las comprobaciones que garanticen la conformidad de los productos, servicios o procesos de TIC con el esquema de certificación europea de ciberseguridad. Este tipo de evaluación de la conformidad debe considerarse adecuado para productos, servicios o procesos de TIC poco complejos que presentan un nivel de riesgo bajo para el público, por ejemplo, cuando el diseño y el mecanismo de producción son sencillos. Asimismo, la autoevaluación de la conformidad debe estar permitida para los productos, servicios o procesos de TIC, únicamente cuando corresponden al nivel de garantía «básico».
(80) Un esquema europeo de certificación de la ciberseguridad puede permitir la autoevaluación de la conformidad y las certificaciones de los productos, servicios o procesos de TIC. En este caso, el esquema debe establecer medios claros y comprensibles para que los consumidores u otros usuarios puedan diferenciar los productos, servicios o procesos de TIC respecto de los cuales el fabricante o proveedor de productos, servicios o procesos de TIC es responsable de la evaluación, y los productos, servicios o procesos de TIC certificados por un tercero.
(81) El fabricante o proveedor de productos, servicios o procesos de TIC que lleve a cabo una autoevaluación de la conformidad debe redactar y firmar la declaración de conformidad de la UE como parte del procedimiento de evaluación de la conformidad. La declaración de conformidad de la UE es un documento que determina si un producto, servicio o proceso de TIC específico cumple los requisitos del esquema europeo de certificación de la ciberseguridad. Al expedir y firmar la declaración de conformidad de la UE, el fabricante o proveedor de productos, servicios o procesos de TIC asume la responsabilidad de que el producto, servicio o proceso de TIC cumple los requisitos legales del esquema europeo de certificación de la ciberseguridad. Debe presentarse una copia de la declaración de conformidad de la UE a la autoridad nacional de certificación de la ciberseguridad y a ENISA.
(82) Los fabricantes o proveedores de productos, servicios o procesos de TIC deben poner a disposición de la autoridad nacional de certificación de la seguridad competente, por un plazo previsto en el esquema europeo específico de certificación de la ciberseguridad, la declaración de conformidad de la UE, la documentación técnica, y toda la información pertinente relativa a la conformidad de los productos, servicios o procesos de TIC con el esquema europeo de certificación de la ciberseguridad de que se trate. La documentación técnica debe especificar los requisitos aplicables en virtud del esquema y debe contemplar, en la medida en que sea pertinente para la autoevaluación de la conformidad, el diseño, la fabricación y el funcionamiento del producto, servicio o proceso de TIC. La documentación técnica debe recopilarse de forma tal que permita la evaluación de la conformidad de un producto o servicio de TIC con los requisitos aplicables en virtud de dicho esquema.
(83) La gobernanza del marco europeo de certificación de la ciberseguridad tiene en cuenta la participación de los Estados miembros así como la participación adecuada de las partes interesadas y determina el papel de la Comisión en la planificación y la propuesta, la solicitud, la preparación, la adopción y la revisión de los esquemas europeos de certificación de la ciberseguridad.
(84) La Comisión debe elaborar, con el apoyo del Grupo Europeo de Certificación de la Ciberseguridad (GECC) y del Grupo de las Partes Interesadas sobre Certificación de la Ciberseguridad y tras una consulta abierta y amplia, un programa de trabajo evolutivo de la Unión para los esquemas europeos de certificación de la ciberseguridad y debe publicarlo en forma de instrumento no vinculante. El programa de trabajo evolutivo de la Unión debe constituir un documento estratégico que permita en particular a la industria, a las autoridades nacionales y a los organismos de normalización prepararse de antemano para los futuros esquemas europeos de certificación de la ciberseguridad.
El programa de trabajo evolutivo de la Unión debe incluir una perspectiva plurianual de las solicitudes de las propuestas de esquemas que la Comisión tenga intención de presentar a ENISA para su preparación, sobre la base de motivos específicos. La Comisión debe tener en cuenta este programa de trabajo evolutivo durante la elaboración de su plan evolutivo para la normalización de las TIC y de las peticiones de normalización dirigidas a los organismos europeos de normalización. Habida cuenta de la rapidez en la introducción y asimilación de las nuevas tecnologías, de la aparición de riesgos relacionados con la ciberseguridad anteriormente desconocidos o de la evolución de la legislación y de los mercados, la Comisión o el GECC debe estar facultado para solicitar a ENISA que prepare propuestas de esquemas que no se incluían en el programa de trabajo evolutivo de la Unión. En tales casos, la Comisión y el GECC también deben evaluar la necesidad de dicha solicitud teniendo presentes los fines y objetivos generales del presente Reglamento y garantizando la continuidad por lo que respecta a la planificación y el uso de recursos por ENISA.
Tras recibir una solicitud, ENISA debe preparar sin demora indebida propuestas de esquemas para productos, servicios o procesos de TIC específicos. La Comisión debe evaluar los efectos positivos y negativos de su solicitud en el mercado concreto de que se trate, en especial en las pymes, en la innovación, en los obstáculos a la entrada a dicho mercado y en los costes para los usuarios finales. A continuación, la Comisión, sobre la base de la propuesta de esquema presentada por ENISA, debe estar facultada para adoptar el esquema europeo de certificación de la ciberseguridad mediante actos de ejecución. Teniendo en cuenta la finalidad general y los objetivos de seguridad definidos en el presente Reglamento, los esquemas europeos de certificación de la ciberseguridad adoptados por la Comisión deben especificar un conjunto mínimo de elementos relacionados con el objeto, alcance y funcionamiento del esquema concreto.
Entre ellos deben figurar el alcance y objeto de la certificación de la ciberseguridad, incluidas las categorías de productos, servicios y procesos de TIC que cubre, la especificación detallada de los requisitos de ciberseguridad, por ejemplo haciendo referencia a normas o especificaciones técnicas, los criterios y métodos de evaluación específicos, así como el nivel de garantía previsto («básico», «sustancial» o «elevado») y los niveles de evaluación cuando proceda. ENISA debe poder rechazar una solicitud del GECC. Corresponde al Consejo de Administración adoptar tales decisiones y deben estar debidamente motivadas.
(85) ENISA debe encargarse del mantenimiento de un sitio web que facilite información y publicidad sobre los esquemas europeos de certificación de la ciberseguridad, que debe incluir, entre otras cosas, las solicitudes para preparar una propuesta de esquema europeo de certificación de la ciberseguridad y los comentarios recibidos en el proceso de consulta llevado a cabo por ENISA en la fase de preparación. El sitio web también debe proporcionar información sobre los certificados europeos de la ciberseguridad y las declaraciones de conformidad de la UE expedidos en virtud del presente Reglamento, incluyendo información relativa a la retirada y expiración de dichos certificados europeos de la ciberseguridad y las declaraciones de conformidad de la UE. El sitio web debe indicar asimismo aquellos esquemas nacionales de certificación de la ciberseguridad que hayan sido sustituidos por un esquema europeo de certificación de la ciberseguridad.
(86) El nivel de garantía de un esquema europeo de certificación constituye la base para confiar en que un producto, servicio o proceso de TIC cumple los requisitos sobre seguridad de un esquema europeo de certificación de la ciberseguridad específico. Con el fin de garantizar la coherencia del marco europeo de certificación de la ciberseguridad, un esquema europeo de certificación de la ciberseguridad podría especificar niveles de garantía para los certificados europeos de ciberseguridad y las declaraciones de conformidad de la UE expedidos con arreglo a dicho esquema. Cada certificado europeo de ciberseguridad podría referirse a uno de los niveles de garantía («básico», «sustancial» o «elevado»), mientras que la declaración de conformidad de la UE solo podría referirse al nivel de garantía «básico». Los niveles de garantía deberían prever el rigor y la amplitud correspondientes para la evaluación del producto, servicio o proceso de TIC y deberían determinarse por referencia a especificaciones técnicas, normas y procedimientos relacionados, incluidos los controles técnicos, cuyo objetivo es reducir o evitar incidentes. Cada nivel de garantía debe ser coherente en los distintos ámbitos sectoriales a los que se aplica la certificación.
(87) Un esquema europeo de certificación de la ciberseguridad podrá especificar varios niveles de evaluación en función del rigor y lo exhaustivo de la metodología de evaluación utilizada. Los niveles de evaluación deben equivaler a uno de los niveles de garantía y deben asociarse con una combinación adecuada de componentes de garantía. En todos los niveles de garantía, el producto, servicio o proceso de TIC debe contener varias funciones de seguridad, definidas por el esquema, que pueden incluir una configuración innovadora segura, un código firmado, una actualización segura, la reducción de programas intrusos y la protección total de las memorias tanto de pila (stack) como de almacenamiento libre o dinámico (heap). Una vez creadas, dichas funciones deben conservarse utilizando fórmulas de desarrollo centradas en la seguridad e instrumentos asociados para garantizar que se incorporen mecanismos eficaces de forma fiable tanto programas informáticos como equipos informáticos.
(88) En el caso del nivel de garantía «básico», la evaluación debe regirse al menos por los siguientes componentes de garantía: la evaluación debe incluir como mínimo una revisión de la documentación técnica del producto, servicio o proceso de TIC por el organismo de evaluación de la conformidad. Cuando la certificación incluya procesos de TIC, también debe someterse a la revisión técnica el proceso utilizado para diseñar, desarrollar y mantener un producto o un servicio de TIC. En los casos en que un esquema europeo de certificación de la ciberseguridad establezca una autoevaluación de la conformidad, debe ser suficiente con que el fabricante o proveedor de los productos, servicios o procesos de TIC haya llevado a cabo una autoevaluación sobre el cumplimiento de los procesos, productos o servicios de TIC con respecto al esquema de certificación.
(89) En el caso del nivel de garantía «sustancial», la evaluación, además de cumplir con lo indicado para el nivel de garantía «básico», debe regirse al menos por la verificación del cumplimiento de las funcionalidades de seguridad del producto, servicio o proceso de TIC con respecto a su documentación técnica.
(90) Para el nivel de garantía «elevado», la evaluación, además de cumplir con lo indicado para el nivel de garantía «sustancial», debe regirse al menos por una prueba de eficacia que evalúe la resistencia de las funcionalidades de seguridad del producto, servicio o proceso de TIC frente a ciberataques complejos efectuados por personas que tienen habilidades y recursos significativos.
(91) El recurso a la certificación europea de la ciberseguridad y a la declaración de conformidad de la UE debe seguir siendo voluntario, salvo que se disponga otra cosa en el Derecho de la Unión o en el Derecho de los Estados miembros adoptado con arreglo al Derecho de la Unión. Puesto que el Derecho no está armonizado, los Estados miembros deben poder adoptar reglamentos técnicos nacionales que establezcan la certificación obligatoria en virtud de un esquema europeo de certificación de la ciberseguridad de conformidad con la Directiva (UE) 2015/1535 del Parlamento Europeo y del Consejo (20). Los Estados miembros también pueden recurrir a la certificación europea de la ciberseguridad en el contexto de la contratación pública y de la Directiva 2014/24/UE del Parlamento Europeo y del Consejo (21).
(92) Para mejorar el nivel de la ciberseguridad de algunos ámbitos en la Unión Europea, en el futuro podría revelarse necesario convertir en obligatorias para algunos productos, servicios o procesos de TIC, determinadas exigencias específicas en materia de ciberseguridad, así como la certificación relacionada con ella. La Comisión debe realizar de forma periódica un seguimiento de la incidencia de los esquemas de certificación adoptados sobre la disponibilidad en el mercado interior de productos, servicios y procesos de TIC seguros y evaluar periódicamente el grado de utilización de los esquemas de certificación para los fabricantes y proveedores de productos, servicios y procesos de TIC en la Unión. Sería conveniente analizar la eficacia de los esquemas europeos de certificación de la ciberseguridad y si determinados esquemas deben convertirse en obligatorios a la luz de la legislación de la Unión relativa a la ciberseguridad, en particular la Directiva (UE) 2016/1148, teniendo en cuenta la seguridad de las redes y los sistemas de información utilizados por los operadores de servicios esenciales.
(93) Los certificados europeos de la ciberseguridad y las declaraciones de conformidad de la UE deben ayudar a los usuarios finales a elegir con conocimiento de causa. Así pues, los productos, servicios y procesos de TIC que han sido certificados o para los que se ha expedido una declaración de conformidad de la UE deben ir acompañados de información estructurada, adaptada al nivel técnico previsto del usuario al que se destinan. Toda la información debe estar disponible en línea, y cuando proceda, podría estar disponible en formato físico. El usuario final debe poder tener acceso a informaciones relativas al número de referencia del esquema de certificación, al nivel de garantía, a la descripción de riesgos relacionados con la ciberseguridad asociados al producto, servicio o proceso de TIC, a la autoridad u organismo emisor, o debe poder obtener una copia del certificado europeo de ciberseguridad. Además, debe informarse al usuario final sobre la política de apoyo a la ciberseguridad (es decir, durante cuánto tiempo podrá el usuario final esperar recibir actualizaciones y correcciones de la ciberseguridad) del fabricante o del proveedor de productos, servicios o procesos de TIC. Cuando proceda, debe recibir orientaciones sobre las acciones o los ajustes que el usuario final podrá ejecutar para mantener o aumentar la ciberseguridad de productos, servicios o procesos de TIC, y ser informado sobre un punto de contacto único para comunicarse y recibir apoyo en caso de ciberataques (además de la comunicación automática). Dicha información debe actualizarse periódicamente y estar disponible en un sitio web que facilite información sobre los esquemas europeos de certificación de la ciberseguridad.
(94) Con vistas a alcanzar los objetivos del presente Reglamento y evitar la fragmentación del mercado interior, los esquemas o procedimientos nacionales de certificación de la ciberseguridad para productos, servicios o procesos de TIC cubiertos por un esquema europeo de certificación de la ciberseguridad deben dejar de surtir efecto a partir de una fecha establecida por la Comisión en el acto de ejecución. Además, los Estados miembros deben abstenerse de introducir nuevos esquemas nacionales de certificación de la ciberseguridad para productos, servicios o procesos de TIC cubiertos ya por un esquema europeo de certificación de la ciberseguridad existente. No obstante, no debe impedirse a los Estados miembros adoptar o conservar esquemas nacionales de certificación de la ciberseguridad con fines de seguridad nacional. Los Estados miembros deben comunicar a la Comisión y al GECC su intención de introducir nuevos esquemas nacionales de certificación de la ciberseguridad. La Comisión y el GECC deben evaluar el impacto del nuevo esquema nacional de certificación de la ciberseguridad sobre el correcto funcionamiento del mercado interior, y ponderar el posible interés estratégico de solicitar en su lugar un esquema europeo de certificación de la ciberseguridad.
(95) Los esquemas europeos de certificación de la ciberseguridad están destinados a ayudar a la armonización de las prácticas de ciberseguridad dentro de la Unión. Han de contribuir a aumentar el nivel de seguridad en el seno de la Unión. Además, cuando se conciban estos esquemas debe tenerse en cuenta y permitirse la introducción de innovaciones en materia de ciberseguridad.
(96) Los esquemas europeos de certificación de la ciberseguridad deben tener en cuenta los métodos actuales de desarrollo de programas informáticos y sus correspondientes equipos y, en especial, el impacto de las frecuentes actualizaciones de los programas informáticos o de los microprogramas incorporados sobre los certificados europeos de la ciberseguridad individuales. Los esquemas europeos de certificación de la ciberseguridad deben especificar las condiciones en que una actualización podrá exigir que un producto, servicio o proceso de TIC tenga que volver a ser certificado o que se reduzca el ámbito de un certificado europeo de la ciberseguridad específico, teniendo en cuenta cualquier posible efecto negativo de la actualización sobre la conformidad con los requisitos de seguridad del certificado.
(97) Una vez que se adopte un esquema europeo de certificación de la ciberseguridad, los fabricantes o proveedores de productos, servicios o procesos de TIC deben tener la posibilidad de presentar una solicitud de certificación de sus productos o servicios de TIC al organismo de evaluación de la conformidad que prefieran en cualquier parte de la Unión. Los organismos de evaluación de la conformidad deben ser acreditados por un organismo nacional de acreditación si cumplen determinados requisitos especificados en el presente Reglamento. La acreditación debe expedirse por un período máximo de cinco años y debe renovarse en las mismas condiciones, siempre y cuando el organismo de evaluación de la conformidad cumpla los requisitos. Los organismos nacionales de acreditación deben restringir, suspender o revocar la acreditación de un organismo de evaluación de la conformidad cuando las condiciones de la acreditación no se cumplan, o hayan dejado de cumplirse, o si la actuación de dicho organismo de evaluación de la conformidad viola el presente Reglamento.
(98) Las referencias en la legislación nacional a normas nacionales que hayan dejado de producir efectos jurídicos debido a la entrada en vigor de un esquema europeo de certificación de la ciberseguridad pueden ser una fuente de confusión. Por consiguiente, los Estados miembros deben reflejar en sus legislaciones nacionales la adopción de un esquema europeo de certificación de la ciberseguridad.
(99) Para conseguir una equivalencia normativa en toda la Unión, facilitar el reconocimiento mutuo y favorecer la aceptación global de los certificados europeos de la ciberseguridad y declaraciones de conformidad de la UE, es necesario poner a punto un sistema de evaluación interpares entre las autoridades nacionales de certificación de la ciberseguridad. Dicha evaluación interpares debe abarcar la conformidad de los procedimientos de supervisión de los productos, servicios y procesos de TIC con los correspondientes certificados europeos de la ciberseguridad, de vigilancia del respeto de las obligaciones de los fabricantes o de los proveedores de los productos, servicios y procesos de TIC que realizan una autoevaluación de la conformidad y de vigilancia de la conformidad de los organismos de evaluación, así como la adecuación de los conocimientos especializados del personal de los organismos que expiden los certificados para niveles de garantía «elevados». La Comisión, mediante un acto de ejecución, debe poder establecer al menos un plan quinquenal para la evaluación interpares, además de fijar los criterios y métodos de funcionamiento de dicho sistema de evaluación interpares.
(100) Sin perjuicio del sistema general de evaluación interpares que se establezca entre todas las autoridades nacionales de certificación de la ciberseguridad en relación con el marco de certificación europea de la ciberseguridad, determinados esquemas de certificación europea de la ciberseguridad pueden incluir un mecanismo de evaluación interpares para aquellos organismos que expidan certificados europeos de ciberseguridad de los productos, servicios y procesos de TIC con un nivel de garantía «elevado» en aplicación de dichos esquemas. El GECC debe apoyar la aplicación de dichos mecanismos de evaluación interpares. Dichas evaluaciones interpares deben establecer en particular si los organismos de que se trate desempeñan sus cometidos de forma armonizada y pueden incluir vías de recurso. Los resultados de las evaluaciones interpares deben hacerse públicos. Estos organismos pueden adoptar las medidas apropiadas para adaptar sus prácticas y sus conocimientos especializados en consecuencia.
(101) Los Estados miembros deben designar a una o más autoridades nacionales de certificación de la ciberseguridad para supervisar el cumplimiento de las obligaciones derivadas del presente Reglamento. Una autoridad nacional de certificación de la ciberseguridad puede ser una existente o una nueva autoridad. Asimismo, un Estado miembro debe poder designar, previo acuerdo con otro Estado miembro, a una o más autoridades nacionales de certificación de la ciberseguridad en el territorio de ese otro Estado miembro.
(102) En particular, las autoridades nacionales de certificación de la ciberseguridad deben supervisar y hacer cumplir las obligaciones de los fabricantes o proveedores de productos, servicios o procesos de TIC establecidos en sus territorios respectivos en relación con la declaración de conformidad de la UE, asistir a los organismos de acreditación nacionales en el proceso de seguimiento y supervisión de las actividades de los organismos de evaluación de la conformidad facilitándoles conocimientos especializados e información pertinente, autorizar a los organismos de evaluación de la conformidad a desempeñar sus funciones cuando cumplen los requisitos adicionales establecidos en un esquema europeo de certificación de la ciberseguridad y hacer el seguimiento de la correspondiente evolución en el ámbito de la certificación de la ciberseguridad. Las autoridades nacionales de certificación de la ciberseguridad deben tramitar las reclamaciones presentadas por personas físicas o jurídicas en relación con los certificados europeos de la ciberseguridad expedidos por ellas o en relación con los certificados europeos de la ciberseguridad expedidos por los organismos de evaluación de la conformidad, cuando dichos certificados se refieran al nivel de garantía «elevado», deben investigar el asunto objeto de la reclamación en la medida que proceda e informar al reclamante sobre el curso y el resultado de la investigación en un plazo razonable. Además, las autoridades nacionales de certificación de la ciberseguridad deben cooperar con otras autoridades nacionales de certificación de la ciberseguridad u otras autoridades públicas, en particular mediante el intercambio de información sobre posibles productos, servicios y procesos de TIC que no se ajusten a los requisitos del presente Reglamento o de esquemas europeos de certificación de la ciberseguridad específicos. La Comisión debe facilitar ese intercambio de información poniendo a disposición un sistema electrónico general de apoyo a la información, por ejemplo, el sistema de información y comunicación para la vigilancia del mercado (siglas inglesas ICSMS) o el sistema de alerta rápida para productos peligrosos no alimenticios (RAPEX), ya utilizados por las autoridades de vigilancia del mercado en virtud del Reglamento (CE) n.º 765/2008.
(103) Con vistas a garantizar la aplicación coherente del marco europeo de certificación de la ciberseguridad, debe establecerse un GECC, constituido por representantes de las autoridades nacionales de certificación de la ciberseguridad u otras autoridades nacionales pertinentes. Los cometidos principales del GECC deben ser asesorar y asistir a la Comisión en su labor de garantizar una implantación y aplicación coherentes del marco europeo de certificación de la ciberseguridad; asistir y cooperar estrechamente con ENISA en la preparación de las propuestas de esquemas de certificación de la ciberseguridad, en casos debidamente justificados solicitar a ENISA que prepare una propuesta de esquema, y adoptar dictámenes dirigidos a ENISA sobre propuestas de esquemas y adoptar dictámenes dirigidos a la Comisión relativos al mantenimiento y revisión de los esquemas europeos de certificación de la ciberseguridad existentes. El GECC debe facilitar el intercambio de buenas prácticas y conocimientos especializados entre las diferentes autoridades nacionales de certificación de la ciberseguridad responsables de la autorización de los organismos de evaluación de la conformidad y la expedición de certificados europeos de la ciberseguridad.
(104) Con el fin de reforzar la sensibilización y facilitar la aceptación de los futuros esquemas europeos de certificación de ciberseguridad, la Comisión puede formular directrices generales o sectoriales en materia de ciberseguridad, por ejemplo, sobre buenas prácticas de ciberseguridad o sobre comportamiento responsable en materia de ciberseguridad, destacando el efecto positivo de la utilización de productos, servicios y procesos TIC certificados.
(105) Con el fin de seguir facilitando el comercio y reconociendo que las cadenas de suministro de TIC son mundiales, la Unión, de conformidad con el artículo 218 del Tratado de Funcionamiento de la Unión Europea (TFUE), puede celebrar acuerdos de reconocimiento mutuo relativos a certificados europeos de ciberseguridad. La Comisión, teniendo en cuenta el asesoramiento de ENISA y del GECC, puede recomendar que se inicien las negociaciones correspondientes. Cada esquema europeo de certificación de la ciberseguridad debe proporcionar condiciones específicas para dichos acuerdos de reconocimiento mutuo con terceros países.
(106) A fin de garantizar unas condiciones uniformes para la aplicación del presente Reglamento, deben conferirse a la Comisión competencias de ejecución. Dichas competencias deben ejercerse de conformidad con el Reglamento (UE) n.º 182/2011 del Parlamento Europeo y del Consejo (22).
(107) Debe utilizarse el procedimiento de examen para la adopción de los actos de ejecución sobre los esquemas europeos de certificación de la ciberseguridad de productos, servicios o procesos de TIC, para la adopción de los actos de ejecución sobre las disposiciones de ejecución de las investigaciones por parte de ENISA; para la adopción de los actos de ejecución sobre un plan para la revisión interpares de las autoridades nacionales de certificación de la ciberseguridad y para la adopción de los actos de ejecución sobre las circunstancias, formatos y procedimientos de notificación a la Comisión por parte de los organismos de evaluación de la conformidad acreditados por las autoridades nacionales de certificación de la ciberseguridad.
(108) Las actividades de ENISA deben evaluarse de modo periódico e independiente. La evaluación debe tener en cuenta el logro de sus objetivos por parte de ENISA, sus prácticas de trabajo y la pertinencia de sus tareas, en particular sus tareas relativas a la cooperación operativa a nivel de la Unión. La evaluación también debe valorar el impacto, eficacia y eficiencia del marco europeo de certificación de la ciberseguridad. En caso de procederse a una revisión, la Comisión debe evaluar el modo de reforzar el papel de ENISA como punto de referencia en materia de asesoramiento y conocimiento especializado y debe también evaluar que se encomiende a ENISA el cometido de apoyar la evaluación de los productos, servicios y procesos de TIC de terceros países que no cumplan las normas de la Unión, cuando dichos productos, servicios y procesos entren en la Unión.
(109) Dado que los objetivos del presente Reglamento no pueden ser alcanzados de manera suficiente por los Estados miembros, sino que, pueden lograrse mejor a escala de la Unión, esta puede adoptar medidas, de acuerdo con el principio de subsidiariedad establecido en el artículo 5 del Tratado de la Unión Europea (TUE). De conformidad con el principio de proporcionalidad establecido en el mismo artículo, el presente Reglamento no excede de lo necesario para alcanzar dichos objetivos.
(110) Procede derogar el Reglamento (UE) n.º 526/2013.
HAN ADOPTADO EL PRESENTE REGLAMENTO: