Acerca de operadores lógicos
Preambulo ciberseguridad en la Unión
Preambulo
EL PARLAMENTO EUROPEO Y EL CONSEJO DE LA UNIÓN EUROPEA,
Visto el Tratado de Funcionamiento de la Unión Europea, y en particular su artículo 114,
Vista la propuesta de la Comisión Europea,
Previa transmisión del proyecto de acto legislativo a los Parlamentos nacionales,
Visto el dictamen del Banco Central Europeo (1),
Visto el dictamen del Comité Económico y Social Europeo (2),
Previa consulta al Comité de las Regiones,
De conformidad con el procedimiento legislativo ordinario (3),
Considerando lo siguiente:
(1) El objetivo de la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo (4) era desarrollar las capacidades en materia de ciberseguridad en toda la Unión, reducir las amenazas para los sistemas de redes y de información utilizados para prestar servicios esenciales en sectores fundamentales, y garantizar la continuidad de dichos servicios en caso de incidentes, contribuyendo así a la seguridad de la Unión y al funcionamiento eficaz de su economía y su sociedad.
(2) Desde la entrada en vigor de la Directiva (UE) 2016/1148 se han logrado considerables progresos en el incremento del nivel de ciberresiliencia de la Unión. La revisión de dicha Directiva ha demostrado que ha servido de catalizador del enfoque institucional y normativo relativo a la ciberseguridad en la Unión, preparando el camino para un cambio significativo de mentalidad. Con ella se ha logrado la realización de marcos nacionales de seguridad de los sistemas de redes y de información mediante la definición de estrategias nacionales de seguridad de los sistemas de redes y de información, el establecimiento de capacidades nacionales y la aplicación de medidas reguladoras que abarcan a las entidades y las infraestructuras esenciales determinadas por cada Estado miembro. Asimismo, la Directiva (UE) 2016/1148 ha propiciado la cooperación a nivel de la Unión mediante el establecimiento del Grupo de Cooperación y de la red de equipos de respuesta a incidentes de seguridad informática. A pesar de estos logros, la revisión de la Directiva (UE) 2016/1148 ha puesto de manifiesto algunas deficiencias inherentes que le impiden abordar eficazmente los retos actuales y emergentes en el ámbito de la ciberseguridad.
(3) Los sistemas de redes y de información se han convertido en un aspecto crucial del día a día gracias a la velocidad de la transformación digital y la interconexión de la sociedad, también en los intercambios transfronterizos. Esta evolución ha causado una expansión del panorama de las ciberamenazas, con la consiguiente aparición de nuevos desafíos que requieren respuestas adaptadas, coordinadas e innovadoras en todos los Estados miembros. El número, la magnitud, la sofisticación, la frecuencia y los efectos de los incidentes van en aumento y representan una grave amenaza para el funcionamiento de los sistemas de redes y de información. Como consecuencia de ello, los incidentes pueden interrumpir las actividades económicas en el mercado interior, generar pérdidas financieras, mermar la confianza de los usuarios y ocasionar grandes daños a la economía y la sociedad de la Unión. Por consiguiente, la preparación y la eficacia en materia de ciberseguridad son más esenciales que nunca para que el mercado interior funcione correctamente. Además, la ciberseguridad es un factor facilitador esencial para que muchos sectores críticos se sumen con éxito a la transformación digital y aprovechen plenamente las ventajas económicas, sociales y sostenibles de la digitalización.
(4) La base jurídica de la Directiva (UE) 2016/1148 era el artículo 114 del Tratado de Funcionamiento de la Unión Europea (TFUE), cuyo objetivo es el establecimiento y el funcionamiento del mercado interior mediante el refuerzo de las medidas destinadas a la aproximación de las normas nacionales. Los requisitos de ciberseguridad que se imponen a las entidades que prestan servicios o realizan actividades que son significativas desde el punto de vista económico varían considerablemente en función del Estado miembro por lo que respecta al tipo de requisitos, su nivel de detalle y el método de supervisión. Tales disparidades conllevan costes suplementarios y generan dificultades para las entidades que ofrecen productos o servicios transfronterizos. Los requisitos impuestos por un Estado miembro que difieren de los aplicados por otro Estado miembro, o incluso los contradicen, pueden afectar sustancialmente a esas actividades transfronterizas. Además, es probable que una concepción o aplicación inadecuadas de los requisitos de ciberseguridad en un Estado miembro tenga repercusiones para el nivel de ciberseguridad de otros Estados miembros, máxime si se tiene en cuenta la intensidad de los intercambios transfronterizos. La revisión de la Directiva (UE) 2016/1148 ha puesto de manifiesto la existencia de grandes diferencias en su aplicación por parte de los Estados miembros, en particular por lo que respecta a su ámbito de aplicación, cuya delimitación se dejó en gran medida a discreción de los Estados miembros. Asimismo, la Directiva (UE) 2016/1148 confería a los Estados miembros una discrecionalidad muy amplia en lo tocante a la aplicación de las obligaciones de seguridad y notificación de incidentes que en ella se establecían. En consecuencia, dichas obligaciones venían aplicándose de manera considerablemente diferente en cada Estado miembro. También existen diferencias similares en la aplicación de las disposiciones de la Directiva (UE) 2016/1148 sobre supervisión y observancia.
(5) Todas esas diferencias conllevan una fragmentación del mercado interior y pueden tener efectos perjudiciales para su funcionamiento, afectando, en particular, a la prestación transfronteriza de servicios y al nivel de ciberresiliencia debido a la aplicación de medidas dispares. En última instancia, esas diferencias podrían derivar en una mayor vulnerabilidad de algunos Estados miembros frente a las ciberamenazas, cuyos efectos podrían sentirse en toda la Unión. El objetivo de la presente Directiva es eliminar estas divergencias tan pronunciadas entre los Estados miembros, concretamente mediante la definición de normas mínimas relativas al funcionamiento de un marco regulador coordinado, el establecimiento de mecanismos para que las autoridades competentes de cada Estado miembro cooperen de manera eficaz, la actualización de la lista de sectores y actividades sujetos a las obligaciones de ciberseguridad y la disponibilidad de vías de recurso y medidas de ejecución eficaces que son fundamentales para garantizar el cumplimiento efectivo de dichas obligaciones. Por consiguiente, procede derogar la Directiva (UE) 2016/1148 y sustituirla por la presente Directiva.
(6) Con la derogación de la Directiva (UE) 2016/1148, es preciso ampliar el ámbito de aplicación por sectores a una parte más extensa de la economía para ofrecer una cobertura completa de los sectores y servicios de vital importancia para las actividades sociales y económicas fundamentales dentro del mercado interior. En particular, la presente Directiva pretende tratar de superar las deficiencias de la diferenciación entre operadores de servicios esenciales y proveedores de servicios digitales, que ha quedado demostrado que es obsoleta al no reflejar la importancia de los sectores o servicios para las actividades sociales y económicas en el mercado interior.
(7) Con arreglo a la Directiva (UE) 2016/1148, los Estados miembros eran responsables de identificar las entidades que cumplían los criterios para ser consideradas operadores de servicios esenciales. A fin de eliminar las profundas divergencias entre los Estados miembros en ese sentido y garantizar la seguridad jurídica para todas las entidades pertinentes en lo que se refiere a las medidas para la gestión de riesgos de ciberseguridad y las obligaciones de notificación, debe establecerse un criterio uniforme que determine las entidades que están incluidas en el ámbito de aplicación de la presente Directiva. Dicho criterio debe consistir en la aplicación de una norma sobre tamaño máximo con arreglo a la cual todas las entidades que sean consideradas medianas empresas con arreglo al artículo 2 del anexo de la Recomendación 2003/361/CE de la Comisión (5) o superen los límites máximos para las medianas empresas previstos en el apartado 1 de dicho artículo y que operen en los sectores y presten el tipo de servicios o lleven a cabo las actividades a que se aplica la presente Directiva queden incluidas en su ámbito de aplicación. Los Estados miembros también deben disponer que determinadas pequeñas empresas y microempresas, tal como se definen en el artículo 2, apartados 2 y 3, de dicho anexo, que cumplan criterios específicos que pongan de manifiesto su papel clave para la sociedad, la economía o para determinados sectores o tipos de servicios, queden comprendidas en el ámbito de aplicación de la presente Directiva.
(8) La exclusión de las entidades de la Administración pública del ámbito de aplicación de la presente Directiva debe aplicarse a las entidades cuyas actividades se lleven a cabo principalmente en los ámbitos de la seguridad nacional, la seguridad pública, la defensa, o la garantía del cumplimiento de la ley, incluidas la prevención, investigación, detección y enjuiciamiento de infracciones penales. No obstante, las entidades de la Administración pública cuyas actividades solo estén relacionadas marginalmente con dichos ámbitos no deben quedar excluidas del ámbito de aplicación de la presente Directiva. A los efectos de la presente Directiva, se considera que las entidades con competencias reguladoras no realizan actividades en el ámbito de la garantía del cumplimiento de la ley y, por lo tanto, no quedan excluidas por ese motivo del ámbito de aplicación de la presente Directiva. Las entidades de la Administración pública establecidas conjuntamente con un tercer país conforme a un acuerdo internacional quedan excluidas del ámbito de aplicación de la presente Directiva. La presente Directiva no se aplica a las misiones diplomáticas y consulares de los Estados miembros en terceros países ni a sus sistemas de redes y de información, en la medida en que dichos sistemas estén situados en las dependencias de la misión o se utilicen para usuarios ubicados en un tercer país.
(9) Los Estados miembros deben tener la capacidad de adoptar las medidas necesarias para garantizar la protección de los intereses esenciales de seguridad nacional, preservar el orden público y la seguridad pública, y permitir la prevención, investigación, detección y enjuiciamiento de infracciones penales. A tal fin, los Estados miembros deben poder eximir a las entidades específicas que llevan a cabo actividades en los ámbitos de la seguridad nacional, la seguridad pública, la defensa o la garantía del cumplimiento de la ley, incluidas las de prevención, investigación, detección y enjuiciamiento de infracciones penales, de determinadas obligaciones establecidas en la presente Directiva en relación con dichas actividades. Cuando una entidad preste servicios exclusivamente a una entidad de la Administración pública excluida del ámbito de aplicación de la presente Directiva, los Estados miembros deben poder eximir a dicha entidad de determinadas obligaciones establecidas en la presente Directiva en relación con dichos servicios. Además, ningún Estado miembro debe estar obligado a facilitar información cuya divulgación sea contraria a los intereses esenciales de su seguridad nacional, seguridad pública o defensa. Deben tenerse en cuenta a estos efectos las normas de la Unión o nacionales en materia de protección de la información clasificada, los acuerdos sobre confidencialidad y los acuerdos de confidencialidad informales como el Protocolo TLP para el intercambio de información (Protocolo TLP, por sus siglas en inglés). El Protocolo TLP debe entenderse como un medio para facilitar información sobre cualquier limitación de la difusión ulterior de la información. Se utiliza en casi todos los equipos de respuesta a incidentes de seguridad informática (CSIRT, por sus siglas en inglés) y en algunos centros de puesta en común y análisis de la información.
(10) Aunque la presente Directiva se aplica a las entidades que realizan actividades de producción de electricidad en centrales nucleares, algunas de esas actividades pueden tener vinculación con la seguridad nacional. En ese caso, los Estados miembros deben poder ejercer su responsabilidad de preservar la seguridad nacional con respecto a dichas actividades, incluidas las actividades dentro de la cadena de valor nuclear, de conformidad con los Tratados.
(11) Algunas entidades llevan a cabo actividades en el ámbito de la seguridad nacional, la seguridad pública, la defensa o la garantía del cumplimiento de la ley, incluidas la prevención, investigación, detección y enjuiciamiento de infracciones penales, al tiempo que prestan servicios de confianza. Los prestadores de servicios de confianza incluidos en el ámbito de aplicación del Reglamento (UE) n.o 910/2014 del Parlamento Europeo y del Consejo (6) deben estar comprendidos en el ámbito de aplicación de la presente Directiva a fin de garantizar el mismo nivel de requisitos de seguridad y supervisión que el establecido anteriormente en dicho Reglamento por lo que respecta a los prestadores de servicios de confianza. En consonancia con la exclusión de determinados servicios del Reglamento (UE) n.o 910/2014, la presente Directiva no debe aplicarse a la prestación de servicios de confianza utilizados exclusivamente dentro de sistemas cerrados resultantes del Derecho nacional o de acuerdos entre un conjunto definido de participantes.
(12) Los proveedores de servicios postales tal como se definen en la Directiva 97/67/CE del Parlamento Europeo y del Consejo (7), incluidos los proveedores de servicios de mensajería, deben estar sujetos a la presente Directiva si se ocupan de al menos una de las fases de la cadena de distribución postal y en particular de la recogida, la clasificación, el transporte o la distribución de envíos postales, incluida la recogida por el destinatario, teniendo en cuenta al mismo tiempo su grado de dependencia de los sistemas de redes y de información. Los servicios de transporte que no se lleven a cabo en combinación con alguna de esas fases deben quedar excluidos del ámbito de los servicios postales.
(13) Dada la intensificación y la mayor sofisticación de las ciberamenazas, los Estados miembros deben esforzarse por garantizar que las entidades excluidas del ámbito de aplicación de la presente Directiva alcancen un elevado nivel de ciberseguridad y por apoyar la aplicación de medidas equivalentes de gestión de riesgos de ciberseguridad que reflejen el carácter sensible de dichas entidades.
(14) El Derecho de la Unión en materia de protección de datos y de la intimidad se aplica a todo tratamiento de datos personales realizado en virtud de la presente Directiva. En particular, la presente Directiva se entiende sin perjuicio de lo dispuesto en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (8) y en la Directiva 2002/58/CE del Parlamento Europeo y del Consejo (9). Por consiguiente, la presente Directiva no debe afectar, en particular, a los cometidos y competencias de las autoridades competentes para supervisar el cumplimiento del Derecho de la Unión en materia de protección de datos y de la intimidad aplicables.
(15) Las entidades incluidas en el ámbito de aplicación de la presente Directiva a efectos del cumplimiento de las medidas para la gestión de riesgos de ciberseguridad deben clasificarse en dos categorías, entidades esenciales y entidades importantes, en función del grado de criticidad de sus sectores o del tipo de servicio que prestan, así como de su tamaño. A este respecto, deben tenerse debidamente en cuenta las correspondientes evaluaciones de riesgos sectoriales o las orientaciones de las autoridades competentes, en su caso. Se han de diferenciar los regímenes de supervisión y de garantía del cumplimiento de las dos categorías de entidades para garantizar un equilibrio justo entre los requisitos y las obligaciones en función del riesgo, por un lado, y la carga administrativa derivada de la supervisión del cumplimiento, por el otro.
(16) A fin de evitar que las entidades que tengan empresas asociadas o que sean empresas vinculadas se consideren entidades esenciales o importantes cuando ello sea desproporcionado, los Estados miembros deben tener la posibilidad de tomar en consideración el grado de independencia de que goza la entidad en relación con sus empresas asociadas o vinculadas al aplicar el artículo 6, apartado 2, del anexo de la Recomendación 2003/361/CE. En particular, los Estados miembros han de poder tener en cuenta el hecho de que una entidad sea independiente de sus empresas asociadas o vinculadas por lo que se refiere a los sistemas de redes y de información que dicha entidad utiliza para la prestación de sus servicios y en cuanto a los servicios que la entidad presta. Así, los Estados miembros deben poder tomar en consideración, en su caso, que la entidad no puede ser considerada mediana empresa con arreglo al artículo 2 del anexo de la Recomendación 2003/361/CE, o no supera los límites máximos para una mediana empresa que prevé el apartado 1 de dicho artículo si, tras tener en cuenta el grado de independencia de dicha entidad, no se consideraría como mediana empresa o que supera dichos límites máximos de haberse tenido en cuenta únicamente sus propios datos. Esto no afecta a las obligaciones que establece la presente Directiva incumben a las empresas asociadas y vinculadas incluidas en el ámbito de aplicación de la presente Directiva.
(17) Los Estados miembros han de poder decidir que las entidades que antes de la entrada en vigor de la presente Directiva eran consideradas operadores de servicios esenciales de conformidad con la Directiva (UE) 2016/1148 pasen a ser consideradas entidades esenciales.
(18) A fin de garantizar una visión clara de las entidades incluidas en el ámbito de aplicación de la presente Directiva, los Estados miembros deben elaborar una lista de las entidades esenciales e importantes así como de entidades que prestan servicios de registro de nombres de dominio. A tal fin, los Estados miembros deben exigir a las entidades que presenten, al menos, la siguiente información a las autoridades competentes, a saber, el nombre, la dirección y los datos de contacto actualizados, incluidas las direcciones de correo electrónico, los rangos de IP y los números de teléfono de la entidad, y en su caso, el sector y subsector pertinente contemplados en los anexos, así como en su caso, una lista de los Estados miembros en los que prestan servicios incluidos en el ámbito de aplicación de la presente Directiva. A tal fin, la Comisión, asistida por la Agencia de la Unión Europea para la Ciberseguridad (ENISA), debe proporcionar sin demora indebida orientaciones y modelos relativos a la obligación de presentar información. Para facilitar la elaboración y la actualización de la lista de entidades esenciales e importantes así como de las entidades que prestan servicios de registro de nombres de dominio, los Estados miembros deben poder establecer mecanismos nacionales para que las entidades se inscriban ellas mismas. Cuando existan registros a nivel nacional, los Estados miembros han de poder decidir los mecanismos adecuados que permitan determinar las entidades incluidas en el ámbito de aplicación de la presente Directiva.
(19) Los Estados miembros deben ser responsables de presentar a la Comisión, al menos, el número de entidades esenciales e importantes en cada sector y subsector contemplados en los anexos, así como información pertinente sobre el número de entidades identificadas y la disposición de la presente Directiva con arreglo a la cual se hayan identificado, y el tipo de servicio que prestan. Se alienta a los Estados miembros a intercambiar con la Comisión información sobre las entidades esenciales e importantes y, en caso de incidente de ciberseguridad a gran escala, información pertinente, como el nombre de la entidad afectada.
(20) La Comisión, en cooperación con el Grupo de Cooperación y tras consultar a las partes interesadas pertinentes, debe proporcionar directrices sobre la aplicación de los criterios aplicables a las microempresas y pequeñas empresas para evaluar si están comprendidas en el ámbito de la presente Directiva. Asimismo, la Comisión ha de asegurarse de que se ofrezcan orientaciones adecuadas a todas las microempresas y pequeñas empresas incluidas en el ámbito de aplicación de la presente Directiva. La Comisión, con el apoyo de los Estados miembros, debe proporcionar información al respecto a las microempresas y pequeñas empresas.
(21) La Comisión podría ofrecer orientaciones para ayudar a los Estados miembros a aplicar las disposiciones de la presente Directiva sobre su ámbito de aplicación y a evaluar la proporcionalidad de las medidas que se adopten en virtud de ella, en particular por lo que respecta a las entidades con modelos empresariales o entornos operativos de tal complejidad que una entidad pueda cumplir simultáneamente los criterios correspondientes a las entidades esenciales y a las importantes o realizar simultáneamente tanto actividades que quedan comprendidas en el ámbito de aplicación de la presente Directiva como actividades que quedan fuera de él.
(22) La presente Directiva constituye la base de referencia para las medidas para la gestión de riesgos de ciberseguridad y las obligaciones de notificación en todos los sectores incluidos en su ámbito de aplicación. A fin de evitar la fragmentación de las disposiciones en materia de ciberseguridad de los actos jurídicos de la Unión, cuando se consideren necesarias disposiciones sectoriales suplementarias relativas a las medidas para la gestión de riesgos de ciberseguridad y las obligaciones de notificación para garantizar un elevado nivel de ciberseguridad en toda la Unión, la Comisión ha de evaluar si dichas disposiciones podrían establecerse en un acto de ejecución adoptado con arreglo a la presente Directiva. En caso de que dicho acto de ejecución no se adecue a esa finalidad, los actos jurídicos sectoriales de la Unión podrían contribuir a garantizar un nivel elevado de ciberseguridad en toda la Unión, teniendo al mismo tiempo plenamente en cuenta las especificidades y complejidades de los sectores de que se trate. A tal fin, la presente Directiva no es óbice para que se adopten nuevos actos jurídicos sectoriales de la Unión que aborden las medidas para la gestión de riesgos de ciberseguridad y las obligaciones de notificación y que tengan debidamente en cuenta la necesidad de un marco de ciberseguridad global y coherente. La presente Directiva debe entenderse sin perjuicio de las competencias de ejecución existentes que se han conferido a la Comisión en varios sectores, como, por ejemplo, el del transporte y la energía.
(23) Cuando un acto jurídico sectorial de la Unión incluya disposiciones que exijan a las entidades esenciales o importantes adoptar medidas para la gestión de riesgos de ciberseguridad o notificar los incidentes significativos y dichas obligaciones tengan un efecto al menos equivalente al de las obligaciones establecidas en la presente Directiva, se deben aplicar a las mencionadas entidades tales disposiciones, incluidas las relativas a la supervisión y la ejecución. Si un acto jurídico sectorial de la Unión no comprende todas las entidades de un sector concreto incluidas en el ámbito de aplicación de la presente Directiva, las disposiciones pertinentes de la presente Directiva deben seguir aplicándose a las entidades no comprendidas en dicho acto.
(24) Cuando las disposiciones de un acto jurídico sectorial de la Unión exijan a las entidades esenciales o importantes que cumplan obligaciones de notificación de efecto al menos equivalente a las obligaciones de notificación establecidas en la presente Directiva, deben garantizarse la coherencia y la eficacia de la tramitación de las notificaciones de incidentes. A tal fin, las disposiciones del acto jurídico sectorial de la Unión sobre notificación de incidentes deben proporcionar a los CSIRT, autoridades competentes o puntos de contacto únicos sobre ciberseguridad (en lo sucesivo, «puntos de contacto únicos») designados con arreglo a la presente Directiva acceso inmediato a las notificaciones de incidentes presentadas de conformidad con el acto jurídico sectorial de la Unión. En particular, tal acceso inmediato puede garantizarse si las notificaciones de incidentes se transmiten sin demora indebida al CSIRT, la autoridad competente o el punto de contacto único con arreglo a la presente Directiva. En su caso, los Estados miembros deben establecer un mecanismo de notificación automática y directa que garantice un intercambio sistemático e inmediato de información con los CSIRT, las autoridades competentes o los puntos de contacto únicos en relación con la tramitación de dichas notificaciones de incidentes. A fin de simplificar la notificación y de aplicar el mecanismo de notificación automática y directa, los Estados miembros, de conformidad con el acto jurídico sectorial de la Unión, podrían utilizar un punto de entrada único.
(25) Los actos jurídicos sectoriales de la Unión que requieran medidas para la gestión de riesgos de ciberseguridad u obligaciones de notificación que sean de efecto al menos equivalente al de las establecidas en la presente Directiva podrían disponer que sus autoridades competentes con arreglo a dichos actos ejerzan sus facultades de supervisión y ejecución relativas a tales medidas u obligaciones con la asistencia de las autoridades competentes con arreglo a la presente Directiva. Las autoridades competentes de que se trate podrían establecer acuerdos de cooperación a tal fin. Tales acuerdos de cooperación podrían especificar, entre otros elementos, los procedimientos relativos a la coordinación de las actividades de supervisión, en particular los procedimientos para las investigaciones y la inspecciones in situ de conformidad con el Derecho nacional, así como un mecanismo de intercambio de información pertinente en materia de supervisión y ejecución entre las autoridades competentes, que incluya acceso a la información sobre aspectos cibernéticos solicitada por las autoridades competentes con arreglo a la presente Directiva.
(26) Cuando los actos jurídicos sectoriales de la Unión exijan a las entidades que notifiquen ciberamenazas significativas, u ofrezcan incentivos para ello, los Estados miembros también deben fomentar la puesta en común de ciberamenazas significativas con los CSIRT, las autoridades competentes o los puntos de contacto únicos con arreglo a la presente Directiva, a fin de garantizar un mayor nivel de sensibilización de dichos organismos sobre el panorama de las ciberamenazas y permitirles responder de manera eficaz y rápida en caso de que se materialicen las ciberamenazas significativas.
(27) Los futuros actos jurídicos sectoriales de la Unión deben tener debidamente en cuenta las definiciones y el marco de supervisión y ejecución establecidos en la presente Directiva.
(28) El Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo (10) debe considerarse un acto jurídico de la Unión de carácter sectorial en relación con la presente Directiva por lo que respecta a las entidades financieras. En lugar de las disposiciones contempladas en la presente Directiva, deben aplicarse las disposiciones del Reglamento (UE) 2022/2554 relativas a las medidas de gestión de los riesgos de las tecnologías de la información y de las comunicaciones (TIC), la gestión de los incidentes relacionados con las TIC y, en particular, la notificación de incidentes graves relacionados con las TIC, así como las pruebas de la resiliencia operativa digital, los mecanismos de intercambio de información y los riesgos de terceros relacionados con las TIC. En consecuencia, los Estados miembros no deben aplicar a ninguna entidad financiera comprendida en el Reglamento (UE) 2022/2554 las disposiciones de la presente Directiva relativas a las obligaciones de gestión de los riesgos de ciberseguridad y de notificación y a la supervisión y la ejecución. Al mismo tiempo, es importante mantener una estrecha relación y el intercambio de información con el sector financiero en el marco de la presente Directiva. A tal fin, el Reglamento (UE) 2022/2554 permite a las Autoridades Europeas de Supervisión (AES) y a las autoridades competentes con arreglo a dicho Reglamento participar en las actividades del Grupo de Cooperación e intercambiar información y cooperar con los puntos de contacto únicos, así como con los CSIRT y las autoridades competentes designados en virtud de la presente Directiva. Las autoridades competentes a efectos del Reglamento (UE) 2022/2554 también deben transmitir información detallada sobre los incidentes graves relacionados con las TIC y, en su caso, sobre las ciberamenazas significativas, a los CSIRT, las autoridades competentes o los puntos de contacto únicos designados en virtud de la presente Directiva. Esto se puede conseguir facilitando el acceso inmediato a las notificaciones de incidentes y transmitiéndolas bien de forma, bien a través de un punto de entrada único para la notificación de incidentes. Además, los Estados miembros deben seguir incluyendo al sector financiero en sus estrategias de ciberseguridad y los CSIRT pueden ocuparse del sector financiero en sus actividades.
(29) A fin de evitar lagunas y duplicaciones entre las obligaciones en materia de ciberseguridad impuestas a las entidades del sector de la aviación, las autoridades nacionales contempladas en los Reglamentos (CE) n.o 300/2008 (11) y (UE) 2018/1139 (12) del Parlamento Europeo y del Consejo y las autoridades competentes con arreglo a la presente Directiva deben cooperar con respecto a la aplicación de las medidas para la gestión de riesgos de ciberseguridad y la supervisión del cumplimiento de dichas medidas a escala nacional. Las autoridades competentes con arreglo a la presente Directiva podrían considerar que el cumplimiento por parte de una entidad de los requisitos de seguridad establecidos en los Reglamentos (CE) n.o 300/2008 y (UE) 2018/1139 y en los actos delegados y de ejecución pertinentes adoptados en virtud de dichos Reglamentos constituye un cumplimiento de los requisitos correspondientes establecidos en la presente Directiva.
(30) En vista de las interrelaciones que existen entre la ciberseguridad y la seguridad física de las entidades, debe garantizarse un enfoque coherente entre la Directiva (UE) 2022/2557 del Parlamento Europeo y del Consejo (13) y la presente Directiva. Para ello, las entidades identificadas como entidades críticas con arreglo a la Directiva (UE) 2022/2557, deben ser consideradas entidades esenciales a los efectos de la presente Directiva. Asimismo, cada Estado miembro debe velar por que sus estrategias nacionales de ciberseguridad establezcan un marco de actuación para mejorar la coordinación dentro de dicho Estado miembro entre las autoridades competentes con arreglo a la presente Directiva y las competentes con arreglo a la Directiva (UE) 2022/2557 en el contexto del intercambio de información sobre los riesgos, ciberamenazas e incidentes relacionados con la ciberseguridad, así como sobre los riesgos, amenazas e incidentes no relacionados con la ciberseguridad, y sobre el ejercicio de las tareas de supervisión. Las autoridades competentes con arreglo a la presente Directiva y las que lo son con arreglo a la Directiva (UE) 2022/2557 deben cooperar e intercambiar información sin demora indebida, en particular en lo que se refiere a la identificación de las entidades críticas, los riesgos, las ciberamenazas e incidentes relacionados con la ciberseguridad, así como en lo que se refiere a los riesgos, amenazas e incidentes no relacionados con la ciberseguridad que afecten a las entidades críticas, incluidas las medidas de ciberseguridad y físicas adoptadas por las entidades críticas, así como en lo que se refiere a los resultados de las actividades de supervisión realizadas con respecto a dichas entidades.
Por otra parte, con el fin de racionalizar las actividades de supervisión entre las autoridades competentes con arreglo a la presente Directiva y las que lo son con arreglo a la Directiva (UE) 2022/2557 y de reducir al mínimo la carga administrativa de las entidades afectadas, dichas autoridades competentes deben esforzarse por armonizar los modelos de notificación de incidentes y los procesos de supervisión. En su caso, las autoridades competentes con arreglo a la Directiva (UE) 2022/2557 deben poder solicitar a las autoridades competentes con arreglo a la presente Directiva que ejerzan sus facultades de supervisión y ejecución respecto a una entidad que esté identificada como entidad crítica con arreglo a la Directiva (UE) 2022/2557 A tal fin, las autoridades competentes con arreglo a la presente Directiva y las que lo son con arreglo a la Directiva (UE) 2022/2557 deben cooperar e intercambiar información, en tiempo real siempre que sea posible.
(31) Las entidades pertenecientes al sector de las infraestructuras digitales se basan esencialmente en sistemas de redes y de información, por lo que las obligaciones impuestas a dichas entidades en virtud de la presente Directiva deben abordar de manera exhaustiva la seguridad física de dichos sistemas como parte de sus medidas para la gestión de los riesgos de ciberseguridad y obligaciones de notificación. Dado que esas cuestiones entran en el ámbito de aplicación de la presente Directiva, las obligaciones establecidas en los capítulos III, IV y VI de la Directiva (UE) 2022/2557 no se aplican a dichas entidades.
(32) El mantenimiento y la conservación de un sistema de nombres de dominio (DNS, por sus siglas en inglés) fiable, resiliente y seguro son factores fundamentales para garantizar la integridad de internet y resultan cruciales para que funcione con estabilidad y de manera ininterrumpida, de lo que depende la economía digital y la sociedad. Por consiguiente, la presente Directiva ha de aplicarse a los registros de nombres de dominio de primer nivel, así como a los proveedores de servicios de DNS que deban considerarse entidades prestadoras de servicios de resolución recursiva de nombres de dominio para usuarios finales de internet o servicios de resolución autoritativa de nombres de dominio para uso de terceros. La presente Directiva no debe aplicarse a los servidores raíz.
(33) Los servicios de computación en nube deben abarcar los servicios digitales que permiten la administración bajo demanda y el acceso remoto amplio a un conjunto modulable y elástico de recursos informáticos que se pueden compartir, también cuando esos recursos están distribuidos entre varias ubicaciones. Entre tales recursos se encuentran las redes, los servidores u otras infraestructuras, sistemas operativos, software, almacenamiento, aplicaciones y servicios. Los modelos de servicios de computación en nube incluyen, entre otros, la infraestructura como servicio (IaaS, por sus siglas en inglés), la plataforma como servicio (PaaS, por sus siglas en inglés), el software como servicio (SaaS, por sus siglas en inglés) y la red como servicio (NaaS, por sus siglas en inglés). Los modelos de despliegue de la computación en nube deben incluir las nubes privadas, comunitarias, públicas e híbridas. Los modelos de servicio y despliegue de la computación en nube tienen el mismo significado que los términos de los modelos de servicio y despliegue definidos en la norma ISO/IEC 17788:2014. La capacidad del usuario de la computación en nube de autoabastecerse unilateralmente de capacidades de computación, como, por ejemplo, tiempo de servidor o almacenamiento en red, sin ninguna interacción humana por parte del proveedor de servicios de computación en nube podría describirse como administración bajo demanda.
La expresión «acceso remoto amplio» se utiliza para describir que las capacidades en la nube se suministran a través de la red y se accede a ellas a través de mecanismos que promueven el uso de plataformas de cliente ligero o pesado heterogéneas, incluidos teléfonos móviles, tabletas, ordenadores portátiles y estaciones de trabajo. El término «modulable» se refiere a los recursos informáticos que el proveedor de servicios en nube asigna de manera flexible con independencia de la localización geográfica de los recursos para hacer frente a fluctuaciones de la demanda. El término «conjunto elástico» se usa para describir los recursos informáticos que se movilizan y liberan según la demanda, de modo que se puedan aumentar o reducir con rapidez los recursos disponibles en función de la carga de trabajo. La expresión «que se pueden compartir» se usa para describir recursos informáticos que se proporcionan a múltiples usuarios que comparten un acceso común al servicio pero cuyo tratamiento se lleva a cabo por separado para cada usuario, aunque el servicio se preste desde el mismo equipo electrónico. El término «distribuidos» se emplea para describir los recursos informáticos que se encuentran ubicados en distintos ordenadores o dispositivos conectados en red y que se comunican y coordinan entre sí intercambiando mensajes.
(34) Habida cuenta de la aparición de tecnologías innovadoras y nuevos modelos de negocio, se espera que surjan en el mercado interior nuevos modelos de despliegue y servicios de computación en nube en respuesta a la evolución de las necesidades de los clientes. En ese contexto, los servicios de computación en nube pueden prestarse de una forma muy distribuida, más cerca si cabe del punto en que los datos se generan o recogen, abandonando así el modelo tradicional en favor de uno muy distribuido («computación en el borde»).
(35) Los servicios ofrecidos por los proveedores de servicios de centro de datos no siempre se prestan en forma de servicio de computación en nube. En consecuencia, los centros de datos no siempre forman parte de una infraestructura de computación en nube. A fin de gestionar todos los riesgos que se plantean para la seguridad de los sistemas de redes y de información, la presente Directiva debe aplicarse a los proveedores de estos servicios de centro de datos que no sean servicios de computación en nube. A los efectos de la presente Directiva, la expresión «servicio de centro de datos» debe abarcar la prestación de un servicio que engloba las estructuras, o las agrupaciones de estructuras, dedicadas al alojamiento, la interconexión y la explotación centralizados de tecnologías de la información y equipos de red que presten servicios de almacenamiento, tratamiento y transporte de datos, junto con todas las instalaciones e infraestructuras destinadas a la distribución de energía y el control ambiental. La expresión «servicio de centro de datos» no debe aplicarse a los centros de datos empresariales internos cuya propiedad y explotación para fines propios corresponden a la entidad de que se trate.
(36) Las actividades de investigación son fundamentales en el desarrollo de nuevos productos y procesos. Muchas de esas actividades son realizadas por entidades que comparten, difunden o aprovechan los resultados de su investigación con fines comerciales. En consecuencia, esas entidades pueden ser eslabones importantes de las cadenas de valor, por lo que la seguridad de sus sistemas de redes y de información es parte integrante de la ciberseguridad global del mercado interior. Debe entenderse que entre los organismos de investigación están incluidas las entidades que dedican la parte esencial de sus actividades a la investigación aplicada o al desarrollo experimental, en el sentido del Manual de Frascati 2015: Guía para la recopilación y presentación de información sobre la investigación y el desarrollo experimental, de la Organización de para la Cooperación y el Desarrollo Económicos, con el propósito de aprovechar sus resultados con fines comerciales, como la fabricación o desarrollo de un producto, proceso o la prestación de un servicio, o su comercialización.
(37) Las crecientes interdependencias son el resultado de una red cada vez más transfronteriza e interdependiente de prestación de servicios que utilizan infraestructuras clave de toda la Unión en sectores como la energía, el transporte, la infraestructura digital, el agua potable y las aguas residuales, la sanidad y determinados aspectos de la administración pública, así como el espacio en la medida en que se trate de la prestación de determinados servicios que dependen de infraestructuras terrestres cuya propiedad, gestión y explotación corresponden a los Estados miembros o entidades privadas, quedando al margen, por tanto, las infraestructuras cuya propiedad, gestión u explotación corresponden a la Unión o a terceros en su nombre como parte de su programa espacial. Esas interdependencias implican que cualquier perturbación, incluso aquellas que inicialmente se circunscriben a una entidad o un sector, puede tener efectos en cascada más amplios que pueden ocasionar repercusiones de gran alcance y duración en la prestación de servicios en todo el mercado interior. La intensificación de los ciberataques durante la pandemia de COVID-19 han puesto de relieve la vulnerabilidad de unas sociedades cada vez más interdependientes frente a riesgos de baja probabilidad.
(38) Habida cuenta de las diferencias existentes entre las estructuras nacionales de gobernanza y con el fin de salvaguardar las disposiciones sectoriales vigentes o los organismos de supervisión y regulación de la Unión ya existentes, los Estados miembros deben poder designar o crear una o varias autoridades nacionales competentes encargadas de la ciberseguridad y de los cometidos de supervisión previstos en la presente Directiva.
(39) Con el fin de facilitar la cooperación y la comunicación transfronterizas entre las autoridades y de permitir una aplicación efectiva de la presente Directiva, es necesario que cada Estado miembro designe un punto de contacto único que se encargue de coordinar las cuestiones relacionadas con la seguridad de los sistemas de redes y de información y de la cooperación transfronteriza a escala de la Unión.
(40) Los puntos de contacto únicos deben garantizar la eficacia de la cooperación transfronteriza con las autoridades pertinentes de otros Estados miembros y, en su caso, con la Comisión y la ENISA. Por consiguiente, los puntos de contacto únicos deben encargarse de transmitir las notificaciones de incidentes significativos con impacto transfronterizo a los puntos de contacto únicos de otros Estados miembros afectados a petición del CSIRT o de la autoridad competente. A nivel nacional, los puntos de contacto únicos deben permitir una cooperación intersectorial fluida con otras autoridades competentes. Los puntos de contacto únicos también podrían ser los destinatarios de la información pertinente sobre incidentes relativos a entidades financieras remitida por las autoridades competentes con arreglo al Reglamento (UE) 2022/2554, que deben poder transmitir, según proceda, a los CSIRT o a las autoridades competentes designados con arreglo a la presente Directiva.
(41) Los Estados miembros deben estar debidamente equipados, tanto en términos de capacidades técnicas como de capacidades organizativas, para las labores de prevención, detección, respuesta ante incidentes y riesgos y para reducirlos. Por consiguiente, los Estados miembros deben crear o designar uno o varios CSIRT con arreglo a la presente Directiva y velar por que dispongan de recursos y capacidades técnicas adecuados. Los CSIRT deben cumplir los requisitos establecidos en la presente Directiva para garantizar las capacidades efectivas y compatibles que permitan hacer frente a incidentes y riesgos y lograr una cooperación eficaz a escala de la Unión. Los Estados miembros deben poder designar como CSIRT a equipos de respuesta a emergencias informáticas (CERT, por sus siglas en inglés) ya existentes. Con vistas a reforzar la relación de confianza entre las entidades y los CSIRT, cuando un CSIRT forme parte de una autoridad competente, los Estados miembros deben poder considerar la posibilidad de establecer una separación funcional entre las funciones operativas desempeñadas por los CSIRT, en particular en relación con el intercambio de información y el apoyo prestado a las entidades, y las actividades de supervisión de las autoridades competentes.
(42) Los CSIRT se encargan de la gestión de incidentes, lo que implica el tratamiento de grandes volúmenes de datos a veces sensibles. Los Estados miembros deben garantizar que los CSIRT cuenten con infraestructura para el intercambio y el tratamiento de información, así como con personal debidamente equipado, de modo que se garantice la confidencialidad y fiabilidad de sus operaciones. Los CSIRT también podrían adoptar códigos de conducta a ese respecto.
(43) Por lo que respecta a los datos personales, los CSIRT deben poder ofrecer, con arreglo al Reglamento (UE) 2016/679 y a petición de una entidad esencial o importante, una exploración proactiva de los sistemas de redes y de información utilizados por dicha entidad para la prestación de sus servicios. Cuando proceda, los Estados miembros deben tratar de garantizar el mismo nivel de capacidades técnicas para todos los CSIRT sectoriales. Los Estados miembros deben poder solicitar la asistencia de la ENISA a la hora de desarrollar sus CSIRT.
(44) Los CSIRT han de tener la capacidad, a petición de una entidad esencial o importante, de realizar un seguimiento de los activos expuestos a internet de dicha entidad, tanto dentro como fuera de sus instalaciones, a fin de detectar, comprender y gestionar los riesgos organizativos generales de la entidad por lo que se refiere a los riesgos o vulnerabilidades críticas de la cadena de suministro recientemente detectados. Debe alentarse a la entidad a comunicar al CSIRT si opera una interfaz de gestión privilegiada, ya que esta circunstancia podría afectar a la rapidez de emprender acciones de reducción de riesgos.
(45) Dada la importancia de la cooperación internacional en materia de ciberseguridad, los CSIRT deben tener la posibilidad de participar en redes internacionales de cooperación además de la red de CSIRT establecida en virtud de la presente Directiva. Por consiguiente, a efectos del desempeño de sus funciones, los CSIRT y las autoridades competentes deben poder intercambiar información, incluidos datos personales, con equipos nacionales de respuesta a incidentes de seguridad informática o autoridades competentes de terceros países, siempre que se cumplan las condiciones establecidas en el Derecho de la Unión en materia de protección de datos para las transferencias de datos personales a terceros países, entre otras las del artículo 49 del Reglamento (UE) 2016/679.
(46) Es esencial garantizar recursos adecuados para cumplir los objetivos de la presente Directiva y permitir que las autoridades competentes y los CSIRT puedan llevar a cabo los cometidos aquí encomendados. Los Estados miembros pueden introducir a nivel nacional un mecanismo de financiación para cubrir los gastos necesarios en relación con el desempeño de las funciones de las entidades públicas encargadas de la ciberseguridad en el Estado miembro con arreglo a la presente Directiva. Dicho mecanismo debe cumplir el Derecho de la Unión, ser proporcionado y no discriminatorio, y debe tener en cuenta diferentes enfoques para la prestación de servicios seguros.
(47) La red de CSIRT debe seguir contribuyendo a reforzar la confianza y la seguridad y a promover una cooperación operativa rápida y eficaz entre los Estados miembros. Con vistas a reforzar la cooperación operativa a escala de la Unión, la red de CSIRT debe considerar la posibilidad de invitar a que participen en sus actividades los órganos y organismos de la Unión implicados en la política de ciberseguridad, como Europol.
(48) Con el fin de alcanzar y mantener un elevado nivel de ciberseguridad, las estrategias nacionales de ciberseguridad exigidas con arreglo a la presente Directiva deben consistir en marcos coherentes que establezcan prioridades y objetivos estratégicos en el ámbito de la ciberseguridad, así como la gobernanza para alcanzarlos. Tales estrategias pueden consistir en uno o varios instrumentos legislativos o no legislativos.
(49) Las políticas de ciberhigiene proporcionan la base para proteger la seguridad de las infraestructuras de los sistemas de redes y de información, del hardware, del software y de las aplicaciones en línea, así como los datos comerciales o de usuarios finales de los que dependen las entidades. Las políticas de ciberhigiene, que comprenden un conjunto básico común de prácticas, como las actualizaciones de software y hardware, los cambios de contraseña, la gestión de la instalación de software nuevo, la limitación de las cuentas con acceso de nivel administrador y las copias de seguridad de datos, permiten establecer un marco proactivo de preparación y seguridad global en caso de incidentes o ciberamenazas. La ENISA debe supervisar y analizar las políticas de ciberhigiene de los Estados miembros.
(50) La sensibilización en materia de ciberseguridad y la ciberhigiene son esenciales para mejorar el nivel de ciberseguridad dentro de la Unión, en particular a la luz del creciente número de dispositivos conectados que cada vez con más frecuencia se usan en los ciberataques. Deben realizarse esfuerzos para aumentar la sensibilización general sobre los riesgos relacionados con dichos dispositivos, mientras que las evaluaciones a escala de la Unión podrían contribuir a garantizar una comprensión común de dichos riesgos en el mercado interior.
(51) Los Estados miembros deben fomentar el uso de toda tecnología innovadora, incluida la inteligencia artificial, cuyo uso pueda mejorar la detección y la prevención de ciberataques, permitiendo que los recursos se desvíen de manera más eficaz hacia la lucha contra los ciberataques. Por consiguiente, los Estados miembros deben promover en sus estrategias nacionales de ciberseguridad las actividades de investigación y desarrollo encaminadas a facilitar el uso de dichas tecnologías, en particular las relativas a herramientas automatizadas o semiautomatizadas en materia de ciberseguridad, y, en su caso, el intercambio de datos necesarios para formar a los usuarios de esas tecnologías y mejorarlas. El uso de cualquier tecnología innovadora, incluida la inteligencia artificial, debe cumplir el Derecho de la Unión en materia de protección de datos, incluidos los principios de protección de datos de exactitud, minimización de datos, equidad y transparencia, y de seguridad de datos, como el cifrado avanzado. Los requisitos de protección de datos desde el diseño y por defecto establecidos en el Reglamento (UE) 2016/679 deben aprovecharse al máximo.
(52) Las herramientas y aplicaciones de ciberseguridad de código abierto pueden contribuir a un mayor grado de apertura y repercutir positivamente en la eficiencia de la innovación industrial. Unos estándares abiertos facilitan la interoperabilidad entre herramientas de seguridad, contribuyendo así a la seguridad de las partes interesadas de la industria. Las herramientas y aplicaciones de ciberseguridad de código abierto pueden suponer un impulso para la amplia comunidad de desarrolladores, permitiendo la diversificación de los proveedores. El código abierto puede propiciar un proceso de verificación más transparente de las herramientas relacionadas con la ciberseguridad y un proceso de detección de vulnerabilidades a cargo de la comunidad. Por consiguiente, los Estados miembros deben poder promover el uso de software de código abierto y estándares abiertos mediante la aplicación de políticas relativas al uso de datos abiertos y de código abierto como parte de la estrategia de seguridad a través de la transparencia. Las políticas que promueven la introducción y el uso sostenible de herramientas de ciberseguridad de código abierto revisten especial importancia para las pequeñas y medianas empresas que se enfrentan a costes significativos de implementación, costes que pueden reducirse al mínimo si también se reduce la necesidad de aplicaciones o herramientas específicas.
(53) Los servicios públicos básicos están cada vez más conectados a las redes digitales de las ciudades, con el fin de reforzar las redes de transporte urbano, mejorar el suministro de agua y las instalaciones de eliminación de residuos y aumentar la eficiencia del alumbrado y de la calefacción de los edificios. Dichos servicios públicos básicos digitalizados son vulnerables a los ciberataques y corren el riesgo, en caso de éxito de un ciberataque, de causar daños en gran escala a los ciudadanos debido a su interconexión. Los Estados miembros deben desarrollar una política que aborde el desarrollo de tales ciudades conectadas o inteligentes, y sus posibles efectos en la sociedad, como parte de su estrategia nacional de ciberseguridad.
(54) En los últimos años, la Unión se ha enfrentado a un aumento exponencial de los ataques con programas de secuestro («ramsonware»), en los que los programas maliciosos cifran datos y sistemas y exigen el pago de un rescate para liberarlos. La frecuencia y gravedad crecientes de los ataques con programas de secuestro pueden deberse a varios factores, como los distintos patrones de ataque, los modelos de negocio delictivos en torno a los «programas de secuestro como servicio» y las criptomonedas, la exigencia de rescates y el aumento de los ataques a las cadenas de suministro. Los Estados miembros deben adoptar una política para luchar contra el auge de los ataques con programas de secuestro como parte de sus estrategias nacionales de ciberseguridad.
(55) Las asociaciones entre el sector público y el privado en el ámbito de la ciberseguridad pueden ofrecer un marco adecuado para el intercambio de conocimientos y de buenas prácticas, así como para el establecimiento de un nivel común de entendimiento entre las partes interesadas. Los Estados miembros deben promover políticas que apoyen la creación de asociaciones público-privadas específicas en materia de ciberseguridad. Tales políticas deben precisar, entre otros aspectos, el alcance y las partes interesadas implicadas, el modelo de gobernanza, las opciones de financiación disponibles y la interacción entre las partes interesadas participantes en relación con las asociaciones público-privadas. Dichas asociaciones pueden aprovechar la experiencia de las entidades del sector privado para prestar ayuda a las autoridades competentes en el desarrollo de los servicios y procesos más avanzados, como el intercambio de información, las alertas tempranas, los ejercicios de ciberamenazas e incidentes, la gestión de crisis y la planificación de la resiliencia.
(56) Los Estados miembros, en sus estrategias nacionales de ciberseguridad, deben abordar las necesidades específicas de ciberseguridad de las pequeñas y medianas empresas. Las pequeñas y medianas empresas representan, en toda la Unión, un gran porcentaje del mercado industrial y empresarial, y a menudo tienen dificultades para adaptarse a las nuevas prácticas empresariales en un mundo más conectado y al entorno digital, con trabajadores que trabajan desde casa y negocios que cada vez con más frecuencia se realizan en línea. Algunas pequeñas y medianas empresas se enfrentan a retos específicos en materia de ciberseguridad como los escasos conocimientos sobre el ciberespacio, la falta de seguridad informática a distancia, el elevado coste de las soluciones de ciberseguridad y un mayor nivel de amenazas, como los programas de secuestro, para los que deberían recibir orientación y asistencia. Las pequeñas y medianas empresas cada vez sufren más ataques contra las cadenas de suministro debido al menor rigor de sus medidas para la gestión de riesgos de ciberseguridad y de su gestión de los ataques, y al hecho de que tienen unos recursos de seguridad limitados. Tales ataques a las cadenas de suministro no solo afectan a las pequeñas y medianas empresas y sus operaciones de forma aislada, sino que también pueden tener un efecto en cascada en el marco de ataques más importantes contra las entidades a las que han suministrado. Los Estados miembros, por medio de sus estrategias nacionales de ciberseguridad, deben ayudar a las pequeñas y medianas empresas a hacer frente a los retos a los que se enfrentan en sus cadenas de suministro. Los Estados miembros deben contar con un punto de contacto para las pequeñas y medianas empresas a nivel nacional o regional que proporcione orientación y asistencia a las pequeñas y medianas empresas o las dirija a los organismos adecuados para que les proporcionen orientación y asistencia acerca de cuestiones relacionadas con la ciberseguridad. Se alienta asimismo a los Estados miembros a que ofrezcan servicios como la configuración de sitios web y la habilitación de registros a las microempresas y pequeñas empresas que carezcan de esas capacidades.
(57) En el marco de sus estrategias nacionales de ciberseguridad, los Estados miembros deben adoptar políticas de fomento de la ciberprotección activa como parte de una estrategia de defensa más amplia. A diferencia de las respuestas reactivas, la ciberprotección activa es la prevención, la detección, la supervisión, el análisis y la mitigación de los fallos de seguridad de la red de forma activa, en combinación con el uso de capacidades desplegadas dentro y fuera de la red víctima de los fallos. Podría incluir la oferta por parte de los Estados miembros de herramientas o servicios gratuitos a determinadas entidades, como controles de autoservicio, herramientas de detección y servicios de retirada. La capacidad de compartir y comprender de forma rápida y automática la información y el análisis de amenazas, las alertas de ciberactividad y las acciones de respuesta es crucial para que se puedan aunar los esfuerzos encaminados a prevenir, detectar, abordar y bloquear con éxito los ataques contra los sistemas de redes y de información. La ciberprotección activa se basa en una estrategia defensiva que excluye las medidas ofensivas.
(58) Puesto que la explotación de las vulnerabilidades de los sistemas de redes y de información puede causar perturbaciones y daños considerables, la determinación y subsanación rápidas de dichas vulnerabilidades son factores importantes para reducir los riesgos. Por consiguiente, las entidades que desarrollen o administren sistemas de redes y de información deben establecer procedimientos apropiados para abordar las vulnerabilidades cuando se detecten. Dado que las vulnerabilidades suelen ser detectadas y divulgadas por terceros, los fabricantes o proveedores de productos o servicios de TIC también deben establecer los procedimientos necesarios para recibir de terceros información sobre las vulnerabilidades. En este sentido, las normas internacionales ISO/IEC 30111 e ISO/IEC 29147 ofrecen orientación sobre la gestión y la divulgación de las vulnerabilidades. Reforzar la coordinación entre las personas físicas o jurídicas notificantes y los fabricantes o proveedores de productos o servicios de TIC reviste una gran importancia a la hora de facilitar un marco voluntario para la divulgación de vulnerabilidades. La divulgación coordinada de las vulnerabilidades se refiere específicamente a un proceso estructurado a través del cual las vulnerabilidades se notifican al fabricante o proveedor de los productos o servicios de TIC potencialmente vulnerables de manera que este pueda diagnosticar y subsanar las vulnerabilidades antes de que se divulgue información detallada a terceros o al público. Asimismo, la divulgación coordinada de las vulnerabilidades debe también comprender la coordinación entre la persona física o jurídica notificante y el fabricante o proveedor de los productos o servicios de TIC potencialmente vulnerables en lo tocante al momento de la subsanación y la publicación de las vulnerabilidades.
(59) La Comisión, la ENISA y los Estados miembros deben continuar promoviendo la alineación con las normas internacionales y las mejores prácticas existentes en la industria en el ámbito de la gestión de riesgos de ciberseguridad, por ejemplo en cuestiones como la evaluación de la seguridad de las cadenas de suministro, el intercambio de información y la divulgación de vulnerabilidades.
(60) Los Estados miembros, en cooperación con la ENISA, deben adoptar medidas para facilitar la divulgación coordinada de las vulnerabilidades mediante el establecimiento de la correspondiente política nacional. Como parte de su política nacional, los Estados miembros deben tener como objetivo abordar, en la medida de lo posible, los retos a que se enfrentan los investigadores de vulnerabilidades, en particular la posibilidad de incurrir en responsabilidad penal, con arreglo al Derecho nacional. Dado que las personas físicas y jurídicas que investigan vulnerabilidades podrían incurrir en algunos Estados miembros en responsabilidad civil y penal, se alienta a los Estados miembros a que adopten directrices para que no se actúe penalmente cuando se trate de investigadores de seguridad de la información y que no se exija responsabilidad civil por sus actividades.
(61) Los Estados miembros deben designar uno de sus CSIRT como coordinador para que ejerza de intermediario entre las personas físicas o jurídicas notificantes y los fabricantes o proveedores de productos o servicios de TIC que puedan verse afectados por la vulnerabilidad, cuando sea necesario. Los cometidos del CSIRT designado como coordinador deben consistir, en particular, en identificar y contactar a las entidades afectadas, prestar asistencia a las personas físicas o jurídicas que notifican una vulnerabilidad, negociar los plazos de divulgación y gestionar las vulnerabilidades que afectan a múltiples entidades (divulgación coordinada de las vulnerabilidades con múltiples interesados). Cuando la vulnerabilidad notificada pueda afectar de manera significativa a entidades en más de un Estado miembro, los CSIRT designados como coordinadores deben cooperar, en su caso, en el marco de la red de CSIRT.
(62) El acceso a información correcta y oportuna sobre las vulnerabilidades que afectan a productos y servicios de TIC contribuye a reforzar la gestión de los riesgos de ciberseguridad. Las fuentes de información sobre vulnerabilidades que se encuentran a disposición pública son una herramienta importante para las entidades y los usuarios de sus servicios, pero también para las autoridades competentes y los CSIRT. Por ese motivo, la ENISA debe crear una base de datos europea de vulnerabilidades en la que las entidades, con independencia de si quedan o no comprendidas en el ámbito de aplicación de la presente Directiva, y sus proveedores de sistemas de redes y de información, así como las autoridades competentes y los CSIRT, puedan divulgar y registrar, de manera voluntaria, las vulnerabilidades conocidas públicamente a fin de que los usuarios puedan adoptar las medidas de mitigación apropiadas. La finalidad de esa base de datos es abordar los singulares desafíos que plantean los riesgos para las entidades de la Unión. Además, la ENISA debe establecer un procedimiento adecuado para el proceso de publicación, a fin de dar a las entidades tiempo para adoptar medidas de mitigación en lo que respecta a sus vulnerabilidades, y emplear medidas avanzadas para la gestión de riesgos de ciberseguridad, así como conjuntos de datos legibles por máquina y las interfaces correspondientes. A fin de fomentar una cultura de divulgación de vulnerabilidades, la divulgación no debe tener efectos perjudiciales para la persona física o jurídica notificante.
(63) Aunque existen registros o bases de datos similares para las vulnerabilidades, su alojamiento y mantenimiento dependen de entidades que no están establecidas en la Unión. Con una base de datos europea de vulnerabilidades mantenida por la ENISA se conseguiría mejorar la transparencia del proceso de publicación antes de que la vulnerabilidad se divulgue públicamente y la resiliencia en caso de perturbación o interrupción en la prestación de servicios similares. A fin de evitar, en la medida de lo posible, la duplicación de esfuerzos y de buscar la complementariedad, la ENISA debe estudiar la posibilidad de celebrar acuerdos de cooperación estructurada con registros o bases de datos similares bajo jurisdicción de un tercer país. En particular, la ENISA debe estudiar la posibilidad de cooperar estrechamente con los operadores del sistema de vulnerabilidades y exposiciones comunes (CVE, por sus siglas en inglés).
(64) El Grupo de Cooperación debe apoyar y facilitar la cooperación estratégica y el intercambio de información, así como reforzar la confianza entre los Estados miembros. El Grupo de Cooperación debe elaborar un programa de trabajo cada dos años en el que se incluyan las acciones que ha de llevar a cabo el Grupo de Cooperación para llevar a la práctica sus objetivos y cometidos. El calendario para la elaboración del primer programa de trabajo adoptado con arreglo a la presente Directiva debe adecuarse al del último programa adoptado con arreglo a la Directiva (UE) 2016/1148, a fin de evitar posibles perturbaciones en el trabajo del Grupo de Cooperación.
(65) A la hora de elaborar documentos de orientación, el Grupo de Cooperación debe, de manera sistemática, cartografiar las soluciones y experiencias nacionales, evaluar el impacto de los resultados del Grupo de Cooperación en los enfoques nacionales, debatir los desafíos en materia de aplicación y formular recomendaciones específicas, en particular para facilitar la alineación de la transposición de la presente Directiva entre los Estados miembros, que deben abordarse mediante la mejora de la aplicación de las normas vigentes. El Grupo de Cooperación también podría mapear las soluciones nacionales para promover la compatibilidad de las soluciones de ciberseguridad aplicadas a cada sector específico en toda la Unión. Esto es especialmente importante en el caso de los sectores que tienen un carácter internacional y transfronterizo.
(66) El Grupo de Cooperación debe seguir siendo un foro flexible capaz de responder a las nuevas prioridades y desafíos estratégicos, teniendo en cuenta al mismo tiempo la disponibilidad de los recursos. Podría organizar reuniones conjuntas periódicas con partes interesadas privadas pertinentes de toda la Unión para tratar las actividades realizadas por el Grupo de Cooperación y recabar datos y apreciaciones sobre los desafíos estratégicos emergentes. Además, el Grupo de Cooperación debe llevar a cabo una evaluación periódica de la situación de las ciberamenazas o incidentes, como los programas de secuestro. Con vistas a reforzar la cooperación a escala de la Unión, el Grupo de Cooperación debe considerar la posibilidad de invitar a que participen en sus actividades las instituciones, órganos y organismos pertinentes de la Unión implicados en la política de ciberseguridad, como el Parlamento Europeo, Europol, el Comité Europeo de Protección de Datos, la Agencia de la Unión Europea para la Seguridad Aérea, creada mediante el Reglamento (UE) 2018/1139, y la Agencia de la Unión Europea para el Programa Espacial, creada mediante el Reglamento (UE) 2021/696 del Parlamento Europeo y del Consejo (14).
(67) Las autoridades competentes y los CSIRT deben estar capacitados para participar en programas de intercambio para funcionarios de otros Estados miembros, dentro de un marco específico y, en su caso, a condición de que los funcionarios que participen en esos programas de intercambio cuenten con la habilitación de seguridad necesaria, con el fin de mejorar la cooperación y fortalecer la confianza entre los Estados miembros. Las autoridades competentes deben adoptar las medidas necesarias para que los funcionarios de otros Estados miembros puedan desempeñar un papel eficaz en las actividades de la autoridad competente o el CSIRT de acogida.
(68) Los Estados miembros deben contribuir al establecimiento del Marco de respuesta a las crisis de ciberseguridad de la UE descrito en la Recomendación (UE) 2017/1584 de la Comisión (15) a través de las redes de cooperación existentes, en particular la Red europea de organizaciones de enlace nacionales para las crisis de ciberseguridad (EU-CyCLONe), la red de CSIRT y el Grupo de Cooperación. La EU-CyCLONe y la red de CSIRT deben cooperar sobre la base de disposiciones de procedimiento que concreten los detalles de dicha cooperación y eviten la duplicación de tareas. El reglamento interno de la EU-CyCLONe debe especificar con mayor detalle las disposiciones por las que debe regirse el funcionamiento de esa red, incluidas las funciones de la red, los medios de cooperación, las interacciones con otros actores pertinentes y los modelos para el intercambio de información, así como los canales de comunicación. De cara a la gestión de crisis a escala de la Unión, las partes pertinentes deben recurrir al dispositivo de la UE de respuesta política integrada a las crisis con arreglo a la Decisión de Ejecución (UE) 2018/1993 del Consejo (16) (en lo sucesivo, «Dispositivo RPIC»). La Comisión debe utilizar a tales efectos el proceso de coordinación de crisis intersectoriales de alto nivel ARGUS. Si la crisis tiene una importante dimensión exterior o de política común de seguridad y defensa, debe activarse el Mecanismo de Respuesta a las Crisis del Servicio Europeo de Acción Exterior.
(69) De conformidad con el anexo de la Recomendación (UE) 2017/1584, por incidente de ciberseguridad a gran escala debe entenderse un incidente que cause perturbaciones que superen la capacidad de un Estado miembro para responder a él o que afecte significativamente por lo menos a dos Estados miembros. Dependiendo de su causa e impacto, los incidentes de ciberseguridad a gran escala pueden intensificarse y convertirse en una crisis propiamente dicha que impida el correcto funcionamiento del mercado interior o plantee graves riesgos para la seguridad y la protección públicas de las entidades o los ciudadanos de varios Estados miembros o del conjunto de la Unión. Habida cuenta de la amplitud del alcance y, en la mayoría de casos, de la naturaleza transfronteriza de tales incidentes, los Estados miembros y las instituciones, los órganos y los organismos de la Unión pertinentes deben cooperar a nivel técnico, operativo y político para coordinar correctamente la respuesta en toda la Unión.
(70) Los incidentes de ciberseguridad a gran escala y las crisis en el ámbito de la Unión requieren una acción coordinada que garantice una respuesta rápida y eficaz, debido al elevado grado de interdependencia entre sectores y Estados miembros. La disponibilidad de sistemas de redes y de información ciberresilientes y la disponibilidad, confidencialidad e integridad de los datos son vitales para la seguridad de la Unión y para la protección de sus ciudadanos, empresas e instituciones frente a incidentes y ciberamenazas, así como para aumentar la confianza de las personas y organizaciones en la capacidad de la Unión de promover y proteger un ciberespacio mundial, abierto, libre, estable y seguro basado en los derechos humanos, las libertades fundamentales, la democracia y el Estado de Derecho.
(71) La EU-CyCLONe debe servir de intermediario entre los niveles técnico y político durante los incidentes y crisis de ciberseguridad a gran escala, y debe reforzar la cooperación a nivel operativo y apoyar la toma de decisiones a nivel político. En cooperación con la Comisión, habida cuenta de las competencias de la Comisión en el ámbito de la gestión de crisis, la EU-CyCLONe debe basarse en las conclusiones de la red de CSIRT y utilizar sus propias capacidades para elaborar análisis del impacto de los incidentes y crisis de ciberseguridad a gran escala.
(72) Los ciberataques son de carácter transfronterizo y un incidente significativo puede perturbar y dañar infraestructuras críticas de información de las que depende el buen funcionamiento del mercado interior. La Recomendación (UE) 2017/1584 aborda el papel de todos los actores pertinentes. Además, la Comisión es responsable, en el marco del Mecanismo de Protección Civil de la Unión establecido por la Decisión 1313/2013/UE del Parlamento Europeo y del Consejo (17), de las acciones generales de preparación, incluida la gestión del Centro de Coordinación de la Respuesta a Emergencias y del Sistema Común de Comunicación e Información de Emergencia, el mantenimiento y el desarrollo ulterior de las capacidades de conciencia y análisis situacionales, y el establecimiento y gestión de la capacidad de movilizar y enviar equipos de expertos en caso de solicitud de asistencia de un Estado miembro o de un tercer país. Asimismo la Comisión es responsable de proporcionar informes analíticos para el Dispositivo RPIC en virtud de la Decisión de Ejecución (UE) 2018/1993, también en relación con la conciencia situacional y la preparación en materia de ciberseguridad, así como con la conciencia situacional y la respuesta a las crisis en los ámbitos de la agricultura, las condiciones meteorológicas adversas, la cartografía y las previsiones de conflictos, los sistemas de alerta temprana de catástrofes naturales, las emergencias sanitarias, la vigilancia de las enfermedades infecciosas, la fitosanidad, los incidentes químicos, la seguridad de los alimentos y los piensos, la salud animal, la migración, las aduanas, las emergencias nucleares y radiológicas, y la energía.
(73) De conformidad con el artículo 218 del TFUE, la Unión puede celebrar, en su caso, acuerdos internacionales con terceros países u organizaciones internacionales que hagan posible y organicen la participación de estos en determinadas actividades del Grupo de Cooperación, la red de CSIRT y la EU-CyCLONe. Dichos acuerdos deben velar por los intereses de la Unión y por una protección de datos adecuada. Esto no debe ser óbice para que los Estados miembros ejerzan su derecho a cooperar con terceros países afines en la gestión de vulnerabilidades y la gestión de riesgos en materia de ciberseguridad, facilitando la presentación de informes y el intercambio general de información de conformidad con el Derecho de la Unión.
(74) A fin de facilitar la aplicación efectiva de la presente Directiva en lo que se refiere, entre otros aspectos, a la gestión de las vulnerabilidades, medidas para la gestión de los riesgos de ciberseguridad, las obligaciones de notificación y los mecanismos de intercambio de información sobre ciberseguridad, los Estados miembros pueden cooperar con terceros países y emprender actividades que se consideren adecuadas a tal fin, incluidos los acuerdos de intercambios de información sobre ciberamenazas, incidentes, vulnerabilidades, herramientas y métodos, tácticas, técnicas y procedimientos, preparación y ejercicios para la gestión de crisis de ciberseguridad, formación, refuerzo de la confianza y acuerdos estructurados de intercambio de información.
(75) Deben introducirse revisiones interpares para ayudar a aprender de las experiencias compartidas, reforzar la confianza mutua y lograr un elevado nivel común de ciberseguridad. Las revisiones interpares pueden dar lugar a valiosas apreciaciones y recomendaciones que refuercen las capacidades generales de ciberseguridad, creando otra vía funcional para el intercambio de mejores prácticas entre los Estados miembros y contribuyendo a mejorar los niveles de madurez de los Estados miembros en materia de ciberseguridad. Asimismo, las revisiones interpares deben tener en cuenta los resultados de instrumentos similares, como el sistema de revisión interpares de la red de CSIRT, añadir valor y evitar duplicaciones. La aplicación de revisiones interpares se debe entender sin perjuicio de la legislación de la Unión o nacional relativa a la protección de información confidencial o clasificada.
(76) El Grupo de Cooperación debe establecer una metodología de autoevaluación para los Estados miembros, destinada a abarcar factores como el nivel de aplicación de las medidas para la gestión de riesgos de ciberseguridad y las obligaciones de notificación, el nivel de capacidades y la eficacia del ejercicio de los cometidos de las autoridades competentes, las capacidades operativas de los CSIRT, el nivel de aplicación de la asistencia mutua, el nivel de aplicación de los mecanismos de intercambio de información sobre ciberseguridad o cuestiones específicas de carácter transfronterizo o intersectorial. Debe alentarse a los Estados miembros a realizar autoevaluaciones de forma periódica, y a presentar y debatir los resultados de su autoevaluación en el Grupo de Cooperación.
(77) La responsabilidad de velar por la seguridad de los sistemas de redes y de información recae en gran medida en las entidades esenciales e importantes. Debe fomentarse y desarrollarse una cultura de gestión de riesgos que abarque evaluaciones del riesgo y la aplicación de medidas para la gestión de riesgos de ciberseguridad que se adecuen a los riesgos existentes.
(78) Las medidas para la gestión de riesgos de ciberseguridad deben tener en cuenta el grado de dependencia de la entidad esencial o importante de los sistemas de redes y de información, y entre ellas deben figurar medidas cuya finalidad sea la identificación de los riesgos de incidentes, así como la prevención, la detección, la respuesta y la recuperación en relación con los incidentes, así como la reducción de sus repercusiones. La seguridad de los sistemas de redes y de información debe comprender la seguridad de los datos almacenados, transmitidos y tratados. Las medidas para la gestión de riesgos de ciberseguridad deben prever un análisis sistémico que tenga en cuenta el factor humano a fin de obtener una visión completa de la seguridad del sistema de redes y de información.
(79) Dado que las amenazas para la seguridad de los sistemas de redes y de información pueden originarse por diferentes causas, las medidas para la gestión de riesgos de ciberseguridad deben basarse en un planteamiento que abarque todos los riesgos y tenga por objetivo proteger los sistemas de redes y de información y el entorno físico de dichos sistemas frente a cualquier tipo de suceso, como robos, incendios, inundaciones, fallos en las telecomunicaciones o de suministro de electricidad, acceso físico no autorizado o daños a la información que posee la entidad esencial o importante y las instalaciones de procesamiento de información de la entidad, o frente a cualquier tipo de interferencia con dicha información e instalaciones, que puedan poner en peligro la disponibilidad, la autenticidad, la integridad o la confidencialidad de los datos almacenados, transmitidos o tratados, o de los servicios ofrecidos por tales sistemas de redes y de información o accesibles a través de ellos. Por tanto, las medidas para la gestión de riesgos de ciberseguridad también deben abordar la seguridad física y del entorno de los sistemas de redes y de información, mediante la introducción de medidas para proteger dichos sistemas de redes y de información frente a fallos del sistema, errores humanos, actos malintencionados o fenómenos naturales, de conformidad con las normas europeas o internacionales, como las que figuran en la serie ISO/IEC 27000. A este respecto, las entidades esenciales e importantes deben abordar asimismo, en el marco de sus medidas para la gestión de riesgos de ciberseguridad, la seguridad de los recursos humanos y establecer políticas adecuadas en materia de control del acceso. Esas medidas deben ser compatibles con la Directiva (UE) 2022/2557
(80) Con el fin de demostrar el cumplimiento de las medidas para la gestión de riesgos de ciberseguridad y en ausencia de esquemas europeos de certificación de la ciberseguridad adecuados que se hayan adoptado de conformidad con el Reglamento (UE) 2019/881 del Parlamento Europeo y del Consejo (18), los Estados miembros, consultando al Grupo de Cooperación y al Grupo Europeo de Certificación de la Ciberseguridad, deben promover el uso de las normas europeas e internacionales pertinentes por parte de las entidades esenciales e importantes, o pueden exigir a las entidades que utilicen productos, servicios y procesos de TIC certificados.
(81) Para evitar imponer una carga financiera y administrativa desproporcionada a las entidades esenciales e importantes, las medidas para la gestión de riesgos de ciberseguridad han de ser proporcionadas en relación con los riesgos que presenta el sistema de redes y de información de que se trate, teniendo en cuenta el grado de progreso de dichas medidas y, en su caso, las normas europeas e internacionales aplicables, así como el coste de su aplicación.
(82) Las medidas para la gestión de riesgos de ciberseguridad deben ser proporcionales al grado de exposición de la entidad esencial o importante a los riesgos y al impacto social y económico que tendría un incidente. Al establecer medidas para la gestión de riesgos de ciberseguridad adaptadas a las entidades esenciales e importantes, han de tenerse debidamente en cuenta las diferencias en la exposición al riesgo de las entidades esenciales e importantes, como el carácter crítico de la entidad, los riesgos, incluidos los riesgos sociales, a los que está expuesta, el tamaño de la entidad, y la probabilidad de que se produzcan incidentes y su gravedad, incluidas sus repercusiones sociales y económicas.
(83) Las entidades esenciales e importantes deben garantizar la seguridad de los sistemas de redes y de información que utilizan en sus actividades. Esos sistemas están constituidos fundamentalmente por sistemas de redes y de información privados que son gestionados por el personal informático interno de las entidades esenciales e importantes o cuya seguridad se ha externalizado. Las medidas para la gestión de riesgos de ciberseguridad y las obligaciones de notificación establecidas en la presente Directiva deben aplicarse a las entidades esenciales e importantes pertinentes, independientemente de si mantienen ellas mismas sus sistemas de redes y de información o externalizan su mantenimiento.
(84) Teniendo en cuenta su naturaleza transfronteriza, los proveedores de servicios de DNS, los registros de nombres de dominio de primer nivel, los proveedores de servicios de computación en nube, los proveedores de servicios de centro de datos, los proveedores de redes de distribución de contenidos, los proveedores de servicios de seguridad gestionados, los proveedores de mercados en línea, de motores de búsqueda en línea, y de plataformas de servicios de redes sociales, y los prestadores de servicios de confianza deben estar sujetos a un nivel elevado de armonización a nivel de la Unión. Por tanto, la aplicación de medidas para la gestión de riesgos de ciberseguridad en lo que respecta a dichas entidades debe facilitarse por medio de un acto de ejecución.
(85) Hacer frente a los riesgos de ciberseguridad provenientes de la cadena de suministro de una entidad y su relación con sus proveedores, como los proveedores de servicios de almacenamiento y tratamiento de datos o los proveedores de servicios de seguridad gestionados y editores de software, resulta especialmente importante habida cuenta de la prevalencia de incidentes en los que las entidades han sido víctimas de ciberataques y en que agentes malintencionados han podido comprometer la seguridad de los sistemas de redes y de información de una entidad aprovechándose de las vulnerabilidades que afectan a productos y servicios de terceros. Por ello, las entidades esenciales e importantes deben evaluar y tener en cuenta la calidad general y la resiliencia de los productos y los servicios, las medidas para la gestión de riesgos de ciberseguridad integradas en ellos y las prácticas en materia de ciberseguridad de sus proveedores y prestadores de servicios, incluidos sus procedimientos de desarrollo seguro. En particular, debe fomentarse que las entidades esenciales e importantes incorporen medidas para la gestión de riesgos de ciberseguridad en los acuerdos contractuales con sus proveedores y prestadores de servicios directos. Dichas entidades podrían tomar en consideración los riesgos provenientes de otros niveles de proveedores y prestadores de servicios.
(86) Entre los proveedores de servicios, los proveedores de servicios de seguridad gestionados en ámbitos como la respuesta a incidentes, las pruebas de penetración, las auditorías de seguridad y la consultoría desempeñan un papel especialmente importante prestando asistencia a las entidades en sus esfuerzos de prevención, detección, respuesta y recuperación en relación con los incidentes. No obstante, los propios proveedores de servicios de seguridad gestionados también han sido víctimas de ciberataques y plantean un riesgo especial como consecuencia de su estrecha integración en las actividades de las entidades. En consecuencia, las entidades esenciales e importantes deben redoblar su diligencia a la hora de seleccionar un proveedor de servicios de seguridad gestionados.
(87) Las autoridades competentes, en el contexto de sus funciones de supervisión, también pueden servirse de los servicios de ciberseguridad, como las auditorías de seguridad y las pruebas de penetración o la respuesta a incidentes.
(88) Las entidades esenciales e importantes deben abordar los riesgos derivados de sus interacciones y relaciones con otras partes interesadas dentro de un ecosistema más amplio, por ejemplo para luchar contra el espionaje industrial y proteger los secretos comerciales. En concreto, dichas entidades han de adoptar las medidas oportunas para garantizar que su cooperación con las instituciones académicas y de investigación se desarrolle de acuerdo con sus políticas de ciberseguridad y siga buenas prácticas por lo que respecta a la seguridad del acceso y la divulgación de información en general y la protección de la propiedad intelectual en particular. De igual manera, dada la importancia y el valor de los datos para las actividades de las entidades esenciales e importantes, estas deben adoptar todas las medidas para la gestión de riesgos de ciberseguridad apropiadas cuando recurran a servicios de transformación de datos y análisis de datos de terceros.
(89) Las entidades esenciales e importantes deben adoptar una gran variedad de prácticas básicas de ciberhigiene, como los principios de confianza cero, las actualizaciones de software, la configuración de dispositivos, la segmentación de la red, la gestión de la identidad y el acceso o la concienciación de los usuarios, y han de organizar formaciones para su personal y sensibilizar sobre las ciberamenazas. la captación ilegítima de datos confidenciales o las técnicas de ingeniería social. Por otra parte, dichas entidades deben evaluar sus propias capacidades de ciberseguridad y, en su caso, velar por la integración de las tecnologías de mejora de la ciberseguridad, como la inteligencia artificial o los sistemas de aprendizaje automático para reforzar sus capacidades y la seguridad de los sistemas de redes y de información.
(90) Para abordar en mayor profundidad los principales riesgos de las cadenas de suministro y ayudar a las entidades esenciales e importantes que operan en los sectores incluidos en el ámbito de aplicación de la presente Directiva a gestionar adecuadamente los riesgos relacionados con las cadenas de suministro y los proveedores, el Grupo de Cooperación, en colaboración con la Comisión y la ENISA, y, en su caso, previa consulta a las partes interesadas pertinentes, incluidas las pertenecientes a la industria, debe llevar a cabo evaluaciones coordinadas de los riesgos de seguridad de las cadenas de suministro críticas, como ya se hizo en el caso de las redes 5G a raíz de la Recomendación (UE) 2019/534 de la Comisión (19), con el objetivo de identificar en cada sector los servicios, sistemas o productos de TIC críticos, las correspondientes amenazas y las vulnerabilidades. Esas evaluaciones coordinadas de los riesgos de seguridad deben determinar las medidas, los planes de mitigación y las mejores prácticas frente a dependencias críticas, posibles puntos únicos de fallo, amenazas, vulnerabilidades y otros riesgos relacionados con la cadena de suministro, y deben explorar formas de fomentar en mayor medida su adopción por parte de las entidades esenciales e importantes. Entre los posibles factores de riesgo no técnicos, como la influencia indebida de un tercer país en los proveedores y prestadores de servicios, en particular en el caso de modelos de gobernanza alternativos, figuran las vulnerabilidades ocultas o las puertas traseras y posibles perturbaciones sistémicas del suministro, especialmente en caso de bloqueo tecnológico o dependencia de proveedores.
(91) Las evaluaciones coordinadas de los riesgos de seguridad de las cadenas de suministro críticas, en función de las características del sector afectado, deben tener en cuenta tanto los factores técnicos como, en su caso, los de otra índole, en particular los definidos en la Recomendación (UE) 2019/534, en la evaluación de riesgos coordinada de la UE de la ciberseguridad de las redes 5G y en el conjunto de instrumentos de la UE para la seguridad de las redes 5G acordado por el Grupo de Cooperación. A fin de identificar las cadenas de suministro que deben ser objeto de una evaluación coordinada de riesgos, han de tenerse en cuenta los siguientes criterios: i) la medida en que las entidades esenciales e importantes utilizan servicios, sistemas o productos de TIC críticos y dependen de ellos; ii) la importancia de servicios, sistemas o productos de TIC críticos específicos para desempeñar funciones críticas o sensibles, en particular el tratamiento de datos personales; iii) la disponibilidad de servicios, sistemas o productos de TIC alternativos; iv) la resiliencia de la cadena de suministro global de servicios, sistemas o productos de TIC a lo largo de su ciclo de vida frente a las perturbaciones; y v) en el caso de los servicios, sistemas o productos de TIC emergentes, la importancia que puedan tener en el futuro para las actividades de las entidades. Además, debe prestarse especial atención a los servicios, sistemas o productos de TIC que proceden de terceros países y están sujetos a requisitos específicos.
(92) Con vistas a racionalizar las obligaciones impuestas a los proveedores de redes públicas de comunicaciones electrónicas o servicios de comunicaciones electrónicas disponibles al público y los prestadores de servicios de confianza en relación con la seguridad de sus sistemas de redes y de información, así como para que dichas entidades y las autoridades competentes con arreglo a la Directiva (UE) 2018/1972 del Parlamento Europeo y del Consejo (20) y al Reglamento (UE) n.o 910/2014 respectivamente puedan beneficiarse del marco jurídico establecido por la presente Directiva, incluida la designación de un CSIRT responsable de la gestión de incidentes y la participación de las autoridades competentes en cuestión en las actividades del Grupo de Cooperación y la red de CSIRT, procede incluir a dichas entidades en el ámbito de aplicación de la presente Directiva. Por consiguiente, es preciso suprimir las disposiciones correspondientes establecidas en el Reglamento (UE) n.o 910/2014 y en la Directiva (UE) 2018/1972 relativas a la imposición de requisitos de seguridad y notificación a esos tipos de entidades. Las normas sobre las obligaciones de notificación establecidas en la presente Directiva deben entenderse sin perjuicio de lo dispuesto en el Reglamento (UE) 2016/679 y en la Directiva 2002/58/CE.
(93) Las obligaciones en materia de ciberseguridad que se establecen en la presente Directiva deben considerarse complementarias de los requisitos que se imponen a los prestadores de servicios de confianza en virtud del Reglamento (UE) n.o 910/2014. Debe exigirse a los prestadores de servicios de confianza que tomen todas las medidas oportunas y proporcionadas para gestionar los riesgos a que están expuestos sus servicios, también en lo relativo a los clientes y terceros usuarios, y que notifiquen los incidentes con arreglo a la presente Directiva. Esas obligaciones en materia de ciberseguridad y notificación también deben referirse a la protección física de los servicios prestados. Los requisitos aplicables a los prestadores cualificados de servicios de confianza establecidos en el artículo 24 del Reglamento (UE) n.o 910/2014 siguen siendo de aplicación.
(94) Los Estados miembros pueden asignar a los organismos de supervisión con arreglo al Reglamento (UE) n.o 910/2014 la función de autoridad competente para los servicios de confianza a fin de garantizar la continuación de las prácticas actuales y aprovechar los conocimientos y la experiencia adquiridos en la aplicación de dicho Reglamento. En tal caso, las autoridades competentes con arreglo a la presente Directiva deben cooperar estrechamente y en un plazo adecuado con dichos organismos de supervisión intercambiando información pertinente para garantizar la supervisión efectiva y el cumplimiento, por parte de los prestadores de servicios de confianza, de los requisitos establecidos en la presente Directiva y en el Reglamento (UE) n.o 910/2014. En su caso, el CSIRT o la autoridad competente con arreglo a la presente Directiva debe informar inmediatamente al organismo de supervisión a efectos del Reglamento (UE) n.o 910/2014 sobre las ciberamenazas o incidentes significativos que afecten a los servicios de confianza, así como sobre los incumplimientos de la presente Directiva por parte de los prestadores de servicios de confianza. En lo que se refiere a la notificación, los Estados miembros pueden utilizar, en su caso, un punto de entrada único establecido para garantizar una notificación de incidentes común y automática tanto al organismo de supervisión con arreglo al Reglamento (UE) n.o 910/2014 como al CSIRT o la autoridad competente con arreglo a la presente Directiva.
(95) Cuando proceda, y para evitar perturbaciones innecesarias, las directrices nacionales existentes adoptadas para la transposición de las normas relacionadas con las medidas de seguridad establecidas en los artículos 40 y 41 de la Directiva (UE) 2018/1972 deben ser tenidas en cuenta en la transposición de la presente Directiva, para así aprovechar los conocimientos y capacidades ya adquiridos en el marco de la Directiva (UE) 2018/1972 en lo relativo a las medidas de seguridad y las notificaciones de incidentes. La ENISA también puede elaborar orientaciones sobre requisitos de seguridad y obligaciones de notificación para los proveedores de redes públicas de comunicaciones electrónicas o los proveedores de servicios de comunicación electrónica disponibles al público, con el fin de facilitar la armonización y la transición, y de minimizar las perturbaciones. Los Estados miembros pueden asignar a las autoridades nacionales de reglamentación la función de autoridad competente para las comunicaciones electrónicas con arreglo a la Directiva (UE) 2018/1972, a fin de garantizar la continuación de las prácticas actuales y aprovechar los conocimientos y la experiencia adquiridos gracias a la aplicación de dicha Directiva.
(96) Dada la importancia que están adquiriendo los servicios de comunicaciones interpersonales independientes de la numeración, tal como los define la Directiva (UE) 2018/1972, es preciso garantizar que estos servicios también estén sujetos a requisitos de seguridad apropiados en vista de su naturaleza específica e importancia económica. A medida que la superficie de ataque sigue aumentando, los servicios de comunicaciones interpersonales independientes de la numeración, como los servicios de mensajería, se están convirtiendo en vectores habituales de los ataques. Los malhechores utilizan plataformas para comunicarse y atraer a las víctimas para que abran páginas web peligrosas, aumentando así la probabilidad de que se produzcan incidentes que conlleven la explotación de datos personales y, por extensión, afecten a la seguridad de los sistemas de redes y de información. Los proveedores de servicios de comunicaciones interpersonales independientes de la numeración deben garantizar un nivel de seguridad de los sistemas de redes y de información adecuado en relación con el riesgo planteado. Puesto que los proveedores de servicios de comunicaciones interpersonales independientes de la numeración no suelen ejercer un control real sobre la transmisión de las señales a través de las redes, en ciertos aspectos puede considerarse que el grado de riesgo al que están expuestos estos servicios es inferior al de los servicios de comunicaciones electrónicas tradicionales. Lo mismo puede decirse de los servicios de comunicaciones interpersonales tal como se definen en la Directiva (UE) 2018/1972 que utilizan números y que no ejercen un control real sobre la transmisión de las señales.
(97) El mercado interior nunca había dependido tanto del funcionamiento de internet. Los servicios de prácticamente todas las entidades esenciales e importantes dependen de servicios prestados por internet. Para garantizar que la prestación de los servicios de las entidades esenciales e importantes se desarrolle sin problemas, es importante que todos los proveedores de redes públicas de comunicaciones electrónicas cuenten con medidas de gestión de los riesgos de ciberseguridad apropiadas y notifiquen los incidentes significativos en este ámbito. Los Estados miembros deben velar por que se mantenga la seguridad de las redes públicas de comunicaciones electrónicas y por que se protejan sus intereses vitales en materia de seguridad frente al sabotaje y el espionaje. Dado que la conectividad internacional mejora y acelera la digitalización competitiva de la Unión y de su economía, los incidentes que afectan a los cables submarinos de comunicaciones deben notificarse al CSIRT o, en su caso, a la autoridad competente. La estrategia nacional de ciberseguridad debe tener en cuenta, en su caso, la ciberseguridad de los cables de comunicaciones submarinos e incluir una traza de los posibles riesgos de ciberseguridad y medidas paliativas para garantizar el máximo nivel de protección.
(98) A fin de salvaguardar la seguridad de las redes públicas de comunicaciones electrónicas y de los servicios de comunicaciones electrónicas disponibles al público, debe promoverse el uso de tecnologías de cifrado, y en particular el cifrado de extremo a extremo, así como conceptos de seguridad centrados en los datos, como la cartografía de datos, la segmentación, el etiquetado, las políticas y la gestión de acceso, y las decisiones de acceso automatizadas. En caso necesario, el uso del cifrado, en particular el cifrado de extremo a extremo, debe ser obligatorio para los proveedores de redes públicas de comunicaciones electrónicas o de servicios de comunicaciones electrónicas disponibles al público de conformidad con los principios de seguridad y privacidad por defecto y desde el diseño a efectos de la presente Directiva. El uso de cifrado de extremo a extremo debe conciliarse con las facultades de los Estados miembros para garantizar la protección de sus intereses de seguridad esenciales y la seguridad pública, y para permitir la prevención, investigación, detección y enjuiciamiento de infracciones penales de conformidad con el Derecho de la Unión. Sin embargo, esto no debe debilitar el cifrado de extremo a extremo, que es una tecnología crítica para la protección eficaz de los datos y la privacidad, y para la seguridad de las comunicaciones.
(99) Para salvaguardar la seguridad y evitar los abusos y la manipulación de las redes públicas de comunicaciones electrónicas y de los servicios de comunicaciones electrónicas disponibles al público, debe promoverse el uso de normas de enrutamiento seguras con el fin de garantizar la integridad y la solidez de las funciones de enrutamiento en todo el ecosistema de proveedores de servicios de acceso a internet.
(100) Para salvaguardar la funcionalidad y la integridad de internet y fomentar la seguridad y la resiliencia del DNS, debe alentarse a las partes interesadas, incluidas las entidades del sector privado de la Unión, los proveedores de servicios de comunicaciones electrónicas disponibles al público, en particular los proveedores de servicios de acceso a internet, y los proveedores de motores de búsqueda en línea, a adoptar una estrategia de diversificación de la resolución de DNS. Además, los Estados miembros deben promover el desarrollo y la utilización de un servicio de resolución de DNS europeo público y seguro.
(101) La presente Directiva establece un enfoque en varias etapas respecto a la notificación de incidentes significativos a fin de alcanzar el equilibrio adecuado entre, por un lado, una notificación ágil que ayude a reducir la posible propagación de incidentes significativos y permita a las entidades esenciales e importantes buscar asistencia, y, por el otro, una notificación minuciosa que extraiga lecciones valiosas de cada incidente y mejore con el tiempo la ciberresiliencia de las entidades individualmente y de sectores completos. En este sentido, la presente Directiva debe incluir la notificación de incidentes que, según una evaluación inicial realizada por la entidad afectada podrían provocar perturbaciones operativas o perjuicios económicos graves para dicha entidad o podrían afectar a otras personas físicas o jurídicas causándoles perjuicios materiales o inmateriales considerables. Tal evaluación inicial debe tener en cuenta, entre otros aspectos, los sistemas de redes y de información afectados, y en particular su importancia para la prestación de los servicios de la entidad, la gravedad y las características técnicas de la ciberamenaza, así como las vulnerabilidades subyacentes que se estén aprovechando y la experiencia de la entidad con incidentes similares. Indicadores como la medida en que se ve afectado el funcionamiento del servicio, la duración de un incidente o el número de destinatarios de los servicios afectados podrían ser importantes a la hora de determinar si la perturbación operativa del servicio es grave.
(102) Cuando las entidades esenciales o importantes tengan conocimiento de un incidente significativo, deben estar obligadas a presentar una alerta temprana sin demora indebida y, en cualquier caso, en el plazo de veinticuatro horas. Dicha alerta temprana debe ir seguida de una notificación del incidente. Las entidades afectadas deben presentar una notificación del incidente sin demora indebida y, en cualquier caso, en un plazo de setenta y dos horas a partir del momento en que tengan conocimiento del incidente significativo, con el objetivo, en particular, de actualizar la información presentada mediante la alerta temprana y exponer una evaluación inicial del incidente significativo, incluyendo su gravedad e impacto, así como indicadores de compromiso, cuando estén disponibles. Se ha de presentar un informe final a más tardar un mes después de la notificación del incidente. La alerta temprana solo debe incluir la información necesaria para que el CSIRT, o, en su caso, la autoridad competente, tenga constancia del incidente significativo y la entidad afectada pueda solicitar asistencia, en caso de que sea necesario. En su caso, dicha alerta temprana debe indicar si se sospecha que el incidente significativo está causado por actos ilícitos o malintencionados y si es probable que tenga repercusiones transfronterizas. Los Estados miembros deben velar por que la obligación de presentar dicha alerta temprana, o la posterior notificación del incidente, no detraiga los recursos de la entidad notificante de las actividades relacionadas con la gestión del incidente, que deben ser prioritarias, a fin de evitar que las obligaciones de notificación de incidentes desvíen recursos de la gestión de la respuesta a incidentes significativos o comprometan de otro modo los esfuerzos de las entidades a este respecto. En el caso de que el incidente siga en curso en el momento de la presentación del informe final, los Estados miembros deben velar por que las entidades afectadas presenten un informe de situación en ese momento y un informe final en el plazo de un mes a partir de que hayan gestionado el incidente significativo.
(103) Cuando proceda, las entidades esenciales e importantes deben informar sin demora a los destinatarios de sus servicios de las medidas o soluciones que pueden aplicar para reducir el riesgo resultante de una ciberamenaza significativa. En su caso, y en particular cuando sea probable que se materialice la ciberamenaza significativa, dichas entidades también deben informar a los destinatarios de sus servicios de la propia amenaza. La exigencia de informar de tales amenazas a los destinatarios debe cumplirse en la medida de lo posible, pero no exime a dichas entidades de la obligación de tomar a sus expensas medidas inmediatas y adecuadas e inmediatas para prevenir o subsanar cualquier ciberamenaza y restablecer el nivel normal de seguridad del servicio. La mencionada información sobre las ciberamenazas significativas a los destinatarios del servicio debe facilitarse de forma gratuita y la información debe estar redactada en un lenguaje fácil de comprender.
(104) Los proveedores de redes públicas de comunicaciones electrónicas o de servicios de comunicaciones electrónicas disponibles al público deben aplicar la seguridad desde el diseño y por defecto, e informar a los destinatarios de los servicios sobre ciberamenazas significativas y sobre las medidas que pueden adoptar para proteger la seguridad de sus dispositivos y comunicaciones, por ejemplo, utilizar determinados tipos de software o tecnologías de cifrado.
(105) Adoptar un planteamiento proactivo ante las ciberamenazas es un elemento vital en la gestión de los riesgos de ciberseguridad que debería permitir a las autoridades competentes prevenir eficazmente que las ciberamenazas se materialicen en incidentes que puedan ocasionar perjuicios materiales o inmateriales considerables. La notificación de ciberamenazas es de crucial importancia a este respecto. A tal fin, se alienta a las entidades a que informen voluntariamente de las ciberamenazas.
(106) A fin de simplificar la notificación de la información exigida con arreglo a la presente Directiva, así como de reducir la carga administrativa para las entidades, los Estados miembros deben ofrecer medios técnicos como un punto de entrada único, sistemas automatizados, formularios en línea, interfaces de fácil uso, modelos, plataformas específicas para el uso de entidades, con independencia de que estén incluidas en el ámbito de aplicación de la presente Directiva, para la presentación de la información pertinente que ha de notificarse. La financiación de la Unión para apoyar la aplicación de la presente Directiva, en particular en el marco del programa Europa Digital establecido por el Reglamento (UE) 2021/694 del Parlamento Europeo y del Consejo (21), podría incluir el apoyo a los puntos de entrada únicos. Además, las entidades se ven con frecuencia en la situación de que un incidente concreto, por sus características, debe notificarse a varias autoridades para cumplir las obligaciones de notificación recogidas en distintos instrumentos jurídicos. Estos casos crean cargas suplementarias y también pueden generar inseguridad en cuanto al formato y el procedimiento de tales notificaciones. Cuando se establezca un punto de entrada único, se alienta a los Estados miembros a que también utilicen dicho punto de entrada único para las notificaciones de incidentes de seguridad exigidas por otros actos legislativos de la Unión, como el Reglamento (UE) 2016/679 y la Directiva 2002/58/CE. El uso de dicho punto de entrada único para la notificación de incidentes de seguridad con arreglo al Reglamento (UE) 2016/679 y a la Directiva 2002/58/CE no debe afectar a la aplicación de las disposiciones del Reglamento (UE) 2016/679 y de la Directiva 2002/58/CE, en particular las relativas a la independencia de las autoridades a que estos actos se refieren. La ENISA, en colaboración con el Grupo de Cooperación, debe elaborar modelos de notificación comunes mediante directrices que simplifiquen y racionalicen la información que ha de notificarse con arreglo al Derecho de la Unión y reduzcan la carga administrativa de las entidades notificantes.
(107) Cuando se sospeche que un incidente guarda relación con actividades delictivas graves con arreglo al Derecho de la Unión o nacional, los Estados miembros deben alentar a las entidades esenciales e importantes, sobre la base de las normas procesales penales aplicables con arreglo al Derecho de la Unión, a denunciar ante las autoridades pertinentes encargadas de hacer cumplir la ley los incidentes que presuntamente sean de naturaleza delictiva grave. Cuando proceda, y sin perjuicio de las normas de protección de datos personales aplicables a Europol, conviene que el Centro Europeo de Ciberdelincuencia (EC3) y la ENISA faciliten la coordinación entre las autoridades competentes y las autoridades encargadas de hacer cumplir la ley de los distintos Estados miembros.
(108) En numerosas ocasiones los datos de carácter personal se ven comprometidos a raíz de incidentes. En este contexto, las autoridades competentes deben cooperar e intercambiar información sobre todas las cuestiones pertinentes con las autoridades a que se refieren el Reglamento (UE) 2016/679 y la Directiva 2002/58/CE.
(109) Mantener bases de datos precisas y completas con los datos de registro de los nombres de dominio (los denominados «datos WHOIS») y proporcionar un acceso lícito a tales datos es fundamental para garantizar la seguridad, estabilidad y resiliencia del DNS, lo que a su vez contribuye a garantizar un elevado nivel común de ciberseguridad en toda la Unión. A tal fin específico, los registros de nombres de dominio de primer nivel y las entidades que prestan servicios de registro de nombres de dominio deben estar obligados a tratar determinados datos necesarios para alcanzar dicho objetivo. Dicho tratamiento debe constituir una obligación legal en el sentido del artículo 6, apartado 1, letra c), del Reglamento (UE) 2016/679. Dicha obligación se entenderá sin perjuicio de la posibilidad de recopilar datos de registro de nombres de dominio para otros fines, por ejemplo sobre la base de acuerdos contractuales o requisitos legales establecidos en otro Derecho de la Unión o nacional. Tal obligación tiene por objeto lograr un conjunto completo y preciso de datos de registro y no debe dar lugar a la recopilación de los mismos datos en múltiples ocasiones. Los registros de nombres de dominio de primer nivel y las entidades que prestan servicios de registro de nombres de dominio deben cooperar entre sí para evitar la duplicación de esa tarea.
(110) La disponibilidad y la accesibilidad oportuna de los datos de registro de nombres de dominio para los solicitantes de acceso legítimos son esenciales para prevenir y combatir los abusos del DNS, así como para prevenir y detectar incidentes y responder ante ellos. Se ha de entender por solicitante de acceso legítimo toda persona física o jurídica que presente una solicitud en virtud del Derecho de la Unión o nacional. Pueden incluir a las autoridades competentes con arreglo a la presente Directiva y aquellas autoridades competentes con arreglo al Derecho de la Unión o nacional para la prevención, la investigación o el enjuiciamiento de infracciones penales y los CERT o los CSIRT. Los registros de nombre dominio de primer nivel y las entidades que prestan servicios de registro de nombres de dominio también deben permitir el acceso lícito a datos específicos sobre el registro de nombres de dominio necesarios para los fines de la solicitud de acceso por parte de solicitantes de acceso legítimos, de conformidad con el Derecho de la Unión en materia de protección de datos. La solicitud de los solicitantes de acceso legítimo debe ir acompañada de una exposición de motivos que permita evaluar la necesidad de acceder a los datos.
(111) Al objeto de garantizar la disponibilidad de datos precisos y completos sobre el registro de nombres de dominio, los registros de nombres de dominio de primer nivel y las entidades que prestan servicios de registro de nombres de dominio deben recabar y garantizar la integridad y disponibilidad de los datos de registro de nombres de dominio. Concretamente, los registros de nombres de dominio de primer nivel y las entidades que presten servicios de registro de nombres de dominio deben establecer políticas y procedimientos para recoger y mantener datos de registro precisos y completos, así como para prevenir y corregir datos de registro imprecisos, de conformidad con el Derecho de la Unión en materia de protección de datos. Dichas políticas y procedimientos deben tener en cuenta, en la medida de lo posible, las normas elaboradas por las estructuras de gobernanza multilateral a nivel internacional. Los registros de nombres de dominio de primer nivel y las entidades que prestan servicios de registro de nombres de dominio deben adoptar y aplicar procedimientos proporcionados para verificar los datos de registro de nombres de dominio. Dichos procedimientos deben reflejar las mejores prácticas del sector y, en la medida de lo posible, los progresos realizados en el ámbito de la identificación electrónica. Cabe señalar como ejemplos de procedimientos de verificación los controles a priori realizados en el momento del registro y los controles a posteriori realizados después del registro. Los registros de nombres de dominio de primer nivel y las entidades que prestan servicios de registro de nombres de dominio deben verificar como mínimo uno de los medios de contacto del solicitante de registro.
(112) Los registros de nombres de dominio de primer nivel y las entidades que prestan servicios de registro de nombres de dominio deben estar obligados a poner a disposición del público los datos de registro de nombres de dominio que quedan fuera del ámbito de aplicación del Derecho de la Unión en materia de protección de datos, como por ejemplo los datos referentes a personas jurídicas, en consonancia con el preámbulo del Reglamento (UE) 2016/679. En el caso de las personas jurídicas, los registros de nombres de dominio de primer nivel y las entidades que prestan servicios de registro de nombres de dominio deben poner a disposición del público como mínimo el nombre del solicitante de registro y el número de teléfono de contacto. También debe publicarse la dirección de correo electrónico de contacto, siempre que no contenga datos personales, como es el caso del uso de alias de correo electrónico o cuentas funcionales o sistemas similares. Los registros de nombres de dominio de primer nivel y las entidades que presten servicios de registro de nombres de dominio también deben permitir el acceso lícito a datos específicos sobre el registro de nombres de dominio referentes a personas físicas a solicitantes de acceso legítimos, de conformidad con el Derecho de la Unión en materia de protección de datos. Los Estados miembros deben exigir a los registros de nombres de dominios de primer nivel y a las entidades que prestan servicios de registro de nombres de dominio que respondan sin demora indebida a las solicitudes de divulgación de datos de registro de nombres de dominio provenientes de solicitantes de acceso legítimos. Los registros de nombres de dominio de primer nivel y las entidades que prestan servicios de registro de nombres de dominio han de establecer políticas y procedimientos para la publicación y divulgación de datos de registro, en particular acuerdos de nivel de servicio para tramitar las solicitudes de acceso de solicitantes de acceso legítimos. Dichas políticas y procedimientos deben tener en cuenta, en la medida de lo posible, las directrices y las normas elaboradas por las estructuras de gobernanza multilateral a nivel internacional. El procedimiento de acceso también podría incluir el uso de una interfaz, un portal u otra herramienta técnicas que proporcionen un sistema eficiente para la solicitud de datos de registro y el acceso a ellos. Con vistas a promover prácticas armonizadas en todo el mercado interior, la Comisión, sin perjuicio de las competencias del Comité Europeo de Protección de Datos, puede proporcionar directrices sobre dichos procedimientos que tengan en cuenta, en la medida de lo posible, las normas elaboradas por las estructuras de gobernanza multilateral a nivel internacional. Los Estados miembros deben garantizar que todos los tipos de acceso a los datos personales y no personales de registro de nombres de dominio sean gratuitos.
(113) Las entidades comprendidas en el ámbito de aplicación de la presente Directiva deben considerarse sometidas a la jurisdicción del Estado miembro en el que están establecidas. No obstante, los proveedores de redes públicas de comunicaciones electrónicas o de servicios de comunicaciones electrónicas disponibles al público deben considerarse sometidos a la jurisdicción del Estado miembro en el que prestan sus servicios. Los proveedores de servicios de DNS, los registros de nombres de dominio de primer nivel, las entidades que prestan servicios de registro de nombres de dominio, los proveedores de servicios de computación en nube, los proveedores de servicios de centro de datos, los proveedores de redes de distribución de contenidos, los proveedores de servicios gestionados y los proveedores de servicios de seguridad gestionados, así como los proveedores de mercados en línea, de motores de búsqueda en línea y de plataformas de servicios de redes sociales deben considerarse sometidos a la jurisdicción del Estado miembro en el que se encuentre su establecimiento principal en la Unión. Las entidades de la Administración pública deben estar sometidas a la jurisdicción del Estado miembro que las haya establecido. Si la entidad presta servicios o está establecida en más de un Estado miembro, debe estar sometida a la jurisdicción separada y concurrente de cada uno de ellos. Las autoridades competentes de esos Estados miembros deben cooperar, prestarse asistencia mutua y, cuando proceda, emprender medidas conjuntas de supervisión. Cuando los Estados miembros ejerzan su competencia, no deben imponer medidas de ejecución ni sanciones más de una vez por una misma conducta, en consonancia con el principio ne bis in idem.
(114) A fin de tener en cuenta la naturaleza transfronteriza de los servicios y operaciones de los proveedores de servicios de DNS, los registros de nombres de dominio de primer nivel, las entidades que presten servicios de registro de nombres de dominio, los proveedores de servicios de computación en nube, los proveedores de servicios de centro de datos, los proveedores de redes de distribución de contenidos, los proveedores de servicios gestionados y los proveedores de servicios de seguridad gestionados, así como los proveedores de mercados en línea, de motores de búsqueda en línea y de plataformas de servicios de redes sociales solo un Estado miembro debe tener jurisdicción sobre esas entidades. La jurisdicción debe atribuirse al Estado miembro en el que se encuentre el establecimiento principal en la Unión de la entidad de que se trate. El criterio de establecimiento a los efectos de la presente Directiva implica el ejercicio efectivo de una actividad mediante una organización estable. La forma jurídica de dicha organización, ya sea a través de una sucursal o una filial con personalidad jurídica, no es el factor determinante a este respecto. El cumplimiento de este criterio no debe depender de que los sistemas de redes y de información se encuentren físicamente en un lugar determinado; la presencia y utilización de tales sistemas no constituyen, por sí mismas, dicho establecimiento principal y, por tanto, no son criterios decisivos para determinar el establecimiento principal. Se debe considerar que el establecimiento principal está en el Estado miembro en el que se toman predominantemente las decisiones relativas a las medidas para la gestión de riesgos de ciberseguridad dentro de la Unión, que habitualmente coincidirá con el lugar en que se encuentra la administración central de las entidades en la Unión. Si no puede determinarse dicho Estado miembro o si dichas decisiones no se toman en la Unión, debe considerarse que el establecimiento principal se encuentra en el Estado miembro en el que se llevan a cabo las operaciones de ciberseguridad. Si no puede determinarse dicho Estado miembro, debe considerarse que el establecimiento principal se encuentra en el Estado miembro en el que la entidad tiene el establecimiento con mayor número de trabajadores en la Unión. Cuando los servicios los preste un grupo empresarial, el establecimiento principal de la empresa que ejerce el control debe considerarse el establecimiento principal del grupo empresarial.
(115) Si un proveedor de redes públicas de comunicaciones electrónicas o servicios de comunicaciones electrónicas disponibles al público presta un servicio de DNS recursivo disponible al público solamente como parte del servicio de acceso a internet, la entidad debe considerarse comprendida en el ámbito de competencia de todos los Estados miembros en los que presta sus servicios.
(116) En situaciones en las que los proveedores de servicios de DNS, los registros de nombres de dominio de primer nivel, las entidades que prestan servicios de registro de nombres de dominio, los proveedores de servicios de computación en nube, los proveedores de servicios de centro de datos, los proveedores de redes de distribución de contenidos, los proveedores de servicios gestionados y los proveedores de servicios de seguridad gestionados, así como los proveedores de mercados en línea, de motores de búsqueda en línea y de plataformas de servicios de redes sociales no estén establecidos en la Unión pero ofrezcan servicios dentro de ella, deben designar un representante en la Unión. Para determinar si dicha entidad ofrece servicios en la Unión, debe determinarse si la entidad tiene la intención de ofrecer servicios a personas de uno o varios Estados miembros. La simple accesibilidad en la Unión del sitio web de la entidad o de un intermediario, o de una dirección de correo electrónico y otros datos de contacto, o el empleo de una lengua de uso común en el país tercero en que esté establecida la entidad, debe considerarse insuficiente para determinar dicha intención. No obstante, factores como el empleo de una lengua o una moneda de uso común en uno o varios Estados miembros, con la posibilidad de encargar servicios en esa lengua, o la mención de clientes o usuarios que estén en la Unión, podría revelar que la entidad tiene la intención de ofrecer servicios en la Unión. El representante debe actuar por cuenta de la entidad, y las autoridades competentes o los CSIRT han de poder dirigirse al representante. El representante debe haber sido designado expresamente mediante un mandato escrito de la entidad que le autorice para actuar por cuenta de esta en lo que respecta a las obligaciones de la entidad que establece la presente Directiva, también por lo que respecta a la notificación de incidentes.
(117) A fin de garantizar una visión clara de los proveedores de servicios de DNS, los registros de nombres de dominio de primer nivel, las entidades que prestan servicios de registro de nombres de dominio, los proveedores de servicios de computación en nube, los proveedores de servicios de centro de datos, los proveedores de redes de distribución de contenidos, los proveedores de servicios gestionados y los proveedores de servicios de seguridad gestionados, así como los proveedores de mercados en línea, de motores de búsqueda en línea y de plataformas de servicios de redes sociales que presten servicios en toda la Unión y estén comprendidos en el ámbito de aplicación de la presente Directiva, la ENISA debe crear y mantener un registro de estas entidades, basado en la información recibida de los Estados miembros, si procede mediante los mecanismos nacionales establecidos para que las entidades se registren ellas mismas. Los puntos de contacto únicos deben transmitir a la ENISA la información y cualquier modificación de la misma. Con objeto de asegurar la exactitud y exhaustividad de la información que se ha de incluir en el registro, los Estados miembros pueden presentar a la ENISA la información disponible en cualquier registro nacional sobre esas entidades. La ENISA y los Estados miembros deben tomar medidas que faciliten la interoperabilidad de estos registros y además aseguren la protección de la información confidencial o clasificada. La ENISA debe establecer protocolos adecuados de clasificación y gestión de la información con objeto de garantizar la seguridad y confidencialidad de la información divulgada, y ha de restringir el acceso, el almacenamiento y la transmisión de dicha información a los usuarios previstos.
(118) Cuando se intercambie, notifique o comparta de cualquiera forma con arreglo a las disposiciones de la presente Directiva información que esté clasificada de conformidad con el Derecho de la Unión o nacional deben aplicarse las correspondientes normas específicas sobre el tratamiento de información clasificada. Además, la ENISA debe contar con la infraestructura, los procedimientos y las normas necesarios para tratar información sensible y clasificada de conformidad con las normas de seguridad aplicables para proteger la información clasificada de la Unión.
(119) Puesto que las ciberamenazas son cada vez más complejas y sofisticadas, el éxito de las medidas de detección de tales amenazas y su prevención depende en gran medida de que las entidades compartan regularmente información sobre las amenazas y las vulnerabilidades. El intercambio de información contribuye a crear una mayor conciencia sobre las ciberamenazas, lo que a su vez refuerza la capacidad de las entidades para evitar que tales amenazas se materialicen en incidentes y les permite contener mejor los efectos de los incidentes y recuperarse de manera más eficiente. Ante la ausencia de orientación a nivel de la Unión, son varios los factores que parecen haber dificultado este intercambio de información, en particular la incertidumbre en cuanto a la compatibilidad con las normas sobre competencia y responsabilidad.
(120) Debe animarse a las entidades para que, con la asistencia de los Estados miembros, aprovechen colectivamente sus conocimientos y experiencias prácticas individuales a nivel estratégico, táctico y operativo para reforzar sus capacidades de prevención, detección, respuesta y recuperación ante incidentes y mitigación de su impacto. Por consiguiente, es necesario propiciar la creación a nivel de la Unión de acuerdos voluntarios de intercambio de información sobre ciberseguridad. Para ello, los Estados miembros también deben asistir y alentar activamente a las entidades, como las dedicadas a los servicios y la investigación en el ámbito de la ciberseguridad, así como a las entidades pertinentes que no quedan comprendidas en el ámbito de aplicación de la presente Directiva, para que participen en tales mecanismos de intercambio de información sobre ciberseguridad. Dichos mecanismos deben establecerse de conformidad con las normas de competencia de la Unión y el Derecho de la Unión en materia de protección de datos.
(121) El tratamiento de datos personales, en la medida en que sea necesario y proporcionado para garantizar la seguridad de los sistemas de redes y de información por parte de las entidades esenciales e importantes, podría considerarse lícito sobre la base de que dicho tratamiento cumple una obligación jurídica a la que está sujeto el responsable del tratamiento, de conformidad con los requisitos del artículo 6, apartado 1, letra c), y del artículo 6, apartado 3, del Reglamento (UE) 2016/679. El tratamiento de datos personales también podría ser necesario para la satisfacción de intereses legítimos perseguidos por entidades esenciales e importantes, así como por proveedores de tecnologías y servicios de seguridad que actúen en nombre de dichas entidades, de conformidad con el artículo 6, apartado 1, letra f), del Reglamento (UE) 2016/679, incluso cuando dicho tratamiento sea necesario para los mecanismos de intercambio de información sobre ciberseguridad o la notificación voluntaria de información pertinente de conformidad con la presente Directiva. Las medidas relacionadas con la prevención, la detección, la identificación, la contención y el análisis de incidentes y la respuesta ante estos, las medidas para incrementar el conocimiento relacionado con ciberamenazas específicas, el intercambio de información en el contexto de la corrección y divulgación coordinada de las vulnerabilidades, el intercambio voluntario de información sobre dichos incidentes, así como ciberamenazas y vulnerabilidades, indicadores de compromiso, tácticas, técnicas y procedimientos, alertas de ciberseguridad y herramientas de configuración pueden requerir el tratamiento de determinadas categorías de datos personales, como direcciones IP, localizadores uniformes de recursos (URL), nombres de dominio, direcciones de correo electrónico y, si revelan datos personales, sellos de tiempo. El tratamiento de datos personales por parte de las autoridades competentes, los puntos de contacto únicos y los CSIRT podría constituir una obligación legal o considerarse necesario para el cumplimiento de una misión de interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento de los datos de conformidad con el artículo 6, apartado 1, letras c) o e), y el artículo 6, apartado 3, del Reglamento (UE) 2016/679, o para perseguir un interés legítimo de entidades esenciales e importantes a que se refiere el artículo 6, apartado 1, letra f), de dicho Reglamento. Además, el Derecho nacional podría establecer normas que permitan a las autoridades competentes, los puntos de contacto únicos y los CSIRT, en la medida en que sea necesario y proporcionado a efectos de garantizar la seguridad de los sistemas de redes y de información de las entidades esenciales e importantes, tratar categorías especiales de datos personales de conformidad con el artículo 9 del Reglamento (UE) 2016/679, en particular estableciendo medidas adecuadas y específicas para salvaguardar los derechos e intereses fundamentales de las personas físicas, incluidas limitaciones técnicas a la reutilización de dichos datos y el uso de medidas de última generación en materia de seguridad y protección de la intimidad, como la seudonimización o el cifrado cuando la anonimización pueda afectar significativamente al objetivo perseguido.
(122) Con vistas a reforzar las facultades y las medidas de supervisión que ayudan a garantizar un cumplimiento efectivo, la presente Directiva debe prever una lista mínima de medidas y medios de supervisión a través de los cuales las autoridades competentes puedan supervisar a las entidades esenciales e importantes. Además, la presente Directiva debe establecer una diferenciación respecto al régimen de supervisión entre las entidades esenciales y las entidades importantes con vistas a garantizar un equilibrio justo de las obligaciones que recaen sobre dichas entidades y sobre las autoridades competentes. En consecuencia, las entidades esenciales deben estar sujetas a un régimen de supervisión completo (a priori y a posteriori), mientras que las entidades importantes deben estar sujetas a un régimen de supervisión menos estricto exclusivamente a posteriori. Por lo tanto, las entidades importantes no deben tener la obligación de documentar sistemáticamente la conformidad con las medidas para la gestión de riesgos de ciberseguridad, a la vez que las autoridades competentes deben aplicar un enfoque reactivo a posteriori respecto a la supervisión y, por ende, no tienen la obligación general de supervisar a dichas entidades. En el caso de entidades importantes, la supervisión a posteriori puede iniciarse cuando se pongan en conocimiento de las autoridades competentes pruebas, indicios o información que dichas autoridades estimen que pueden sugerir un posible incumplimiento de la presente Directiva. Por ejemplo, tales pruebas, indicios o información podrían ser del tipo transmitido a las autoridades competentes por otras autoridades, entidades, ciudadanos, medios de comunicación u otras fuentes, o información disponible para el público, o podría proceder de otras actividades realizadas por las autoridades competentes en el ejercicio de sus funciones.
(123) La ejecución de funciones de supervisión por parte de las autoridades competentes no debe obstaculizar innecesariamente las actividades empresariales de la entidad de que se trate. Cuando las autoridades competentes lleven a cabo sus tareas de supervisión en relación con entidades esenciales, en particular la realización de inspecciones in situ y la supervisión a distancia, la investigación de incumplimientos de la presente Directiva y la realización de auditorías de seguridad o exámenes de seguridad, deben minimizar el impacto en las actividades empresariales de la entidad de que se trate.
(124) En el ejercicio de la supervisión a priori, las autoridades competentes deben poder decidir sobre la priorización del uso de las medidas de supervisión y de los medios a su disposición de manera proporcionada. Esto supone que las autoridades competentes pueden decidir sobre dicha priorización basándose en las metodologías de supervisión que deben aplicar un enfoque basado en el riesgo. Más concretamente, estas metodologías podrían incluir criterios o indicadores para la clasificación de las entidades esenciales en categorías de riesgo junto con las correspondientes medidas de supervisión y medios recomendados para cada categoría de riesgo, tales como el uso, la frecuencia o el tipo de inspecciones in situ o auditorías de seguridad específicas o análisis de seguridad, el tipo de información que se debe solicitar y el nivel de detalle de dicha información. Tales metodologías de supervisión también se podrían complementar con programas de trabajo y evaluarse y revisarse de manera periódica, en particular en aspectos tales como la dotación de recursos y las necesidades. En lo relativo a las entidades de la Administración pública, las facultades de supervisión se pueden aplicar en consonancia con los marcos legislativos e institucionales nacionales.
(125) Las autoridades competentes deben velar por que sus funciones de supervisión en relación con las entidades esenciales e importantes sean llevadas a cabo por profesionales cualificados, que deben tener las competencias necesarias para llevar a cabo dichas tareas, en particular en lo que respecta a la realización de inspecciones in situ y funciones de supervisión a distancia, como la detección de deficiencias en las bases de datos, equipos informáticos, cortafuegos, cifrado y las redes. Dichas inspecciones y dicha supervisión deben llevarse a cabo de manera objetiva.
(126) En casos debidamente justificados en los que tenga conocimiento de una ciberamenaza significativa o de un riesgo inminente, la autoridad competente debe poder adoptar decisiones de ejecución inmediatas con el fin de prevenir incidentes o responder ante ellos.
(127) A fin de garantizar el cumplimiento efectivo, debe fijarse una lista mínima de poderes de ejecución que pueden ejercerse por infracción de las medidas para la gestión de riesgos de ciberseguridad y de las obligaciones de notificación previstas en la presente Directiva, mediante el establecimiento de un marco claro y coherente para tales medidas de ejecución en toda la Unión. Debe prestarse la debida atención a la naturaleza, gravedad y duración de la infracción de la presente Directiva, los perjuicios materiales o inmateriales originados, la intencionalidad o negligencia en la infracción, las medidas adoptadas para prevenir o paliar los perjuicios materiales o inmateriales, el grado de responsabilidad o cualquier infracción anterior pertinente, el grado de cooperación con la autoridad competente y cualquier otra circunstancia agravante o atenuante. Las medidas de ejecución, incluidas las multas administrativas, deben ser proporcionadas y su imposición debe estar sujeta a las garantías procesales adecuadas conforme a los principios generales del Derecho de la Unión y de la Carta de los Derechos Fundamentales de la Unión Europea («la Carta»), entre ellas, el derecho a la tutela judicial efectiva, a un juicio justo, la presunción de inocencia y los derechos de la defensa.
(128) La presente Directiva no exige a los Estados miembros que establezcan la responsabilidad penal o civil con respecto a las personas físicas responsables de garantizar que una entidad cumpla lo dispuesto en la presente Directiva por los perjuicios sufridos por terceros como consecuencia de un incumplimiento de la presente Directiva.
(129) A fin de garantizar el cumplimiento efectivo de las obligaciones contempladas en la presente Directiva, cada autoridad competente debe estar facultada para imponer multas administrativas o solicitar su imposición.
(130) Si las multas administrativas se imponen a una entidad esencial o importante que sea una empresa, por tal debe entenderse una empresa con arreglo a los artículos 101 y 102 del TFUE. Si las multas administrativas se imponen a personas que no son una empresa, a la hora de valorar la cuantía apropiada de la multa, la autoridad competente debe tener en cuenta el nivel general de ingresos prevalente en el Estado miembro así como la situación económica de la persona. Debe corresponder a los Estados miembros determinar si se debe imponer multas administrativas a las autoridades públicas y en qué medida. La imposición de una multa administrativa no afecta al ejercicio de otras facultades de las autoridades competentes ni a la aplicación de otras sanciones contempladas en las normas nacionales que transpongan la presente Directiva.
(131) Los Estados miembros deben poder establecer las normas sobre las sanciones penales por infracciones de las normas nacionales que transpongan la presente Directiva. No obstante, la imposición de sanciones penales por infracciones de dichas normas nacionales y de sanciones administrativas asociadas no debe entrañar la vulneración del principio ne bis in idem, según la interpretación del Tribunal de Justicia de la Unión Europea.
(132) En los casos en que la presente Directiva no armoniza las sanciones administrativas, o en otros casos en que se requiera, por ejemplo en el supuesto de infracción grave de la presente Directiva, los Estados miembros deben aplicar un sistema que establezca sanciones efectivas, proporcionadas y disuasorias. El Derecho nacional debe determinar la naturaleza de dichas sanciones y si son penales o administrativas.
(133) Con vistas a reforzar más aún la eficacia y el carácter disuasorio de las medidas de ejecución aplicables por la infracción de la presente Directiva, las autoridades competentes deben estar facultadas para suspender temporalmente o solicitar la suspensión temporal de una certificación o autorización referente a una parte o la totalidad de los servicios pertinentes prestados o a las actividades realizadas por una entidad esencial y solicitar la imposición de una prohibición temporal de que una persona física ejerza funciones de dirección a nivel de director general o representante legal. Habida cuenta de su gravedad y repercusión en las actividades de las entidades y, en última instancia, en sus usuarios, dichas suspensiones o prohibiciones temporales deben aplicarse exclusivamente de manera proporcional a la gravedad de la infracción y teniendo en cuenta las circunstancias de cada caso, en particular si la infracción fue intencionada o negligente, y toda medida adoptada para prevenir o paliar los perjuicios materiales o inmateriales sufridos. Las suspensiones o prohibiciones temporales solo deben aplicarse como ultima ratio, es decir, únicamente después de haber agotado el resto de medidas de ejecución pertinentes establecidas por la presente Directiva y solo por el tiempo hasta que las entidades a las que se aplican adopten las medidas necesarias para subsanar las deficiencias o cumplir los requisitos de la autoridad competente en nombre de la que se aplicaron dichas suspensiones o prohibiciones temporales. La imposición de tales suspensiones o prohibiciones temporales debe estar sujeta a las garantías procesales adecuadas conforme a los principios generales del Derecho de la Unión y de la Carta, entre ellas el derecho a la tutela judicial efectiva, a un juicio justo, a la presunción de inocencia y los derechos de la defensa.
(134) A fin de garantizar que las entidades cumplan las obligaciones que les incumben con arreglo a la presente Directiva, los Estados miembros deben cooperar y prestarse asistencia mutua en relación con las medidas de supervisión y ejecución, en particular cuando una entidad preste servicios en más de un Estado miembro o cuando sus sistemas de redes y de información estén situados en un Estado miembro distinto de aquel en el que presta servicios. Cuando preste asistencia, la autoridad competente requerida debe adoptar medidas de supervisión o ejecución de conformidad con el Derecho nacional. A fin de garantizar el buen funcionamiento de la asistencia mutua en virtud de la presente Directiva, las autoridades competentes deben utilizar el Grupo de Cooperación como foro para debatir casos y solicitudes concretas de asistencia.
(135) Con el fin de asegurar la supervisión y la ejecución efectivas, en particular en una situación que presente una dimensión transfronteriza, los Estados miembros que hayan recibido una solicitud de asistencia mutua deben, dentro de los límites de dicha solicitud, tomar medidas adecuadas de supervisión y ejecución en relación con la entidad objeto de tal petición, y que presta servicios o que tiene un sistema de redes y de información en el territorio de dicho Estado miembro.
(136) La presente Directiva debe establecer normas de cooperación entre las autoridades competentes y las autoridades de control con arreglo al Reglamento (UE) 2016/679 para tratar los incumplimientos de la presente Directiva relacionadas con los datos personales.
(137) La presente Directiva debe aspirar a garantizar un nivel elevado de responsabilidad por las medidas para la gestión de riesgos de ciberseguridad y las obligaciones de notificación a nivel de las entidades esenciales e importantes. Por consiguiente, los órganos de dirección de las entidades esenciales e importantes deben aprobar las medidas de gestión de riesgos de ciberseguridad y supervisar su aplicación.
(138) A fin de garantizar un elevado nivel común de ciberseguridad en toda la Unión sobre la base de la presente Directiva, deben delegarse en la Comisión los poderes para adoptar actos con arreglo al artículo 290 del TFUE, por lo que respecta a complementar la presente Directiva especificando qué categorías de entidades esenciales e importantes han de estar obligadas a utilizar determinados productos de TIC, servicios de TIC y procesos de TIC certificados u obtener una certificación en el marco de un esquema europeo de certificación de la ciberseguridad. Reviste especial importancia que la Comisión lleve a cabo las consultas oportunas durante la fase preparatoria, en particular con expertos, y que esas consultas se realicen de conformidad con los principios establecidos en el Acuerdo Interinstitucional de 13 de abril de 2016 sobre la mejora de la legislación (22). En particular, a fin de garantizar una participación equitativa en la preparación de los actos delegados, el Parlamento Europeo y el Consejo reciben toda la documentación al mismo tiempo que los expertos de los Estados miembros, y sus expertos tienen acceso sistemáticamente a las reuniones de los grupos de expertos de la Comisión que se ocupen de la preparación de actos delegados.
(139) A fin de garantizar condiciones uniformes de ejecución de la presente Directiva, deben conferirse a la Comisión competencias de ejecución para establecer las disposiciones de procedimiento necesarias para el funcionamiento del Grupo de Cooperación y los requisitos técnicos, metodológicos y sectoriales relativos a las medidas para la gestión de riesgos de ciberseguridad, así como para especificar en mayor medida el tipo de información, el formato y el procedimiento de las notificaciones de incidentes, ciberamenazas y cuasiincidentes y de las comunicaciones significativas de ciberamenazas, así como los casos en que un incidente debe considerarse significativo. Dichas competencias deben ejercerse de conformidad con el Reglamento (UE) n.o 182/2011 del Parlamento Europeo y del Consejo (23).
(140) La Comisión debe revisar periódicamente lo dispuesto en la presente Directiva, previa consulta a las partes interesadas, en particular para determinar si resulta conveniente proponer enmiendas a raíz de cambios en la situación social, política, de la tecnología o el mercado. Como parte de esas revisiones, la Comisión debe evaluar la importancia de la magnitud de las entidades de que se trate, y los sectores, los subsectores y los tipos de entidades a que se refieren los anexos de la presente Directiva para el funcionamiento de la economía y la sociedad por lo que respecta a la ciberseguridad. La Comisión debe evaluar, entre otros aspectos, si los proveedores, comprendidos en el ámbito de aplicación de la presente Directiva, son designados como plataformas en línea de muy gran tamaño en el sentido del artículo 33 del Reglamento (UE) 2022/2065 del Parlamento Europeo y del Consejo (24) podrían identificarse como entidades esenciales a los efectos de la presente Directiva.
(141) La presente Directiva crea nuevos cometidos para la ENISA, reforzando así su papel, y también podría dar lugar a que la ENISA tenga que desempeñar los cometidos que actualmente le atribuye el Reglamento (UE) 2019/881 con un mayor nivel de exigencia. A fin de garantizar que la ENISA disponga de los recursos financieros y humanos necesarios para llevar a cabo sus cometidos actuales y sus nuevos cometidos, así como para cumplir con un nivel de ejecución más elevado de aquellos cometidos resultantes de su papel reforzado, debe incrementarse su presupuesto en consecuencia. Además, a fin de garantizar un uso eficiente de los recursos, la ENISA debe tener mayor flexibilidad en la forma en que puede asignar recursos internamente con el propósito de desempeñar sus cometidos eficazmente y satisfacer las expectativas.
(142) Dado que el objetivo de la presente Directiva, a saber, garantizar un elevado nivel común de ciberseguridad en toda la Unión, no puede ser alcanzado de manera suficiente por los Estados miembros, sino que, debido a los efectos de la acción, puede lograrse mejor a escala de la Unión, esta puede adoptar medidas, de acuerdo con el principio de subsidiariedad establecido en el artículo 5 del Tratado de la Unión Europea. De conformidad con el principio de proporcionalidad establecido en el mismo artículo, la presente Directiva no excede de lo necesario para alcanzar dicho objetivo.
(143) La presente Directiva respeta los derechos fundamentales y los principios reconocidos por la Carta, en particular, el derecho al respeto de la vida privada y las comunicaciones, el derecho a la protección de los datos de carácter personal, la libertad de empresa, el derecho a la propiedad, el derecho a una tutela judicial efectiva, a un juicio justo, la presunción de inocencia y los derechos de la defensa. El derecho una tutela judicial efectiva se extiende a los destinatarios de los servicios prestados por entidades esenciales e importantes. La presente Directiva debe aplicarse con arreglo a esos derechos y principios.
(144) El Supervisor Europeo de Protección de Datos, al que se consultó de conformidad con el artículo 42, apartado 1, del Reglamento (UE) 2018/1725 (25) del Parlamento Europeo y del Consejo, emitió su dictamen el 11 de marzo de 2021 (26).
HAN ADOPTADO LA PRESENTE DIRECTIVA: