31.1.2018   

ES

Diario Oficial de la Unión Europea

L 26/48

(1)

De conformidad con la Directiva (UE) 2016/1148, los proveedores de servicios digitales pueden tomar las medidas técnicas y de organización que consideren adecuadas y proporcionadas para gestionar los riesgos existentes para la seguridad de sus redes y sistemas de información, siempre que dichas medidas garanticen un nivel adecuado de seguridad y tengan en cuenta los elementos previstos en dicha Directiva.

(2)

Cuando determinen las medidas técnicas y de organización adecuadas y proporcionadas, los proveedores de servicios digitales deben plantear la seguridad de la información de forma sistemática, utilizando un enfoque basado en los riesgos.

(3)

Con el fin de garantizar la seguridad de los sistemas e instalaciones, los proveedores de servicios digitales deben realizar procedimientos de evaluación y análisis. Estas actividades deben atañer a la gestión sistemática de las redes y sistemas de información, la seguridad física y del entorno, la seguridad de abastecimiento y los controles de acceso.

(4)

Cuando se realice un análisis de riesgos dentro de la gestión sistemática de las redes y sistemas de información, se debe animar a los proveedores de servicios digitales a que determinen riesgos concretos y cuantifiquen su importancia, por ejemplo identificando amenazas para los activos críticos y la forma en que pueden afectar a las operaciones, y determinando la mejor manera de atenuar dichas amenazas en función de las capacidades disponibles y de las necesidades de recursos.

(5)

Las políticas en materia de recursos humanos pueden referirse a la gestión de capacidades e incluir aspectos relativos al desarrollo de capacidades de seguridad y a la sensibilización. Cuando se tomen decisiones sobre un conjunto adecuado de políticas en materia de seguridad de las operaciones, debe animarse a los proveedores de servicios digitales a que tengan en cuenta aspectos de la gestión de cambios, la gestión de la vulnerabilidad, la formalización de prácticas operativas y administrativas y la cartografía del sistema.

(6)

Las políticas relativas a la arquitectura de la seguridad pueden incluir, en particular, la segregación de redes y sistemas, así como medidas de seguridad específicas para operaciones críticas como las de administración. La segregación de redes y sistemas puede permitir a un proveedor de servicios digitales hacer distinciones entre elementos como los flujos de datos y los recursos informáticos que pertenecen a un cliente, a un grupo de clientes, al proveedor de servicios digitales o a terceros.

(7)

Las medidas adoptadas en relación con la seguridad física y del entorno deben garantizar la seguridad de las redes y sistemas de información de una organización frente a los daños provocados por incidentes como robos, incendios, inundaciones u otros efectos de fenómenos meteorológicos, fallos de telecomunicaciones o de suministro de electricidad.

(8)

La seguridad de suministros tales como la energía eléctrica, el combustible o la refrigeración puede englobar la seguridad de la cadena de suministro, que incluye en particular la seguridad de los contratistas y subcontratistas terceros y la gestión de estos. La trazabilidad de los suministros críticos se refiere a la capacidad del proveedor de servicios digitales de determinar y registrar las fuentes de tales suministros.

(9)

Los usuarios de servicios digitales deben englobar a las personas físicas y jurídicas que sean clientes o subscriptores de un mercado en línea o un servicio de computación en nube o que sean visitantes del sitio web de un motor de búsqueda en línea con el fin de realizar búsquedas por palabras clave.

(10)

A la hora de definir la importancia del impacto de un incidente, los casos que figuran en el presente Reglamento deben considerarse como una lista no exhaustiva de incidentes significativos. De la aplicación del presente Reglamento y del trabajo del Grupo de cooperación deben extraerse conclusiones en lo referente a la recopilación de información de mejores prácticas sobre los riesgos e incidentes y las discusiones sobre las modalidades para informar sobre notificaciones de incidentes a que hace referencia el artículo 11, apartado 3, letras i) y m), de la Directiva (UE) 2016/1148. El resultado podría ser unas orientaciones exhaustivas sobre los umbrales cuantitativos de los parámetros de notificación que pueden dar lugar a la obligación de notificación para los proveedores de servicios digitales en virtud del artículo 16, apartado 3, de la Directiva (UE) 2016/1148. En su caso, la Comisión también podría estudiar la revisión de los umbrales fijados en el presente Reglamento.

(11)

Con el fin de que las autoridades competentes estén informadas de nuevos riesgos potenciales, debe animarse a los proveedores de servicios digitales a que notifiquen voluntariamente cualquier incidente cuyas características hubieran sido desconocidas previamente para ellos, como nuevos exploits, vectores de ataque, actores de amenazas, vulnerabilidades y peligros.

(12)

El presente Reglamento debe aplicarse a partir del día siguiente a la fecha de expiración del plazo de transposición de la Directiva (UE) 2016/1148.

(13)

Las medidas previstas en el presente Reglamento se ajustan al dictamen del Comité de Seguridad de las Redes y Sistemas de Información a que se hace referencia en el artículo 22 de la Directiva (UE) 2016/1148.

a)

la gestión sistemática de redes y sistemas de información, es decir, una cartografía de los sistemas de información y la creación de un conjunto de políticas adecuadas en materia de gestión de la seguridad de la información, incluidos el análisis de riesgos, los recursos humanos, la seguridad de las operaciones, la arquitectura de la seguridad, la gestión segura del ciclo de vida de datos y sistemas, y, si procede, el cifrado y su gestión;

b)

la seguridad física y del entorno, es decir, la disponibilidad de un conjunto de medidas para proteger la seguridad de las redes y sistemas de información de los proveedores de servicios digitales frente a los daños, utilizando un enfoque basado en los riesgos que abarque todos los peligros y tenga en cuenta, por ejemplo, los fallos del sistema, los errores humanos, las acciones malintencionadas o los fenómenos naturales;

c)

la seguridad de abastecimiento, es decir, el establecimiento y mantenimiento de políticas adecuadas con el fin de garantizar la accesibilidad y, en su caso, la trazabilidad de los suministros críticos utilizados en la prestación de los servicios;

d)

el control del acceso a las redes y sistemas de información, es decir, la disponibilidad de un conjunto de medidas para garantizar que el acceso físico y lógico a las redes y sistemas de información, incluida la seguridad administrativa de las redes y sistemas de información, se autorice y restrinja sobre la base de requisitos de actividad de negocio y de seguridad.

a)

procesos y procedimientos de detección mantenidos y ensayados para garantizar el conocimiento oportuno y adecuado de sucesos anómalos;

b)

procesos y políticas sobre la notificación de incidentes y la detección de deficiencias y vulnerabilidades en sus sistemas de información;

c)

una respuesta acorde con procedimientos establecidos y la comunicación de los resultados de la medida adoptada;

d)

la evaluación de la gravedad del incidente, documentando las enseñanzas extraídas del análisis del incidente, y la recopilación de información pertinente que pueda servir como prueba y apoyo a un proceso de mejora continua.

a)

el establecimiento y la utilización de planes de contingencia basados en un análisis de impacto en la actividad para garantizar la continuidad de los servicios prestados por proveedores de servicios digitales, que serán evaluados y ensayados con carácter periódico, por ejemplo mediante ejercicios;

b)

capacidades de recuperación en caso de catástrofe, que serán evaluadas y ensayadas con carácter periódico, por ejemplo mediante ejercicios.

a)

la realización de una secuencia programada de observaciones o mediciones para evaluar si las redes y sistemas de información están funcionando según lo previsto;

b)

la inspección y verificación para comprobar si se está siguiendo una norma o una serie de directrices, si los registros son exactos, y si los objetivos de eficiencia y eficacia se están cumpliendo;

c)

un proceso destinado a revelar fallos en los mecanismos de seguridad de una red y sistema de información que proteja los datos y mantenga la funcionalidad según lo previsto; dicho proceso incluirá procesos técnicos y personal encargado del flujo de operaciones.

a)

el número de personas físicas y jurídicas afectadas con las que se haya celebrado un contrato de prestación de servicios, o

b)

el número de usuarios afectados que hayan utilizado el servicio basándose en particular en el tráfico de datos previo.

a)

El servicio prestado por el proveedor de servicios digitales ha estado indisponible durante más de 5 000 000 horas de usuario, donde la expresión «horas de usuario» se refiere al número de usuarios afectados en la Unión por una duración de sesenta minutos.

b)

El incidente ha dado lugar a una pérdida de autenticidad, integridad o confidencialidad de los datos almacenados, transmitidos o tratados, o de los servicios correspondientes ofrecidos, o accesibles mediante una red y sistema de información del proveedor de servicios digitales, que ha afectado a más de 100 000 usuarios en la Unión.

c)

El incidente ha creado un riesgo para la seguridad pública o de pérdida de vidas humanas.

d)

El incidente ha causado daños materiales como mínimo a un usuario en la Unión, y el daño causado a dicho usuario es superior a 1 000 000 EUR.