19.9.2017

Diario Oficial de la Unión Europea

L 239/9

REGLAMENTO DE EJECUCIÓN (UE) 2017/1578 DE LA COMISIÓN

de 18 de septiembre de 2017

que modifica el Reglamento (UE) n.o 1194/2013 del Consejo, por el que se establece un derecho antidumping definitivo y se percibe definitivamente el derecho provisional establecido sobre las importaciones de biodiésel originario de Argentina e Indonesia

LA COMISIÓN EUROPEA,

Visto el Tratado de Funcionamiento de la Unión Europea,

Visto el Reglamento de Ejecución (UE) 2015/476 del Parlamento Europeo y del Consejo, de 11 de marzo de 2015, relativo a las medidas que podrá adoptar la Unión a partir del Informe sobre medidas antidumping y antisubvención aprobado por el Órgano de Solución de Diferencias de la OMC (1) («Reglamento de habilitación de la OMC»), y en particular sus artículos 1 y 2,

Considerando lo siguiente:

1. MEDIDAS EN VIGOR

(1)	El Consejo estableció, mediante el Reglamento de Ejecución (UE) n.o 1194/2013, de 19 de noviembre de 2013, un derecho antidumping definitivo sobre las importaciones de biodiésel originario de Argentina e Indonesia («Reglamento definitivo») (2).

2. INFORMES ADOPTADOS POR EL ÓRGANO DE SOLUCIÓN DE DIFERENCIAS DE LA OMC

(2)

El 26 de octubre de 2016, el Órgano de Solución de Diferencias («OSD») de la Organización Mundial del Comercio («OMC») adoptó el Informe del Órgano de Apelación (3) y el Informe del Grupo Especial (4), tal como había sido modificado por el informe del Órgano de Apelación («Informes»), en la diferencia «Unión Europea — Medidas antidumping sobre el biodiésel procedente de la Argentina» (WT/DS473/15). El OSD indicó que el Informe del Grupo Especial debe leerse en relación con el Informe del Órgano de Apelación. En el Informe del Órgano de Apelación se constató, entre otras cosas, que la Unión Europea había actuado de manera contradictoria con:

—	el artículo 2.2.1.1, del Acuerdo Antidumping de la OMC («AAD»), al no calcular el coste de producción del producto investigado sobre la base de los registros llevados por los productores;

—	el artículo 2.2 del AAD y el artículo VI:1, letra b), inciso ii) del GATT de 1994, al no utilizar el coste de producción en Argentina cuando calculó el valor normal del biodiésel, y

—	el artículo 9.3 del AAD y el artículo VI:2 del GATT de 1994 al establecer derechos antidumping superiores al margen de dumping que debería haberse establecido en virtud del artículo 2 del AAD y el artículo VI:1 del GATT de 1994, respectivamente.

(3)

Además, el Grupo Especial constató, entre otras cosas, que la Unión Europea había actuado de manera contradictoria con:

—	el artículo 3.1 y 3.4 del AAD, en su examen del impacto de las importaciones objeto de dumping en el mercado interno, en lo que concierne al examen de la capacidad de producción y la utilización de la capacidad.

(4)	El Órgano de Apelación recomendó que el OSD pidiera a la Unión Europea que armonizara sus medidas con el AAD y el GATT de 1994.

3. PROCEDIMIENTO

(5)

El 20 de diciembre de 2016, en virtud del artículo 1, apartado 3, del Reglamento de habilitación de la OMC, la Comisión Europea («Comisión») inició una reconsideración («reconsideración»), mediante la publicación de un anuncio (5) en el Diario Oficial de la Unión Europea («anuncio de inicio»). La Comisión informó a las partes interesadas en la investigación que dio lugar al Reglamento de Ejecución (UE) n.o 1194/2013 («investigación original») sobre la reconsideración y la forma en que pretendía tener en cuenta las constataciones de los Informes.

(6)	Se dio a las partes interesadas la oportunidad de formular observaciones sobre el inicio de la investigación de reconsideración y de solicitar una audiencia con la Comisión o con el Consejero Auditor en litigios comerciales.

(7)	La Comisión envió al Consejo Europeo de Biodiésel («EBB») un cuestionario sobre datos de producción y de capacidad de producción de la industria de la Unión y, posteriormente, realizó una inspección in situ en sus locales.

4. PRODUCTO AFECTADO

(8)

El producto afectado son ésteres monoalquílicos de ácidos grasos y/o gasóleos parafínicos obtenidos por síntesis y/o hidrotratamiento, de origen no fósil, en estado puro o incluido en mezclas, originarios de Argentina e Indonesia, clasificados actualmente en los códigos NC ex 1516 20 98, ex 1518 00 91, ex 1518 00 95, ex 1518 00 99, ex 2710 19 43, ex 2710 19 46, ex 2710 19 47, 2710 20 11, 2710 20 15, 2710 20 17, ex 3824 99 92, 3826 00 10 y ex 3826 00 90 («producto afectado», denominado normalmente «biodiésel»).

(9)	Los Informes no afectan a las conclusiones alcanzadas en los considerandos 16 a 27 del Reglamento definitivo sobre el producto afectado y el producto similar.

5. CONCLUSIONES SOBRE EL DUMPING REVISADAS BASÁNDOSE EN LOS INFORMES

(10)

Como se indica en el anuncio de inicio, la Comisión revisó las conclusiones definitivas de la investigación original teniendo en cuenta las recomendaciones y las resoluciones del Órgano de Solución de Diferencias («OSD»). Dicha revisión se basó en la información recogida en la investigación original y en la información facilitada por las partes interesadas tras la publicación del anuncio de inicio.

(11)

La investigación original sobre el dumping y el perjuicio abarcó el período comprendido entre el 1 de julio de 2011 y el 30 de junio de 2012 («período de investigación» o «PI»). En cuanto a los parámetros pertinentes en el contexto de la evaluación del perjuicio, se analizaron datos que cubrían el período comprendido entre el 1 de enero de 2009 y el fin del período de investigación («período considerado»).

(12)	El presente Reglamento tiene por objeto corregir los aspectos del Reglamento definitivo que son incompatibles con las normas de la OMC y ponerlo en conformidad con los Informes.

5.1. Inclusión de Indonesia

(13)

En el anuncio de inicio, la Comisión se refirió a las medidas antidumping sobre las importaciones de biodiésel procedentes de Indonesia establecidas por el mismo Reglamento definitivo. Dichas medidas son actualmente objeto de un procedimiento de solución de diferencias en la OMC (6) aún en curso, incoado por Indonesia contra la Unión («medidas de la UE con respecto a Indonesia»). En el marco de esa diferencia, Indonesia ha planteado alegaciones similares a las que se abordaron en los Informes. Dado que la interpretación jurídica del Órgano de Apelación que figura en los Informes parece ser también pertinente para la investigación con respecto a Indonesia, la Comisión consideró adecuado que las medidas antidumping impuestas a las importaciones de biodiésel procedentes de Indonesia se examinasen también en una reconsideración simultánea efectuada con arreglo al artículo 2, apartado 1, del Reglamento de habilitación de la OMC, en particular en la medida en que se consideró que el Reglamento definitivo era incompatible con el artículo 2.2.1.1 del AAD.

(14)	En los considerandos 12 a 20 del documento de información general, la Comisión expuso su análisis preliminar sobre la aplicación de la interpretación por parte del Órgano de Apelación del artículo 2.2.1.1 del AAD respecto a la investigación relativa a Indonesia.

(15)

Tras la comunicación de la información, las partes interesadas presentaron observaciones que cuestionaban el análisis de la Comisión, impugnando, entre otras cosas, la aplicabilidad de la interpretación del Órgano de Apelación, así como la autoridad de la Comisión para actuar de oficio a raíz de dicha interpretación, con arreglo al Reglamento de habilitación de la OMC.

(16)

Dado que este análisis requiere más tiempo, la Comisión decidió no dar por concluida la reconsideración relativa a Indonesia en ese momento y continuar su análisis a la luz de las observaciones recibidas. Por lo tanto, la reconsideración iniciada de conformidad con el artículo 2, apartado 1, del Reglamento de habilitación de la OMC está aún en curso y se mantiene abierta por lo que respecta a Indonesia. Todas las partes interesadas fueron informadas en consecuencia mediante un documento de información revisado, con fecha de 31 de julio de 2017, y se les concedió la oportunidad de presentar observaciones.

(17)

El Gobierno indonesio alegó que la Comisión había vulnerado principios generales del Derecho de la Unión Europea al anunciar inicialmente su intención de modificar el Reglamento definitivo en relación con Indonesia y, posteriormente, al dar marcha atrás en esa intención para continuar la investigación relativa a dicho país.

(18)

En primer lugar, el Gobierno indonesio consideró que ello daba lugar a un trato desigual y discriminatorio de los productores indonesios respecto a los productores exportadores argentinos, dado que la Comisión supuestamente había reconocido, tal como se indica en el anuncio de inicio, que las importaciones de biodiésel procedentes de Indonesia se encontraban en una situación similar a las procedentes de Argentina. El aplazamiento de la reconsideración en el caso de Indonesia dejaba a los productores exportadores indonesios en una situación de desventaja manifiesta con respecto a los exportadores argentinos.

(19)

En segundo lugar, dado que la Comisión inició la reconsideración con respecto a las importaciones de biodiésel procedentes tanto de Indonesia como de Argentina, los exportadores indonesios podían razonable y legítimamente confiar en que la reconsideración relativa a Indonesia concluyera al mismo tiempo que la relativa a Argentina. Esta confianza cobró aún más fuerza con la publicación del primer documento de información, en el que la Comisión proponía modificar también el Reglamento definitivo respecto a Indonesia. Por ello, al cambiar de idea con un documento de información revisado, la Comisión supuestamente vulneró el principio de la confianza legítima.

(20)	En tercer lugar, el Gobierno indonesio alegó que la Comisión había vulnerado el principio de buena fe al excluir las importaciones procedentes de Indonesia de la reconsideración en una fase tardía del procedimiento, a pesar de que estas habían estado incluidas a lo largo de toda la investigación.

(21)

En primer lugar, la Comisión recuerda que el Órgano de Solución de Diferencias de la OMC ya ha formulado conclusiones definitivas sobre las medidas impuestas por la UE a las importaciones de biodiésel procedentes de Argentina, mientras que el procedimiento de solución de diferencias sobre las medidas antidumping aplicadas a las importaciones de biodiésel procedentes de Indonesia, que es un procedimiento distinto, aún está en curso en dicho Órgano. Por lo tanto, estas últimas se consideran medidas no impugnadas a tenor del artículo 2, apartado 1, del Reglamento de habilitación de la OMC. Así lo demuestra, entre otras cosas, el uso del término «informe» en el artículo 1, apartado 1, del Reglamento de habilitación de la OMC para describir una medida impugnada que el Órgano de Solución de Diferencias de la OMC ya ha examinado y respecto a la cual ya se ha pronunciado.

(22)

La Comisión recordó también que, de conformidad con el Derecho de la Unión Europea, los conceptos de «igualdad de trato» y «no discriminación» prohíben tratar situaciones similares de modo diferente, o situaciones diferentes del mismo modo, sin ningún motivo objetivo (7). A efectos de la aplicación de los Informes de la OMC, los productores exportadores indonesios y argentinos no se encuentran objetivamente en la misma situación: la implementación en relación con la investigación del dumping perjudicial del producto afectado procedente de Argentina se llevó a cabo con arreglo al artículo 1, apartado 1, del Reglamento de habilitación de la OMC y se concluye mediante el presente Reglamento, mientras que la implementación en relación con la investigación de las mismas prácticas en lo que concierne a Indonesia se llevó a cabo con arreglo al artículo 2, apartado 1, del Reglamento de habilitación de la OMC y sigue abierta. Solo puede haber discriminación si existe una diferencia de trato legal a operadores que se encuentren en la misma situación.

(23)

Sin embargo, dado que la reconsideración de la implementación de las constataciones del Órgano de Solución de Diferencias de la OMC respecto a Argentina y a Indonesia se inició con arreglo a bases jurídicas distintas, completar la reconsideración sobre la investigación del dumping perjudicial de las importaciones procedentes de Argentina antes que la reconsideración sobre la investigación del dumping perjudicial de las importaciones procedentes de Indonesia no supone una diferencia de trato de situaciones similares. En efecto, los operadores se encuentren en situaciones diferentes.

(24)

Por consiguiente, contrariamente a lo que alega el Gobierno de Indonesia, no se ha vulnerado el principio de «igualdad de trato» o de «no discriminación» a tenor del Derecho de la Unión. En todo caso, al utilizar un lenguaje permisivo («podrá» y «si lo considera oportuno») en el artículo 2, apartado 1, del Reglamento de habilitación de la OMC, el legislador de la UE ha dado a la Comisión un margen de discreción considerable para aplicar o no una recomendación de la OMC en relación con una medida no impugnada.

(25)

Tal como se señala en el considerando 16, la Comisión, tras analizar las observaciones recibidas a raíz de la comunicación de la información, consideró apropiado no concluir en ese momento la investigación de reconsideración en relación con Indonesia y continuar con la evaluación de la aplicabilidad de las constataciones también con respecto a ese país a la luz de las observaciones recibidas.

(26)

Por otra parte, la Comisión no puede aceptar el argumento de que un documento de información genere confianza legítima acerca de la conclusión final de una investigación. La finalidad de la comunicación de la información es, al contrario, informar a las partes interesadas de las conclusiones preliminares de la Comisión y ofrecerles la posibilidad de ejercer eficazmente sus derechos de defensa. Por lo tanto, la esencia misma de la comunicación de la información consiste en que la Comisión tenga en cuenta los argumentos y los datos presentados por las partes interesadas.

(27)

Por ello, la carta de acompañamiento enviada a todas las partes interesadas indica expresamente que «esta comunicación de información se hace sin perjuicio de toda decisión que la Comisión pueda adoptar posteriormente, pero si tal decisión se basara en hechos y consideraciones diferentes, estos se transmitirían a su empresa lo antes posible». En este caso particular, la Comisión consideró que necesitaba más tiempo para analizar la aplicabilidad de las constataciones del Órgano de Solución de Diferencias de la OMC en lo que concierne a Indonesia. Esta decisión tiene carácter preparatorio y no afectan necesariamente a la conclusión final de la Comisión. La decisión constituye, asimismo, una manifestación del amplio margen de discreción que tiene la Comisión en las reconsideraciones iniciadas con arreglo al Reglamento de habilitación de la OMC, las cuales entran dentro del ámbito de la política comercial común.

(28)

En consecuencia, una parte interesada no puede basarse en la protección de la confianza legítima antes de que la Comisión haya cerrado el procedimiento de reconsideración en cuestión si la Comisión decide actuar con arreglo a los poderes que le confiere el legislador de la Unión (8). Por tanto, se rechaza también este argumento.

(29)

Por último, no puede achacarse mala fe al hecho de que el cambio se produjera después de la comunicación de la posición inicial de la Comisión, y el Gobierno de Indonesia tampoco presentó pruebas a tal efecto. La Comisión cumplió rigurosamente todas las etapas de la investigación, respetando plenamente los derechos procesales de todas las partes interesadas.

(30)

Por consiguiente, la Comisión rechazó las alegaciones de que había vulnerado principios fundamentales del Derecho de la Unión al ejercer su facultad discrecional de no modificar, en esta fase de la reconsideración, las medidas antidumping en lo que respecta a Indonesia, respetando plenamente los derechos procesales de todas las partes interesadas.

(31)

Tras la comunicación de la información revisada, un productor exportador de Indonesia («Wilmar») manifestó su desacuerdo con la afirmación de la Comisión de que necesitaba más tiempo para concluir su reconsideración con respecto a Indonesia, al considerar que las constataciones de los Informes de la OMC estaban claras. Alegó también que debían modificarse las medidas aplicadas a Indonesia. En su opinión, la Comisión es competente, de conformidad con el Reglamento de habilitación de la OMC, para modificar una medida no impugnada y, por lo tanto, no puede cuestionarse su autoridad para actuar de oficio. Por último, Wilmar afirmó que si se aplazaban las conclusiones de la Comisión con respecto a Indonesia también debían aplazarse las relativas a Argentina. Desde su punto de vista, aún están pendientes cuestiones jurídicas en el procedimiento de la OMC sobre Indonesia que podrían resultar también pertinentes y aplicables en relación con las medidas sobre las importaciones de biodiésel procedentes de Argentina, en particular en lo que concierne al margen de beneficio.

(32)

La Comisión coincide con Wilmar en que, en principio, es competente para adoptar conclusiones en relación con una medida no impugnada, de conformidad con el artículo 2, apartado 1, del Reglamento de habilitación de la OMC. No obstante, como ya se ha explicado en el considerando 16, tras examinar las observaciones recibidas, la Comisión no consideró adecuado, en ese momento, concluir la investigación de reconsideración en lo que concierne a Indonesia, ejerciendo legítimamente su facultad discrecional establecida en el artículo 2, apartado 1, del Reglamento de habilitación de la OMC.

(33)

Por lo que se refiere a la alegación de Wilmar de que también debían aplazarse las conclusiones relativas a Argentina, la Comisión recuerda que los Informes de la OMC confirmaron el método utilizado en el Reglamento definitivo para establecer un margen de beneficio. La cuestión que se plantea en el asunto de Indonesia aún en curso no se planteó en el de Argentina. En todo caso, la Unión y Argentina han acordado un plazo de tiempo razonable, que debería respetarse, para implementar las constataciones de los Informes.

5.2. Determinación del valor normal y cálculo de los márgenes de dumping

(34)

En la presente sección se exponen las conclusiones revisadas de la investigación original en lo que respecta a las recomendaciones y las resoluciones de los Informes, según las cuales la Unión había actuado de manera incompatible con:

—	el artículo 2.2.1.1, al no calcular el coste de producción del producto investigado sobre la base de los registros llevados por los productores;

—	el artículo 2.2 del AAD y el artículo VI:1, letra b), inciso ii), del GATT de 1994, al no utilizar el coste de producción en Argentina cuando calculó el valor normal del biodiésel;

—	el artículo 9.3, del AAD y el artículo VI:2 del GATT de 1994, al establecer derechos antidumping superiores al margen de dumping que debería haberse establecido en virtud del artículo 2 del AAD y el artículo VI:1 del GATT de 1994, respectivamente.

(35)	Como se señala en el considerando 28 del Reglamento definitivo, la Comisión determinó que debía calcularse el valor normal, porque se consideró que las ventas nacionales no se realizaban en el curso de operaciones comerciales normales. Esta conclusión no ha sido impugnada y sigue siendo válida.

(36)

En los considerandos 29 a 34 del Reglamento definitivo, la Comisión determinó que la diferencia en los impuestos a la exportación que impone Argentina sobre la principal materia prima (soja y aceite de soja) y sobre el producto acabado (biodiésel) hicieron bajar los precios en su mercado nacional, aspecto que debe tenerse en cuenta en el cálculo del valor normal.

(37)	Como consecuencia de ello, a la hora de calcular el valor normal, la Comisión sustituyó los costes de la principal materia prima consignados en los registros de los productores exportadores por los precios de referencia publicados por las autoridades competentes de los países afectados.

(38)

La Comisión basó, además, sus conclusiones de la investigación original en la interpretación de que el artículo 2.2.1.1 del AAD permite a la autoridad investigadora abstenerse de utilizar los registros de los productores exportadores si determina que o bien i) son incompatibles con los principios de contabilidad generalmente aceptados (PCGA), o bien ii) no reflejan razonablemente los costes asociados a la producción y la venta del producto considerado (véase el considerando 42 del Reglamento definitivo).

(39)

Tanto el Grupo Especial como el Órgano de Apelación opinaban que la conclusión de la Comisión de que los precios de la soja en el mercado nacional de Argentina eran inferiores a los precios internacionales debido al sistema del impuesto a la exportación argentino no era, por sí solo, un fundamento suficiente para concluir que los registros de los productores no reflejaban razonablemente los costes de la soja asociados a la producción y la venta de biodiésel, o para no tener en cuenta los costes correspondientes indicados en esos registros al calcular el valor normal del biodiésel.

(40)	A raíz de los Informes, la Comisión volvió a calcular el valor normal para los productores exportadores de Argentina. El método utilizado en este nuevo cálculo era idéntico al explicado en los considerandos 40 a 49, respecto a Argentina, del Reglamento (UE) n.o 490/2013 de la Comisión (9).

(41)

Por las razones expuestas en el considerando 45 del Reglamento provisional, no se consideró que las ventas nacionales se realizaran en el curso de operaciones comerciales normales y el valor normal del producto similar tuvo que calcularse con arreglo al artículo 2, apartados 3 y 6, del Reglamento de base. Esto se hizo añadiendo a los costes de producción ajustados durante el período de investigación los gastos de venta, generales y administrativos contraídos, y un margen razonable de beneficio.

(42)

Como se explica en el considerando 46 del Reglamento provisional, la Comisión consideró que el margen de beneficio no podía basarse en los datos reales de las empresas de Argentina incluidas en la muestra. Por lo tanto, el margen de beneficio utilizado al calcular el valor normal se determinó con arreglo al artículo 2, apartado 6, letra c), del Reglamento de base a partir del margen razonable de beneficio que puede conseguir una industria de este tipo, joven, innovadora y con importantes necesidades de capital, en condiciones normales de competencia en un mercado libre y abierto, es decir, el 15 % sobre la base del volumen de negocios.

(43)

En varias de las observaciones presentadas durante la presente reconsideración, el EBB alegó que los Informes no impiden a la Comisión efectuar un ajuste de los costes de las materias primas a la hora de calcular el valor normal, a condición de que ello esté debidamente justificado. El EBB alegó que, teniendo en cuenta el impacto que tiene en el mercado de la Unión el sistema de tasas diferenciales a la exportación (DET, en sus siglas en inglés) y las diferentes posibilidades jurídicas contempladas por dichos Informes como base para tal ajuste, las medidas contra Argentina deben mantenerse en su nivel actual, si bien deben basarse en un razonamiento diferente.

(44)

El EBB se refirió, en particular, a la declaración que figura en el Informe del Órgano de Apelación en la que se afirma que «la determinación de las autoridades de la UE de que los precios en el mercado interior de la soja en la Argentina eran inferiores a los precios internacionales a causa del sistema del impuesto a la exportación argentino no era, por sí sola, un fundamento suficiente para concluir que los registros de los productores no reflejan razonablemente los costos de la soja» (apartado 6.55 del Informe del Órgano de Apelación) y alegó que los Informes de la OMC mantenían la posibilidad de prescindir de los costes de las materias primas y ajustar dichos costes si se consideraba que no eran fiables.

(45)

Según el EBB, el sistema DET distorsiona el mercado de materias primas, en la medida en que tiene como consecuencia que las condiciones normales de la oferta y la demanda dejan de ser factores determinantes para una transacción, y da lugar efectivamente a una transferencia de valor de los productores de la materia prima a los productores de biodiésel que no tiene justificación desde el punto de vista del mercado. Según el EBB, esto se asemeja a las transacciones en condiciones que no son de mercado o a «otras prácticas» que podrían afectar a la fiabilidad de los costes consignados en los registros de un productor exportador y que son motivos justificados para hacer caso omiso de tales costes, aunque se haya incurrido realmente en ellos.

(46)

El EBB basa su alegación de que el sistema DET distorsiona el mercado de la materia prima, en particular, en un análisis presentado por sus propios expertos, así como en un estudio encargado por él titulado Measuring the Distortion to Biodiesel Costs in Argentina Caused by Differential Export Taxes on Soybean Products (Medición de la distorsión de los costes del biodiésel en Argentina causada por las tasas diferenciales a la exportación de los productos a base de soja; el «estudio Heffley»), que supuestamente demuestran que el sistema DET reduce de forma artificial y significativa los precios de la materia prima en cuestión en el mercado nacional y, por tanto, estos no son fiables.

(47)

El estudio Heffley recopiló, durante el período 2010-2016, en Argentina y los Estados Unidos, datos sobre el coste de producción del biodiésel en esos dos países. También proporcionó un análisis específico de mercado correspondiente al período comprendido entre octubre de 2011 y septiembre de 2012. Se constató que el coste de producción del biodiésel de soja en Argentina era inferior al coste de producción del mismo producto en los Estados Unidos. Según el estudio, esta diferencia del 27 % se debía por completo al sistema DET.

(48)

En una segunda fase, el estudio comparó el precio de exportación del biodiésel de soja procedente de Argentina (sin especificar el destino) con el precio medio de mercado del mismo producto en los Estados Unidos. El precio de exportación medio argentino de 875 USD/tonelada era inferior al precio medio en el mercado nacional estadounidense, que ascendía a 1 198 USD/tonelada, lo cual supondría un gran incentivo para la importación de biodiésel argentino. El estudio llega a la conclusión de que esta distorsión es consecuencia directa del sistema DET.

(49)

El EBB subrayó además que corregir tales distorsiones entraría claramente dentro de la lógica del procedimiento antidumping. Alegó, asimismo, que debían corregirse tales distorsiones haciendo los ajustes de costes adecuados, en particular de los costes de la materia prima, de modo que se situasen en el nivel en el que habrían estado si no se hubiera producido ninguna distorsión. De este modo, la Comisión supuestamente restablecería los costes reales que habría en el mercado del exportador para la producción y la venta del producto en cuestión con arreglo a las condiciones normales de mercado.

(50)

Varios productores de biodiésel se opusieron a la propuesta del EBB de que la Comisión no tuviera en cuenta los costes de la materia prima registrados, alegando que dichos costes no eran fiables a causa del sistema DET. Reiteraron que el Grupo Especial y el Órgano de Apelación habían rechazado expresamente el argumento de que el sistema DET, de por sí, pudiera constituir un fundamento para no tener en cuenta los costes registrados y que, en cualquier caso, una autoridad investigadora no podía rechazar los costes registrados cuando los registros reflejaban exacta y fielmente los costes realmente soportados.

(51)

La Comisión reconoció que el Órgano de Apelación no excluía, per se, la posibilidad de que una autoridad investigadora pudiera, en circunstancias concretas, desviarse de los costes registrados si la investigación ha demostrado, por ejemplo, que los costes se han sobrestimado o subestimado o si transacciones en condiciones que no son de mercado u otras prácticas han afectado a la fiabilidad de los costes notificados (apartado 6.41 del Informe del Órgano de Apelación).

(52)

Sin embargo, el Órgano de Apelación afirmó también que el sistema del impuesto a la exportación de Argentina no constituía, por sí solo, un fundamento suficiente para concluir que los registros de los productores no reflejaban razonablemente los costes de la materia prima asociados a la producción y la venta de biodiésel, o para no tener en cuenta los costes pertinentes indicados en esos registros al calcular el valor normal del biodiésel (apartado 6.55 del Informe del Órgano de Apelación).

(53)

Los argumentos del EBB parten de la premisa de que el supuesto efecto distorsionador del sistema DET hace que el coste de la materia prima en cuestión no sea fiable y, por consiguiente, no debe tenerse en cuenta dicho coste. El EBB sostiene que los precios en el mercado nacional de soja en Argentina eran inferiores a los precios internacionales debido al sistema del impuesto a la exportación argentino. Sin embargo, aceptar este argumento equivaldría a admitir, en contra de las conclusiones del Órgano de Apelación, que el sistema DET, de por sí, producía tales efectos que los costes realmente soportados y consignados en los registros de la empresa no debían tenerse en cuenta por el mero hecho de que eran inferiores a los precios internacionales. A este respecto, la Comisión recuerda, además, que en la investigación original se confirmó que los costes reales soportados en relación con la materia prima se reflejaban adecuada y fielmente en los registros de las empresas.

(54)	Por consiguiente, la Comisión rechazó la alegación del EBB, dado que aceptarla sería contradictorio con las conclusiones de los Informes.

(55)	En consecuencia, con objeto de ajustar las medidas de conformidad a los Informes y a la OMC, la Comisión considera necesario calcular el valor normal sobre la base de los costes reales soportados, tal como se reflejan en los respectivos registros de la empresa.

(56)	Tras la comunicación de la información, el EBB repitió que la resolución de la OMC permitió a la Comisión recurrir a un ajuste de costes en el presente caso. Alegó que la Comisión había interpretado erróneamente la resolución de la OMC y el argumento del EBB.

(57)

Según el EBB, la Comisión ignoró las afirmaciones que figuran en los Informes de que «los precios en el mercado nacional de soja en Argentina eran inferiores a los precios internacionales debido al sistema argentino de impuestos a la exportación». El EBB alegó que en la resolución no se afirmaba, como sostiene la Comisión, que los efectos distorsionadores del sistema DET no constituían, por sí solos, una base suficiente para realizar un ajuste de costes.

(58)

Además, el EBB reiteró y subrayó que el hecho de que los precios en el mercado nacional no eran fiables debido al sistema DET constituía un fundamento suficiente para concluir que los registros de los productores no reflejaban razonablemente los costes de la soja asociados a la producción y la venta de biodiésel. La falta de fiabilidad de los precios en el mercado nacional permitía no tener en cuenta los costes registrados, y el EBB había facilitado a la Comisión toda la información necesaria para el ajuste de los costes.

(59)

El EBB insistió en que el Grupo Especial y el Órgano de Apelación habían sostenido que las autoridades investigadoras tenían libertad para examinar la fiabilidad de los costes consignados en los registros de los productores/exportadores, en particular si se habían recogido todos los costes soportados, si se habían sobrestimado o subestimado los costes soportados, y si las transacciones en condiciones que no son de mercado u otras prácticas afectaban a la fiabilidad de los costes notificados. Según el EBB, el efecto del sistema DET era similar al de las transacciones en condiciones que no son de mercado o equivalía a otra práctica que podía afectar a la fiabilidad de los costes notificados (10).

(60)

La Comisión revisó esta alegación teniendo en cuenta también la audiencia con el Consejero Auditor que tuvo lugar el 20 de julio de 2017. La Comisión señaló en los considerandos 51 a 55 que los costes reales soportados en relación con las materias primas estaban consignados adecuada y fielmente en los registros de las empresas argentinas y que el ajuste de los costes realizado previamente se había considerado incompatible con las obligaciones de la UE en el marco de la OMC.

(61)

La Comisión no compartía la interpretación del EBB sobre las constataciones del Grupo Especial y el Órgano de Apelación. Por ejemplo, la nota a pie de página 400 del Informe del Grupo Especial está más matizada de lo que la alegación de la EBB da a entender. El Grupo Especial consideró que el examen de los registros que emana del concepto «reflejar razonablemente» del artículo 2.2.1.1, no implica examinar la «razonabilidad» de los costes notificados propiamente dichos cuando se constata que, dentro de unos límites aceptables, los costes reales consignados en los registros del productor o exportador son exactos y fiables.

(62)	Sin embargo, al alegar que el efecto del sistema DET era similar al de las transacciones en condiciones que no son de mercado o equivalía a otra práctica, el EBB se refería precisamente a ese examen de la razonabilidad de dichos costes notificados.

(63)

Por otra parte, los efectos del sistema DET no eran: i) ni similares a las transacciones en condiciones que no son de mercado, ii) ni equivalían a ninguna «otra práctica» que pudiera afectar a la fiabilidad de los costes consignados en los registros de un productor exportador. Sea cual sea el alcance exacto de esos conceptos, el Grupo Especial y el Órgano de Apelación rechazaron expresamente el argumento básico de la Comisión de que la distorsión de precios causada por el sistema DET de Argentina era, por sí solo, suficiente para rechazar los costes consignados en los registros del productor exportador (11).

(64)

Tras la comunicación de la información revisada, el EEB mantuvo su posición de que la Comisión había interpretado erróneamente la afirmación del Órgano de Apelación que figura en el apartado 6.55 de su Informe y no había tenido en cuenta la posibilidad contemplada en el apartado 6.41 de dicho Informe de examinar la fiabilidad de los costes de la materia prima registrados y prescindir de ellos si se consideraban poco fiables, y aportó más argumentos para defender esa posición.

(65)

Con respecto a la primera alegación, el EBB sostiene que la afirmación del Órgano de Apelación que figura en el apartado 6.55, «[…] la determinación de las autoridades de la UE de que los precios en el mercado interior de la soja en la Argentina eran inferiores a los precios internacionales a causa del sistema del impuesto a la exportación argentino no era, por sí sola, un fundamento suficiente para concluir que los registros de los productores no reflejan razonablemente los costos de la soja asociados a la producción y venta de biodiésel, ni para prescindir de esos costos al reconstruir el valor normal del biodiésel», no es una evaluación jurídica del Órgano de Apelación, como afirma la Comisión, sino una mera cita de la propia conclusión que esta hace en el Reglamento definitivo. El EBB afirma además que la expresión «no era, por sí sola, un fundamento suficiente» implica que el sistema del impuesto a la exportación argentino podía haber constituido un fundamento suficiente para no tener en cuenta los costes, pero que la Comisión no llevó a cabo el análisis necesario. Por último, en su interpretación del apartado 6.55, la Comisión tampoco tuvo en cuenta el hecho de que el Órgano de Apelación había considerado necesario abordar también la cuestión subsiguiente de un punto de referencia. Esto no habría sido necesario si el Órgano de Apelación hubiera descartado categóricamente que el sistema del impuesto a la exportación de Argentina podía constituir el fundamento para efectuar un ajuste de los costes.

(66)	La Comisión no aceptó la interpretación sugerida por el EBB.

(67)

En primer lugar, la afirmación que el Órgano de Apelación hace en el apartado 6.55 que se ha mencionado anteriormente no es una mera cita de las propias conclusiones de la Comisión. Al contrario, forma parte integrante de la interpretación que el Órgano de Apelación hace del artículo 2. 2.1.1 del Acuerdo Antidumping en el apartado 6.56. El Órgano de Apelación manifiesta expresamente que está de acuerdo con el Grupo Especial en que esta disposición no constituía un fundamento suficiente para la conclusión de la Comisión de no tener en cuenta los costes registrados de los productores argentinos de biodiésel debido a que los precios internos de la soja en Argentina eran inferiores a los precios internacionales a causa del sistema del impuesto a la exportación argentino. El Órgano de Apelación repitió literalmente esta conclusión normativa en el apartado 6.56 bajo el título «Conclusiones».

(68)

En segundo lugar, la frase «no era, por sí sola, un fundamento suficiente» implica, a juicio de la Comisión, que la mera existencia del sistema del impuesto a la exportación no constituía un fundamento suficiente para justificar el ajuste de costes realizado en la investigación original. En cambio, si (como sostiene el EBB) la principal razón para que el Órgano de Apelación considerara las medidas de la UE incompatibles con las normas de la OMC fuera una motivación insuficiente por parte de la Comisión en el Reglamento original, dicho órgano lo habría manifestado explícitamente. Sin embargo, ni el Órgano de Apelación ni el Grupo Especial han hecho tal afirmación. La expresión «por sí sola» probablemente se utilizó más bien para dejar claro que el sistema del impuesto a la exportación en Argentina «en sí mismo» no puede dar lugar a un ajuste de costes con arreglo al artículo 2.2.1.1 del Acuerdo Antidumping, independientemente de lo bien motivados o documentados que estén sus efectos distorsionantes.

(69)

En tercer lugar, la Comisión no está de acuerdo con la conclusión que saca el EBB del hecho de que el Órgano de Apelación tratara la alegación relativa a los puntos de referencia en los apartados 6.58 a 6.83 como una indicación de que el sistema del impuesto a la exportación en Argentina sí podía haber constituido un fundamento suficiente para prescindir de los costes registrados de la materia prima. Como puede deducirse del título que precede al apartado 6.58, el Órgano de Apelación aborda en él una alegación diferente de Argentina con arreglo al artículo 2.2 del AAD.

(70)

A continuación, la Comisión abordó la segunda alegación del EBB, a saber, que el apartado 6.41 del Informe del Órgano de Apelación suponía un claro mensaje de que los costes consignados en los registros de una empresa pueden no tomarse en consideración si se basan en prácticas que afectan a la fiabilidad de dichos costes. El EBB se refirió también al hecho de que, aunque el Grupo Especial solo presentó este razonamiento en una nota a pie de página, el Órgano de Apelación consideró necesario incluirlo en el cuerpo de su Informe. Según el EBB, esto indica que el Órgano de Apelación quiso excluir una interpretación demasiado restrictiva del artículo 2.2.1.1 del AAD y enviar un claro mensaje de que sigue siendo posible un ajuste de costes en este contexto.

(71)

En el apartado 6.41, el Órgano de Apelación abordó la alegación de la UE de que el Informe del Grupo Especial parecía dar a entender que una autoridad investigadora tendría que aceptar cualquier coste consignado en los registros de una empresa siempre que reflejara con exactitud el coste real «por irrazonables que sean […] en comparación con un valor sustitutivo o un punto de referencia compatible con una situación de mercado normal». El Órgano de Apelación rechazó esta interpretación y recordó que, en realidad, el Grupo Especial había aceptado que la autoridad investigadora pudiera examinar la fiabilidad y exactitud de los costes consignados en los registros de los productores. La autoridad investigadora podría, por tanto, determinar «si están incluidos todos costes en que se haya incurrido»; si los costes en que se ha incurrido se han sobreestimado o subestimado; y si transacciones no realizadas en condiciones de plena competencia u otras prácticas afectan a la fiabilidad de los costes comunicados.

(72)

La Comisión se mostró de acuerdo con el EBB en que el Órgano de Apelación confirmó la resolución del Grupo Especial de que podía prescindirse de los costes registrados si la autoridad investigadora detectaba transacciones no realizadas en condiciones de mercado u otras prácticas que afectaran a su fiabilidad. También consideró normal que el Órgano de Apelación tratara una alegación en el cuerpo del texto de su resolución, en lugar de en una nota a pie de página, como había hecho el Grupo Especial. Sin embargo, ni el Grupo Especial ni el Órgano de Apelación formularon constataciones o sugerencias de que el sistema del impuesto a la exportación de Argentina pudiera constituir esa excepción de una práctica que afecte a la fiabilidad. Si el Grupo Especial o el Órgano de Apelación hubieran considerado que el sistema del impuesto a la exportación de Argentina podía considerarse otra práctica que afecta a la fiabilidad, lo habrían expresado claramente y no habrían considerado las medidas de la UE incompatibles con las normas de la OMC.

(73)

Por consiguiente, la Comisión mantuvo su interpretación expresada en los Informes de que la UE no puede prescindir de los costes realmente soportados y registrados con exactitud, a la hora de calcular el valor normal del biodiésel en Argentina basándose en las distorsiones derivadas de la mera existencia del sistema del impuesto a la exportación de Argentina.

(74)

En cualquier caso, la Comisión estudió los argumentos presentados por el EBB —tras la comunicación también de FEDIOL, un proveedor de la industria de biodiésel de la Unión—, de que la Comisión debía buscar otras pruebas para realizar ajustes de costes a fin de contrarrestar los efectos del sistema DET en el coste de producción del biodiésel en Argentina. A este respecto, señaló que la finalidad de esta investigación de reconsideración no era la obtención de pruebas alternativas para efectuar ajustes de costes a fin de contrarrestar los efectos distorsionadores del sistema DET.

En cualquier caso, la Comisión señaló que las pruebas que figuran en el estudio Heffley no podían considerarse una base suficientemente sólida para realizar un nuevo ajuste de costes, por los motivos expuestos a continuación.

(75)

En primer lugar, el PI abarca el período comprendido entre julio de 2011 y junio de 2012, mientras que el análisis específico del estudio Heffley abarca el período comprendido entre octubre de 2011 y septiembre de 2012. Por tanto, solo existe una coincidencia parcial de los períodos considerados, por lo que es dudoso que los resultados del estudio puedan trasladarse a la investigación subyacente sin realizar ajustes. La Comisión no pudo corregir este desfase al no disponer de datos correspondientes al período comprendido entre julio de 2011 y septiembre de 2011.

(76)

En segundo lugar, el estudio calculó el coste de producción en los EE.UU. a partir del precio de la soja en el mercado estadounidense. Este método económico se basa en supuestos, sin aportar datos fiables del coste real de producción del biodiésel estadounidense. Aunque pudiéramos basarnos únicamente en suposiciones, no está fundamentada la idea de que los costes de fabricar biodiésel a partir de aceite de soja en bruto serían idénticos en los Estados Unidos y en Argentina. En tercer lugar, la utilización de un precio de exportación argentino «medio» no tiene en cuenta que el precio de exportación a la Unión puede ser en realidad más elevado que el precio medio. De hecho, durante el PI de la investigación original, el precio de exportación del biodiésel argentino a la UE ascendió a 967 EUR/tonelada, es decir, 1 294 USD/tonelada, utilizando los tipos de cambio de aquel momento, según consta en el expediente. En cambio, en el estudio se utilizó para este período un precio medio de exportación de 1 071 USD/tonelada, lo cual demuestra que el supuesto beneficio del sistema DET no podía derivarse directamente de los precios de exportación a la Unión.

(77)

En cuarto lugar, el estudio se limita a suponer, sin pruebas adecuadas para fundamentarlo, que el sistema DET era la causa exclusiva del (bajo) coste de producción en el mercado nacional argentino durante el período considerado. De hecho, el estudio no considera otros factores de ventaja comparativa que podrían hacer que la producción de biodiésel en Argentina fuese más barata que en los Estados Unidos.

(78)	Por tanto, la Comisión concluyó que no podía sustituir de forma exacta los costes consignados en los registros de los productores de biodiésel de Argentina por el valor de referencia propuesto en el estudio Heffley.

(79)

Tras la comunicación de la información revisada, el EBB aclaró que el objetivo del estudio era solo demostrar cómo podía la Comisión, a modo de ejemplo, apreciar y cuantificar el alcance de la distorsión (falta de fiabilidad) causada por el sistema del impuesto a la exportación argentino, y no pretendía sustituir un análisis de la Comisión basado en sus propios datos recabados durante la investigación original y verificados.

(80)

En todo caso, el EBB presentó un estudio con datos de referencia que correspondían plenamente al período de investigación original y que mostraban un resultado muy similar, es decir, una distorsión de los precios internos de la soja de aproximadamente un 27 %. El EBB rebatió también la interpretación de la Comisión de que el estudio se basó en el coste de producción en los Estados Unidos. Entiende, al contrario, que se basó en una estimación del coste de la producción del biodiésel en Argentina. Por otra parte, considera que la crítica de la Comisión de que el estudio se basara en un precio de exportación medio es inoportuna, puesto que dicho precio es irrelevante para el cálculo de la distorsión de los costes del biodiésel causada en Argentina por el sistema del impuesto a la exportación. Por último, el EBB sostiene que ninguna presunta ventaja comparativa puede explicar una diferencia de precios de aproximadamente un 30 % y, a falta de pruebas de lo contrario, la única explicación razonable de esa diferencia es el sistema del impuesto a la exportación argentino.

(81)	La Comisión examinó las explicaciones y aclaraciones facilitadas por el EBB. Reconoció que el estudio revisado reveló una distorsión de los precios nacionales de la soja durante el período de investigación de aproximadamente un 27 %. No obstante, no consideró convincentes los otros tres argumentos.

(82)

Como reconoció el propio EBB, el coste de transformación estimado para un productor en Argentina se obtenía mediante tres análisis: uno basado en los datos del coste y el precio medios, correspondientes a los Estados Unidos y Argentina, durante un sexenio; uno basado en los mismos datos, correspondientes a los Estados Unidos y Argentina, durante un año; y uno basado en los datos, correspondientes a Argentina, durante un año, utilizando el precio de exportación de Argentina como sustituto del precio mundial. Evidentemente, la situación en los Estados Unidos constituía un punto de referencia externo para determinar los costes que se registrarían en Argentina en ausencia de distorsiones causadas por el impuesto a la exportación.

(83)	Por otra parte, no había ningún motivo válido que justificara no tener en cuenta los precios de exportación de Argentina a Europa a la hora de intentar determinar la ventaja que podía suponer el sistema DET para los productores de biodiésel argentinos.

(84)	Además, la Comisión en ningún momento ha negado que el sistema DET redujera artificialmente el coste de los insumos para los productores de biodiésel argentinos; solo discrepó de la afirmación de que dicho sistema fuera la única causa de ese enorme beneficio de aproximadamente un 30 %.

5.3. Nuevo cálculo de los márgenes de dumping

(85)	Tras la comunicación de la información, algunos productores exportadores argentinos hicieron comentarios concretos sobre supuestos errores en los cálculos del dumping. Cuando era procedente, la Comisión corrigió dichos errores y revisó en consecuencia los márgenes de dumping y los derechos.

(86)

Los tipos de derecho revisados con respecto a todos los exportadores argentinos, a la luz de las constataciones y recomendaciones de los Informes de la OMC, expresados en relación con el precio cif en la frontera de la Unión, derechos no pagados, son los siguientes:

País	Empresa	Margen de dumping
Argentina	Aceitera General Deheza S.A., General Deheza, Rosario; Bunge Argentina S.A., Buenos Aires	8,1 %
	Louis Dreyfus Commodities S.A., Buenos Aires	4,5 %
	Molinos Río de la Plata S.A., Buenos Aires; Oleaginosa Moreno Hermanos S.A.F.I.C.I. y A., Bahía Blanca Vicentin S.A.I.C., Avellaneda	6,6 %
	Otras empresas que cooperaron	6,5 %
	Todas las demás empresas	8,1 %

6. CONCLUSIONES SOBRE EL PERJUICIO REVISADAS BASÁNDOSE EN LOS INFORMES

(87)

En los Informes, se constató, entre otras cosas, que la UE había actuado de forma incompatible con el artículo 3.1 y 3.4 del AAD en su examen del impacto de las importaciones objeto de dumping en la industria interna, por lo que se refiere a la capacidad de producción y la utilización de la capacidad. Sin embargo, los Informes no invalidan la conclusión de que la industria de la Unión sufrió un perjuicio importante durante el período considerado.

(88)

El Grupo Especial constató que las autoridades de la UE habían actuado de manera incompatible con el artículo 3.1 y 3.4 del Acuerdo antidumping, al aceptar los datos revisados presentados por la industria de la UE en una fase tardía de la investigación, sin asegurarse de su exactitud y fiabilidad (apartado 7.395 del Informe del Grupo Especial). Los datos revisados se referían a la «capacidad no utilizada». Al mismo tiempo, el Grupo Especial declaró que los datos revisados no influyeron de forma importante en la conclusión, a la que llegaron las autoridades de la UE en el Reglamento definitivo, sobre el exceso de capacidad como «otro factor» que causa perjuicio (conclusión confirmada en el apartado 6.174 del Informe del Órgano de Apelación).

(89)	Algunos productores exportadores y Carbio, la asociación de exportadores de biodiésel de Argentina, alegaron que el concepto de «capacidad no utilizada», tal como se explicaba en el Reglamento definitivo, tenía bastante poco sentido en este sector. La capacidad o bien existía o bien no existía.

(90)

Para el importador Gunvor y para Carbio, la causa del perjuicio a la industria nacional era el exceso de capacidad estructural de la industria, resultante de aumentos injustificados de la capacidad de producción, pese a las bajas tasas de utilización de la capacidad, y no el propio índice de utilización de la capacidad.

(91)	Carbio y productores exportadores argentinos e indonesios alegaron, además, que la Comisión tenía que reexaminar la capacidad de producción y la utilización de la capacidad sobre la base de «pruebas concluyentes». Su examen debería constituir un «examen objetivo» de estos factores.

(92)	La Comisión trató esta cuestión en los puntos 6.1 a 6.4.

6.1. Respuesta al cuestionario y verificación

(93)

La Comisión envió un cuestionario al EBB, en el que le solicitaba explicaciones sobre: i) la metodología que se aplicó para calcular tanto la capacidad de producción como la utilización de la capacidad de la industria de la Unión durante el período considerado, y ii) la razón por la que se revisaron estos datos en el curso de la investigación original y sobre qué base se elaboraron las nuevas cifras.

(94)

La Comisión también instó al EBB a explicar qué entendían por «capacidad no utilizada», la razón por la que, en su opinión, debía excluirse a la capacidad de producción total de la industria de la Unión durante el período considerado y el modo en que se calculó la capacidad no utilizada en el caso de quienes no eran miembros del EBB.

(95)

La Comisión recibió la respuesta al cuestionario, la analizó y, posteriormente, el 26 de abril de 2017, realizó una inspección in situ en los locales del EBB. A petición de la Comisión, el EBB había preparado para la inspección in situ todos los documentos justificativos y hojas de trabajo que había utilizado para preparar su respuesta al cuestionario, en especial los que relacionan la información suministrada con los registros contables y de gestión, a fin de que la Comisión los inspeccionase sobre el terreno.

(96)

La Comisión verificó los documentos justificativos, cotejó los datos comunicados para el período considerado en su origen y pudo hacer cuadrar la información en los documentos contables y de gestión con los datos revisados, presentados en la investigación original, sobre la capacidad de producción y la utilización de la capacidad, datos que corresponden al período comprendido entre el 1 de enero de 2009 y el final del período de investigación. Los documentos contienen datos confidenciales específicos de las empresas y no pueden divulgarse.

(97)

Gunvor y Carbio presentaron una observación en la que alegaban que el cuestionario de la Comisión dirigido al EBB no bastaba para cumplir los requisitos establecidos en el artículo 3.1 y 3.4 del AAD. El EBB tenía que explicar cómo los datos revisados se basaban en fuentes públicas y la Comisión no debía limitarse a aceptar los datos facilitados por el EBB.

(98)

Por otra parte, Gunvor y Carbio alegaron que las respuestas del EBB al cuestionario se habían expurgado de forma significativa y, como consecuencia de ello, las partes interesadas no comprendían cómo se habían recogido los datos ni cómo se verificaron con otras fuentes, por lo que no estaban en condiciones de evaluar si debía darse credibilidad a la información pertinente facilitada por el EBB.

(99)

Ambas partes presentaron datos recogidos por Eurostat sobre la producción, la capacidad y el consumo de biodiésel en la UE y observaron la similitud entre estos datos y los publicados en el Reglamento provisional, que habían sido recogidos y transmitidos a la Comisión por el EBB. Alegaron que la Comisión debería haber utilizado datos de Eurostat en lugar de datos del EBB ajustados con respecto a la capacidad no utilizada.

(100)

Asimismo, alegaron que la definición facilitada por el EBB relativa a la capacidad no utilizada era demasiado vaga y que la idea de reducir la capacidad de producción excluyendo la «capacidad no utilizada» surgió mucho tiempo después de la publicación del Reglamento provisional, una vez que quedó claro que las cifras facilitadas en el Reglamento provisional harían mucho más difícil establecer de forma válida un nexo causal entre las importaciones supuestamente objeto de dumping y el supuesto perjuicio sufrido por la industria de la Unión.

(101)

La Comisión rechazó estas alegaciones, tal como se explica en las secciones 6.2 a 6.4, que figuran más adelante. Evaluó cuidadosamente la respuesta al cuestionario, verificó después los datos durante una inspección in situ en los locales del EBB y constató que los datos presentados y revisados eran exactos y fiables, y que no era necesario modificar las cifras revisadas utilizadas para elaborar el Reglamento definitivo (véanse también los considerandos 53 a 58).

(102)

Además, la Comisión observa que los datos recogidos por el EBB están en consonancia con los datos de Eurostat y, por tanto, Eurostat proporciona una confirmación independiente de la exactitud y la fiabilidad de los datos del EBB. No obstante, dado que los datos de Eurostat no se publicaron hasta 2014, no pudieron utilizarse en la investigación original.

(103)

Por tanto, los datos revisados utilizados en el Reglamento definitivo (considerando 131) (véase el cuadro que figura a continuación) eran correctos y fueron confirmados tras la inspección in situ.

	2009	2010	2011	PI
Capacidad de producción (toneladas)	18 856 000	18 583 000	16 017 000	16 329 500
Índice 2009 = 100	100	99	85	87
Volumen de producción (toneladas)	8 729 493	9 367 183	8 536 884	9 052 871
Índice 2009 = 100	100	107	98	104
Utilización de la capacidad	46 %	50 %	53 %	55 %
Índice 2009 = 100	100	109	115	120

6.2. Producción total de la UE: Aclaraciones acerca del proceso de recogida del EBB de datos sobre producción

(104)

En marzo de 2013, antes de la publicación de las medidas provisionales, el EBB presentó a la Comisión los datos de producción de la industria de la Unión, relativos tanto a miembros como a no miembros del EBB.

(105)

Los datos de producción se facilitaron empresa por empresa, con independencia de que fueran o no miembros del EBB. Este enfoque ascendente garantizaba que los datos de producción dieran siempre una imagen precisa de la producción de la UE.

(106)

Los miembros del EBB facilitan trimestralmente a este sus datos de producción en un formulario enviado por el EBB que luego se coteja con fuentes de información sobre el mercado. El EBB hace especial hincapié en los datos de producción, ya que se utilizan para determinar la contribución financiera al EBB que sus miembros deben realizar.

(107)

Los datos de producción de las empresas que no son miembros se recogen a través de contactos directos con las empresas. A continuación se cotejan los datos comunicados a través de otras fuentes de información sobre el mercado, entre las que se encuentran asociaciones nacionales, otros productores y publicaciones especializadas.

(108)

Por tanto, los datos facilitados por el EBB son la mejor información disponible sobre la producción a escala de la UE en relación con miembros y no miembros del EBB y se basan en una notificación sistemática por el EBB de la producción real con respecto a cada una de las empresas de la UE que producen biodiésel.

(109)

El EBB utilizó estos datos para determinar la producción total de la Unión, en la que basaba sus alegaciones.

6.3. Capacidad de producción total de la UE: Aclaraciones acerca del proceso de recogida del EBB de datos sobre capacidad de producción

(110)

En marzo de 2013, antes de la publicación de las medidas provisionales, el EBB presentó a la Comisión los datos de capacidad de producción de la industria de la Unión, relativos tanto a miembros como a no miembros del EBB.

(111)

De la misma manera que los datos de producción, se facilitaron empresa por empresa, tanto en el caso de las que eran miembros como en el caso de la que no eran miembros del EBB.

(112)

Los miembros del EBB facilitan sus datos sobre capacidad de producción dos veces al año en un formulario enviado por el EBB, que luego se coteja con fuentes de información sobre el mercado. Para garantizar que los datos sean coherentes, el EBB solicita a sus miembros que notifiquen su capacidad sobre la base de 330 días laborables al año por cada planta de producción, a fin de tener en cuenta el mantenimiento de las plantas, que es inevitable.

(113)

Los datos sobre capacidad de producción de las empresas que no son miembros del EBB se recogen mediante contacto directo con las empresas y, como en el caso de los datos de producción, se cotejan a continuación.

(114)

Dado que el EBB solo pide una «instantánea» de la capacidad de producción de la empresa en un día concreto y el concepto de capacidad no siempre se entiende igual en todas las empresas, los datos facilitados por el EBB sobre la capacidad de producción deben considerarse menos precisos que los datos sobre producción.

(115)

Sin embargo, los datos facilitados por el EBB son la mejor información disponible sobre capacidad producción a escala de toda la UE en relación con miembros y no miembros del EBB y se basan en una notificación sistemática por el EBB de la capacidad de producción real con respecto a cada una de las empresas de la UE que producen biodiésel.

6.4. Aclaraciones sobre la identificación por parte del EBB de la «capacidad no utilizada»

(116)

Tras la publicación del Reglamento provisional y tal como se describe en el Reglamento definitivo, se constató que los datos publicados con respecto a la capacidad de producción no representaban con exactitud la situación real de la industria de la Unión. Por ello, la Comisión pidió al EBB que aclarase sus datos sobre capacidad de producción.

(117)

El EBB presentó a la Comisión datos actualizados, tanto con respecto a sus miembros como con respecto a los no miembros, que identificaban una capacidad de producción «en desuso» no disponible, o «capacidad no utilizada», que había sido comunicada inicialmente como parte de la capacidad de producción total de la UE.

(118)

El EBB determina la capacidad no utilizada en el curso de su cálculo de la producción y la capacidad de producción, a partir de los datos presentados por cada empresa. Dada la naturaleza del proceso de recogida de datos descrito anteriormente, fue necesaria una reconsideración de los datos facilitados con respecto a quienes no eran miembros del EBB para garantizar que los datos relativos a la capacidad de producción reflejasen con la mayor exactitud posible la realidad de la industria de la UE.

(119)

Los datos facilitados por el EBB entre los Reglamentos provisional y definitivo son la mejor información disponible sobre capacidad de producción a escala de toda la UE en relación con miembros y no miembros del EBB y se basan en una notificación sistemática por el EBB de la capacidad de producción real con respecto a cada una de las empresas de la UE que producen biodiésel.

6.5. Observaciones recibidas tras la comunicación

(120)

Tras la comunicación de las conclusiones de la Comisión sobre el perjuicio, varias partes interesadas formularon observaciones al respecto.

(121)

La asociación de productores de biodiésel de Argentina, Carbio, reiteró la opinión que había expresado durante la investigación de reconsideración de que, para el análisis del perjuicio y la causalidad, deben utilizarse los datos actuales de Eurostat sobre producción y capacidad de biodiésel en lugar de los datos utilizados en la investigación original.

(122)

La Comisión rechazó esta alegación. Los datos de Eurostat coincidían con los datos originales procedentes del EBB. Sin embargo, el EBB corrigió estos datos para reflejar mejor la capacidad no utilizada durante la investigación original. Como se ha señalado anteriormente en la sección 6.4, la Comisión ha verificado estas actualizaciones en la presente investigación de reconsideración. En consecuencia, los datos originales de Eurostat no reflejan la imagen más exacta sobre la producción y el biodiésel que la Comisión había verificado y utilizado específicamente en el presente asunto.

(123)

Carbio indicó, además, que la Comisión debe definir con más precisión la «capacidad no utilizada». La Comisión reiteró que había definido la capacidad no utilizada en los considerandos 131 y 132 del Reglamento definitivo. Dado que en los Informes de la OMC no se cuestionó el concepto de «capacidad no utilizada» de la Comisión, no había razón alguna para modificarla para esta reconsideración.

7. COMUNICACIÓN DE LA INFORMACIÓN

(124)

Se informó a todas las partes sobre las conclusiones de la Comisión y se les concedió un plazo para que pudieran presentar sus observaciones al respecto.

(125)

Tras la comunicación de la información, el productor exportador Molinos de la Plata informó a la Comisión de que exportaba a la Unión con la denominación «Molinos Agro S.A.» y no con la denominación «Molinos Río de la Plata S.A.», y aportó pruebas.

(126)

La Comisión examinó las pruebas presentadas y llegó a la conclusión de que la modificación del nombre quedaba suficientemente demostrada, por lo que aceptó la alegación.

(127)

Tras la comunicación de la información, Wilmar, exportador indonesio que cooperó, solicitó una audiencia, que le fue concedida. Formuló alegaciones específicas de la empresa acerca de los cálculos del dumping y el perjuicio, y pidió específicamente que se redujera su margen de beneficio.

(128)

La Comisión rechazó estas alegaciones al no estar relacionadas con la aplicación del Informe de la OMC sobre Argentina. Además, la mayoría de ellas están aún pendientes ante la OMC en el procedimiento de solución de diferencias incoado por Indonesia.

(129)

Tras la comunicación de la información revisada, Wilmar insistió en que su alegación relativa a su margen de beneficio para calcular el valor normal no estaba pendiente ante la OMC, sino que se trataba de una cuestión distinta y que su alegación se basaba únicamente en las disposiciones del Reglamento antidumping de base. Consideraba, por tanto, que esta alegación debía tratarse en la presente reconsideración. Wilmar también alegó que el mantenimiento de las medidas no redundaba en interés de la Unión y, por consiguiente, debían suprimirse.

(130)

La Comisión recuerda que esta reconsideración se ha iniciado sobre la base del Reglamento de habilitación de la OMC para tener en cuenta las constataciones y recomendaciones del Grupo Especial y del Órgano de Apelación en la solución de diferencias «Unión Europea — Medidas antidumping sobre el biodiésel procedente de la Argentina» (WT/DS473/15). Por tanto, la reconsideración se limita a las cuestiones tratadas ante la OMC y los posibles cambios resultantes y/o técnicos que puedan derivarse. En consecuencia, ninguna de las alegaciones de Wilmar es admisible. Además, la Comisión recuerda que Wilmar ya formuló una alegación similar a propósito del margen de beneficio en la investigación original y que fue rechazada en esa investigación [véanse los considerandos 43 a 46 del Reglamento (UE) n.o 1194/2013]. Tras la comunicación de la información, COFCO Argentina S.A. (cuya denominación anterior era Noble Argentina S.A.), productor exportador argentino que cooperó, presentó una solicitud de que se tratase a la empresa como «recién llegada» y se la incluyese en la lista de empresas con tipos de derecho individuales como «otras empresas que cooperaron».

(131)

La Comisión informó a la empresa de que debía seguir el procedimiento para los nuevos productores exportadores que figura en el artículo 3 del Reglamento definitivo.

(132)

Tras la comunicación de la información, el EBB solicitó una audiencia con el Consejero Auditor, aduciendo que la posición de la Comisión no se había determinado sobre la base de un razonamiento jurídico objetivo, sino sobre la base del interés político.

(133)

En la audiencia de 20 de julio de 2017, el Consejero Auditor no llegó a la conclusión de que se hubieran vulnerado los derechos de defensa del EBB como parte interesada. Al mismo tiempo, invitó a la Comisión a que justificara por qué no podía hacer caso omiso de los precios de soja argentinos por su falta de fiabilidad. La Comisión incluyó este punto en su evaluación de las observaciones recibidas tras la comunicación de la información, como se establece en los considerandos 60 a 63.

8. MEDIDAS DEFINITIVAS

(134)

Habida cuenta de la reevaluación expuesta anteriormente, la Comisión confirma el dumping perjudicial determinado en la investigación original.

(135)

Por tanto, deben mantenerse las medidas antidumping aplicables a las importaciones de biodiésel originario de Argentina e Indonesia, establecidas por el Reglamento de Ejecución (UE) n.o 1194/2013, recalculando los márgenes de dumping revisados respecto a Argentina como se ha indicado anteriormente.

(136)

El tipo del derecho antidumping definitivo aplicable al producto afectado será el siguiente:

País	Empresa	Margen de dumping	Margen de perjuicio	Tipo de derecho antidumping
Argentina	Aceitera General Deheza S.A., General Deheza, Rosario; Bunge Argentina S.A., Buenos Aires	8,1 %	22,0 %	8,1 %
	Louis Dreyfus Commodities S.A., Buenos Aires	4,5 %	24,9 %	4,5 %
	Molinos Agro S.A., Buenos Aires; Oleaginosa Moreno Hermanos S.A.F.I.C.I. y A., Bahía Blanca; Vicentin S.A.I.C., Avellaneda	6,6 %	25,7 %	6,6 %
	Otras empresas que cooperaron	6,5 %	24,6 %	6,5 %
	Todas las demás empresas	8,1 %	25,7 %	8,1 %

(137)

Por tanto, el artículo 1, apartado 2, del Reglamento definitivo debe modificarse en consecuencia.

(138)

El Comité establecido en virtud del artículo 15, apartado 1, del Reglamento (UE) 2016/1036 (12), no ha emitido ningún dictamen.

HA ADOPTADO EL PRESENTE REGLAMENTO:

Artículo 1

El cuadro indicativo de los tipos del derecho antidumping definitivo aplicable al precio neto franco frontera de la Unión, antes del pago de derechos, de los productos fabricados por las empresas que figuran en el artículo 1, apartado 2, del Reglamento de Ejecución (UE) n.o 1194/2013 se sustituye por el cuadro siguiente:

País	Empresa	Tipo de derecho EUR por tonelada neta	Código TARIC adicional
Argentina	Aceitera General Deheza S.A., General Deheza, Rosario; Bunge Argentina S.A., Buenos Aires	79,56	B782
	Louis Dreyfus Commodities S.A., Buenos Aires	43,18	B783
	Molinos Agro S.A., Buenos Aires; Oleaginosa Moreno Hermanos S.A.F.I.C.I. y A., Bahía Blanca; Vicentin S.A.I.C., Avellaneda	62,91	B784
	Otras empresas que cooperaron: Cargill S.A.C.I., Buenos Aires; Unitec Bio S.A., Buenos Aires; Viluco S.A., Tucumán	62,52	B785
	Todas las demás empresas	79,56	B999
Indonesia	PT Ciliandra Perkasa, Yakarta	76,94	B786
	PT Musim Mas, Medan	151,32	B787
	PT Pelita Agung Agrindustri, Medan	145,14	B788
	PT Wilmar Bioenergi Indonesia, Medan; PT Wilmar Nabati Indonesia, Medan	174,91	B789
	Otras empresas que cooperaron: PT Cermerlang Energi Perkasa, Yakarta	166,95	B790
	Todas las demás empresas	178,85	B999

Artículo 2

El presente Reglamento entrará en vigor al día siguiente de su publicación en el Diario Oficial de la Unión Europea.

El presente Reglamento será obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro.

Hecho en Bruselas, el 18 de septiembre de 2017.

Por la Comisión

El Presidente

Jean-Claude JUNCKER

(1) DO L 83 de 27.3.2015, p. 6.

(2) Reglamento de Ejecución (UE) n.o 1194/2013 del Consejo, de 19 de noviembre de 2013, por el que se establece un derecho antidumping definitivo y se percibe definitivamente el derecho provisional establecido sobre las importaciones de biodiésel originario de Argentina e Indonesia (DO L 315 de 26.11.2013, p. 2).

(3) WT/DS473/AB/R y WT/DS473/AB/R/Add.1.

(4) WT/DS473/R y WT/DS473/R/Add.1.

(5) DO C 476 de 20.12.2016, p. 3. Anuncio de inicio relativo a las medidas antidumping en vigor sobre las importaciones de biodiésel originario de Argentina e Indonesia, tras las recomendaciones y resoluciones adoptadas por el Órgano de Solución de Diferencias de la Organización Mundial en la diferencia UE — Medidas antidumping sobre el biodiésel (DS473) (2016/C 476/04).

(6) Unión Europea — Medidas antidumping sobre el biodiésel procedente de Indonesia, DS480.

(7) Véanse, por ejemplo, las conclusiones del Abogado General Jacobs, de 29 de abril de 2004, en el asunto C-422/02 P, Europe Chemi-Con (Deutschland)/Consejo, ECLI:EU:C:2004:277, apartado 36.

(8) Véase la sentencia de 7 de mayo de 1991 en el asunto C-69/89, Nakajima All Precision/Consejo, ECLI:EU:C:1991:186, apartado 120. Véanse también las conclusiones, más recientes, del Abogado General Campos Sánchez-Bordona de 20 de julio de 2017, en el asunto C-256/16 Deichmann, ECLI:EU:C:2017:580, apartado 49.

(9) Reglamento (UE) n.o 490/2013 de la Comisión, de 27 de mayo de 2013, por el que se establece un derecho antidumping provisional sobre las importaciones de biodiésel originario de Argentina e Indonesia («Reglamento provisional») (DO L 141 de 28.5.2013, p. 6).

(10) Informe del Grupo Especial, UE — Biodiesel, apartado 7.242, nota a pie de página 400; Informe del Órgano de Apelación, UE — Biodiésel, apartado 6.41.

(11) Informe del Órgano de Apelación, UE — Biodiésel, apartados 6.54 — 6.55, Informe del Grupo Especial, UE — Biodiésel, apartados 7.248 y 7.249.

(12) Reglamento (UE) 2016/1036 del Parlamento Europeo y del Consejo, de 8 de junio de 2016, relativo a la defensa contra las importaciones que sean objeto de dumping por parte de países no miembros de la Unión Europea (DO L 176 de 30.6.2016, p. 21).

19.9.2017

Diario Oficial de la Unión Europea

L 239/36

RECOMENDACIÓN (UE) 2017/1584 DE LA COMISIÓN

de 13 de septiembre de 2017

sobre la respuesta coordinada a los incidentes y crisis de ciberseguridad a gran escala

LA COMISIÓN EUROPEA,

Visto el Tratado de Funcionamiento de la Unión Europea, y en particular su artículo 292,

Considerando lo siguiente:

(1)

La utilización de las tecnologías de la información y la comunicación, así como la dependencia de las mismas, constituyen un elemento esencial en todos los sectores de actividad económica, ya que tanto nuestras empresas como nuestros ciudadanos están más interconectados y son más interdependientes que nunca, en todos los sectores y por encima de todas las fronteras. Los Estados miembros y las instituciones de la UE deben estar bien preparados para el caso de que se produzca un incidente de ciberseguridad que afecte a organizaciones de más de un Estado miembro, o incluso de toda la Unión, con posibles perturbaciones graves del mercado interior y, más en general, de las redes y los sistemas de información en que se basan la economía, la democracia y la sociedad de la Unión.

(2)

Un incidente de ciberseguridad puede considerarse una crisis a escala de la Unión cuando la perturbación causada por el incidente sea demasiado fuerte como para que el Estado miembro interesado lo resuelva por sí mismo o cuando afecte a dos o más Estados miembros con un impacto tan amplio de relevancia técnica o política que requiera una coordinación y una respuesta oportuna a nivel político de la Unión.

(3)

Los incidentes de ciberseguridad pueden desencadenar una crisis más generalizada, que afecte a sectores de actividad más allá de las redes y los sistemas de información y las redes de comunicaciones; cualquier respuesta adecuada debe basarse en actividades de mitigación tanto de carácter cibernético como de otro tipo.

(4)

Los incidentes de ciberseguridad son imprevisibles y a menudo se producen y evolucionan en plazos muy breves, por lo que las entidades afectadas y las que tienen responsabilidades en cuanto a la respuesta y a la mitigación de los efectos del incidente deben coordinar su respuesta con rapidez. Por otra parte, los incidentes de ciberseguridad con frecuencia no se limitan a una zona geográfica específica y pueden producirse simultáneamente o extenderse de manera instantánea en muchos países.

(5)

Una respuesta eficaz ante los incidentes y crisis de ciberseguridad a gran escala a nivel de la UE requiere una cooperación rápida y eficaz entre todas las partes interesadas pertinentes y se basa en la preparación y en las capacidades de cada uno de los Estados miembros, así como en una acción común coordinada apoyada en las capacidades de la Unión. Una respuesta oportuna y efectiva a los incidentes se basa, por tanto, en la existencia de procedimientos y mecanismos de cooperación previamente establecidos y, en la medida de lo posible, bien ensayados, en los que se hayan definido claramente las funciones y responsabilidades de los agentes clave a nivel nacional y de la Unión.

(6)

En sus conclusiones (1) sobre la protección de infraestructuras críticas de información, de 27 de mayo de 2011, el Consejo invitaba a los Estados miembros de la UE a «[potenciar] la colaboración entre Estados miembros y [contribuir], basándose en las experiencias y los resultados nacionales en materia de gestión de crisis y en cooperación con la ENISA, al desarrollo de mecanismos europeos de cooperación en caso de incidentes informáticos con vistas a su ensayo en el marco del próximo ejercicio CyberEurope en 2012».

(7)

La Comunicación de 2016 «Reforzar el sistema de ciberresiliencia de Europa y promover una industria de la ciberseguridad competitiva e innovadora» (2) animaba a los Estados miembros a sacar el máximo partido de los mecanismos de cooperación de la Directiva SRI (3) y a potenciar la cooperación transfronteriza relativa a la preparación ante un ciberincidente a gran escala. Añadía que un enfoque coordinado de la cooperación ante las crisis entre los diferentes elementos del ecosistema cibernético, descrito en un «plan director», mejoraría la preparación y que dicho plan también debería velar por las sinergias y la coherencia con los mecanismos existentes de gestión de crisis.

(8)

En las Conclusiones del Consejo (4) sobre la citada Comunicación, los Estados miembros invitaban a la Comisión a presentar un plan director de ese tipo para su consideración por los órganos y otras partes interesadas. Sin embargo, la Directiva SRI no contempla un marco de cooperación de la Unión en el caso de incidentes y crisis de ciberseguridad a gran escala.

(9)

La Comisión consultó a los Estados miembros en dos talleres de consulta distintos celebrados en Bruselas los días 5 de abril y 4 de julio de 2017 con representantes, procedentes de los Estados miembros, de los equipos de respuesta a incidentes de seguridad informática (CSIRT), el Grupo de cooperación establecido por la Directiva SRI y el Grupo horizontal del Consejo sobre cuestiones cibernéticas, así como representantes del Servicio Europeo de Acción Exterior (SEAE), la ENISA, Europol/EC3 y la Secretaría General del Consejo (SGC).

(10)

El Plan director de la respuesta coordinada a los incidentes y crisis de ciberseguridad a gran escala a nivel de la Unión que se recoge en el anexo de la presente Recomendación es resultado de las consultas mencionadas y complementa la Comunicación sobre «Reforzar el sistema de ciberresiliencia de Europa y promover una industria de la ciberseguridad competitiva e innovadora».

(11)

El Plan director describe y fija los objetivos y los modos de cooperación entre los Estados miembros y las instituciones, órganos y organismos de la UE (en lo sucesivo denominados «instituciones de la UE») en cuanto a la respuesta a incidentes y crisis de ciberseguridad a gran escala y cómo los mecanismos existentes de gestión de crisis pueden hacer pleno uso de las entidades de ciberseguridad existentes a nivel de la UE.

(12)

En la respuesta a una crisis de ciberseguridad en el sentido del considerando 2, la coordinación de la respuesta a nivel político de la Unión en el Consejo utilizará el Dispositivo Integrado de Respuesta Política a las Crisis (DIRPC) (5); la Comisión utilizará el proceso de coordinación de crisis intersectoriales de alto nivel ARGUS (6). Si la crisis tiene una importante dimensión de política exterior o de Política Común de Seguridad y Defensa (PCSD), se activará el Mecanismo de Respuesta a las Crisis (CRM) del Servicio Europeo de Acción Exterior (SEAE) (6).

(13)

En determinados ámbitos hay mecanismos de gestión de crisis sectoriales a escala de la UE que permiten la cooperación en caso de incidentes o crisis de ciberseguridad. Por ejemplo, en el marco del Sistema Europeo de Radionavegación por Satélite (GNSS), la Decisión 2014/496/PESC del Consejo (7) ya define las funciones respectivas del Consejo, el Alto Representante, la Comisión, la Agencia del GNSS Europeo y los Estados miembros dentro de la cadena de competencias operativas establecidas para reaccionar ante una amenaza para la Unión, para los Estados miembros o para el GNSS, también en caso de ciberataques. Por lo tanto, la presente Recomendación debe entenderse sin perjuicio de estos mecanismos.

(14)

Los Estados miembros tienen la responsabilidad primaria de la respuesta en caso de incidentes o crisis de ciberseguridad a gran escala que les afecten. La Comisión, el Alto Representante y otras instituciones o servicios de la UE tienen, sin embargo, una función importante, derivada del Derecho de la Unión o de la posibilidad de que los incidentes y crisis de ciberseguridad afecten a todos los sectores de actividad económica dentro del mercado único, a la seguridad y las relaciones internacionales de la Unión, y a las propias instituciones.

(15)

A nivel de la Unión, entre los agentes clave que intervienen en respuesta a las crisis de ciberseguridad se incluyen las recientemente establecidas estructuras y mecanismos de la Directiva SRI, en particular la red de equipos de respuesta a incidentes de seguridad informática (CSIRT), así como las agencias y órganos pertinentes, a saber, la Agencia de Seguridad de las Redes y de la Información de la Unión Europa (ENISA), el Centro Europeo de Ciberdelincuencia de Europol (Europol/EC3), el Centro de Análisis de Inteligencia de la UE (INTCEN), la Dirección de Información del Estado Mayor de la Unión Europea (EMUE INT) y la Sala de Guardia (SITROOM) que trabajan conjuntamente como la SIAC (Capacidad Única de Análisis de Inteligencia), la Célula de Fusión de la UE contra las Amenazas Híbridas (dentro del INTCEN), el Equipo de respuesta a emergencias informáticas de las instituciones de la UE (CERT-UE) y el Centro de Coordinación de la Respuesta a Emergencias de la Comisión Europea.

(16)

La cooperación entre los Estados miembros a la hora de responder a los incidentes de ciberseguridad a nivel técnico se hace a través de la red de CSIRT establecida por la Directiva SRI. La ENISA se encarga de las labores de secretaría de la Red y apoya activamente la cooperación entre los CSIRT. Los CSIRT nacionales y el CERT-UE cooperan e intercambian información de forma voluntaria, también, en caso necesario, en respuesta a incidentes de ciberseguridad que afecten a uno o más Estados miembros. A instancias del representante del CSIRT de un Estado miembro, pueden debatir y, cuando sea posible, determinar una respuesta coordinada a un incidente que se haya detectado dentro de la jurisdicción de ese Estado miembro. Los procedimientos pertinentes se establecerán en los procedimientos de trabajo normalizados de la Red de CSIRT (8).

(17)

La red de CSIRT también está encargada de debatir, explorar e identificar más formas de cooperación operativa, también en relación con las categorías de riesgos e incidentes, alertas tempranas, asistencia mutua, principios y modalidades de coordinación, cuando los Estados miembros responden a incidentes y riesgos transfronterizos.

(18)

El Grupo de cooperación establecido por el artículo 11 de la Directiva SRI está encargado de proporcionar orientación estratégica para las actividades de la red de CSIRT y debatir sobre las capacidades y la preparación de los Estados miembros, así como, de forma voluntaria, de evaluar las estrategias nacionales en materia de seguridad de las redes y sistemas de información y la eficacia de los CSIRT, y de identificar las buenas prácticas.

(19)

Una línea de trabajo específica dentro del Grupo de cooperación está preparando directrices sobre la notificación de incidentes, con arreglo al artículo 14, apartado 7, de la Directiva SRI, respecto de las circunstancias en las que los operadores de servicios esenciales deben notificar incidentes de conformidad con el artículo 14, apartado 3, y el formato y el procedimiento de estas notificaciones (9).

(20)

El conocimiento y la comprensión de la situación en tiempo real, la posición de riesgo y las amenazas, que se obtienen mediante la presentación de informes, las evaluaciones, la investigación y el análisis, son indispensables para que se puedan tomar decisiones bien fundadas. Este «conocimiento de la situación» por todas las partes interesadas pertinentes es esencial para una respuesta coordinada y efectiva. El conocimiento de la situación se refiere a elementos sobre las causas, así como las repercusiones y el origen del incidente. Se reconoce que depende del intercambio y puesta en común de la información entre las partes pertinentes en un formato adecuado, utilizando una taxonomía común para describir el incidente de forma segura y adecuada.

(21)

La respuesta a incidentes de ciberseguridad puede adoptar muchas formas, desde identificar medidas técnicas que pueden implicar a dos o más entidades que investiguen conjuntamente las causas técnicas del incidente (por ejemplo, análisis de programas informáticos maliciosos) o identificar métodos mediante los cuales las organizaciones puedan evaluar si se han visto afectadas (por ejemplo, indicadores de compromiso), hasta tomar decisiones operativas sobre la aplicación de tales medidas y, a nivel político, decidir sobre el uso de otros instrumentos tales como el marco para una respuesta conjunta a las actividades cibernéticas malintencionadas (10) o el protocolo de actuación para contrarrestar las amenazas híbridas (11), dependiendo del incidente.

(22)

La confianza de los ciudadanos y empresas europeos en los servicios digitales es esencial para que prospere el mercado único digital. Por lo tanto, la comunicación de las crisis desempeña un papel especialmente importante para mitigar los efectos negativos de los incidentes y crisis de ciberseguridad. La comunicación puede utilizarse también en el contexto del marco para una respuesta diplomática conjunta como medio para influir en el comportamiento de los agresores (potenciales) que actúen desde terceros países. La adaptación de la comunicación al público a fin de paliar los efectos negativos de los incidentes y crises de ciberseguridad y de la comunicación al público para influir en un agresor es indispensable a efectos de una respuesta política eficaz.

(23)

La prestación de información a los ciudadanos sobre cómo pueden reducir a nivel de usuario y de organización los efectos de un incidente (por ejemplo, aplicando un parche o adoptando acciones complementarias para evitar la amenaza, etc.) podría ser una medida eficaz para atenuar un incidente o crisis de ciberseguridad a gran escala.

(24)

La Comisión, a través de la infraestructura de servicios digitales sobre ciberseguridad del Mecanismo «Conectar Europa» (MCE), está elaborando un mecanismo de cooperación de plataforma central de servicios, conocido como MeliCERTes, entre los CSIRT de los Estados miembros participantes, para mejorar sus niveles de preparación, cooperación y respuesta a las amenazas e incidentes cibernéticos emergentes. La Comisión, a través de convocatorias de propuestas competitivas para la concesión de las subvenciones en virtud del MCE está cofinanciando los CSIRT de los Estados miembros, con vistas a mejorar sus capacidades operativas a nivel nacional.

(25)	Los ejercicios de ciberseguridad a nivel de la UE son esenciales para estimular y mejorar la cooperación entre los Estados miembros y el sector privado. A tal fin, desde 2010 la ENISA organiza regularmente ejercicios de incidentes cibernéticos paneuropeos (CyberEurope).

(26)

Las Conclusiones del Consejo (12) sobre la ejecución de la declaración conjunta del presidente del Consejo Europeo, el presidente de la Comisión Europea y el secretario general de la Organización del Tratado del Atlántico Norte, piden que se siga reforzando la cooperación en los ejercicios cibernéticos a través de la participación recíproca del personal en los ejercicios correspondientes, entre ellos, en particular, en el marco de Cyber Coalition y CyberEurope.

(27)	La continua evolución del panorama de las amenazas y los recientes incidentes de ciberseguridad son una indicación del aumento del riesgo al que se enfrenta la Unión. Los Estados miembros deben actuar sobre la presente Recomendación sin más dilación, y en cualquier caso antes de finales de 2018.

HA ADOPTADO LA PRESENTE RECOMENDACIÓN:

(1)	Los Estados miembros y las instituciones de la UE deben crear un Marco de respuesta a las crisis de ciberseguridad de la UE donde se integren los objetivos y las modalidades de la cooperación que se presentan en el Plan director siguiendo los principios rectores allí descritos.

(2)

El Marco de respuesta a las crisis de ciberseguridad de la UE debe identificar en especial a los agentes, instituciones de la UE y autoridades de los Estados miembros que sean pertinentes, a todos los niveles necesarios (técnico, operativo y estratégico/político) y elaborar, en caso necesario, procedimientos de trabajo normalizados que definan cómo han de colaborar en el contexto de los mecanismos de gestión de crisis de la UE. Debe hacerse hincapié en permitir el intercambio de información, sin demoras indebidas, y en coordinar la respuesta durante incidentes y crisis de ciberseguridad a gran escala.

(3)

A tal fin, las autoridades competentes de los Estados miembros deben trabajar juntas en el sentido de especificar en mayor medida los protocolos de cooperación y de intercambio de información. El Grupo de cooperación debe intercambiar sus experiencias sobre estas cuestiones con las instituciones pertinentes de la UE.

(4)	Los Estados miembros deben velar por que sus mecanismos nacionales de gestión de crisis den la respuesta adecuada a los incidentes de ciberseguridad y establezcan los procedimientos necesarios para la cooperación a nivel de la UE en el contexto del Marco de la UE.

(5)

Por lo que se refiere a los mecanismos existentes de gestión de crisis de la UE, en consonancia con el Plan director, es conveniente que los Estados miembros, junto con los servicios de la Comisión y el SEAE, establezcan directrices para la aplicación práctica por lo que respecta a la integración de sus entidades y procedimientos nacionales en materia de gestión de crisis y ciberseguridad en los mecanismos existentes de gestión de crisis de la UE, a saber, el DIRPC y el CRM del SEAE. En particular, los Estados miembros deben velar por la existencia de estructuras apropiadas que permitan el flujo eficiente de información entre sus autoridades nacionales de gestión de crisis y sus representantes a nivel de la UE en el contexto de los mecanismos de crisis de la UE.

(6)

Los Estados miembros deben hacer pleno uso de las oportunidades que ofrece el programa de infraestructuras de servicios digitales (ISD) del Mecanismo «Conectar Europa» (MCE), y cooperar con la Comisión para que el mecanismo de cooperación de plataforma central de servicios, actualmente en elaboración, aporte todas las funcionalidades necesarias y cumpla sus requisitos para la cooperación también durante las crisis de ciberseguridad.

(7)

Los Estados miembros, con la ayuda de la ENISA y sobre la base de los trabajos realizados anteriormente en este ámbito, deben cooperar en la elaboración y la adopción de una taxonomía y un formato comunes para los informes de situación a fin de describir las causas técnicas y las consecuencias de los incidentes de ciberseguridad y reforzar su cooperación técnica y operativa durante las crisis. A este respecto, los Estados miembros deben tener en cuenta el trabajo en curso del Grupo de cooperación en relación con las directrices sobre notificación de incidentes, y en particular los aspectos relacionados con el formato de las notificaciones nacionales.

(8)

Los procedimientos establecidos en el Marco deben someterse a prueba y, en caso necesario, modificarse tras las lecciones aprendidas de la participación de los Estados miembros en los ejercicios de ciberseguridad a escala nacional, regional y de la Unión, así como en los de la ciberdiplomacia y de la OTAN. En particular, deben someterse a prueba en el contexto de los ejercicios de CyberEurope organizados por la ENISA. CyberEurope 2018 representa la primera de tales oportunidades.

(9)

Los Estados miembros y las instituciones de la UE deben practicar regularmente su respuesta a los incidentes y crisis de ciberseguridad a gran escala a nivel nacional y europeo, incluida su respuesta política, cuando sea necesario y con la participación de entidades del sector privado según proceda.

Hecho en Bruselas, el 13 de septiembre de 2017.

Por la Comisión

Mariya GABRIEL

Miembro de la Comisión

(1) Conclusiones del Consejo sobre protección de infraestructuras críticas de información «Logros y próximas etapas: hacia la ciberseguridad global», documento 10299/11, Bruselas, 27 de mayo de 2011.

(2) COM(2016) 410 final, de 5 de julio de 2016.

(3) Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión (DO L 194 de 19.7.2016, p. 1).

(4) Documento 14540/16, de 15 de noviembre de 2016.

(5) Se puede encontrar más información en la sección 3.1 del apéndice sobre gestión de crisis, mecanismos de cooperación y agentes a nivel de la UE.

(6) Ibídem.

(7) Decisión 2014/496/PESC del Consejo, de 22 de julio de 2014, relativa a los aspectos del despliegue y utilización del sistema europeo de radionavegación por satélite que afecten a la seguridad de la Unión Europea y por la que se deroga la Acción Común 2004/552/PESC (DO L 219 de 25.7.2014, p. 53).

(8) En fase de elaboración; adopción prevista para finales de 2017.

(9) Está previsto que las directrices estén terminadas para finales de 2017.

(10) Conclusiones del Consejo sobre un marco para una respuesta diplomática conjunta de la UE a las actividades informáticas malintencionadas («conjunto de instrumentos de ciberdiplomacia»), Doc. 9916/17.

(11) Documento de trabajo conjunto sobre el protocolo de actuación de la UE para contrarrestar las amenazas híbridas [Joint Staff Working Document EU operational protocol for countering hybrid threats, «EU Playbook»], SWD(2016) 227 final de 5 de julio de 2016.

(12) ST 15283/16, de 6 de diciembre de 2016.

ANEXO

Plan director de la respuesta coordinada a los incidentes y crisis de ciberseguridad transfronterizos a gran escala

INTRODUCCIÓN

El presente Plan director se aplica a los incidentes de ciberseguridad que causen perturbaciones demasiado fuertes como para que el Estado miembro afectado lo resuelva por sí mismo o cuando afecten a dos o más Estados miembros o instituciones de la UE con un impacto tan amplio y de tanta relevancia técnica o política que requieran una coordinación y una respuesta oportuna a nivel político de la Unión.

Los incidentes de ciberseguridad a gran escala de este tipo se consideran «crisis» de ciberseguridad.

En caso de crisis a escala de la UE con elementos cibernéticos, el Consejo, utilizando el Dispositivo Integrado de Respuesta Política a las Crisis (DIRPC), coordinará la respuesta a nivel político de la Unión.

Dentro de la Comisión, la coordinación se llevará a cabo de conformidad con el sistema de alerta rápida ARGUS.

Si la crisis tiene una importante dimensión de política exterior o de Política Común de Seguridad y Defensa (PCSD), se activará el Mecanismo de Respuesta a las Crisis del SEAE.

El Plan director describe cómo estos mecanismos bien establecidos de gestión de crisis deben hacer pleno uso de las entidades de ciberseguridad existentes a nivel de la UE, así como de los mecanismos de cooperación entre los Estados miembros.

De este modo, el Plan director tiene en cuenta una serie de principios rectores (principios de proporcionalidad, subsidiariedad, complementariedad y confidencialidad de la información), presenta los objetivos centrales de la cooperación (respuesta eficaz, conocimiento compartido de la situación, mensajes de comunicación al público) a tres niveles (estratégico/político, operativo y técnico), los mecanismos y los agentes implicados, así como las actividades destinadas a cumplir dichos objetivos centrales.

El Plan director no abarca la totalidad del ciclo de gestión de las crisis (prevención/mitigación, preparación, respuesta y recuperación), sino que se focaliza en la respuesta. No obstante, se abordan en él algunas otras actividades, en particular las relacionadas con la consecución de un conocimiento compartido de la situación.

También es importante señalar que los incidentes de ciberseguridad pueden encontrarse en el origen o formando parte de una crisis más amplia que afecte a otros sectores. Dado que se espera que las crisis de ciberseguridad tengan en su mayoría efectos sobre el mundo físico, toda respuesta adecuada debe basarse en actividades de mitigación de carácter tanto cibernético como no cibernético. Las actividades de respuesta a las crisis cibernéticas deben coordinarse con otros mecanismos de gestión de crisis a nivel de la UE, nacional o sectorial.

Por último, el Plan director no sustituye a los mecanismos, dispositivos o instrumentos existentes específicos de un sector o de una política, como el establecido para el Sistema Europeo de Radionavegación por Satélite (GNSS) (1), y debe entenderse sin perjuicio de tales elementos.

Principios rectores

Al trabajar en pos de los objetivos, al identificar las actividades necesarias y asignar funciones y responsabilidades a los agentes o mecanismos respectivos, se han aplicado los principios rectores siguientes, que también deben respetarse a la hora de preparar las futuras directrices de aplicación.

Proporcionalidad: La gran mayoría de los incidentes de ciberseguridad que afectan a los Estados miembros están muy lejos de poder considerarse «crisis» nacionales, y mucho menos europeas. El fundamento de la cooperación entre los Estados miembros a la hora de responder a estos incidentes es aportado por la red de equipos de respuesta a incidentes de seguridad informática (CSIRT), creada por la Directiva SRI (2). Los CSIRT nacionales cooperan e intercambian información diariamente de forma voluntaria, en caso necesario también en respuesta a incidentes de ciberseguridad que afecten a uno o varios Estados miembros, en consonancia con los procedimientos de trabajo normalizados (PTN) de la red de CSIRT. El Plan director debe, por tanto, hacer pleno uso de estos PTN, en los que debe reflejarse toda otra tarea específica de las crisis de ciberseguridad.

Subsidiariedad: El principio de subsidiariedad es clave. Los Estados miembros tienen la responsabilidad primaria de la respuesta en caso de incidentes o crisis de ciberseguridad a gran escala que les afecten. No obstante, la Comisión, el Servicio Europeo de Acción Exterior y otras instituciones, órganos y organismos tienen un papel importante, que está definido claramente en el DIRPC, pero también deriva del Derecho de la Unión o simplemente de la posibilidad de que los incidentes y crisis de ciberseguridad afecten a todos los sectores de actividad económica dentro del mercado único, a la seguridad y las relaciones internacionales de la Unión, así como a las propias instituciones.

Complementariedad: El Plan director tiene plenamente en cuenta los mecanismos existentes de gestión de crisis a nivel de la UE, a saber, el Dispositivo Integrado de Respuesta Política a las Crisis (DIRPC), ARGUS, y el Mecanismo de Respuesta a las Crisis del SEAE, integra en ellos las nuevas estructuras y mecanismos de la Directiva SRI, como la red de CSIRT, así como las agencias y órganos pertinentes, a saber, la Agencia de Seguridad de las Redes y de la Información de la Unión Europea (ENISA), el Centro Europeo de Ciberdelincuencia de Europol (Europol/EC3), el Centro de Análisis de Inteligencia de la UE (INTCEN), la División de Información del Estado Mayor de la Unión Europea (EMUE INT) y la Sala de Guardia (SITROOM) en el INTCEN, que trabajan conjuntamente como la SIAC (Capacidad Única de Análisis de Inteligencia); la Célula de Fusión de la UE contra las Amenazas Híbridas (dentro del INTCEN); y el Equipo de respuesta a emergencias informáticas de las instituciones, órganos y organismos de la UE (CERT-UE). De esta manera, el Plan director debe garantizar también que su interacción y cooperación presente la máxima complementariedad y el mínimo solapamiento.

Confidencialidad de la información: Todos los intercambios de información en el contexto del Plan director deben cumplir las normas aplicables sobre seguridad (3) y sobre la protección de datos personales, así como el Protocolo TLP para el intercambio de información (4). Para el intercambio de información clasificada, con independencia del sistema de clasificación aplicado, se deben utilizar las herramientas acreditadas disponibles (5). Por lo que se refiere al tratamiento de datos personales, se respetarán las normas aplicables de la UE, en particular el Reglamento general de protección de datos (6), la Directiva sobre la privacidad y las comunicaciones electrónicas (7), y el Reglamento relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos, oficinas y agencias de la Unión y a la libre circulación de estos datos (8).

Objetivos centrales

La cooperación en virtud del Plan director sigue el planteamiento antes mencionado de tres niveles: político, operativo y técnico. A cada nivel, la cooperación puede incluir el intercambio de información y acciones comunes, y aspira a lograr los siguientes objetivos centrales.

—

Permitir una respuesta eficaz: La respuesta puede adoptar muchas formas, desde identificar medidas técnicas que pueden implicar a dos o más entidades que investigan conjuntamente las causas técnicas del incidente (por ejemplo, análisis de programas informáticos maliciosos) o identificar métodos mediante los cuales las organizaciones pueden evaluar si se han visto afectadas (por ejemplo, indicadores de compromiso), hasta tomar decisiones operativas sobre la aplicación de tales medidas técnicas y, a nivel político, decidir sobre el lanzamiento de otros instrumentos, tales como la respuesta diplomática de la UE a las actividades cibernéticas malintencionadas («conjunto de instrumentos de ciberdiplomacia») o el protocolo de actuación de la UE para contrarrestar las amenazas híbridas, dependiendo del incidente.

—

Compartir el conocimiento de la situación: una comprensión suficientemente buena de los acontecimientos, a medida que se vayan produciendo, por todas las partes interesadas pertinentes a los tres niveles (técnico, operativo, político) es esencial para una respuesta coordinada. El conocimiento de la situación puede incluir elementos tecnológicos sobre las causas, así como las repercusiones y el origen del incidente. Como los incidentes de ciberseguridad pueden afectar a una amplia variedad de sectores (finanzas, energía, transporte, sanidad, etc.), es imperativo que la información adecuada, en el formato adecuado, llegue a todas las partes interesadas pertinentes a su debido tiempo.

—

Ponerse de acuerdo sobre los mensajes clave de comunicación al público (9): La comunicación de las crisis desempeña un papel importante para mitigar los efectos negativos de los incidentes y crisis de ciberseguridad, pero también puede utilizarse como instrumento para influir en el comportamiento de los agresores (potenciales). Un mensaje apropiado también puede servir para señalar claramente las posibles consecuencias de una respuesta diplomática con el fin de influir en el comportamiento de los agresores. La adaptación de la comunicación al público a fin de paliar los efectos negativos de los incidentes y crises de ciberseguridad y para influir en un agresor es indispensable a efectos de una respuesta política eficaz. En la ciberseguridad es especialmente importante la difusión de información exacta que permita actuar en relación con las posibilidades de que dispongan los ciudadanos para mitigar los efectos de un incidente (por ejemplo, aplicar un parche informático, tomar medidas complementarias para evitar la amenaza, etc.).

COOPERACIÓN ENTRE LOS AGENTES DE LOS ESTADOS MIEMBROS Y ENTRE ESTOS Y LOS DE LA UE A LOS NIVELES TÉCNICO, OPERATIVO Y ESTRATÉGICO/POLÍTICO

La eficacia de la respuesta a los incidentes o crisis de ciberseguridad a gran escala a nivel de la UE depende de la eficacia de la cooperación técnica, operativa y estratégica/política.

A cada nivel, los agentes implicados deben realizar determinadas actividades en lo que respecta a la consecución de tres objetivos centrales:

—	Respuesta coordinada

—	Conocimiento compartido de la situación

—	Comunicaciones al público

A lo largo del incidente o crisis, los niveles inferiores de cooperación han de avisar, informar y apoyar a los niveles superiores, y estos han de ofrecer directrices (10) y decisiones a los niveles inferiores, según proceda.

Cooperación a nivel técnico

Gama de actividades

—	Gestión de incidentes (11) durante una crisis de ciberseguridad

—	Control y seguimiento de incidentes, incluido el análisis continuo de las amenazas y riesgos.

Agentes potenciales

A nivel técnico, el mecanismo central para la cooperación en el Plan director es la red de CSIRT, bajo la autoridad de la Presidencia y con la secretaría facilitada por la ENISA.

—

Estados miembros

—	Autoridades competentes y puntos de contacto únicos establecidos por la Directiva SRI

—

CSIRT

—

Órganos/oficinas/agencias de la UE

—

ENISA

—	Europol/EC3

—

CERT-UE

—

Comisión Europea

—

El CECRE (servicio operativo 24/7 situado en la DG ECHO), y el servicio responsable designado (elegido entre la DG CNECT y la DG HOME, en función del tipo concreto de incidente), la Secretaría General (Secretaría de ARGUS), la DG HR (Dirección de Seguridad), la DG DIGIT (Operaciones de Seguridad de las Tecnologías de la Información).

—	Para otras agencias de la UE (12), la respectiva DG de tutela de la Comisión o el SEAE (primer punto de contacto).

—

SEAE

—	SIAC (Capacidad Única de Análisis de Inteligencia: INTCEN y EMUE INT

—	La Sala de Guardia de la UE y el servicio geográfico o temático designado.

—	Célula de Fusión de la UE contra las Amenazas Híbridas (parte del INTCEN, ciberseguridad en un contexto híbrido)

Conocimiento compartido de la situación

—

Como parte de la cooperación regular a nivel técnico para contribuir al conocimiento de la situación de la Unión, la ENISA debe preparar periódicamente el informe de la situación técnica de ciberseguridad de la UE en cuanto a incidentes y amenazas, sobre la base de la información públicamente disponible, su propio análisis y los informes compartidos con ella por los CSIRT de los Estados miembros (de forma voluntaria) o los puntos de contacto únicos de la Directiva SRI, el Centro Europeo de Ciberdelincuencia (EC3) de Europol, el CERT-UE y, en su caso, el Centro de Inteligencia de la Unión Europea (INTCEN) en el Servicio Europeo de Acción Exterior (SEAE). El informe debe ponerse a disposición de las instancias pertinentes del Consejo, la Comisión, el AR/VP y la red de CSIRT.

—	En caso de incidente grave, el presidente de la Red de CSIRT, con la ayuda de la ENISA, prepara un informe de situación del incidente de ciberseguridad de la UE (13) que se presentará a la Presidencia, a la Comisión y al AR/VP a través del CSIRT de la Presidencia de turno.

—	Todas las demás agencias de la UE informan a sus respectivas direcciones generales de tutela, que a su vez informan al servicio responsable de la Comisión.

—	El CERT-UE proporciona informes técnicos a la red de CSIRT, instituciones y agencias de la UE (según proceda) y ARGUS (si se ha activado).

—	El Europol/EC3 (14) y el CERT-UE aportan a la red de CSIRT el análisis forense por expertos de artefactos técnicos y demás información técnica.

—	SIAC del SEAE: En nombre del INTCEN, la Célula de Fusión de la UE contra las Amenazas Híbridas informa a los departamentos pertinentes del SEAE.

Respuesta:

—

La red de CSIRT intercambia datos técnicos y análisis sobre el incidente, tales como, por ejemplo, direcciones IP, indicadores de compromiso (15), etc. Esta información debe transmitirse a la ENISA sin demora indebida y a más tardar en el plazo de 24 horas desde el momento en que se detecte el incidente.

—

De conformidad con los procedimientos de trabajo normalizados de la Red de CSIRT, sus miembros cooperan en sus esfuerzos por analizar los artefactos técnicos disponibles y demás información técnica relacionada con el incidente, con el fin de determinar la causa y las posibles medidas técnicas de mitigación.

—	La ENISA ayuda a los CSIRT en sus actividades técnicas sirviéndose de sus conocimientos y de acuerdo con su mandato (16).

—	Los CSIRT de los Estados miembros coordinan sus actividades de respuesta técnica con la ayuda de la ENISA y la Comisión.

—	SIAC del SEAE: En nombre del INTCEN, la Célula de Fusión de la UE contra las Amenazas Híbridas pone en marcha el proceso de recogida de información para recabar las pruebas iniciales.

Comunicaciones al público:

—	Los CSIRT emiten avisos técnicos (17) y alertas de vulnerabilidad (18) y los difunden entre sus respectivas comunidades y el público, según los procedimientos de autorización aplicables en cada caso.

—	La ENISA facilita la elaboración y difusión de comunicaciones comunes de la red de CSIRT.

—	La ENISA coordina sus actividades de comunicación al público con la Red de CSIRT y el Servicio del Portavoz de la Comisión.

—	La ENISA y el EC3 coordinan sus actividades de comunicación al público sobre la base del conocimiento compartido de la situación concertado entre los Estados miembros. Ambos órganos han coordinado sus actividades de comunicación al público con el Servicio del Portavoz de la Comisión.

—	Si la crisis tiene una dimensión de política exterior o de Política Común de Seguridad y Defensa (PCSD), la comunicación al público debe coordinarse con el SEAE y el Servicio del Portavoz del AR/VP.

Cooperación a nivel operativo

Gama de actividades:

—	Preparación de la toma de decisiones a nivel político.

—	Coordinación de la gestión de las crisis de ciberseguridad (según proceda).

—	Evaluación de las consecuencias y del impacto a nivel de la UE, y propuesta de posibles medidas de mitigación.

Agentes potenciales:

—

Estados miembros

—	Autoridades competentes y puntos de contacto únicos establecidos por la Directiva SRI.

—	CSIRT y agencias de ciberseguridad.

—	Otras autoridades sectoriales nacionales (en caso de incidente o crisis multisectorial).

—

Órganos/oficinas/agencias de la UE

—

ENISA.

—	Europol/EC3.

—

CERT-UE.

—

Comisión Europea

—	Secretario General (Adjunto) SG (procedimiento ARGUS).

—	DG CNECT/HOME.

—	Autoridad de Seguridad de la Comisión.

—	Otras DDGG (en caso de incidente o crisis multisectorial).

—

SEAE

—	Secretario General (Adjunto) encargado de la respuesta a las crisis y SIAC (INTCEN y EMUE INT).

—	Célula de fusión de la UE contra las amenazas híbridas.

—

Consejo

—	Presidencia [Presidente del Grupo horizontal sobre cuestiones cibernéticas o del Coreper (19)] con el apoyo de la SGC, o del CPS (20) y —si se activa— con el apoyo del DIRPC.

Conocimiento de la situación:

—	Apoyo a la elaboración de informes político-estratégicos de situación (por ejemplo, el informe ISAA en caso de activación del DIRPC).

—	El Grupo horizontal del Consejo sobre cuestiones cibernéticas prepara la reunión del Coreper o del CPS según proceda.

—

En caso de activación del DIRPC,

—

La Presidencia podrá convocar mesas redondas en apoyo de su preparación para el Coreper o el CPS, con la participación de partes interesadas pertinentes de los Estados miembros, las instituciones, las agencias y terceros, tales como países de fuera de la UE y organizaciones internacionales. Se trata de reuniones de crisis para detectar los estrangulamientos y presentar propuestas de acción sobre cuestiones transversales.

—

El servicio responsable de la Comisión o el SEAE para dirigir el ISAA elabora el informe ISAA con contribuciones de la ENISA, la red de CSIRT, Europol/EC3, EMUE INT, INTCEN y todos los demás agentes pertinentes. El informe ISAA representa una evaluación a escala de la UE basada en la correlación de evaluaciones de incidentes técnicos y crisis (análisis de amenazas, evaluaciones de riesgos, consecuencias y efectos no técnicos, aspectos no cibernéticos del incidente o crisis, etc.) que se adapta a las necesidades de los niveles político y operativo.

—

En caso de activación de ARGUS,

—	El CERT-UE y el EC3 (21) contribuyen directamente al intercambio de información dentro de la Comisión.

—

En caso de activación del Mecanismo de Respuesta a las Crisis del SEAE,

—	La SIAC intensificará su recogida de información, reunirá la información procedente de todas las fuentes y preparará un análisis y una evaluación del incidente.

Respuesta (a petición del nivel político):

—	Cooperación transfronteriza con el punto de contacto único y las autoridades nacionales competentes (Directiva SRI), para mitigar las consecuencias y efectos.

—	Activación de todas las medidas técnicas de mitigación y coordinación de las capacidades técnicas necesarias para evitar o reducir el impacto de los ataques a los sistemas de información objeto de los mismos.

—	Cooperación y, si así se decide, coordinación de las capacidades técnicas en aras de una respuesta conjunta o en colaboración de conformidad con los PTN de la red de CSIRT.

—	Evaluación de la necesidad de cooperar con terceras partes pertinentes.

—	Toma de decisiones dentro del procedimiento ARGUS (si se activa).

—	Preparación de las decisiones y coordinación de conformidad con el DIRPC (si se activa).

—

Apoyo a la toma de decisiones del SEAE (si se activa) mediante el Mecanismo de Respuesta a las Crisis del SEAE, también en lo que se refiere a los contactos con terceros países y organizaciones internacionales, así como cualquier medida destinada a garantizar la protección de las misiones y operaciones de la PCSD y las delegaciones de la UE.

Comunicaciones al público

—	Acuerdo sobre los mensajes al público en relación con el incidente.

—	Si la crisis tiene una dimensión de política exterior o de Política Común de Seguridad y Defensa (PCSD), la comunicación al público debe coordinarse con el SEAE y el Servicio del Portavoz del AR/VP.

Cooperación a nivel estratégico/político

Agentes potenciales

—	Por los Estados miembros, los ministros responsables de la ciberseguridad.

—	Por el Consejo Europeo, el Presidente.

—	Por el Consejo, la Presidencia de turno.

—	En caso de medidas dentro del «conjunto de instrumentos de ciberdiplomacia», el CPS y el Grupo Horizontal.

—	Por la Comisión Europea, el Presidente o el Vicepresidente/Comisario delegado.

—	El Alto Representante de la Unión para Asuntos Exteriores y Política de Seguridad/Vicepresidente de la Comisión.

Gama de actividades: Gestión estratégica y política de los aspectos de la crisis, tanto cibernéticos como no cibernéticos, con inclusión de medidas con arreglo al marco para una respuesta diplomática conjunta de la UE a las actividades informáticas malintencionadas.

Conocimiento compartido de la situación

—	Identificación de los impactos de las perturbaciones causadas por la crisis sobre el funcionamiento de la Unión.

Respuesta:

—	Activación de mecanismos e instrumentos adicionales de gestión de crisis, en función de la naturaleza y el impacto del incidente. Puede incluirse, por ejemplo, el Mecanismo de Protección Civil.

—	Toma de medidas con arreglo al marco para una respuesta diplomática conjunta de la UE a las actividades informáticas malintencionadas.

—	Ayuda de emergencia puesta a disposición de los Estados miembros afectados, por ejemplo activando el Fondo de Respuesta en casos de Emergencia de Ciberseguridad (22) una vez sea aplicable.

—	Cooperación y coordinación, cuando proceda, con organizaciones internacionales como las Naciones Unidas (ONU), la Organización para la Seguridad y la Cooperación en Europa (OSCE) y, en particular, la OTAN.

—	Evaluación de las consecuencias para la seguridad y la defensa nacionales.

Comunicaciones al público

Decisión sobre una estrategia común de comunicación al público.

RESPUESTA COORDINADA CON LOS ESTADOS MIEMBROS A NIVEL DE LA UE EN EL MARCO DEL DIRPC

En virtud del principio de complementariedad a nivel de la UE, la presente sección introduce y detalla en particular el objetivo central y las responsabilidades y actividades de las autoridades de los Estados miembros, la red de CSIRT, ENISA, CERT-EU, Europol/EC3, INTCEN, la Célula de Fusión de la UE contra las Amenazas Híbridas y el Grupo horizontal del Consejo sobre cuestiones cibernéticas dentro del proceso del DIRPC. Se supone que los agentes actúan en consonancia con los procedimientos establecidos a nivel nacional o de la UE.

Es fundamental tener en cuenta que, tal como se ilustra en la figura 1, con independencia de la activación de los mecanismos de gestión de crisis de la UE, hay actividades a nivel nacional y también de cooperación en la Red de los CSIRT (en caso necesario) que tienen lugar a lo largo de cualquier crisis/incidente de acuerdo con los principios de subsidiariedad y proporcionalidad.

Figura 1

Respuesta a los incidentes/crisis de ciberseguridad a nivel de la UE

Todas las actividades descritas a continuación se deben realizar de conformidad con las normas y procedimientos de trabajo normalizados de los mecanismos de cooperación participantes y de acuerdo con los mandatos y competencias de los distintos agentes e instituciones. Dichos procedimientos y normas pueden necesitar algunas adiciones o modificaciones a fin de lograr la mejor cooperación posible y una respuesta eficaz en caso de crisis e incidentes de ciberseguridad a gran escala.

No todos los agentes que figuran a continuación tienen que tomar medidas durante cualquier incidente particular. No obstante, en el Plan director y en los procedimientos de trabajo normalizados pertinentes de los mecanismos de cooperación debe preverse su posible participación.

Dado el diferente grado de impacto sobre la sociedad que puede tener un incidente o crisis de ciberseguridad, debe haber un alto grado de flexibilidad en cuanto a la participación de los actores sectoriales a todos los niveles, y toda respuesta adecuada habrá de basarse en actividades de mitigación de carácter tanto cibernético como no cibernético.

Gestión de crisis de ciberseguridad — Integración de la ciberseguridad dentro del proceso del DIRPC

El DIRPC, como se describe en sus PTN (23), sigue secuencialmente los pasos que se describen a continuación (el uso de algunos de estos pasos dependerá de la situación).

En cada paso se especifican actividades y agentes relacionados con la ciberseguridad. Para facilitar la lectura, en cada paso se presenta el texto de los PTN de la RPC, seguido de las actividades específicas del Plan director. Este enfoque paso a paso también permite una clara identificación de las deficiencias existentes en las capacidades y procedimientos necesarios que impiden una respuesta eficaz a las crisis de ciberseguridad.

La figura 2 [a continuación (24)] es una representación gráfica del proceso del DIRPC en la que los nuevos elementos que se introducen se resaltan en azul.

Figura 2

Elementos específicos de la ciberseguridad del DIRPC

Nota: Dada la naturaleza de las amenazas híbridas en el ciberespacio que están diseñadas para permanecer por debajo del umbral de crisis reconocible, la UE debe tomar medidas preventivas y de preparación. La Célula de Fusión de la UE contra las Amenazas Híbridas tiene la tarea de analizar con rapidez los incidentes pertinentes e informar a las estructuras de coordinación apropiadas. La presentación de informes periódicos de la Célula de Fusión puede contribuir a informar a las instancias que elaboran las políticas sectoriales, a fin de mejorar la preparación.

—

Paso 1 — Vigilancia y alerta sectorial periódica: Los actuales informes de situación y alertas periódicos por sectores facilitan indicaciones a la Presidencia del Consejo sobre una crisis en desarrollo y su posible evolución.

—	Deficiencia señalada: En la actualidad no existen informes de situación y alertas periódicos y coordinados sobre la ciberseguridad por lo que se refiere a los incidentes (y amenazas) de ciberseguridad a nivel de la UE.

—

Plan director: Vigilancia/notificación de la situación de ciberseguridad de la UE

—

La ENISA preparará un informe periódico sobre la situación técnica de ciberseguridad de la UE en cuanto a incidentes y amenazas de ciberseguridad, sobre la base de la información públicamente disponible, su propio análisis y los informes compartidos con ella por los CSIRT de los Estados miembros (de forma voluntaria) o los puntos de contacto únicos de la Directiva SRI, el Centro Europeo de Ciberdelincuencia (EC3) de Europol, el CERT-UE y el Centro de Inteligencia de la Unión Europea (INTCEN) en el Servicio Europeo de Acción Exterior (SEAE). El informe debe ponerse a disposición de las instancias pertinentes del Consejo, la Comisión y la red de CSIRT.

—

En nombre de la SIAC, la Célula de Fusión de la UE contra las Amenazas Híbridas debe elaborar un informe de situación operativa sobre la ciberseguridad de la UE. El informe también presta ayuda al marco para una respuesta diplomática conjunta de la UE a las actividades informáticas malintencionadas.

—	Ambos informes se difunden a las partes interesadas nacionales y de la UE a fin de mejorar su propio conocimiento de la situación, contribuir a la toma de decisiones y facilitar la cooperación regional transfronteriza.

Tras la detección de un incidente

—

Paso 2 — Análisis y asesoramiento: Sobre la base de la vigilancia y alerta disponibles, los servicios de la Comisión, el SEAE y la SGC se mantienen mutuamente informados sobre la posible evolución, a fin de estar preparados para asesorar a la Presidencia en relación con una posible activación (plena o en modo de intercambio de información) del DIRPC.

—

Plan director:

—	Por la Comisión, DG CNECT, DG HOME, DG HR.DS y DG DIGIT, con el apoyo de la ENISA, el EC3 y el CERT-UE.

—

SEAE: Basándose en el trabajo realizado por la SITROOM y en fuentes de inteligencia, la Célula de Fusión de la UE contra las Amenazas Híbridas proporciona conocimiento de la situación sobre amenazas híbridas reales y potenciales que afecten a la UE y sus socios, incluidas las amenazas cibernéticas. Por lo tanto, cuando el análisis y valoración de la Célula de Fusión de la UE contra las Amenazas Híbridas indique la existencia de posibles amenazas dirigidas contra un Estado miembro, países socios o una organización, el INTCEN informará (en primera instancia) a nivel operativo, con arreglo a los procedimientos establecidos. El nivel operativo preparará entonces recomendaciones para el nivel estratégico político, incluida la posible activación de mecanismos de gestión de crisis en modo de vigilancia (por ejemplo, el Mecanismo de Respuesta a las Crisis del SEAE o la página de vigilancia del DIRPC).

—	El presidente de la Red de CSIRT, con la ayuda de la ENISA, prepara un informe de situación del incidente de ciberseguridad de la UE (25) que se presentará a la Presidencia, a la Comisión y al AR/VP a través del CSIRT de la Presidencia de turno.

—

Paso 3 — Evaluación/Decisión sobre la activación del DIRPC: La Presidencia evalúa la necesidad de coordinación política, intercambio de información o toma de decisiones a nivel de la UE. A tal fin, la Presidencia podrá convocar una mesa redonda informal. La Presidencia efectúa una primera identificación de los ámbitos que requieren la implicación del Coreper o del Consejo. Esto constituirá la base de las directrices para la elaboración de los informes de conocimiento y análisis integrados de la situación (ISAA). La Presidencia decidirá, a la luz de las características de la crisis, sus posibles consecuencias y las necesidades políticas conexas, sobre la conveniencia de convocar reuniones de los grupos pertinentes del Consejo y/o del Coreper y/o del CPS.

—

Plan director:

—

Participantes en la mesa redonda:

—	Los servicios de la Comisión y el SEAE asesorarán a la Presidencia sobre sus ámbitos de competencia respectivos.

—	Representantes de los Estados miembros en el Grupo horizontal sobre cuestiones cibernéticas apoyados por expertos de las capitales (CSIRT, autoridades competentes en materia de ciberseguridad, otros).

—	Orientaciones políticas/estratégicas para los informes ISAA sobre la base del último informe de situación de incidentes de ciberseguridad de la UE e información adicional proporcionada por los participantes en la mesa redonda.

—

Grupos de trabajo y comités pertinentes:

—	Grupo horizontal cuestiones cibernéticas.

La Comisión, el SEAE y la SGC, en pleno acuerdo y en asociación con la Presidencia, podrán también decidir la activación del DIRPC en modo de intercambio de información a través de la generación de una página de crisis, a fin de preparar el terreno para una posible activación plena.

—

Paso 4 — Activación del DIRPC/recogida e intercambio de información: Una vez activado (bien plenamente o bien en modo de intercambio de información), se genera una página de crisis en la plataforma web del DIRPC, que permite intercambios específicos de información centrada en los aspectos que contribuirán al ISAA y a preparar el debate a nivel político. El servicio responsable del ISAA (uno de los servicios de la Comisión o el SEAE) dependerá de las circunstancias del caso.

—

Paso 5 — Elaboración de los informes ISAA: Se pondrá en marcha la elaboración de los informes ISAA. La Comisión o el SEAE publicará los informes ISAA como se indica en los PTN del ISAA y podrá fomentar más el intercambio de información en la plataforma web del DIRPC o lanzar peticiones específicas de información. Los informes ISAA se adaptarán a las necesidades del nivel político (es decir, el Coreper o el Consejo), según defina la Presidencia y recoja en sus directrices, permitiendo así una síntesis estratégica de la situación y un debate con conocimiento de causa sobre los puntos del orden del día definido por la Presidencia. De conformidad con los PTN del ISAA, la naturaleza de la crisis de ciberseguridad determinará si el informe ISAA es elaborado por uno de los servicios de la Comisión (DG CNECT, DG HOME) o por el SEAE.

Tras la activación del DIRPC, la Presidencia indicará los ámbitos específicos de interés para el ISAA a fin de dar apoyo a la coordinación política o al proceso de toma de decisiones en el Consejo. La Presidencia también especificará el calendario del informe, previa consulta con los servicios de la Comisión o el SEAE.

—

Plan director:

—

El informe ISAA contiene contribuciones de los servicios pertinentes, incluyendo los siguientes:

—	La red de CSIRT en forma de informe de situación de los incidentes de ciberseguridad de la UE.

—	EC3, SITROOM, la Célula de Fusión de la UE contra las Amenazas Híbridas, el CERT-UE. La Célula de Fusión de la UE contra las Amenazas Híbridas apoyará y aportará sus contribuciones al servicio responsable del ISAA y a la mesa redonda del DIRPC, según proceda.

—	Agencias y organismos sectoriales de la UE en función de los sectores afectados.

—	Autoridades de los Estados miembros (distintas de los CSIRT).

—

Reunión de las aportaciones del ISAA (26):

—

Comisión y agencias de la UE: El sistema informático ARGUS proporcionará la red básica interna para el ISAA. Las agencias de la UE enviarán sus contribuciones a sus respectivas DG de tutela, que a su vez pasarán la información pertinente a ARGUS. Los servicios de la Comisión y las agencias reunirán la información procedente de las redes sectoriales existentes con los Estados miembros y las organizaciones internacionales y de otras fuentes pertinentes.

—

Por el SEAE: la Sala de Guardia de la UE, apoyada por el resto de los departamentos pertinentes del SEAE, proporcionará la red básica interior y el punto de contacto único para el ISAA. El SEAE reunirá la información procedente de los terceros países y de las organizaciones internacionales pertinentes.

—

Paso 6 — Preparación de la mesa redonda informal de la Presidencia: La Presidencia, asistida por la Secretaría General del Consejo, determinará el calendario, el orden del día, los participantes y los resultados esperados (posibles productos concretos) de la mesa redonda informal de la Presidencia. La SGC difundirá en la plataforma web del DIRPC en nombre de la Presidencia la información pertinente y, en concreto, el aviso de la reunión.

—

Paso 7 — Mesa redonda de la Presidencia/medidas preparatorias para la coordinación política/toma de decisiones de la UE: La Presidencia convocará una mesa redonda informal para revisar la situación, y preparar y revisar los puntos que se vayan a someter a la atención del Coreper o del Consejo. La mesa redonda informal de la Presidencia constituirá también un foro en el que elaborar, revisar y debatir todas las propuestas de medidas que deban presentarse al Coreper/Consejo.

—

Plan director:

—	El Grupo horizontal del Consejo sobre cuestiones cibernéticas debe preparar la reunión del CPS o del Coreper.

—

Paso 8 — Coordinación política y toma de decisiones en el Coreper/Consejo: Los resultados de las reuniones del Coreper o del Consejo se refieren a la coordinación de las actividades de respuesta a todos los niveles, decisiones sobre medidas excepcionales, declaraciones políticas, etc. Estas decisiones también constituyen unas directrices estratégicas/políticas actualizadas para la elaboración posterior de informes ISAA.

—

Plan director:

—

La decisión política de coordinar la respuesta a la crisis de ciberseguridad es ejecutada a través de las actividades (realizadas por los agentes correspondientes) que se describen arriba, en la sección 1 «Cooperación a los niveles estratégico/político, operativo y técnico» por lo que se refiere a la Respuesta y a la Comunicación al público.

—	La elaboración de informes ISAA continúa sobre la base de la cooperación a los niveles técnico, operativo y político/estratégico en lo que respecta al Conocimiento de la situación, como también se describe en la sección 1.

—

Paso 9 — Vigilancia del impacto: El servicio responsable del ISAA, con la ayuda de quienes contribuyen a este, aporta información sobre la evolución de la crisis y sobre el impacto de las decisiones políticas tomadas. Este circuito de realimentación apoyará un proceso dinámico y contribuirá a la decisión de la Presidencia sobre si continuar con la participación del nivel político de la UE o si reducir el DIRPC.

—

Paso 10 — Disminución progresiva: Siguiendo el mismo proceso que para la activación, la Presidencia podrá convocar una mesa redonda informal para evaluar la conveniencia de mantener activo o no el DIRPC. La Presidencia puede decidir concluir o rebajar la activación.

—

Plan director:

—	La ENISA podrá ser invitada a contribuir a una investigación técnica del incidente a posteriori, o a realizarla, de conformidad con lo dispuesto en su mandato.

(1) Decisión 2014/496/PESC.

(2) Directiva (UE) 2016/1148.

(3) Decisión (UE, Euratom) 2015/443 de la Comisión, de 13 de marzo de 2015, sobre la seguridad en la Comisión (DO L 72 de 17.3.2015, p. 41); Decisión (UE, Euratom) 2015/444 de la Comisión, de 13 de marzo de 2015, sobre las normas de seguridad para la protección de la información clasificada de la UE (DO L 72 de 17.3.2015, p. 53); Decisión de la Alta Representante, de 19 de abril de 2013, sobre las normas de seguridad del Servicio Europeo de Acción Exterior (DO C 190 de 29.6.2013, p. 1); Decisión 2013/488/UE del Consejo, de 23 de septiembre de 2013, sobre las normas de seguridad para la protección de la información clasificada de la UE (DO L 274 de 15.10.2013, p. 1).

(4) https://www.first.org/tlp/

(5) En junio de 2016, estos canales de transmisión incluyen el CIMS (Sistema de Gestión de la Información Clasificada), el ACID (algoritmo de cifrado), RUE (sistema seguro para crear, intercambiar y almacenar los documentos RESTREINT UE/EU RESTRICTED) y SOLAN. Otros medios de transmisión de información clasificada son, por ejemplo, PGP o S/MIME.

(6) Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO L 119 de 4.5.2016, p. 1).

(7) Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas) (DO L 201 de 31.7.2002, p. 37).

(8) Reglamento (CE) n.o 45/2001 del Parlamento Europeo y del Consejo, de 18 de diciembre de 2000, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones y los organismos comunitarios y a la libre circulación de estos datos (DO L 8 de 12.1.2001, p. 1) (en revisión).

(9) En este contexto es importante recordar que la comunicación al público puede referirse tanto a la comunicación sobre el incidente a la totalidad de los ciudadanos, como a la comunicación de información más técnica u operativa a sectores críticos o a los que se han visto afectados. Esto puede exigir la utilización de canales de difusión confidenciales y el uso de herramientas o plataformas técnicas específicas. En cualquiera de los dos casos, la comunicación con los operadores y el público en general en un Estado miembro es competencia y responsabilidad de cada Estado miembro. Por lo tanto, de acuerdo con el principio de subsidiariedad arriba citado, corresponde a los Estados miembros y a los CSIRT nacionales la responsabilidad última de la información que se difunda dentro de su territorio y de su grupo objetivo, respectivamente.

(10) «Autorizaciones para actuar»: a la luz de una crisis de ciberseguridad, la brevedad de los tiempos de respuesta es de vital importancia para establecer medidas de mitigación adecuadas. Con el fin de conseguir esta brevedad de los tiempos de respuesta, pueden expedirse «autorizaciones para actuar», voluntarias de un Estado miembro a otro, a fin de darle a un Estado miembro autorización para actuar inmediatamente, sin tener que consultar con los niveles superiores o las instituciones de la UE ni tener que recorrer todos los canales oficiales requeridos normalmente, si es que esto no se exige en un determinado incidente (por ejemplo, un CSIRT no debería tener que consultar con los niveles superiores para transmitir información valiosa a un CSIRT de otro Estado miembro).

(11) Por «gestión de incidentes» se entienden todos los procedimientos seguidos para detectar, analizar y limitar un incidente y darle respuesta.

(12) Los organismos o agencias de la UE que participen en cada caso dependerán de la naturaleza y del impacto del incidente en los distintos sectores de actividad (sector financiero, transportes, energía, sanidad, etc.).

(13) El informe de situación del incidente de ciberseguridad de la UE es una agrupación de los informes nacionales proporcionados por los CSIRT nacionales. El formato del informe debe describirse en los procedimientos de trabajo normalizados de la red de CSIRT.

(14) Según las condiciones y procedimientos establecidos en el marco jurídico del CE3.

(15) Indicador de compromiso (IOC): en informática forense es un artefacto observado en una red o en un sistema operativo que indica una intrusión con un nivel de confianza elevado. Los IOC típicos son signaturas de virus y direcciones IP, valores hash MD5 de archivos de programas informáticos maliciosos o direcciones URL o nombres de dominio de servidores de mando y control de redes infectadas.

(16) Propuesta de Reglamento relativo a la ENISA, la Agencia Europea de Ciberseguridad, y por el que se deroga el Reglamento (UE) n.o 526/2013, y relativo a la certificación de la ciberseguridad de las tecnologías de la información y la comunicación («Acto de Ciberseguridad»), de 13 de septiembre de 2017.

(17) Asesoramiento de carácter técnico respecto a las causas del incidente y posibles medidas de mitigación.

(18) Información sobre la vulnerabilidad técnica que se está aprovechando para afectar negativamente a los sistemas informáticos.

(19) El Comité de Representantes Permanentes o Coreper (artículo 240 del Tratado de Funcionamiento de la Unión Europea, TFUE) se encarga de preparar los trabajos del Consejo de la Unión Europea.

(20) El Comité Político y de Seguridad es un comité del Consejo de la Unión Europea que se ocupa de la Política Exterior y de Seguridad Común (PESC), según se menciona en el artículo 38 del Tratado de la Unión Europea.

(21) Según las condiciones y procedimientos establecidos en el marco jurídico del CE3.

(22) El Fondo de Emergencia de Ciberseguridad es una acción propuesta en la Comunicación conjunta «Resiliencia, disuasión y defensa: Reforzar la ciberseguridad de la UE», JOIN(2017) 450/1.

(23) Del documento 12607/15 «IPCR Standard Operating Procedures», acordado por el Grupo «Amigos de la Presidencia» y anotado por el Coreper en octubre de 2015.

(24) En el apéndice se encuentra una versión mayor de la figura.

(25) El informe de situación del incidente de ciberseguridad de la UE es una agrupación de los informes nacionales proporcionados por los CSIRT nacionales. El formato del informe debe describirse en los procedimientos de trabajo normalizados de la red de CSIRT.

(26) PTN del ISAA.

APÉNDICE

1. GESTIÓN DE CRISIS, MECANISMOS DE COOPERACIÓN Y AGENTES A NIVEL DE LA UE

Mecanismos de gestión de crisis

Dispositivo Integrado de Respuesta Política a las Crisis (DIRPC): El Dispositivo Integrado de Respuesta Política a las Crisis (DIRPC), aprobado por el Consejo el 25 de junio de 2013 (1), tiene por objeto facilitar la oportuna coordinación y respuesta a nivel político de la UE en caso de crisis importante. El DIRPC también apoya la coordinación a nivel político de la respuesta a la invocación de la cláusula de solidaridad (artículo 222 del TFUE), como se define en la Decisión 2014/415/UE del Consejo, sobre la aplicación por la Unión de la cláusula de solidaridad, adoptada el 24 de junio de 2014. Los procedimientos de trabajo normalizados (PTN) del DIRPC (2) establecen el procedimiento de activación y las medidas posteriores que deban tomarse.

ARGUS: Sistema de coordinación de crisis establecido por la Comisión Europea en 2005 para facilitar un proceso específico de coordinación en caso de crisis multisectorial importante. Está respaldado por un sistema de alerta rápida general (herramienta informática) con el mismo nombre. ARGUS prevé dos fases, de las que la fase II (en caso de crisis multisectorial importante) implica reuniones del Comité de coordinación de crisis (CCC) bajo la autoridad del Presidente de la Comisión o de un Comisario al que se haya atribuido la responsabilidad. El CCC reúne a representantes de las direcciones generales pertinentes de la Comisión, gabinetes, y otros servicios de la UE con el fin de dirigir y coordinar la respuesta de la Comisión a la crisis. Presidido por el Secretario General Adjunto, el CCC evalúa la situación, considera las opciones y toma decisiones que permiten actuar en relación con los instrumentos y herramientas de la UE bajo la responsabilidad de la Comisión, y garantiza la ejecución de las decisiones adoptadas (3) (4).

Mecanismo de Respuesta a las Crisis del SEAE: El Mecanismo de Respuesta a las Crisis del SEAE (CRM) es un sistema estructurado para que el SEAE responda a las crisis y emergencias que tengan carácter exterior o una importante dimensión exterior, incluidas las amenazas híbridas, que afecten realmente o en potencia a los intereses de la UE o a los de cualquier Estado miembro. Al velar por la participación en sus reuniones de los funcionarios pertinentes de la Comisión y de la Secretaría del Consejo, el CRM facilita la sinergia entre los esfuerzos diplomáticos, de seguridad y de defensa con los instrumentos financieros, comerciales y de cooperación gestionados por la Comisión. La Célula de Crisis puede estar activada mientras dure la crisis.

Mecanismos de cooperación

Red de CSIRT: La red de equipos de respuesta a incidentes de seguridad informática reúne a todos los CSIRT nacionales y gubernamentales y al CERT-UE. El propósito de la red es permitir y mejorar el intercambio de información entre los CSIRT sobre las amenazas e incidentes de ciberseguridad y también cooperar en la respuesta a los incidentes y crisis de ciberseguridad.

Grupo horizontal del Consejo sobre cuestiones cibernéticas: Este Grupo se creó con el fin de garantizar la coordinación estratégica y horizontal de las cuestiones de política cibernética en el Consejo y puede participar en actividades tanto legislativas como no legislativas.

Agentes

ENISA: La Agencia de Seguridad de las Redes y de la Información de la Unión Europea se creó en 2004. Trabaja en estrecha colaboración con los Estados miembros y el sector privado para ofrecer soluciones y asesoramiento sobre cuestiones tales como los ejercicios de ciberseguridad paneuropeos, la elaboración de las estrategias nacionales de ciberseguridad, la cooperación de los CSIRT y el desarrollo de capacidades. La ENISA colabora directamente con los CSIRT en toda la UE y es la Secretaría de la red de CSIRT.

CECRE: El Centro de Coordinación de la Respuesta a Emergencias de la Comisión (dentro de la Dirección General de Protección Civil y Operaciones de Ayuda Humanitaria Europeas, DG ECHO) apoya y coordina una gran variedad de actividades de prevención, preparación y respuesta de forma ininterrumpida (24/7). Inaugurado en 2013, es el eje central de la respuesta de la Comisión a las crisis (enlace con otras salas de crisis de la UE), también en su función de punto de contacto central del DIRPC, de funcionamiento ininterrumpido (24/7).

Europol/EC3: El Centro Europeo de Ciberdelincuencia (EC3), creado en 2013 dentro de Europol, apoya la respuesta policial a la ciberdelincuencia en la UE. El EC3 ofrece apoyo analítico y operativo a las investigaciones de los Estados miembros y sirve como nodo central de inteligencia e información de asuntos criminales en apoyo de las operaciones e investigaciones de los Estados miembros con sus análisis operativos, coordinación y conocimientos especializados, así como con sus medios técnicos altamente especializados y ayuda forense digital.

CERT-UE: El Equipo de respuesta a emergencias informáticas de las instituciones, órganos y organismos de la UE tiene mandato para mejorar la protección de las instituciones, órganos y organismos de la UE contra las amenazas cibernéticas. Es miembro de la red de CSIRT. El CERT-UE tiene acuerdos técnicos relativos al intercambio de información sobre las amenazas cibernéticas con el CIRC de la OTAN, algunos terceros países y grandes agentes comerciales en el ámbito de la ciberseguridad.

La Comunidad de Inteligencia de la UE comprende el Centro de Análisis de Inteligencia de la UE (INTCEN) y la División de Información del Estado Mayor de la UE (EMUE INT) con arreglo al acuerdo sobre la Capacidad Única de Análisis de Inteligencia (SIAC). La misión de la SIAC es aportar análisis de inteligencia, alerta rápida y conocimiento de la situación al Alto Representante de la Unión Europea para Asuntos Exteriores y Política de Seguridad y al Servicio Europeo de Acción Exterior (SEAE). La SIAC ofrece sus servicios a los diferentes órganos de toma de decisiones de la UE en los ámbitos de la Política Exterior y de Seguridad Común (PESC), la Política Común de Seguridad y Defensa (PCSD) y lucha contra el terrorismo (CT), así como a los Estados miembros. El INTCEN y el EMUE INT no son agencias operativas y carecen de capacidad de recogida de información. El nivel operativo de inteligencia es responsabilidad de los Estados miembros. La SIAC solo se ocupa de análisis estratégicos.

Célula de Fusión de la UE contra las Amenazas Híbridas: La Comunicación conjunta sobre la lucha contra las amenazas híbridas, de abril de 2016, designa a la Célula de Fusión de la UE contra las Amenazas Híbridas (CFH UE) como punto central para todos los análisis de fuentes sobre las amenazas híbridas en la UE; su mandato fue aprobado en diciembre de 2016 por la Comisión a través de una consulta interservicios. Situada dentro del INTCEN, la Célula de Fusión de la UE contra las Amenazas Híbridas forma parte de la SIAC y, por lo tanto, trabaja conjuntamente con el EMUE INT y tiene asignado un miembro militar permanente. El adjetivo «híbrido» se refiere al uso deliberado por un agente estatal o no estatal de una combinación de múltiples herramientas y resortes de carácter manifiesto/encubierto, militar/civil, tales como ciberataques, campañas de desinformación, espionaje, presión económica, uso de fuerzas afines u otras actividades subversivas. La CFH UE trabaja con una amplia red de puntos de contacto, tanto en el seno de la Comisión como en los Estados miembros, para proporcionar la respuesta integrada o el conjunto del planteamiento gubernamental necesario para hacer frente a diversos retos.

SITROOM UE: La Sala de Guardia de la UE forma parte del Centro de Análisis de Inteligencia de la UE (INTCEN), y aporta al SEAE capacidad operativa a fin de garantizar una respuesta inmediata y eficaz a las crisis. Se trata de un organismo civil-militar disponible permanentemente que facilita la vigilancia mundial y el conocimiento de la situación con un funcionamiento ininterrumpido (24/7).

Instrumentos pertinentes

Marco para una respuesta diplomática conjunta de la UE a las actividades informáticas malintencionadas: El marco, acordado en junio de 2017, forma parte integrante del enfoque de la UE sobre la ciberdiplomacia, que contribuye a la prevención de conflictos, la mitigación de las amenazas contra la seguridad cibernética y a una mayor estabilidad en las relaciones internacionales. El Marco hace pleno uso de medidas dentro de la Política Exterior y de Seguridad Común, incluyendo, en caso necesario, la adopción de medidas restrictivas. La utilización de las medidas del Marco debe fomentar la cooperación, facilitar la mitigación de las amenazas inmediatas y a largo plazo e influir en el comportamiento del autor responsable y de posibles agresores a largo plazo.

2. COORDINACIÓN ANTE LAS CRISIS DE CIBERSEGURIDAD EN EL DIRPC: CAPA DE COORDINACIÓN HORIZONTAL Y ESCALADA POLÍTICA

El DIRPC puede ser utilizado (y lo ha sido) para hacer frente a cuestiones técnicas y operativas, pero siempre desde un punto de vista político/estratégico.

En términos de escalada, el DIRPC puede utilizarse según el nivel de la crisis, pasando del «modo de vigilancia» al «modo de intercambio de información», que es el primer nivel de activación del DIRPC, y a la «activación plena del DRPIC».

El paso a la activación plena corresponde a una decisión de la Presidencia de turno del Consejo de la UE. La Comisión, el SEAE y la SGC pueden activar el DIRPC en modo de intercambio de información. El modo de vigilancia y el de intercambio de información corresponden a distintos niveles de información compartida, ya que el modo de intercambio de información implica una petición de elaboración de informes ISAA. La activación plena añade a la caja de herramientas mesas redondas del DIRPC, con participación de la Presidencia (normalmente el presidente del Coreper II, o un experto en el tema a nivel de consejero de las Representaciones Permanentes, pero excepcionalmente se han celebrado mesas redondas a nivel ministerial).

Agentes

Se encarga de la dirección la Presidencia de turno (normalmente, el presidente del Coreper).

Por el Consejo Europeo, el Gabinete del Presidente.

Por la Comisión Europea, el Secretario General Adjunto/a nivel de DG y/o de expertos sobre el tema.

Por el SEAE, el Secretario General Adjunto/a nivel de director ejecutivo y/o de expertos sobre el tema.

Por lo que respecta a la SGC, el Gabinete del Secretario General, el equipo del DIRPC y las Direcciones Generales responsables.

Gama de actividades: Generación de una visión integrada común de la situación y aumento de la sensibilización ante los estrangulamientos o deficiencias a cada uno de los tres niveles, a fin de tratarlos al nivel político, generación de decisiones en la mesa si entran dentro del ámbito de competencias de los participantes, o generación de propuestas de actuación que vayan al Coreper II y hasta el Consejo.

Conocimiento compartido de la situación

(No activado): Pueden generarse páginas de vigilancia del DIRPC para seguir la evolución de las situaciones que puedan escalar hasta una crisis con ramificaciones en la UE.

(Intercambio de información del DIRPC): Los informes ISAA serán redactados por el responsable de este, sobre la base de las contribuciones de los servicios de la Comisión, el SEAE y los Estados miembros (a través de los cuestionarios del DIRPC).

(Activación plena del DIRPC): Además de los informes ISAA, las mesas redondas informales del DIRPC reúnen a los distintos agentes interesados de los Estados miembros, la Comisión, el SEAE, las agencias pertinentes, etc., para debatir las deficiencias y estrangulamientos.

Cooperación y respuesta

Activación/sincronización de mecanismos/instrumentos adicionales de gestión de crisis, en función de la naturaleza y del impacto del incidente. Entre ellos se pueden incluir, por ejemplo, el Mecanismo de Protección Civil, el marco para una respuesta diplomática conjunta de la UE a las actividades informáticas malintencionadas o el marco común relativo a la lucha contra las amenazas híbridas.

Comunicaciones en caso de crisis

La red del comunicador de crisis del DIRPC puede ser activada por la Presidencia, previa consulta con los servicios pertinentes de la Comisión, la SGC y el SEAE, con el fin de apoyar la creación de mensajes comunes o elaborar los instrumentos de comunicación más eficaces.

3. GESTIÓN DE LAS CRISIS DE CIBERSEGURIDAD EN ARGUS: INTERCAMBIO DE INFORMACIÓN DENTRO DE LA COMISIÓN EUROPEA

Tras enfrentarse a crisis imprevistas que exigieron medidas a nivel europeo, como los atentados terroristas de Madrid (marzo de 2004), el tsunami del sudeste asiático (diciembre de 2004) y los ataques terroristas de Londres (julio de 2005), en 2005 la Comisión creó el sistema de coordinación ARGUS, con el apoyo de un sistema de alerta rápida general del mismo nombre (5) (6). Su objetivo es ofrecer un procedimiento específico de coordinación de crisis en caso de crisis multisectorial importante, a fin de permitir el intercambio en tiempo real de información relacionada con la crisis, y asegurar una rápida toma de decisiones.

ARGUS define dos fases en función de la gravedad del caso:

Fase I: utilizada para «compartir información» sobre una crisis de escala limitada

Entre los ejemplos de incidentes notificados recientemente en la fase I se incluyen los incendios forestales de Portugal e Israel, el ataque de Berlín de 2016, las inundaciones de Albania, el huracán Matthew en Haití y la sequía en Bolivia. Cualquier DG puede iniciar un incidente en fase I si considera que una situación en su ámbito de competencia es lo suficientemente grave como para justificar la puesta en común de información o poder beneficiarse de esta. Por ejemplo, la DG CNECT o la DG HOME pueden iniciar un incidente en fase I si consideran que una situación de ciberseguridad en su ámbito de competencia es lo suficientemente grave como para justificar la puesta en común de información o poder beneficiarse de esta.

Fase II: activada en caso de crisis multisectorial importante o amenaza previsible o inminente para la Unión

La fase II desencadena un proceso específico de coordinación que permite a la Comisión tomar decisiones y gestionar una respuesta rápida, coordinada y coherente, al más alto nivel en su ámbito de competencia y en cooperación con las demás instituciones. La fase II está prevista para una crisis multisectorial importante o para una amenaza previsible o inminente de una crisis así. Entre los ejemplos de la vida real de incidentes de la fase II se encuentran la crisis migratoria y de refugiados (iniciada en 2015 y todavía activa), el desastre triple de Fukushima (2011) y la erupción del volcán Eyjafjallajökull en Islandia (2010).

La fase II es activada por el presidente, por propia iniciativa o a petición de un miembro de la comisión. El presidente puede asignar la responsabilidad política de la respuesta de la comisión a un comisario responsable del servicio más afectado por la crisis en cuestión o decidir que retiene él mismo la responsabilidad.

Contempla reuniones de emergencia del Comité de coordinación de crisis (CCC). Estas reuniones se convocan bajo la autoridad del presidente o de un miembro de la Comisión a quien se haya atribuido la responsabilidad. Las reuniones son convocadas por el secretario general a través de la herramienta informática ARGUS. El CCC es una estructura operativa específica de gestión de crisis creada para dirigir y coordinar la respuesta de la Comisión a las crisis, que reúne a representantes de todas las Direcciones Generales de la Comisión, gabinetes y otros servicios de la UE. El CCC, presidido por el secretario general adjunto, evalúa la situación, considera las opciones y toma decisiones, además de velar por que se ejecuten las decisiones y medidas, garantizando al mismo tiempo la coherencia de la respuesta. La SG facilita ayuda al CCC.

4. MECANISMO DE RESPUESTA A LAS CRISIS DEL SEAE

El Mecanismo de Respuesta a las Crisis del SEAE (CRM) se activa en caso de que se presente una emergencia o situación grave relacionada con la dimensión exterior de la UE, o que afecte a esta dimensión de alguna manera. EL CRM es activado por el SGA encargado de la respuesta a las crisis, previa consulta con el AR/VP o el secretario general. También es posible que el SGA reciba del AR/VP, del SG o de otro SGA o director ejecutivo el encargo de iniciar el Mecanismo de Respuesta a las Crisis.

El CRM contribuye a la coherencia de la UE en la respuesta a las crisis dentro de la Estrategia de Seguridad. En particular, el CRM facilita la sinergia entre los esfuerzos diplomáticos, de seguridad y de defensa con los instrumentos financieros, comerciales y de cooperación gestionados por la Comisión.

El CRM está vinculado al sistema general de respuesta a las emergencias de la Comisión (ARGUS) y al Dispositivo Integrado de Respuesta Política a las Crisis (DIRPC), a fin de explotar las sinergias en caso de activación simultánea. La Sala de Guardia del SEAE actúa como plataforma de comunicación entre el SEAE y los sistemas de respuesta a las emergencias del Consejo y de la Comisión.

Normalmente, la primera medida relacionada con la aplicación del CRM es la convocatoria de una reunión de crisis entre los altos cargos del SEAE, de la Comisión y del Consejo directamente afectados por la crisis en cuestión. La reunión de crisis evalúa los efectos a corto plazo de la crisis, y puede convenir la adopción de medidas inmediatas, o la activación de la Célula de Crisis, o la convocatoria de la Plataforma de Crisis. Estas vías pueden seguirse en cualquier secuencia temporal.

La Célula de Crisis es una pequeña sala de operaciones en la que se reúnen representantes de los servicios del SEAE, de la Comisión y del Consejo que participan en la respuesta a la crisis para vigilar continuamente la situación a fin de ayudar a los responsables de tomar las decisiones en la sede central del SEAE. Cuando se ha activado, la Célula de Crisis está operativa las 24 horas del día, 7 días a la semana.

La Plataforma de Crisis reúne a los servicios pertinentes del SEAE, de la Comisión y del Consejo para evaluar los efectos a medio y largo plazo de las crisis y acordar las medidas que deban tomarse. Está presidida por el AR/VP, o el secretario general, o el secretario general adjunto encargado de la respuesta a las crisis. La Plataforma de Crisis evalúa la eficacia de la acción de la UE en la región o país de la crisis, decide sobre eventuales modificaciones o medidas adicionales y debate propuestas de medidas del Consejo. La Plataforma de Crisis es una reunión ad hoc; por lo tanto, no está activada de forma permanente.

El Grupo Operativo está integrado por representantes de los servicios que participan en la respuesta y puede activarse para seguir y facilitar la ejecución de la respuesta de la UE. Evalúa el impacto de las medidas de la UE, elabora documentos sobre políticas y sobre opciones, contribuye a la preparación del Marco Político para la Gestión de Crisis (PFCA), contribuye a la Estrategia de Comunicación, y adopta cualquier otra disposición que pueda facilitar la ejecución de la respuesta de la UE.

5. DOCUMENTOS DE REFERENCIA

A continuación figura una lista de los documentos de referencia que se han tenido en cuenta en la elaboración del Plan director:

—	Marco Europeo de Cooperación ante las Crisis Cibernéticas (European Cyber Crises Cooperation Framework), Versión 1, de 17 de octubre de 2012.

—	Informe sobre cooperación y gestión de las crisis cibernéticas (Report on Cyber Crisis Cooperation and Management), ENISA, 2014.

—	Información que permite actuar en relación con la respuesta a los incidentes de seguridad (Actionable Information for Security Incident Response), ENISA, 2014.

—	Prácticas comunes de gestión de crisis a escala de la UE y aplicabilidad ante crisis cibernéticas (Common practices of EU-level crisis management and applicability to cyber crises), ENISA, 2015.

—	Estrategias de respuesta a los incidentes y cooperación ante las crisis de ciberseguridad (Strategies for Incident Response and Cyber Crisis Cooperation), ENISA, 2016.

—	Procedimientos de trabajo normalizados en cibernética de la UE (EU Cyber Standard Operating Procedures), ENISA, 2016.

—	Guía de buenas prácticas para el uso de taxonomías en la prevención y detección de incidentes (A good practice guide of using taxonomies in incident prevention and detection), ENISA, 2017.

—	Comunicación «Reforzar el sistema de ciberresiliencia de Europa y promover una industria de la ciberseguridad competitiva e innovadora [COM(2016) 410 final], de 5 de julio de 2016.

—	Conclusiones del Consejo» Reforzar el sistema de ciberresiliencia de Europa y promover una industria de la ciberseguridad competitiva e innovadora (15 de noviembre de 2016), doc. 14540/16.

—	Decisión 2014/415/UE del Consejo, de 24 de junio de 2014, relativa a las modalidades de aplicación por la Unión de la cláusula de solidaridad (DO L 192 de 1.7.2014, p. 53).

—	Finalización del proceso de revisión del DCC: Dispositivo de respuesta política integrada de la UE a las crisis (DIRPC), doc. 10708/13, de 7 de junio de 2013.

—	Conocimiento y análisis integrados de la situación (ISAA). Procedimientos de trabajo normalizados [Integrated Situational Awareness and Analysis (ISAA)-Standard Operating Procedures], DS 1570/15, de 22 de octubre de 2015.

—	Disposiciones de la Comisión sobre el sistema de alerta rápida general «ARGUS», COM(2005) 662 final, de 23 de diciembre de 2005.

—	Decisión 2006/25/CE, Euratom de la Comisión, de 23 de diciembre de 2005, por la que se modifica su reglamento interno (DO L 19 de 24.1.2006, p. 20).

—	Modus operandi de ARGUS (ARGUS Modus Operandi), Comisión Europea, de 23 de octubre de 2013.

—	Conclusiones del Consejo sobre un marco para una respuesta diplomática conjunta de la UE a las actividades informáticas malintencionadas («conjunto de instrumentos de ciberdiplomacia»), Doc. 9916/17.

—	Protocolo operativo de la UE para la lucha contra las amenazas híbridas (EU operational protocol for countering hybrid threats «EU Playbook»), doc. SWD(2016) 227.

—

Mecanismo de respuesta a las crisis del SEAE, de 8 de noviembre de 2016 [Ares(2017)880661]. Documento de trabajo conjunto sobre el protocolo de actuación de la UE para contrarrestar las amenazas híbridas (Joint Staff Working Document EU operational protocol for countering hybrid threats, «EU Playbook»), SWD(2016) 227 final de 5 de julio de 2016.

—	Comunicación conjunta al Parlamento Europeo y al Consejo: Comunicación conjunta sobre la lucha contra las amenazas híbridas. Una respuesta de la Unión Europea. JOIN/2016/018 final, 6 de abril de 2016.

—	SEAE(2016) 1674 — Documento de trabajo del Servicio Europeo de Acción Exterior, Célula de Fusión de la UE contra las Amenazas Híbridas — Mandato (Working Document of the European External Action Service — EU Hybrid Fusion Cell — Terms of Reference)

6. ELEMENTOS ESPECÍFICOS DE CIBERSEGURIDAD EN EL PROCESO DEL DIRPC

(1) Doc. 10708/13 sobre la «Finalización del proceso de revisión del DCC: Dispositivo de respuesta política integrada de la UE a las crisis», aprobado por el Consejo el 24 de junio de 2013.

(2) Doc. 12607/15 «IPCR Standard Operating Procedures», acordado por el Grupo «Amigos de la Presidencia» y anotado por el Coreper en octubre de 2015.

(3) Disposiciones de la Comisión sobre el sistema de alerta rápida general «ARGUS», COM(2005) 662 final, de 23 de diciembre de 2005.

(4) Decisión 2006/25/CE, Euratom de la Comisión, de 23 de diciembre de 2005, por la que se modifica su reglamento interno (DO L 19 de 24.1.2006, p. 20), por la que se crea el sistema de alerta rápida general «ARGUS».

(5) Comisión de las Comunidades Europeas, 23 de diciembre de 2005: Comunicación de la Comisión al Parlamento Europeo, al Consejo, al Comité Económico y Social Europeo y al Comité de las Regiones: Disposiciones de la Comisión sobre el sistema de alerta rápida general «ARGUS», COM(2005) 662 final.

(6) Decisión 2006/25/CE, Euratom.

		ISSN 1977-0685
Diario Oficial de la Unión Europea		L 239

Edición en lengua española	Legislación	60.° año 19 de septiembre de 2017

Sumario		II Actos no legislativos	Página
		REGLAMENTOS
	*	Reglamento Delegado (UE) 2017/1575 de la Comisión, de 23 de junio de 2017, que modifica el Reglamento Delegado (UE) 2015/242 por el que se establecen las normas detalladas de funcionamiento de los consejos consultivos en virtud de la política pesquera común.	1
	*	Reglamento Delegado (UE) 2017/1576 de la Comisión, de 26 de junio de 2017, que modifica el Reglamento (UE) n.o 540/2014 del Parlamento Europeo y del Consejo en lo que se refiere a los requisitos del sistema de aviso acústico de vehículos para la homologación de tipo UE de vehículos ( 1 )	3
	*	Reglamento de Ejecución (UE) 2017/1577 de la Comisión, de 5 de septiembre de 2017, por el que se aprueba una modificación que no es de menor importancia del pliego de condiciones de una denominación inscrita en el Registro de Denominaciones de Origen Protegidas y de Indicaciones Geográficas Protegidas [Acciughe sotto sale del mar Ligure (IGP)]	8
	*	Reglamento de Ejecución (UE) 2017/1578 de la Comisión, de 18 de septiembre de 2017, que modifica el Reglamento (UE) n.o 1194/2013 del Consejo, por el que se establece un derecho antidumping definitivo y se percibe definitivamente el derecho provisional establecido sobre las importaciones de biodiésel originario de Argentina e Indonesia	9
		Reglamento de Ejecución (UE) 2017/1579 de la Comisión, de 18 de septiembre de 2017, por el que se fija el coeficiente de asignación aplicable a las cantidades a las que se refieren las solicitudes de certificados de importación presentadas entre el 1 y el 7 de septiembre de 2017 y por el que se determinan las cantidades que se añadirán a la cantidad fijada para el subperíodo comprendido entre el 1 de enero y el 31 de marzo de 2018 en el marco de los contingentes arancelarios abiertos por el Reglamento (CE) n.o 533/2007 en el sector de la carne de aves de corral	25
		Reglamento de Ejecución (UE) 2017/1580 de la Comisión, de 18 de septiembre de 2017, por el que se determinan las cantidades que se añadirán a la cantidad fijada para el subperíodo comprendido entre el 1 de enero y el 31 de marzo de 2018 en el marco de los contingentes arancelarios abiertos por el Reglamento (CE) n.o 539/2007 en el sector de los huevos y las ovoalbúminas	28
		Reglamento de Ejecución (UE) 2017/1581 de la Comisión, de 18 de septiembre de 2017, por el que se fija el coeficiente de asignación aplicable a las cantidades a las que se refieren las solicitudes de certificados de importación presentadas entre el 1 y el 7 de septiembre de 2017 en el marco de los contingentes arancelarios abiertos por el Reglamento (CE) n.o 1385/2007 en el sector de la carne de aves de corral	30
		Reglamento de Ejecución (UE) 2017/1582 de la Comisión, de 18 de septiembre de 2017, por el que se determinan las cantidades que se añadirán a la cantidad fijada para el subperíodo comprendido entre el 1 de enero y el 31 de marzo de 2018 en el marco del contingente arancelario abierto por el Reglamento (CE) n.o 536/2007 para la carne de aves de corral originaria de los Estados Unidos de América	32
		DECISIONES
	*	Decisión (UE) 2017/1583 de la Comisión, de 1 de septiembre de 2017, por la que se especifica, de conformidad con la Directiva 2006/7/CE del Parlamento Europeo y del Consejo, la norma EN ISO 17994:2014 como la norma sobre la equivalencia de los métodos microbiológicos [notificada con el número C(2017) 5843]	34
		RECOMENDACIONES
	*	Recomendación (UE) 2017/1584 de la Comisión, de 13 de septiembre de 2017, sobre la respuesta coordinada a los incidentes y crisis de ciberseguridad a gran escala	36

N.o de orden	Coeficiente de asignación — solicitudes presentadas para el subperíodo comprendido entre el 1 de octubre y el 31 de diciembre de 2017 (en %)	Cantidades no solicitadas que se añadirán a las cantidades disponibles para el subperíodo comprendido entre el 1 de enero y el 31 de marzo de 2018 (en kg)
09.4067	1,838508	—
09.4068	0,162074	—
09.4069	0,134791	—
09.4070	—	890 500

N.o de orden	Cantidades no solicitadas que se añadirán a las cantidades disponibles para el subperíodo comprendido entre el 1 de enero y el 31 de marzo de 2018 (en kg equivalentes de huevos con cáscara)
09.4015	67 500 000
09.4401	377 061
09.4402	6 820 000

N.o de orden	Coeficiente de asignación-solicitudes presentadas para el subperíodo comprendido entre el 1 de octubre y el 31 de diciembre de 2017 (en %)
09.4410	0,122017
09.4411	0,147890
09.4412	0,124570
09.4420	0,138450
09.4421	—
09.4422	0,138449