Access to European Union law
<a href="https://eur-lex.europa.eu/content/help/eurlex-content/experimental-features.html" target="_blank">More about the experimental features corner</a>
Choose the experimental features you want to try
EUR-Lex
Access to European Union law

This document is an excerpt from the EUR-Lex website

You are here
Use quotation marks to search for an "exact phrase". Append an asterisk (*) to a search term to find variations of it (transp*, 32019R*). Use a question mark (?) instead of a single character in your search term to find variations of it (ca?e finds case, cane, care).
Search tips
Need more search options? Use the Advanced search

Summaries of EU Legislation

    Reglamento sobre la Ciberseguridad de la Unión Europea

     

    SÍNTESIS DEL DOCUMENTO:

    Reglamento (UE) 2019/881 relativo a la Agencia de la Unión Europea para la Ciberseguridad y a la certificación de la ciberseguridad de las tecnologías de la información y la comunicación (Reglamento sobre la Ciberseguridad)

    ¿CUÁL ES EL OBJETIVO DE ESTE REGLAMENTO?

    Tiene por objeto alcanzar un alto nivel de ciberseguridad, ciberresiliencia y confianza en la Unión Europea (UE) por medio del establecimiento de:

    • objetivos, tareas y aspectos organizativos para una Agencia de la Unión Europea para la Ciberseguridad (ENISA) redenominada y fortalecida con un nuevo mandato permanente;
    • un marco para esquemas europeos voluntarios de certificación de productos, servicios y procesos de tecnologías de la información y de la comunicación (TIC).

    PUNTOS CLAVE

    El mandato de ENISA consiste en:

    • alcanzar un elevado nivel común de ciberseguridad por toda la UE;
    • apoyar a las autoridades nacionales y a las instituciones, órganos, oficinas y organismos de la UE para que mejoren la ciberseguridad;
    • servir como punto de referencia de cara al asesoramiento científico y técnico y a los conocimientos sobre ciberseguridad para las instituciones, órganos, oficinas y organismos de la UE, así como otras partes interesadas pertinentes;
    • contribuir a reducir la fragmentación del mercado interior;
    • actuar con independencia, evitar la duplicación con las actividades nacionales y tomar en consideración los conocimientos de los países;
    • desarrollar sus propios recursos técnicos y humanos, así como sus capacidades.

    Las tareas de ENISA son:

    • contribuir al desarrollo y a la ejecución de las leyes y la política de la UE;
    • promover la creación de capacidades, por ejemplo, mediante la mejora de la prevención, la detección y el análisis de ciberamenazas* , así como de la respuesta a las mismas, y también mediante el apoyo al desarrollo de equipos de respuesta a incidentes de seguridad informática (CSIRT) o la organización de ejercicios de ciberseguridad a escala de la UE;
    • apoyar la cooperación operativa de la UE entre todas las partes interesadas implicadas, incluido el Equipo de respuesta a emergencias informáticas de las instituciones, órganos y organismos de la Unión Europea (CERT-UE), principalmente a través del intercambio de conocimientos y mejores prácticas, del aporte de orientaciones relevantes y del mantenimiento de las redes de la UE y los CSIRT nacionales;
    • apoyar y promover el desarrollo y la ejecución de certificados de ciberseguridad de la UE para productos, servicios y procesos de TIC, en el marco de su tarea de preparación de esquemas bajo el nuevo marco europeo de certificación de la ciberseguridad;
    • recoger y analizar datos e información sobre ciberseguridad, especialmente sobre tecnologías emergentes, ciberamenazas e incidentes, a fin de poder ofrecer información y asesoramiento a las autoridades nacionales, las partes interesadas relevantes y, a través de un portal específico, también al público general (ciudadanos, sociedades y empresas);
    • sensibilizar al público sobre los riesgos relacionados con la ciberseguridad, facilitar buenas prácticas para usuarios individuales y promover la concienciación y la educación en general en materia de ciberseguridad;
    • asesorar sobre necesidades y prioridades de investigación y contribuir a la agenda estratégica de la UE en materia de innovación e investigación de ciberseguridad;
    • contribuir a los esfuerzos de cooperación de la UE en materia de ciberseguridad con sus socios y organizaciones internacionales.

    La estructura administrativa y de gestión de ENISA está integrada por:

    • un Consejo de Administración con un representante de cada Estado miembro de la UE y dos miembros designados por la Comisión Europea, que establece la dirección general de las actividades de la agencia y se asegura de que esta desarrolle sus labores en condiciones que le permitan actuar de conformidad con el Reglamento fundacional;
    • un Comité Ejecutivo de cinco miembros que prepara las decisiones que adoptará el Consejo de Administración;
    • un director ejecutivo independiente, que da cuenta de su gestión al Consejo de Administración e informa al Parlamento Europeo y al Consejo de la Unión Europea cuando así se le solicita, es el responsable de gestionar la agencia.
    • un Grupo Consultivo de ENISA, compuesto por expertos reconocidos procedentes de partes interesadas relevantes, como la industria de las TIC, proveedores de servicios o redes de comunicaciones electrónicas, pequeñas y medianas empresas, consumidores, académicos, y operadores de servicios esenciales, así como por representantes de las autoridades competentes recogidas en el Código Europeo de las Comunicaciones Electrónicas, organizaciones de normalización y autoridades de supervisión policial y de protección de datos, que se centra en asuntos de interés para las partes interesadas y los ponen en conocimiento de ENISA;
    • una red de funcionarios de enlace nacionales que consta de representantes de todos los Estados miembros y que facilita el intercambio de información entre estos y ENISA, a la que apoya en la difusión de sus actividades, conclusiones y recomendaciones.

    El Reglamento crea:

    • un Grupo de las Partes Interesadas sobre Certificación de la Ciberseguridad, compuesto por expertos de reconocido prestigio, que se encarga de, por ejemplo, asesorar a la Comisión sobre asuntos estratégicos relativos al marco de certificación de la UE en materia de ciberseguridad y a ENISA, si así lo solicita, sobre asuntos generales y estratégicos relativos a las labores pertinentes de la agencia;
    • un Grupo Europeo de Certificación de la Ciberseguridad (GECC), compuesto por representantes nacionales, que se encarga de asistir a la Comisión en sus tareas para garantizar la coherencia en la ejecución y la aplicación del Reglamento, y a ENISA en lo concerniente a la preparación de posibles esquemas de certificación de la ciberseguridad.

    ENISA:

    • queda establecida durante un período indefinido desde el 27 de junio de 2019;
    • opera según un documento único que contiene su programación anual y plurianual;
    • sigue las normas de seguridad de la Comisión para la protección de información sensible no clasificada e información clasificada de la UE;
    • no divulga a terceros la información confidencial que recibe o procesa;
    • participa plenamente en las medidas de la UE encaminadas a combatir el fraude, la corrupción y otras actividades ilícitas;
    • procesa datos personales de conformidad con las normas aplicables de la UE.

    El Reglamento establece un marco europeo de certificación de la ciberseguridad para:

    • mejorar el funcionamiento del mercado interior por medio del aumento de la ciberseguridad en la UE y permitir un enfoque armonizado a escala de la UE de cara a los esquemas europeos de certificación de la seguridad, con vistas a la creación de un mercado único digital para productos, servicios y procesos de TIC;
    • fijar un mecanismo de creación de esquemas de certificación que confirmen que los productos, servicios y procesos de TIC evaluados con arreglo a un esquema cumplen los requisitos especificados con objeto de proteger la disponibilidad, autenticidad, integridad y confidencialidad de los datos almacenados, transmitidos o procesados, o las funciones o servicios ofrecidos por dichos productos, servicios y procesos a lo largo de su ciclo de vida, o accesibles a través de los mismos.

    En virtud de este marco:

    • la Comisión:
      • publica un programa de la UE de trabajo evolutivo en materia de certificación europea de la ciberseguridad en el que se identifican las prioridades estratégicas y los productos, servicios y procesos (o categorías) de TIC que podrían beneficiarse de un esquema,
      • podrá solicitar que ENISA prepare una propuesta de esquema de certificación o que evalúe uno existente;
    • ENISA:
      • prepara proyectos apropiados de esquemas a petición de la Comisión o del GECC,
      • evalúa cada esquema de certificación adoptado cada cinco años, tomando en consideración los comentarios recibidos,
      • mantiene un sitio web específico que facilita información sobre los esquemas, los certificados y las declaraciones de conformidad.

    Los esquemas europeos voluntarios de certificación de la ciberseguridad:

    • tienen como objetivo la consecución de diversos objetivos de seguridad, como la protección de datos almacenados, transmitidos o procesados;
    • categorizan el nivel de seguridad de los productos, servicios y procesos de TIC como «básico», «sustancial» o «elevado»;
    • permiten que los fabricantes y proveedores de productos, servicios y procesos de TIC de bajo riesgo (es decir, «básicos») los evalúen ellos mismos («autoevaluación de la conformidad»);
    • deben incluir ciertas características, como una descripción precisa del propósito, el objeto y el alcance, así como los criterios de evaluación y los métodos empleados;
    • sustituyen a sus análogos nacionales, aunque estos conservan su validez hasta su fecha de expiración.

    Los fabricantes y proveedores de productos, servicios y procesos de TIC certificados deberán publicar:

    • orientaciones y recomendaciones para que los usuarios finales puedan instalar, aplicar y mantener sus productos o servicios;
    • información sobre la duración de la asistencia de seguridad que ofrecen;
    • sus datos de contacto;
    • referencias a repositorios en línea con información sobre asuntos conocidos de seguridad que afecten a sus productos o servicios.

    Los Estados miembros deben designar una o más autoridades nacionales de certificación de la ciberseguridad con suficientes recursos y capacidades para controlar, supervisar y velar por la aplicación de las normas de los esquemas europeos de certificación de la ciberseguridad.

    La Comisión:

    • evaluará periódicamente la eficacia y el uso de los esquemas de certificación adoptados y considerará si procede que alguno de ellos adquiera carácter obligatorio;
    • tuvo que completar su primera evaluación detallada a más tardar el 31 de diciembre de 2023 y, posteriormente, cada dos años;
    • tuvo que evaluar el impacto, la eficacia y la efectividad de ENISA a más tardar el 28 de junio de 2024 y, posteriormente, cada cinco años.

    Las personas físicas y jurídicas tienen derecho a presentar una reclamación ante el responsable de expedir un certificado europeo de ciberseguridad y a recurrir a la tutela judicial efectiva.

    Acto de ejecución

    En enero de 2024, la Comisión Europea adoptó el Reglamento de Ejecución (UE) 2024/482 (véase la síntesis). Este acto establece normas para la aplicación del Reglamento (UE) 2019/881 en lo que respecta a la adopción del esquema europeo de certificación de la ciberseguridad basado en los criterios comunes (EUCC), que tiene carácter voluntario. Se trata del primer esquema a escala de la UE y se refiere a certificados de los niveles de garantía «sustancial» o «elevado» para productos de TIC como «hardware» y «software», incluidos los componentes como chips y tarjetas inteligentes. El Reglamento incluye normas detalladas sobre aspectos como:

    • normas y requisitos para la evaluación y la expedición, renovación y retirada de certificados EUCC para productos y perfiles de protección;
    • organismos de evaluación de la conformidad acreditados para expedir certificados o llevar a cabo actividades de evaluación;
    • control de la conformidad, no conformidad e incumplimiento;
    • procedimientos de gestión y divulgación de vulnerabilidades;
    • conservación de registros, divulgación y protección de información;
    • acuerdos de reconocimiento mutuo con terceros países;
    • evaluación inter pares de los organismos de certificación;
    • mantenimiento del esquema; y
    • esquemas nacionales de certificación de la ciberseguridad cubiertos por el EUCC.

    El Reglamento de Ejecución sobre el EUCC entrará en vigor el 27 de febrero de 2025.

    El Reglamento (UE) 2019/881 y su correspondiente Reglamento de Ejecución no afectan a las competencias de los Estados miembros en materia de seguridad pública, defensa, seguridad nacional y Derecho penal.

    Este Reglamento deroga el Reglamento (UE) n.o 526/2013 desde el 27 de junio de 2019.

    ¿DESDE CUÁNDO ESTÁ EN VIGOR EL REGLAMENTO?

    El Reglamento está en vigor desde el 27 de junio de 2019.

    Los artículos relativos a la designación de autoridades nacionales en materia de ciberseguridad, a la acreditación y la notificación de organismos de evaluación de la conformidad, al derecho de presentar una reclamación ante los responsables de expedir un certificado europeo de ciberseguridad, al derecho a la tutela judicial efectiva y a las sanciones están en vigor desde el 28 de junio de 2021.

    ANTECEDENTES

    ENISA, ubicada en Atenas y con una sucursal en Heraclión, lleva contribuyendo a la seguridad de las redes y la información de la UE desde 2004. Para más información, véanse:

    TÉRMINOS CLAVE

    Ciberamenaza. Una circunstancia, un evento o una acción potencial capaz de dañar, interrumpir o afectar de forma adversa a las redes y a los sistemas de información, así como a sus usuarios y otras partes interesadas.

    DOCUMENTO PRINCIPAL

    Reglamento (UE) 2019/881 del Parlamento Europeo y del Consejo, de 17 de abril de 2019, relativo a ENISA (Agencia de la Unión Europea para la Ciberseguridad) y a la certificación de la ciberseguridad de las tecnologías de la información y la comunicación y por el que se deroga el Reglamento (UE) n.o 526/2013 (Reglamento sobre la Ciberseguridad) (DO L 151 de 7.6.2019, pp. 15-69).

    DOCUMENTOS CONEXOS

    Reglamento de Ejecución (UE) 2024/482 de la Comisión, de 31 de enero de 2024, por el que se establecen disposiciones de aplicación del Reglamento (UE) 2019/881 del Parlamento Europeo y del Consejo en lo concerniente a la adopción del esquema europeo de certificación de la ciberseguridad basado en los criterios comunes (EUCC) (DO L, 2024/482 de 7.2.2024).

    Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.o 45/2001 y la Decisión n.o 1247/2002/CE (DO L 295 de 21.11.2018, pp. 39-98).

    Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión (DO L 194 de 19.7.2016, pp. 1-30).

    Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO L 119 de 4.5.2016, pp. 1-88).

    Las modificaciones y correcciones sucesivas del Reglamento (UE) 2016/679 se han incorporado al texto original. Esta versión consolidada solo tiene valor documental.

    última actualización 18.06.2024

    Top