This document is an excerpt from the EUR-Lex website
Document 02019R0881-20250204
Regulation (EU) 2019/881 of the European Parliament and of the Council of 17 April 2019 on ENISA (the European Union Agency for Cybersecurity) and on information and communications technology cybersecurity certification and repealing Regulation (EU) No 526/2013 (Cybersecurity Act) (Text with EEA relevance)
Consolidated text: Reglamento (UE) 2019/881 del Parlamento Europeo y del Consejo, de 17 de abril de 2019, relativo a ENISA (Agencia de la Unión Europea para la Ciberseguridad) y a la certificación de la ciberseguridad de las tecnologías de la información y la comunicación y por el que se deroga el Reglamento (UE) n.o 526/2013 (Reglamento sobre la Ciberseguridad) (Texto pertinente a efectos del EEE)
Reglamento (UE) 2019/881 del Parlamento Europeo y del Consejo, de 17 de abril de 2019, relativo a ENISA (Agencia de la Unión Europea para la Ciberseguridad) y a la certificación de la ciberseguridad de las tecnologías de la información y la comunicación y por el que se deroga el Reglamento (UE) n.o 526/2013 (Reglamento sobre la Ciberseguridad) (Texto pertinente a efectos del EEE)
02019R0881 — ES — 04.02.2025 — 001.001
Este texto es exclusivamente un instrumento de documentación y no surte efecto jurídico. Las instituciones de la UE no asumen responsabilidad alguna por su contenido. Las versiones auténticas de los actos pertinentes, incluidos sus preámbulos, son las publicadas en el Diario Oficial de la Unión Europea, que pueden consultarse a través de EUR-Lex. Los textos oficiales son accesibles directamente mediante los enlaces integrados en este documento
|
REGLAMENTO (UE) 2019/881 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 17 de abril de 2019 relativo a ENISA (Agencia de la Unión Europea para la Ciberseguridad) y a la certificación de la ciberseguridad de las tecnologías de la información y la comunicación y por el que se deroga el Reglamento (UE) n.o 526/2013 («Reglamento sobre la Ciberseguridad») (Texto pertinente a efectos del EEE) (DO L 151 de 7.6.2019, p. 15) |
Modificado por:
|
|
|
Diario Oficial |
||
|
n° |
página |
fecha |
||
|
REGLAMENTO (UE) 2025/37 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 19 de diciembre de 2024 |
L 37 |
1 |
15.1.2025 |
|
REGLAMENTO (UE) 2019/881 DEL PARLAMENTO EUROPEO Y DEL CONSEJO
de 17 de abril de 2019
relativo a ENISA (Agencia de la Unión Europea para la Ciberseguridad) y a la certificación de la ciberseguridad de las tecnologías de la información y la comunicación y por el que se deroga el Reglamento (UE) n.o 526/2013 («Reglamento sobre la Ciberseguridad»)
(Texto pertinente a efectos del EEE)
TÍTULO I
DISPOSICIONES GENERALES
Artículo 1
Objeto y ámbito de aplicación
Con vistas a garantizar el correcto funcionamiento del mercado interior, aspirando al mismo tiempo a alcanzar un nivel elevado de ciberseguridad, ciberresiliencia y confianza dentro de la Unión, el presente Reglamento establece:
los objetivos, tareas y aspectos organizativos relativos a ENISA (Agencia de la Unión Europea para la Ciberseguridad), y
un marco para la creación de esquemas europeos de certificación de la ciberseguridad, a efectos de garantizar un nivel adecuado de ciberseguridad de los productos, servicios y procesos de TIC y los servicios de seguridad gestionados en la Unión, así como de evitar la fragmentación del mercado interior respecto a los esquemas de certificación de la ciberseguridad en la Unión.
El marco a que se refiere el párrafo primero, letra b), se aplicará sin perjuicio de las disposiciones específicas contenidas en otros actos jurídicos de la Unión relativas a la certificación de carácter voluntario u obligatorio.
Artículo 2
Definiciones
A efectos del presente Reglamento, se entenderá por:
|
1) |
«ciberseguridad» : todas las actividades necesarias para la protección de las redes y sistemas de información, de los usuarios de tales sistemas y de otras personas afectadas por las ciberamenazas; |
|
2) |
«redes y sistemas de información» : las redes y sistemas de información según se definen en el artículo 4, punto 1, de la Directiva (UE) 2016/1148; |
|
3) |
«estrategia nacional de seguridad de las redes y sistemas de información» : una estrategia nacional de seguridad de las redes y sistemas de información según se define en el artículo 4, punto 3, de la Directiva (UE) 2016/1148; |
|
4) |
«operador de servicios esenciales» : un operador de servicios esenciales según se define en el artículo 4, punto 4, de la Directiva (UE) 2016/1148; |
|
5) |
«proveedor de servicios digitales» : un proveedor de servicios digitales según se define en el artículo 4, punto 6, de la Directiva (UE) 2016/1148; |
|
6) |
«incidente» : un incidente según se define en el artículo 4, punto 7, de la Directiva (UE) 2016/1148; |
|
7) |
«gestión de incidentes» : la gestión de incidentes según se define en el artículo 4, punto 8, de la Directiva (UE) 2016/1148; |
|
8) |
«ciberamenaza» : cualquier situación potencial, hecho o acción que pueda dañar, perturbar o afectar desfavorablemente de otra manera las redes y los sistemas de información, a los usuarios de tales sistemas y a otras personas; |
|
9) |
«esquema europeo de certificación de la ciberseguridad» : conjunto completo de disposiciones, requisitos técnicos, normas y procedimientos establecidos a escala de la Unión y que se aplican a la certificación o a la evaluación de la conformidad de productos, servicios o procesos de TIC o servicios de seguridad gestionados específicos; |
|
10) |
«esquema nacional de certificación de la ciberseguridad» : conjunto completo de disposiciones, requisitos técnicos, normas y procedimientos desarrollados y adoptados por una autoridad pública nacional y que se aplican a la certificación o a la evaluación de la conformidad de los productos, servicios y procesos de TIC o los servicios de seguridad gestionados incluidos en el ámbito de aplicación del esquema específico; |
|
11) |
«certificado europeo de ciberseguridad» : documento expedido por un organismo pertinente que certifica que un determinado producto, servicio o proceso de TIC o servicio de seguridad gestionado ha sido evaluado para verificar que cumple los requisitos específicos de seguridad establecidos en un esquema europeo de certificación de la ciberseguridad; |
|
12) |
«producto de TIC» : un elemento o un grupo de elementos de las redes y los sistemas de información; |
|
13) |
«servicio de TIC» : un servicio que consista, en su totalidad o principalmente, en la transmisión, almacenamiento, extracción o tratamiento de información mediante redes y sistemas de información; |
|
14) |
«proceso de TIC» : un conjunto de actividades llevadas a cabo para la concepción, elaboración, suministro y mantenimiento de un producto o servicio de TIC; |
|
14 bis) |
«servicio de seguridad gestionado» : servicio prestado a un tercero que consiste en llevar a cabo o prestar asistencia para actividades relacionadas con la gestión de riesgos de ciberseguridad, como, por ejemplo, la gestión de incidentes, las pruebas de penetración, las auditorías de seguridad y la consultoría relacionada con la asistencia técnica, incluidos los conocimientos específicos; |
|
15) |
«acreditación» : una acreditación tal como se define en el artículo 2, punto 10, del Reglamento (CE) n.o 765/2008; |
|
16) |
«organismo nacional de acreditación» : un organismo nacional de acreditación tal como se define en el artículo 2, punto 11, del Reglamento (CE) n.o 765/2008; |
|
17) |
«evaluación de la conformidad» : una evaluación de la conformidad tal como se define en el artículo 2, punto 12, del Reglamento (CE) n.o 765/2008; |
|
18) |
«organismo de evaluación de la conformidad» : un organismo de evaluación de la conformidad tal como se define en el artículo 2, punto 13, del Reglamento (CE) n.o 765/2008; |
|
19) |
«norma» : una norma según se define en el artículo 2, punto 1, del Reglamento (UE) n.o 1025/2012; |
|
20) |
«especificación técnica» : documento que prescribe los requisitos técnicos que debe cumplir un producto, servicio o proceso de TIC o un servicio de seguridad gestionado, o los procedimientos de evaluación de la conformidad relativos a estos; |
|
21) |
«nivel de garantía» : fundamento que permite garantizar que un producto, servicio o proceso de TIC o un servicio de seguridad gestionado cumple los requisitos de seguridad de un esquema europeo de certificación de la ciberseguridad específico; indica el nivel en el que se ha evaluado un producto, servicio o proceso de TIC o un servicio de seguridad gestionado, pero, como tal, no mide la seguridad del producto, servicio o proceso de TIC o del servicio de seguridad gestionado en cuestión; |
|
22) |
«autoevaluación de la conformidad» : acción realizada por un fabricante o proveedor de productos, servicios o procesos de TIC o servicios de seguridad gestionados para evaluar si estos cumplen los requisitos de un esquema europeo de certificación de la ciberseguridad específico. |
TÍTULO II
ENISA (AGENCIA DE LA UNIÓN EUROPEA PARA LA CIBERSEGURIDAD)
CAPÍTULO I
Mandato y objetivos
Artículo 3
Mandato
Al desempeñar las tareas que le asigna el presente Reglamento, ENISA contribuirá a reducir la fragmentación del mercado interior.
Artículo 4
Objetivos
CAPÍTULO II
Tareas
Artículo 5
Elaboración y ejecución de la política y del Derecho de la Unión
ENISA contribuirá a la elaboración y ejecución de la política y del Derecho de la Unión:
Prestando asistencia y asesoramiento, en la elaboración y la revisión de la política y del Derecho de la Unión en el ámbito de la ciberseguridad, así como las iniciativas políticas y legislativas sectoriales cuando estén presentes cuestiones relacionadas con la ciberseguridad en particular emitiendo su dictamen y sus análisis independientes y aportando trabajos preparatorios.
Asistiendo a los Estados miembros para que apliquen de manera coherente la política y el Derecho de la Unión en materia de ciberseguridad, especialmente en relación con la Directiva (UE) 2016/1148, en particular a través de dictámenes, directrices, recomendaciones y mejores prácticas sobre temas como la gestión de riesgos, la notificación de incidentes y el compartir información, así como facilitando el intercambio de mejores prácticas entre las autoridades competentes a este respecto.
Asistiendo a los Estados miembros y a las instituciones, órganos y organismos de la Unión para que elaboren y promuevan políticas de ciberseguridad que apoyen la disponibilidad general y la integridad del núcleo público de la internet abierta.
Contribuyendo a los trabajos del Grupo de cooperación con arreglo al artículo 11 de la Directiva (UE) 2016/1148, ofreciendo su asesoramiento y asistencia.
Respaldando:
la elaboración y la ejecución de la política de la Unión en el ámbito de la identidad electrónica y los servicios de confianza, en particular ofreciendo asesoramiento y directrices técnicas, y facilitando el intercambio de mejores prácticas entre las autoridades competentes;
la promoción de una mejora del nivel de seguridad de las comunicaciones electrónicas, en particular ofreciendo asistencia y asesoramiento, y facilitando el intercambio de mejores prácticas entre las autoridades competentes;
la asistencia a los Estados miembros en la ejecución de aspectos específicos de ciberseguridad de la política y el Derecho de la Unión en materia de protección de los datos y la privacidad, así como la emisión, previa solicitud, de un dictamen para el Comité Europeo de Protección de Datos.
Respaldando la revisión periódica de las actividades políticas de la Unión mediante la preparación de un informe anual sobre el estado de la aplicación del marco jurídico respectivo en relación con:
las informaciones sobre las notificaciones de incidentes de los Estados miembros transmitidas por el punto de contacto único al Grupo de cooperación de conformidad con el artículo 10, apartado 3, de la Directiva (UE) 2016/1148;
el resumen de las notificaciones de violación de la seguridad y pérdida de la integridad respecto de los proveedores de servicios de confianza, transmitidas por los organismos de supervisión a ENISA, de conformidad con el artículo 19, apartado 3, del Reglamento (UE) n.o 910/2014 del Parlamento Europeo y del Consejo ( 1 );
las notificaciones de incidentes relacionados con la seguridad transmitidas por los proveedores de redes públicas de comunicaciones electrónicas o de servicios de comunicaciones electrónicas disponibles al público, transmitidas por las autoridades competentes a ENISA, de conformidad con el artículo 40 de la Directiva (UE) 2018/1972.
Artículo 6
Creación de capacidades
ENISA asistirá:
a los Estados miembros en sus esfuerzos por mejorar la prevención, detección, análisis y capacidad de respuesta a ciberamenazas e incidentes, proporcionándoles los conocimientos teóricos y prácticos;
con carácter voluntario, a los Estados miembros y las instituciones, órganos y organismos de la Unión en el establecimiento y la aplicación de políticas de divulgación de vulnerabilidades;
a las instituciones, órganos y organismos de la Unión en sus esfuerzos para mejorar la prevención, detección, análisis de ciberamenazas e incidentes y para mejorar su capacidad de respuesta a dichas ciberamenazas e incidentes, en particular a través de un apoyo adecuado al CERT;
a los Estados miembros, a petición suya, en el desarrollo de CSIRT nacionales, con arreglo al artículo 9, apartado 5, de la Directiva (UE) 2016/1148;
a los Estados miembros, a petición suya, en el desarrollo de estrategias nacionales sobre seguridad de las redes y los sistemas de información, con arreglo al artículo 7, apartado 2, de la Directiva (UE) 2016/1148, y también promoverá la difusión y tomará nota de los progresos en la aplicación de estas estrategias en toda la Unión, con el fin de promover las mejores prácticas;
a las instituciones de la Unión en la elaboración y revisión de las estrategias de la Unión en materia de ciberseguridad, promoviendo la difusión y el seguimiento de los progresos en su aplicación;
a los CSIRT nacionales y de la Unión para elevar el nivel de sus capacidades, en particular promoviendo el diálogo y el intercambio de información, con el fin de lograr que, habida cuenta de los avances más recientes, cada CSIRT disponga de un conjunto mínimo de capacidades y se atenga a las mejores prácticas;
a los Estados miembros, organizando periódicamente ejercicios de ciberseguridad a escala de la Unión a que se refiere el artículo 7, apartado 5, y ello al menos cada dos años, y formulando recomendaciones políticas basadas en el proceso de evaluación de los ejercicios y en las enseñanzas extraídas de ellos;
a los organismos públicos pertinentes, ofreciendo formación sobre ciberseguridad, en colaboración, cuando proceda, con las partes interesadas;
al grupo de cooperación en el intercambio de mejores prácticas, en particular con respecto a la identificación de los operadores de servicios esenciales por parte de los Estados miembros, en virtud del artículo 11, apartado 3, letra l), de la Directiva (UE) 2016/1148, incluso en relación con las dependencias transfronterizas, en lo que se refiere a riesgos e incidentes.
Artículo 7
Cooperación operativa a nivel de la Unión
ENISA cooperará a nivel operativo y establecerá sinergias con las instituciones, órganos y organismos de la Unión, incluido el CERT-UE, los servicios que abordan la ciberdelincuencia y las autoridades responsables de la protección de la intimidad y los datos personales, con vistas a tratar cuestiones de interés común, en particular mediante:
el intercambio de conocimientos técnicos y mejores prácticas;
la prestación de asesoramiento y directrices sobre cuestiones de interés relacionadas con la ciberseguridad;
el establecimiento de disposiciones prácticas para la ejecución de tareas específicas previa consulta a la Comisión.
ENISA apoyará a los Estados miembros en lo relativo a la cooperación operativa dentro de la red de CSIRT:
asesorando sobre cómo mejorar su capacidad para prevenir, detectar y dar respuesta a los incidentes y, previa solicitud de uno o varios Estados miembros, proporcionando asesoramiento sobre una amenaza específica;
prestando asistencia, previa solicitud de uno o varios Estados miembros, en la evaluación de los incidentes con un impacto significativo o sustancial, proporcionando conocimientos técnicos y facilitando la gestión técnica de dichos incidentes, en particular apoyando el intercambio voluntario de información pertinente y soluciones técnicas entre Estados miembros;
analizando las vulnerabilidades e incidentes sobre la base de la información públicamente disponible o la información que los Estados miembros faciliten voluntariamente para este fin, y
previa solicitud de uno o varios Estados miembros, dando apoyo en las investigaciones técnicas ex post de los incidentes que tengan un impacto significativo o sustancial en el sentido de la Directiva (UE) 2016/1148.
En el desempeño de estas tareas, ENISA y el CERT-UE entablarán una cooperación estructurada con el fin de beneficiarse de las sinergias y evitar la duplicación de actividades.
En su caso, ENISA participará asimismo en la realización de ejercicios sectoriales de ciberseguridad, y contribuirá a organizarlos cuando proceda, junto con organizaciones competentes que también participen en los ejercicios de ciberseguridad a escala de la Unión.
ENISA contribuirá a la elaboración de una respuesta cooperativa, a nivel de la Unión y de los Estados miembros, a los incidentes o crisis transfronterizos a gran escala relacionados con la ciberseguridad, principalmente por los siguientes medios:
agregación y análisis de los informes procedentes de fuentes nacionales que son de dominio público y han sido puestos en común de manera voluntaria, con vistas a contribuir a la creación de una perspectiva común de la situación;
garantía de la eficacia del flujo de información y oferta de mecanismos de intensificación entre la red de CSIRT y los responsables políticos y técnicos a nivel de la Unión;
facilitación, previa petición, de la gestión técnica de tales incidentes o crisis, en particular apoyando la puesta en común voluntaria de soluciones técnicas entre los Estados miembros;
apoyo a las instituciones, órganos y organismos de la Unión y, previa petición, a los Estados miembros en la comunicación pública en torno a esos incidentes o crisis;
prueba de los planes de cooperación para responder a dichos incidentes o crisis a nivel de la Unión y apoyo, previa petición, a los Estados miembros para que prueben dichos planes a escala nacional.
Artículo 8
Mercado, certificación de la ciberseguridad y normalización
ENISA apoyará y promoverá el desarrollo y la aplicación de la política de la Unión en materia de certificación de la ciberseguridad de productos, servicios y procesos de TIC y servicios de seguridad gestionados, según lo establecido en el título III del presente Reglamento, por los siguientes medios:
controlar permanentemente los avances en los ámbitos de normalización relacionados y recomendar unas especificaciones técnicas apropiadas que se puedan utilizar en el desarrollo de los esquemas europeos de certificación de la ciberseguridad mencionados en el artículo 54, apartado 1, letra c), cuando no se disponga de normas;
preparar propuestas de esquemas europeos de certificación de la ciberseguridad (en lo sucesivo, «propuestas de esquemas») para productos, servicios y procesos de TIC y servicios de seguridad gestionados de conformidad con el artículo 49;
evaluar los esquemas europeos de certificación de la ciberseguridad adoptados de conformidad con el artículo 49, apartado 8;
participar en las revisiones interpares de conformidad con el artículo 59, apartado 4;
asistir a la Comisión, encargándose de la secretaría del GECC de conformidad con el artículo 62, apartado 5;
Artículo 9
Conocimiento e información
ENISA:
efectuará análisis de las tecnologías emergentes y preparará evaluaciones temáticas sobre los efectos esperados, de tipo social, jurídico, económico y reglamentario, de las innovaciones tecnológicas sobre la ciberseguridad;
realizará análisis estratégicos a largo plazo de las ciberamenazas e incidentes con el fin de detectar las tendencias emergentes y ayudar a prevenir los incidentes;
en cooperación con los expertos de las autoridades de los Estados miembros y las partes interesadas pertinentes, emitirá dictámenes, orientaciones y mejores prácticas para la seguridad de las redes y los sistemas de información, en particular en el ámbito de la seguridad de las infraestructuras que sustentan los sectores enumerados en el anexo II de la Directiva (UE) 2016/1148 y las utilizadas por los proveedores de servicios digitales enumerados en el anexo III de dicha Directiva;
reunirá, organizará y pondrá a disposición del público, a través de un portal asignado a este propósito, información sobre la ciberseguridad facilitada por las instituciones, órganos y organismos de la Unión y, de manera voluntaria, por los Estados miembros y las partes interesadas de los sectores público y privado;
recopilará y analizará la información disponible públicamente relativa a incidentes significativos y elaborará informes con el fin de ofrecer orientaciones a los ciudadanos, organizaciones y empresas de toda la Unión.
Artículo 10
Sensibilización y educación
ENISA:
sensibilizará al público sobre los riesgos relacionados con la ciberseguridad y facilitará orientaciones sobre buenas prácticas para usuarios individuales, dirigidas a ciudadanos, organizaciones y empresas, especialmente sobre ciberhigiene y ciberalfabetización;
en cooperación con los Estados miembros, y las instituciones, órganos y organismos de la Unión y con la industria, organizará campañas periódicas de divulgación para aumentar la ciberseguridad y su visibilidad en la Unión y fomentará un amplio debate público;
asistirá a los Estados miembros en sus esfuerzos para sensibilizar sobre la ciberseguridad y promover la formación en este ámbito;
apoyará una mejor coordinación y el intercambio de mejores prácticas entre Estados miembros sobre sensibilización y educación en materia de ciberseguridad.
Artículo 11
Investigación e innovación
En relación con la investigación y la innovación, ENISA:
asesorará a las instituciones, órganos y organismos de la Unión y a los Estados miembros sobre las necesidades y prioridades de la investigación en el ámbito de la ciberseguridad, con miras a poder ofrecer respuestas eficaces a los riesgos y ciberamenazas actuales y emergentes, también en relación con las tecnologías de la información y la comunicación nuevas y emergentes, y a utilizar eficazmente las tecnologías de prevención del riesgo;
participará, cuando la Comisión le haya delegado los poderes correspondientes, en la fase de ejecución de los programas de financiación de la investigación y la innovación, o en calidad de beneficiario;
contribuirá a la agenda estratégica de investigación e innovación a escala de la Unión en el ámbito de la ciberseguridad.
Artículo 12
Cooperación internacional
ENISA contribuirá a los esfuerzos de la Unión por cooperar con terceros países y organizaciones internacionales, así como dentro de los marcos de cooperación internacional pertinentes, a fin de promover la cooperación internacional en relación con los problemas que se refieren a la ciberseguridad, por los siguientes medios:
participar, cuando proceda, como observador en la organización de ejercicios internacionales, y analizar los resultados de esos ejercicios e informar al respecto al Consejo de Administración;
facilitar, a petición de la Comisión, el intercambio de mejores prácticas;
facilitar asesoramiento especializado a la Comisión cuando así se solicite;
facilitar asesoramiento y apoyo a la Comisión en materia de acuerdos de reconocimiento mutuo de certificados de ciberseguridad con terceros países en colaboración con el GECC creado en virtud del artículo 62.
CAPÍTULO III
Organización de ENISA
Artículo 13
Estructura de ENISA
La estructura administrativa y de gestión de ENISA estará integrada por los siguientes elementos:
un Consejo de Administración;
un Comité Ejecutivo;
un director ejecutivo;
un Grupo Consultivo de ENISA;
una red de funcionarios de enlace nacionales.
Artículo 14
Composición del Consejo de Administración
Artículo 15
Funciones del Consejo de Administración
El Consejo de Administración:
definirá la orientación general del funcionamiento de ENISA y velará por que esta trabaje de conformidad con las normas y principios establecidos en el presente Reglamento; velará asimismo por la coherencia de la labor de ENISA con las actividades realizadas por los Estados miembros y a nivel de la Unión;
adoptará el proyecto de documento único de programación de ENISA a que se refiere el artículo 24 antes de someterlo al dictamen de la Comisión;
adoptará, el documento único de programación de ENISA por una mayoría de dos tercios de sus miembros teniendo en cuenta el dictamen de la Comisión;
supervisará la aplicación de la programación anual y plurianual que figura en el documento único de programación;
adoptará el presupuesto anual de ENISA y ejercerá otras funciones relacionadas con el presupuesto de ENISA de conformidad con el capítulo IV;
evaluará y adoptará el informe anual consolidado sobre las actividades de ENISA, que incluirá las cuentas y describirá en qué medida ENISA ha cumplido sus indicadores de rendimiento y, a más tardar el 1 de julio del año siguiente, remitirá dicho informe, junto con su evaluación, al Parlamento Europeo, al Consejo, a la Comisión y al Tribunal de Cuentas, y lo publicará;
adoptará las normas financieras aplicables a ENISA de conformidad con el artículo 32;
adoptará una estrategia contra el fraude que esté en consonancia con el riesgo de fraude, teniendo en cuenta el análisis coste-beneficio de las medidas que vayan a aplicarse;
adoptará normas para la prevención y la gestión de los conflictos de intereses de sus miembros;
garantizará un adecuado seguimiento de las conclusiones y recomendaciones resultantes de las investigaciones de la Oficina Europea de Lucha contra el Fraude (OLAF) o de las diferentes auditorías y evaluaciones, tanto internas como externas;
adoptará su propio reglamento interno, incluidas las normas relativas a las decisiones provisionales sobre la delegación de las tareas específicas con arreglo a lo dispuesto en el artículo 19, apartado 7;
ejercerá, respecto del personal de ENISA, las competencias atribuidas por el Estatuto de los funcionarios de la Unión Europea (en lo sucesivo, «Estatuto de los funcionarios») y las atribuidas por el Régimen aplicable a los otros agentes de la Unión Europea (en lo sucesivo, «Régimen aplicable a los otros agentes») establecidas por el Reglamento (CEE, Euratom, CECA) n.o 259/68 del Consejo ( 2 ) a la autoridad facultada para proceder a los nombramientos y a la autoridad facultada para proceder a las contrataciones (en lo sucesivo, «competencias de la autoridad facultada para proceder a los nombramientos») conforme al apartado 2;
adoptará las normas de aplicación del Estatuto de los funcionarios y del Régimen aplicable a los otros agentes, de conformidad con el procedimiento establecido en el artículo 110 de dicho Estatuto;
nombrará al director ejecutivo y, cuando proceda, ampliará su mandato o lo cesará de conformidad con el artículo 36;
nombrará a un contable, que podrá ser el contable de la Comisión, que será totalmente independiente en el desempeño de sus funciones;
adoptará todas las decisiones relativas al establecimiento de las estructuras internas de ENISA y, cuando sea necesario, a su modificación, teniendo en cuenta las necesidades de la actividad de ENISA, así como la buena gestión financiera;
autorizará el establecimiento de convenios de trabajo de conformidad en relación con el artículo 7;
autorizará el establecimiento y la celebración de convenios de trabajo de conformidad con el artículo 42.
Artículo 16
Presidente del Consejo de Administración
El Consejo de Administración elegirá entre sus miembros, por mayoría de dos tercios, a un presidente y a un vicepresidente. Su mandato será para un período de cuatro años, renovable una sola vez. No obstante, si el presidente o el vicepresidente dejaran de ser miembros del Consejo de Administración durante su mandato, este expirará automáticamente en la misma fecha. El vicepresidente sustituirá de oficio al presidente cuando este no pueda desempeñar sus funciones.
Artículo 17
Reuniones del Consejo de Administración
Artículo 18
Votaciones en el Consejo de Administración
Artículo 19
Comité Ejecutivo
El Comité Ejecutivo:
preparará las resoluciones que deba adoptar el Consejo de Administración;
junto con el Consejo de Administración, garantizará un seguimiento adecuado de las conclusiones y recomendaciones que se deriven de las investigaciones de la OLAF y de las distintas auditorías y evaluaciones tanto internas como externas;
sin perjuicio de las responsabilidades del director ejecutivo establecidas en el artículo 20, le asistirá y asesorará en la aplicación de las decisiones del Consejo de Administración en cuestiones administrativas y presupuestarias con arreglo al artículo 20.
Artículo 20
Funciones del director ejecutivo
El director ejecutivo será responsable de:
la administración ordinaria de ENISA;
ejecutar las decisiones adoptadas por el Consejo de Administración;
preparar el proyecto de documento único de programación y presentarlo al Consejo de Administración para su aprobación antes de su presentación a la Comisión;
ejecutar el documento único de programación y presentar informes al respecto al Consejo de Administración;
preparar el informe anual consolidado sobre las actividades de ENISA, en particular la aplicación del programa de trabajo anual, y presentarlo al Consejo de Administración para su evaluación y aprobación;
preparar un plan de acción para el seguimiento de las conclusiones de las evaluaciones retrospectivas e informar cada dos años a la Comisión sobre los progresos al respecto;
preparar un plan de acción sobre la base de las conclusiones de las auditorías internas o externas, así como de las investigaciones de la OLAF, y presentar informes sobre los progresos conseguidos, dos veces al año a la Comisión y periódicamente al Consejo de Administración;
preparar el proyecto de normas financieras aplicables a ENISA a que se refiere el artículo 32;
preparar el proyecto de estado de previsiones de ingresos y gastos de ENISA y ejecutar su presupuesto;
proteger los intereses financieros de la Unión mediante la aplicación de medidas preventivas contra el fraude, la corrupción y cualquier otra actividad ilegal, mediante controles eficaces y, en caso de detectarse irregularidades, mediante la recuperación de los importes abonados indebidamente y, cuando proceda, mediante sanciones administrativas y financieras que sean eficaces, proporcionales y disuasorias;
preparar una estrategia antifraude para ENISA y someterla a la aprobación del Consejo de Administración;
crear y mantener contactos con la comunidad empresarial y las organizaciones de consumidores para garantizar un diálogo continuado con las partes interesadas pertinentes;
intercambiar pareceres e información regularmente con las instituciones, órganos y organismos de la Unión sobre sus actividades en materia de ciberseguridad para garantizar la coherencia en la elaboración y ejecución de la política de la Unión;
desempeñar otros cometidos que el presente Reglamento le asigne.
Esta decisión especificará el alcance de las actividades que se llevarán a cabo en la oficina local, evitándose costes innecesarios y la duplicación de funciones administrativas de ENISA.
Artículo 21
Grupo consultivo de ENISA
Artículo 22
Grupo de las Partes Interesadas sobre Certificación de la Ciberseguridad
El Grupo de las Partes Interesadas sobre Certificación de la Ciberseguridad desempeñará las siguientes tareas:
asesorar a la Comisión sobre cuestiones estratégicas relativas al marco europeo de certificación de la ciberseguridad;
asesorar a ENISA, previa solicitud, sobre cuestiones generales y estratégicas relativas a los cometidos de ENISA en relación con el mercado, la certificación de la ciberseguridad y la normalización;
prestar asistencia a la Comisión en la elaboración del programa de trabajo evolutivo de la Unión previsto en el artículo 47;
emitir un dictamen sobre el programa de trabajo evolutivo de la Unión con arreglo al artículo 47, apartado 4, y
en situaciones urgentes, prestar asesoramiento a la Comisión y al GECC sobre la necesidad de contar con esquemas de certificación adicionales no incluidos en el programa de trabajo evolutivo de la Unión, según lo previsto en los artículos 47y 48.
Artículo 23
Red de funcionarios de enlace nacionales
Las reuniones de la red de funcionarios de enlace nacionales podrán celebrarse en distintas formaciones de expertos.
Artículo 24
Documento único de programación
Artículo 25
Declaración de intereses
Artículo 26
Transparencia
Artículo 27
Confidencialidad
Artículo 28
Acceso a los documentos
CAPÍTULO IV
Establecimiento y estructura del presupuesto de ENISA
Artículo 29
Establecimiento del presupuesto de ENISA
Artículo 30
Estructura del presupuesto de ENISA
Sin perjuicio de otros recursos, los ingresos de ENISA consistirán en:
una contribución procedente del presupuesto general de la Unión;
ingresos asignados a partidas de gastos específicas de conformidad con las normas financieras mencionadas en el artículo 32;
financiación de la Unión en forma de convenios de delegación o subvenciones ad hoc, de conformidad con las normas financieras mencionadas en el artículo 32 y las disposiciones de los instrumentos pertinentes de apoyo a las políticas de la Unión;
contribuciones de terceros países que participen en los trabajos de ENISA a que se refiere el artículo 42;
eventuales contribuciones voluntarias, dinerarias o en especie, de los Estados miembros.
Los Estados miembros que aporten contribuciones voluntarias en virtud del párrafo primero, letra e), no podrán reclamar ningún derecho o servicio específico como consecuencia de su contribución.
Artículo 31
Ejecución del presupuesto de ENISA
Artículo 32
Normas financieras
El Consejo de Administración adoptará las normas financieras aplicables a ENISA, previa consulta a la Comisión. Dichas normas no podrán desviarse del Reglamento Delegado (UE) n.o 1271/2013, salvo si las exigencias específicas de funcionamiento de ENISA lo requieren y la Comisión lo autoriza previamente.
Artículo 33
Lucha contra el fraude
CAPÍTULO V
Personal
Artículo 34
Disposiciones generales
El Estatuto de los funcionarios y el Régimen aplicable a los otros agentes, así como las normas adoptadas de común acuerdo entre las instituciones de la Unión con el fin de poner en práctica el Estatuto de los funcionarios y el Régimen aplicable a los otros agentes, se aplicarán al personal de ENISA.
Artículo 35
Privilegios e inmunidades
Se aplicará a ENISA y a su personal el Protocolo n.o 7 sobre los privilegios y las inmunidades de la Unión Europea, anejo al TUE y al TFUE.
Artículo 36
Director ejecutivo
Artículo 37
Expertos nacionales en comisión de servicios y otros agentes
CAPÍTULO VI
Disposiciones generales relativas a ENISA
Artículo 38
Estatuto jurídico de ENISA
Artículo 39
Responsabilidad de ENISA
Artículo 40
Régimen lingüístico
Artículo 41
Protección de los datos de carácter personal
Artículo 42
Cooperación con terceros países y organizaciones internacionales
Artículo 43
Normas de seguridad aplicables a la protección de la información clasificada y de la información sensible no clasificada
Previa consulta a la Comisión, ENISA adoptará sus normas de seguridad aplicando los principios de seguridad contenidos en las normas de seguridad de la Comisión para la protección de la información sensible no clasificada y la ICUE, según lo dispuesto en las Decisiones (UE, Euratom) 2015/443 y 2015/444. Las normas de seguridad de ENISA incluirán disposiciones para el intercambio, tratamiento y almacenamiento de este tipo de información.
Artículo 44
Acuerdo relativo a la sede y condiciones de funcionamiento
Artículo 45
Control administrativo
El funcionamiento de ENISA será supervisado por el Defensor del Pueblo Europeo de conformidad con el artículo 228 del TFUE.
TÍTULO III
MARCO DE CERTIFICACIÓN DE LA CIBERSEGURIDAD
Artículo 46
Marco europeo de certificación de la ciberseguridad
Artículo 47
Programa de trabajo evolutivo de la Unión para la certificación europea de la ciberseguridad
La inclusión de productos, servicios y procesos de TIC específicos, o de servicios de seguridad gestionados, o de categorías de estos, en el programa de trabajo evolutivo de la Unión se justificará sobre la base de uno o más de los siguientes motivos:
la disponibilidad y el desarrollo de esquemas nacionales de certificación de la ciberseguridad que incluyan cualquier categoría específica de productos, servicios o procesos de TIC o servicios de seguridad gestionados y, en particular, en lo que se refiere al riesgo de fragmentación;
el Derecho o las políticas aplicables, de la Unión o de un Estado miembro;
la demanda del mercado;
los avances tecnológicos y la disponibilidad y el desarrollo de esquemas de certificación de la ciberseguridad internacionales y normas internacionales y normas empleadas por la industria;
la evolución del panorama de las ciberamenazas;
la solicitud de preparación de una propuesta de esquema específica por el GECC.
Artículo 48
Solicitud de un esquema europeo de certificación de la ciberseguridad
Artículo 49
Preparación, adopción y revisión de esquemas europeos de certificación de la ciberseguridad
Artículo 49 bis
Información y consulta sobre los esquemas europeos de certificación de la ciberseguridad
Artículo 50
Sitio web de los esquemas europeos de certificación de la ciberseguridad
Artículo 51
Objetivos de seguridad de los esquemas europeos de certificación de la ciberseguridad en relación con los productos, servicios y procesos de TIC
Los esquemas europeos de certificación de la ciberseguridad en relación con los productos, servicios o procesos de TIC deberán diseñarse para cumplir, según proceda, al menos los objetivos de seguridad siguientes:
proteger los datos almacenados, transmitidos o tratados de otro modo frente al almacenamiento, tratamiento, acceso o revelación accidentales o no autorizados durante todo el ciclo de vida del producto, servicio o proceso de TIC;
proteger los datos almacenados, transmitidos o tratados de otro modo frente a la destrucción accidental o no autorizada, la pérdida o la alteración o la falta de disponibilidad durante todo el ciclo de vida del producto, servicio o proceso de TIC;
que las personas, programas o máquinas autorizados puedan acceder exclusivamente a los datos, servicios o funciones a que se refiere su derecho de acceso;
detectar y documentar las dependencias y vulnerabilidades conocidas;
registrar qué datos, servicios o funciones han sido objeto de acceso, de uso o de otro tratamiento, en qué momentos y por quién;
que sea posible comprobar qué datos, servicios o funciones han sido objeto de acceso, de uso o de otro tratamiento, en qué momentos y por quién;
verificar que los productos, servicios y procesos de TIC no contengan vulnerabilidades conocidas;
restaurar la disponibilidad y el acceso a los datos, servicios y funciones de forma rápida en caso de incidente físico o técnico;
que los productos, servicios y procesos de TIC sean seguros por defecto y desde el diseño;
que los productos, servicios y procesos de TIC se entreguen siempre con un programa informático y un equipo informático actualizados que no contengan vulnerabilidades conocidas públicamente, y dispongan de mecanismos para efectuar actualizaciones de seguridad.
Artículo 51 bis
Objetivos de seguridad de los esquemas europeos de certificación de la ciberseguridad en relación con los servicios de seguridad gestionados
Los esquemas europeos de certificación de la ciberseguridad en relación con los servicios de seguridad gestionados deberán diseñarse para cumplir, según proceda, al menos los objetivos de seguridad siguientes:
que los servicios de seguridad gestionados se presten con la competencia, pericia y experiencia necesarias, y, en particular, que el personal encargado de prestar dichos servicios posea un nivel suficiente y adecuado de competencia y conocimientos técnicos en el ámbito específico, así como una experiencia suficiente y adecuada, y actúe con el máximo nivel de integridad profesional;
que el proveedor disponga de procedimientos internos adecuados para asegurar que los servicios de seguridad gestionados se presten en todo momento con un nivel de calidad suficiente y adecuado;
que se protejan los datos consultados, almacenados, transmitidos o tratados de otro modo en relación con la prestación de servicios de seguridad gestionados frente al acceso, almacenamiento, revelación, destrucción u otro tipo de tratamiento accidentales o no autorizados, la pérdida o la alteración, o la falta de disponibilidad;
que se restauren la disponibilidad y el acceso a los datos, servicios y funciones de forma rápida en caso de incidente físico o técnico;
que las personas, programas o máquinas autorizados puedan acceder exclusivamente a los datos, servicios o funciones a que se refiere su derecho de acceso;
que se lleve un registro y esté disponible para evaluar los datos, servicios o funciones que han sido objeto de acceso, uso u otro tratamiento, en qué momentos y por quién;
que los productos, servicios y procesos de TIC que se implementen en el contexto de la prestación de los servicios de seguridad gestionados sean seguros desde el diseño y por defecto, y, cuando proceda, incluyan las últimas actualizaciones de seguridad y no contengan vulnerabilidades conocidas públicamente.
Artículo 52
Niveles de garantía de los esquemas europeos de certificación de la ciberseguridad
Artículo 53
Autoevaluación de la conformidad
Artículo 54
Elementos de los esquemas europeos de certificación de la ciberseguridad
Un esquema europeo de certificación de la ciberseguridad incluirá al menos los siguientes elementos:
el objeto y el alcance del esquema de certificación, incluido el tipo o categoría de productos, servicios y procesos de TIC y servicios de seguridad gestionados cubiertos;
una descripción clara de la finalidad del esquema y de la manera en que las normas, los métodos de evaluación y los niveles de garantía seleccionados corresponden a las necesidades de los usuarios previstos del esquema;
referencias a las normas internacionales, europeas o nacionales que se han seguido para hacer la evaluación. En caso de que no haya normas disponibles, o de que estas no sean adecuadas, se deberá hacer referencia a las especificaciones técnicas que cumplen los requisitos del anexo II del Reglamento (UE) n.o 1025/2012 o, si no estuvieran disponibles, a las especificaciones técnicas o a otros requisitos de ciberseguridad definidos en el esquema europeo de certificación de la ciberseguridad;
en su caso, uno o varios niveles de garantía;
una indicación de si está permitida, en virtud del esquema, la autoevaluación de la conformidad;
en su caso, requisitos específicos o adicionales a los que están sujetos los organismos de evaluación de la conformidad a fin de garantizar su capacidad técnica para evaluar los requisitos en materia de ciberseguridad;
los criterios y métodos de evaluación específicos que deben ser utilizados, incluidos los tipos de evaluación, para demostrar el logro de los objetivos de seguridad aplicables a que se refieren los artículos 51 y 51 bis;
en su caso, la información necesaria para la certificación que un solicitante debe facilitar a los organismos de evaluación de la conformidad o poner a su disposición de otro modo;
cuando el esquema prevea marcas o etiquetas, las condiciones en las que pueden utilizarse tales marcas o etiquetas;
las normas para controlar el cumplimiento de los productos, servicios y procesos de TIC o los servicios de seguridad gestionados de los requisitos de los certificados europeos de ciberseguridad o de la declaración de conformidad de la UE, incluidos los mecanismos que permitan demostrar la conformidad permanente con los requisitos de ciberseguridad especificados;
en su caso, condiciones para la expedición, el mantenimiento, la continuación y la renovación de un certificado europeo de ciberseguridad, así como condiciones para la ampliación o la reducción del alcance de la certificación;
las normas relativas a las consecuencias para los productos, servicios y procesos de TIC o los servicios de seguridad gestionados que han sido certificados o para los que se haya expedido una declaración de conformidad de la UE, pero que no sean conformes con los requisitos del esquema;
las normas sobre cómo deben notificarse y tramitarse las vulnerabilidades de ciberseguridad previamente no detectadas en productos, servicios y procesos de TIC;
en su caso, normas relativas a la conservación de los registros por parte de los organismos de evaluación de la conformidad;
la identificación de los esquemas nacionales o internacionales de certificación de la ciberseguridad que cubran el mismo tipo o categoría de productos, servicios y procesos de TIC o servicios de seguridad gestionados, requisitos de seguridad, criterios y métodos de evaluación y niveles de garantía;
el contenido y formato de los certificados europeos de ciberseguridad y de la declaración de conformidad de la UE que van a ser expedidos;
el período de disponibilidad de la declaración de conformidad de la UE, la documentación técnica y cualquier otra información pertinente que deba facilitar el fabricante o proveedor de productos, servicios o procesos de TIC o servicios de seguridad gestionados;
el período máximo de validez de los certificados europeos de ciberseguridad expedidos en virtud del esquema;
la política de divulgación para los certificados europeos de ciberseguridad expedidos, modificados o retirados en virtud del esquema;
las condiciones para el reconocimiento mutuo de los esquemas de certificación con terceros países;
en su caso, normas relativas a cualquier mecanismo de evaluación interpares establecido en el esquema respecto de las autoridades u organismos que expidan certificados europeos de ciberseguridad para niveles de garantía «elevados» con arreglo al artículo 56, apartado 6. Dicho mecanismo se entenderá sin perjuicio de las revisiones interpares previstas en el artículo 59;
formato y procedimientos que deben seguir los fabricantes y proveedores de productos, servicios o procesos de TIC para proporcionar y actualizar la información complementaria sobre ciberseguridad de conformidad con el artículo 55.
Artículo 55
Información complementaria sobre ciberseguridad de productos, servicios y procesos de TIC certificados
El fabricante o proveedor de productos, servicios y procesos de TIC certificados o autoevaluados proporcionará la información sobre ciberseguridad complementaria siguiente:
orientaciones y recomendaciones para ayudar a los usuarios finales con la configuración, la instalación, el despliegue, el funcionamiento y el mantenimiento seguros de los productos o servicios de TIC;
el período durante el cual se ofrecerá a los usuarios finales apoyo en materia de seguridad, en particular en lo que se refiere a la disponibilidad de actualizaciones relacionadas con la ciberseguridad;
datos de contacto del fabricante o proveedor y métodos aceptados para recibir información sobre vulnerabilidad de usuarios finales o investigadores en materia de seguridad;
una referencia a los registros en línea en los que consten las vulnerabilidades conocidas públicamente en relación con el producto, servicio o proceso de TIC, así como recomendaciones pertinentes en materia de ciberseguridad.
Artículo 56
Certificación de la ciberseguridad
La Comisión atenderá, con carácter prioritario, a los sectores enumerados en el anexo II de la Directiva (UE) 2016/1148, que se evaluarán a más tardar dos años después de la adopción del primer esquema europeo de certificación de la ciberseguridad.
Al preparar la evaluación, la Comisión deberá:
tener en cuenta las repercusiones de las medidas sobre los fabricantes o proveedores de dichos productos, servicios o procesos de TIC o servicios de seguridad gestionados y sobre los usuarios, en términos de costes, así como los beneficios sociales o económicos que se deriven del refuerzo previsto del nivel de seguridad de los productos, servicios o procesos de TIC o los servicios de seguridad gestionados de que se trate;
tener en cuenta la existencia y la aplicación del Derecho del Estado miembro y del tercer país pertinentes;
llevar a cabo un procedimiento de consulta abierto, transparente e inclusivo con todas las partes interesadas pertinentes y los Estados miembros;
tener en cuenta los plazos de aplicación, así como los períodos y medidas transitorios, en particular, respecto de las posibles repercusiones de la medida sobre los fabricantes o los proveedores de productos, servicios y procesos de TIC o servicios de seguridad gestionados, incluidos los intereses y necesidades específicos de las pymes, incluidas las microempresas;
proponer la manera más rápida y eficaz para llevar a cabo la transición entre un esquema de certificación voluntario y uno obligatorio.
No obstante lo dispuesto en el apartado 4, en casos debidamente justificados un esquema europeo de certificación de la ciberseguridad podrá prever que solo un organismo público pueda expedir un certificado europeo de ciberseguridad resultante de ese esquema. Este organismo será uno de los siguientes:
una autoridad nacional de certificación de la ciberseguridad con arreglo al artículo 58, apartado 1, o
un organismo público que esté acreditado como organismo de evaluación de la conformidad con arreglo al artículo 60, apartado 1.
En los casos en que un esquema europeo de certificación de la ciberseguridad adoptado en virtud del artículo 49 requiera un nivel de garantía «elevado», el certificado europeo de ciberseguridad en virtud de dicho esquema solo podrá ser expedido por una autoridad nacional de certificación de la ciberseguridad o, en los siguientes casos, por un organismo de evaluación de la conformidad:
previa aprobación de la autoridad nacional de certificación de la ciberseguridad para cada certificado europeo de ciberseguridad individual que expida un organismo de evaluación de la conformidad, o
con base en una delegación general de la tarea de expedir tal certificado europeo de ciberseguridad por la autoridad nacional de certificación de la ciberseguridad a un organismo de evaluación de la conformidad.
Artículo 57
Esquemas y certificados nacionales de certificación de la ciberseguridad
Artículo 58
Autoridades nacionales de certificación de la ciberseguridad
Las autoridades nacionales de certificación de la ciberseguridad:
supervisarán y velarán por la aplicación de las normas recogidas en los esquemas europeos de certificación de la ciberseguridad en virtud del artículo 54, apartado 1, letra j), para controlar la conformidad de los productos, servicios y procesos de TIC y los servicios de seguridad gestionados con los requisitos de los certificados europeos de ciberseguridad que hayan sido expedidos en sus respectivos territorios, en cooperación con otras autoridades de vigilancia del mercado pertinentes;
controlarán el cumplimiento y velarán por la aplicación de las obligaciones de los fabricantes o proveedores de productos, servicios o procesos de TIC o servicios de seguridad gestionados que estén establecidos en sus respectivos territorios y que llevan a cabo autoevaluaciones de la conformidad, en particular, controlarán el cumplimiento y la aplicación de las obligaciones de dichos fabricantes y proveedores que figuran en el artículo 53, apartados 2 y 3, y en el correspondiente esquema europeo de certificación de la ciberseguridad;
sin perjuicio de lo dispuesto en el artículo 60, apartado 3, asistirán y apoyarán activamente a los organismos nacionales de acreditación en el control y la supervisión de las actividades de los organismos de evaluación de la conformidad a efectos de la aplicación del presente Reglamento;
controlarán y supervisarán las actividades de los organismos públicos mencionados en el artículo 56, apartado 5;
cuando proceda, autorizarán a los organismos de evaluación de la conformidad con arreglo al artículo 60, apartado 3, y restringirán, suspenderán o retirarán las autorizaciones en vigor en caso de incumplimiento, por parte de los organismos de evaluación de la conformidad, de los requisitos del presente Reglamento;
tramitarán las reclamaciones presentadas por personas físicas o jurídicas en relación con los certificados europeos de ciberseguridad expedidos por las autoridades nacionales de certificación de la ciberseguridad o los certificados europeos de ciberseguridad expedidos por los organismos de evaluación de la conformidad, de conformidad con el artículo 56, apartado 6, o en relación con las declaraciones de conformidad UE expedidas en virtud del artículo 53, investigarán el asunto objeto de la reclamación en la medida que proceda e informarán al reclamante sobre el curso y el resultado de la investigación en un plazo razonable;
presentarán a ENISA y al GECC un informe sucinto anual de las actividades realizadas con arreglo a las letras b), c) y d) del presente apartado y al apartado 8;
cooperarán con otras autoridades nacionales de certificación de la ciberseguridad u otras autoridades públicas, en particular, mediante el intercambio de información sobre productos, servicios y procesos de TIC o servicios de seguridad gestionados que no se ajusten a los requisitos del presente Reglamento o de esquemas europeos de certificación de la ciberseguridad específicos, y;
seguirán las novedades de interés en el ámbito de la certificación de la ciberseguridad.
Cada autoridad nacional de certificación de la ciberseguridad tendrá, como mínimo, las siguientes competencias:
solicitar a los organismos de evaluación de la conformidad, a los titulares de certificados europeos de ciberseguridad y a los responsables de expedir declaraciones de conformidad de la UE que faciliten cualquier información que requiera para el desempeño de sus cometidos;
llevar a cabo investigaciones, en forma de auditorías, de los organismos de evaluación de la conformidad, los titulares de certificados europeos de ciberseguridad y los responsables de expedir declaraciones de conformidad de la UE, a efectos de verificar el cumplimiento de lo dispuesto en el presente título III;
adoptar las medidas adecuadas, de conformidad con el Derecho nacional, con el fin de garantizar que los organismos de evaluación de la conformidad, los titulares de certificados europeos de ciberseguridad y los responsables de expedir declaraciones de conformidad de la UE se ajustan al presente Reglamento o a un esquema europeo de certificación de la ciberseguridad;
obtener acceso a todos los locales de los organismos de evaluación de la conformidad y los titulares de certificados europeos de ciberseguridad para la realización de investigaciones con arreglo al Derecho de la Unión o al Derecho procesal del Estado miembro;
retirar, con arreglo al Derecho nacional, los certificados europeos de ciberseguridad expedidos por la autoridad nacional de certificación de la ciberseguridad o los certificados europeos de ciberseguridad expedidos por los organismos de evaluación de la conformidad, de conformidad con el artículo 56, apartado 6, que no se ajusten al presente Reglamento o a un esquema europeo de certificación de la ciberseguridad;
imponer sanciones conforme al Derecho nacional según lo establecido en el artículo 65, y solicitar el cese inmediato de la violación de las obligaciones establecidas en el presente Reglamento.
Artículo 59
Revisión interpares
La revisión interpares deberá evaluar:
cuando corresponda, si las actividades de la autoridad nacional de certificación de la ciberseguridad relacionadas con la expedición de certificados europeos de ciberseguridad a que se refiere el artículo 56, apartado 5, letra a), y el artículo 56, apartado 6, se acogen a una estricta separación de funciones y responsabilidades con respecto a las actividades de supervisión de conformidad con el artículo 58 y si ambas actividades funcionan de manera independiente;
los procedimientos de supervisión y cumplimiento de las normas para controlar la conformidad de los productos, servicios y procesos de TIC y los servicios de seguridad gestionados con los certificados europeos de ciberseguridad con arreglo al artículo 58, apartado 7, letra a);
los procedimientos de control y cumplimiento de las obligaciones de los fabricantes o proveedores de productos, servicios o procesos de TIC o servicios de seguridad gestionados con arreglo al artículo 58, apartado 7, letra b);
los procedimientos de control, autorización y supervisión de las actividades de los organismos de evaluación de la conformidad;
cuando corresponda, si el personal de las autoridades u organismos que expiden certificados para un nivel de garantía «elevado» en virtud del artículo 56, apartado 6, tiene los conocimientos técnicos apropiados.
Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 66, apartado 2.
Artículo 60
Organismos de evaluación de la conformidad
Artículo 61
Notificación
Artículo 62
Grupo Europeo de Certificación de la Ciberseguridad
El GECC desempeñará las siguientes tareas:
asesorar y asistir a la Comisión en su labor de garantizar la coherencia en la implantación y aplicación del presente título, en particular en relación con el programa de trabajo evolutivo de la Unión, las cuestiones de política de certificación de la ciberseguridad, la coordinación de los enfoques políticos y la preparación de los esquemas europeos de certificación de la ciberseguridad;
asistir, asesorar y cooperar con ENISA en relación con la preparación de una propuesta de esquema, de conformidad con el artículo 49;
adoptar un dictamen sobre la propuesta de esquema preparada por ENISA, de conformidad con el artículo 49;
solicitar a ENISA que prepare una propuesta de esquema de conformidad con el artículo 48, apartado 2;
adoptar dictámenes dirigidos a la Comisión relativos al mantenimiento y revisión de los esquemas europeos de certificación de la ciberseguridad existentes;
examinar las novedades pertinentes en el ámbito de la certificación de la ciberseguridad e intercambiar información y buenas prácticas sobre los esquemas de certificación de la ciberseguridad;
facilitar la cooperación entre las autoridades nacionales de certificación de la ciberseguridad en virtud del presente título mediante creación de capacidades, el intercambio de información, y en particular mediante el establecimiento de métodos para un intercambio de información eficaz en relación con todos los temas relacionados con la certificación de la ciberseguridad;
proporcionar apoyo a la aplicación de los mecanismos de evaluación interpares según las normas establecidas en un esquema europeo de certificación de la ciberseguridad de conformidad con el artículo 54, apartado 1, letra u);
facilitar el alineamiento de los esquemas europeos de certificación de la ciberseguridad con las normas internacionales reconocidas, en particular mediante la revisión de los esquemas europeos de certificación de la ciberseguridad existentes y, cuando proceda, mediante la formulación de recomendaciones a ENISA para que colabore con las organizaciones internacionales de normalización correspondientes al objeto de solucionar las deficiencias o lagunas en las normas vigentes reconocidas a nivel internacional.
Artículo 63
Derecho a presentar una reclamación
Artículo 64
Derecho a la tutela judicial efectiva
Sin perjuicio de cualquier otro recurso administrativo o extrajudicial, toda persona física o jurídica tendrá derecho a la tutela judicial efectiva en lo que respecta a:
las decisiones de la autoridad u organismo mencionado en el artículo 63, apartado 1, en particular y cuando corresponda en lo que respecta a la expedición, la no expedición o el reconocimiento de un certificado europeo de ciberseguridad del que sea titular dicha persona física o jurídica;
la inacción con respecto a una reclamación presentada ante la autoridad u organismo mencionado en el artículo 63, apartado 1.
Artículo 65
Sanciones
Los Estados miembros establecerán el régimen de sanciones aplicables a los incumplimientos del presente título y de los esquemas europeos de certificación de la ciberseguridad y adoptarán toda medida necesaria para garantizar su aplicación. Las sanciones establecidas serán efectivas, proporcionadas y disuasorias. Los Estados miembros notificarán a la Comisión sin demora dicho régimen y dichas medidas, así como cualquier modificación posterior que les afecte.
TÍTULO IV
DISPOSICIONES FINALES
Artículo 66
Procedimiento de comité
Artículo 67
Evaluación y revisión
Artículo 68
Derogación y sucesión
Artículo 69
Entrada en vigor
El presente Reglamento será obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro.
ANEXO
REQUISITOS QUE DEBEN CUMPLIR LOS ORGANISMOS DE EVALUACIÓN DE LA CONFORMIDAD
Los organismos de evaluación de la conformidad que deseen ser acreditados deberán cumplir los siguientes requisitos:
El organismo de evaluación de la conformidad se establecerá de conformidad con el Derecho interno y tendrá personalidad jurídica.
El organismo de evaluación de la conformidad será un organismo tercero independiente de la organización, o de los productos, servicios o procesos de TIC o de los servicios de seguridad gestionados que evalúa.
Podrá tratarse de un organismo pertenecientes a una asociación empresarial o una federación profesional que represente a las empresas que participan en el diseño, la fabricación, el suministro, el montaje, el uso o el mantenimiento de los productos, servicios o procesos de TIC o los servicios de seguridad gestionados que evalúa, a condición de que se demuestre su independencia y la ausencia de conflictos de intereses.
El organismo de evaluación de la conformidad, sus máximos directivos y el personal responsable de la realización de las tareas de evaluación de la conformidad no serán el diseñador, el fabricante, el proveedor, el instalador, el comprador, el propietario, el usuario ni el encargado del mantenimiento del producto, servicio o proceso de TIC o del servicio de seguridad gestionado que debe evaluarse, o el representante autorizado de ninguno de ellos. Dicha prohibición no será óbice para que se utilicen los productos de TIC evaluados necesarios para las actividades del organismo de evaluación de la conformidad o para que se utilicen dichos productos de TIC para fines personales.
El organismo de evaluación de la conformidad, sus máximos directivos y el personal responsable de la realización de las tareas de evaluación de la conformidad no intervendrán directamente en el diseño, la fabricación o construcción, la prestación, la comercialización, la instalación, el uso o el mantenimiento de los productos, servicios o procesos de TIC o de los servicios de seguridad gestionados que son evaluados, ni representarán a las partes que participan en estas actividades. Los organismos de evaluación de la conformidad, sus máximos directivos y las personas responsables de la realización de las tareas de evaluación de la conformidad no efectuarán ninguna actividad que pueda entrar en conflicto con su independencia de criterio o su integridad en relación con las actividades de evaluación de la conformidad para las que estén notificados. Dicha prohibición se aplicará, en particular, a los servicios de consultoría.
Si un organismo de evaluación de la conformidad pertenece a una entidad o institución pública o es gestionado por esta, se garantizará y documentará la independencia y la inexistencia de conflictos de interés entre la autoridad nacional de certificación de la seguridad y el organismo de evaluación de la conformidad.
Los organismos de evaluación de la conformidad se asegurarán de que las actividades de sus filiales o subcontratistas no afecten a la confidencialidad, objetividad o imparcialidad de sus actividades de evaluación de la conformidad.
Los organismos de evaluación de la conformidad y su personal llevarán a cabo las actividades de evaluación de la conformidad con el máximo nivel de integridad profesional y con la competencia técnica exigida para el campo específico y serán ajenos a cualquier presión o incentivo que pueda influir en su apreciación o en los resultados de sus actividades de evaluación de la conformidad, incluidas las presiones o incentivos de índole financiera, en particular por lo que respecta a personas o grupos de personas que tengan algún interés en los resultados de esas actividades.
El organismo de evaluación de la conformidad deberá ser capaz de llevar a cabo todas las tareas de evaluación de la conformidad que le hayan sido asignadas en virtud del presente Reglamento, con independencia de si dichas tareas las efectúa el propio organismo o si se realizan en su nombre y bajo su responsabilidad. Cualquier subcontratación o consulta de personal externo se documentará debidamente, no supondrá la participación de intermediarios y será objeto de un acuerdo escrito que regulará, entre otros aspectos, la confidencialidad y el conflicto de intereses. El organismo de evaluación de la conformidad en cuestión asumirá toda la responsabilidad de las tareas desempeñadas.
En todo momento, respecto a cada procedimiento de evaluación de la conformidad y cada tipo, categoría o subcategoría de productos, servicios o procesos de TIC o de servicios de seguridad gestionados, el organismo de evaluación de la conformidad dispondrá de:
del personal necesario con conocimientos técnicos y experiencia suficiente y adecuada para realizar las tareas de evaluación de la conformidad;
de las descripciones necesarias de los procedimientos con arreglo a los cuales se efectúa la evaluación de la conformidad, garantizando la transparencia y la posibilidad de reproducción de estos procedimientos; dispondrá asimismo de las políticas y procedimientos adecuados que permitan distinguir entre las tareas efectuadas en tanto que organismo notificado en virtud del artículo 61 y cualquier otra actividad;
los procedimientos necesarios para desempeñar sus actividades teniendo debidamente en cuenta el tamaño de una empresa, el sector en que opera, su estructura, el grado de complejidad de la tecnología del producto, servicio o proceso de TIC o servicio de seguridad gestionado de que se trate y si el proceso de producción es en serie.
El organismo de evaluación de la conformidad dispondrá de los medios necesarios para realizar adecuadamente las tareas técnicas y administrativas relacionadas con las actividades de evaluación de la conformidad y tendrá acceso a todos los equipos e instalaciones que necesite.
El personal que efectúe las actividades de evaluación de la conformidad tendrá:
una sólida formación técnica y profesional referida a todas las actividades de evaluación de la conformidad;
un conocimiento satisfactorio de los requisitos de las evaluaciones de la conformidad que efectúe y la autoridad apropiada para efectuar tales evaluaciones;
un conocimiento y una comprensión adecuados de los requisitos y normas de ensayo aplicables;
la capacidad necesaria para elaborar certificados, documentos e informes que demuestren que se han efectuado las evaluaciones.
Se garantizará la imparcialidad del organismo de evaluación de la conformidad, de sus máximos directivos, de las personas responsables de efectuar las actividades de evaluación de la conformidad, y de cualquier subcontratista.
La remuneración de los máximos directivos y de las personas responsables de efectuar las actividades de evaluación de la conformidad no dependerá del número de evaluaciones de la conformidad que efectúe ni de los resultados de dichas evaluaciones.
El organismo de evaluación de la conformidad suscribirá un seguro de responsabilidad, salvo que el Estado miembro asuma la responsabilidad con arreglo al Derecho nacional, o que el propio Estado miembro sea directamente responsable de la evaluación de la conformidad.
El organismo de evaluación de la conformidad y su personal, comités, filiales, subcontratistas y cualquier otra entidad o trabajador de organismos externos con los que esté asociado deberán mantener la confidencialidad y observar el secreto profesional acerca de toda la información obtenida en el marco de las tareas de evaluación de la conformidad realizadas en virtud del presente Reglamento o de cualquier disposición de Derecho nacional por la que se aplique, salvo cuando el Derecho de la Unión o de un Estado miembro al que están sometidas dichas personas requiera su divulgación con respecto a las autoridades competentes de los Estados miembros en que realice sus actividades. Se protegerán los derechos de propiedad intelectual. El organismo de evaluación de la conformidad contará con procedimientos documentados por lo que respecta a los requisitos establecidos en el presente punto.
Salvo en los casos especificados en el punto 16, los requisitos del presente anexo no impedirán en modo alguno los intercambios de información técnica y de orientaciones normativas entre un organismo de evaluación de la conformidad y una persona que solicite o esté valorando la posibilidad de solicitar la certificación.
Los organismos de evaluación de la conformidad funcionarán con arreglo a un conjunto de condiciones coherentes, justas y razonables que tengan en cuenta los intereses de las pequeñas y medianas empresas en relación con las tasas.
Los organismos de evaluación de la conformidad cumplirán los requisitos de la norma armonizada pertinente tal como se define en el artículo 2, punto 9, del Reglamento (CE) n.o 765/2008 para la acreditación de los organismos de evaluación de la conformidad que certifiquen productos, servicios o procesos de TIC o servicios de seguridad gestionados.
Los organismos de evaluación de la conformidad velarán por que los laboratorios de ensayo utilizados con fines de evaluación de la conformidad cumplan los requisitos de la norma armonizada pertinente tal como se define en el artículo 2, punto 9, del Reglamento (CE) n.o 765/2008 para la acreditación de los laboratorios que realicen ensayos.
( 1 ) Reglamento (UE) n.o 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por la que se deroga la Directiva 1999/93/CE (DO L 257 de 28.8.2014, p. 73).
( 2 ) DO L 56 de 4.3.1968, p. 1.
( 3 ) Reglamento Delegado (UE) n.o 1271/2013 de la Comisión, de 30 de septiembre de 2013, relativo al Reglamento Financiero marco de los organismos a que se refiere el artículo 208 del Reglamento (UE, Euratom) n.o 966/2012 del Parlamento Europeo y del Consejo (DO L 328 de 7.12.2013, p. 42).
( 4 ) Decisión (UE, Euratom) 2015/443 de la Comisión, de 13 de marzo de 2015, sobre la seguridad en la Comisión (DO L 72 de 17.3.2015, p. 41).
( 5 ) Decisión (UE, Euratom) 2015/444 de la Comisión, de 13 de marzo de 2015, sobre las normas de seguridad para la protección de la información clasificada de la UE (DO L 72 de 17.3.2015, p. 53).
( 6 ) Reglamento (UE, Euratom) 2018/1046 del Parlamento Europeo y del Consejo, de 18 de julio de 2018, sobre las normas financieras aplicables al presupuesto general de la Unión, por el que se modifican los Reglamentos (UE) n.o 1296/2013, (UE) n.o 1301/2013, (UE) n.o 1303/2013, (UE) n.o 1304/2013, (UE) n.o 1309/2013, (UE) n.o 1316/2013, (UE) n.o 223/2014 y (UE) n.o 283/2014 y la Decisión n.o 541/2014/UE y por el que se deroga el Reglamento (UE, Euratom) n.o 966/2012 (DO L 193 de 30.7.2018, p. 1).
( 7 ) Reglamento (UE, Euratom) n.o 883/2013 del Parlamento Europeo y del Consejo, de 11 de septiembre de 2013, relativo a las investigaciones efectuadas por la Oficina Europea de Lucha contra el Fraude (OLAF) y por el que se deroga el Reglamento (CE) n.o 1073/1999 del Parlamento Europeo y del Consejo y el Reglamento (Euratom) n.o 1074/1999 del Consejo (DO L 248 de 18.9.2013, p. 1).
( 8 ) DO L 136 de 31.5.1999, p. 15.
( 9 ) Reglamento (Euratom, CE) n.o 2185/96 del Consejo, de 11 de noviembre de 1996, relativo a los controles y verificaciones in situ que realiza la Comisión para la protección de los intereses financieros de las Comunidades Europeas contra los fraudes e irregularidades (DO L 292 de 15.11.1996, p. 2).
( 10 ) Reglamento n.o 1 por el que se fija el régimen lingüístico de la Comunidad Económica Europea (DO 17 de 6.10.1958, p. 385).