COMISIÓN EUROPEA

Estrasburgo, 18.4.2023

COM(2023) 208 final

2023/0108(COD)

Propuesta de

REGLAMENTO DEL PARLAMENTO EUROPEO Y DEL CONSEJO

por el que se modifica el Reglamento (UE) 2019/881 en lo que se refiere a los servicios de seguridad gestionados

(Texto pertinente a efectos del EEE)

EXPOSICIÓN DE MOTIVOS

1.CONTEXTO DE LA PROPUESTA

•Razones y objetivos de la propuesta

La presente exposición de motivos acompaña a la propuesta de Reglamento del Parlamento Europeo y del Consejo por el que se modifica el Reglamento (UE) 2019/881 1 en lo que se refiere a los servicios de seguridad gestionados.

El objeto de la modificación específica propuesta es hacer posible, mediante actos de ejecución de la Comisión, la adopción de esquemas europeos de certificación de la ciberseguridad en relación con los «servicios de seguridad gestionados», además de los productos, servicios y procesos de las tecnologías de la información y de las comunicaciones (TIC), que ya están cubiertos por el Reglamento sobre la Ciberseguridad. Los servicios de seguridad gestionados desempeñan un papel cada vez más importante en el contexto de la prevención y mitigación de incidentes de ciberseguridad.

En sus Conclusiones de 23 de mayo de 2022 2 sobre la elaboración de la posición de la Unión Europea en materia cibernética, el Consejo instaba a la UE y a sus Estados miembros a que redoblaran sus esfuerzos por aumentar el nivel general de ciberseguridad, por ejemplo, facilitando la aparición de proveedores de servicios de ciberseguridad de confianza, y destacaba que fomentar el desarrollo de dichos proveedores debía ser una prioridad para la política industrial de la UE en el ámbito de la ciberseguridad. Asimismo, invitaba a la Comisión a proponer opciones para impulsar la aparición de un sector de servicios de ciberseguridad de confianza. La certificación de los servicios de seguridad gestionados es un método eficaz para fomentar la confianza en la calidad de tales servicios y propiciar así la aparición de una industria europea de servicios de ciberseguridad de confianza.

En la Comunicación conjunta titulada «Política de ciberdefensa de la UE», adoptada por la Comisión y el Alto Representante el 10 de noviembre de 2022 3 , se anunciaba que la Comisión exploraría el desarrollo de esquemas de certificación de la ciberseguridad a escala de la UE para la industria de la ciberseguridad y las empresas privadas. Los proveedores de servicios de seguridad gestionados también desempeñarán un papel importante en la reserva de ciberseguridad a escala de la UE, cuya creación gradual está respaldada por la Ley de Cibersolidaridad —propuesta en paralelo al presente Reglamento— y que habrá de utilizarse para prestar apoyo a medidas de respuesta y recuperación inmediata en caso de incidentes de ciberseguridad significativos y a gran escala. Los servicios de ciberseguridad pertinentes prestados por «proveedores de confianza» a que se refiere la Ley de Cibersolidaridad se corresponden con los «servicios de seguridad gestionados» en la presente propuesta.

Algunos Estados miembros ya han empezado a adoptar esquemas de certificación en relación con los servicios de seguridad gestionados. Por lo tanto, hay un riesgo cada vez mayor de que las incoherencias entre los distintos esquemas de certificación de la ciberseguridad existentes en la Unión lleven a la fragmentación del mercado interior de los servicios de seguridad gestionados. A fin de evitar tal fragmentación, la presente propuesta posibilita la creación de esquemas europeos de certificación de la ciberseguridad en relación con dichos servicios.

•Coherencia con las disposiciones existentes en la misma política sectorial

La presente propuesta es coherente con el Reglamento sobre la Ciberseguridad, al que modifica. En efecto, se basa en las disposiciones de dicho Reglamento y las adapta para añadir los servicios de seguridad gestionados; no obstante, las modificaciones propuestas se limitan a lo estrictamente necesario y no alteran las características ni el funcionamiento del Reglamento sobre la Ciberseguridad.

La presente propuesta es asimismo coherente con la Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión, por la que se modifican el Reglamento (UE) n.º 910/2014 y la Directiva (UE) 2018/1972 y por la que se deroga la Directiva (UE) 2016/1148 (Directiva SRI 2) 4 . De acuerdo con la Directiva (UE) 2022/2555, los proveedores de servicios de seguridad gestionados se consideran entidades esenciales o importantes pertenecientes a un sector de alta criticidad. En su considerando 86, dicha Directiva dispone que los proveedores de servicios de seguridad gestionados en ámbitos como la respuesta a incidentes, las pruebas de penetración, las auditorías de seguridad y la consultoría desempeñan un papel especialmente importante prestando asistencia a las entidades en sus esfuerzos de prevención, detección, respuesta y recuperación en relación con los incidentes. No obstante, los propios proveedores de servicios de seguridad gestionados también han sido víctimas de ciberataques y plantean un riesgo especial como consecuencia de su estrecha integración en las actividades de sus clientes. Por lo tanto, las entidades que se consideren esenciales e importantes de acuerdo con la Directiva (UE) 2022/2555 deben redoblar su diligencia a la hora de seleccionar un proveedor de servicios de seguridad gestionados.

La presente propuesta pretende mejorar tanto la calidad como la comparabilidad de los servicios de seguridad gestionados, ayudando así a las entidades esenciales e importantes a redoblar su diligencia a la hora de seleccionar un proveedor de servicios de seguridad gestionados, tal como exige la Directiva (UE) 2022/2555. Además, la definición de «servicios de seguridad gestionados» de la presente propuesta se basa en la definición de «proveedores de servicios de seguridad gestionados», con la que guarda una gran similitud, establecida en la Directiva (UE) 2022/2555. Por estas razones, existe un elevado grado de complementariedad entre la presente propuesta y la Directiva SRI 2.

En último lugar, la presente propuesta complementa la propuesta de Ley de Cibersolidaridad, que establece un proceso para la selección de los proveedores que integrarán una reserva de ciberseguridad a escala de la UE en el que deberá tenerse en cuenta, entre otros aspectos, si los proveedores en cuestión han obtenido una certificación de ciberseguridad europea o nacional. Así pues, los futuros esquemas de certificación relativos a los servicios de seguridad gestionados desempeñarán un papel importante en la aplicación de la Ley de Cibersolidaridad.

•Coherencia con otras políticas de la Unión

La presente propuesta no afecta a la coherencia entre el Reglamento sobre la Ciberseguridad y el Reglamento (UE) 2016/679 (Reglamento General de Protección de Datos o «RGPD») 5 y sus disposiciones sobre la creación de mecanismos de certificación y de sellos y marcas de protección de datos a fin de demostrar el cumplimiento de lo dispuesto en dicho Reglamento en las operaciones de tratamiento de los responsables y los encargados. El Reglamento sobre la Ciberseguridad deberá seguir entendiéndose sin perjuicio de la certificación de las operaciones de tratamiento de datos en el marco del RGPD, incluso cuando dichas operaciones se encuentran integradas en productos y servicios.

Por otra parte, la presente propuesta no afecta a la compatibilidad del Reglamento sobre la Ciberseguridad con el Reglamento (CE) n.º 765/2008 sobre los requisitos de acreditación y vigilancia del mercado 6 , en particular en lo que respecta al marco relativo a los organismos nacionales de acreditación y los organismos de evaluación de la conformidad, y las autoridades nacionales de supervisión de la certificación.

2.BASE JURÍDICA, SUBSIDIARIEDAD Y PROPORCIONALIDAD

•Base jurídica

La presente propuesta modifica el Reglamento sobre la Ciberseguridad, que se basa en el artículo 114 del Tratado de Funcionamiento de la Unión Europea (TFUE). Al igual que en el caso del Reglamento sobre la Ciberseguridad, la presente propuesta tiene por objeto evitar la fragmentación del mercado interior, en particular, haciendo posible la adopción de esquemas europeos de certificación de la ciberseguridad en relación con los servicios de seguridad gestionados. Algunos Estados miembros ya han empezado a adoptar tales esquemas a nivel nacional, de modo que existe un riesgo concreto de fragmentación del mercado interior de servicios de seguridad gestionados, que se pretende afrontar con la presente propuesta. Por lo tanto, el artículo 114 del TFUE es la base jurídica pertinente para esta iniciativa.

•Subsidiariedad (en el caso de competencia no exclusiva) 

El objetivo de posibilitar la adopción de esquemas europeos de certificación de la ciberseguridad en relación con los servicios de seguridad gestionados y evitar la fragmentación del mercado interior no puede lograrse a nivel nacional, sino solo a nivel de la Unión. Además, los servicios de seguridad gestionados —el objeto específico de la modificación propuesta— son ofrecidos por proveedores distribuidos por toda la Unión, al igual que sus clientes potenciales más importantes. Por consiguiente, la actuación a nivel de la Unión es necesaria y más eficaz que la actuación a nivel nacional.

•Proporcionalidad

La propuesta, que consiste en una modificación específica del Reglamento sobre la Ciberseguridad, se limita a lo estrictamente necesario para alcanzar su objetivo, esto es, hacer posible la adopción de esquemas europeos de certificación de la ciberseguridad en relación con los servicios de seguridad gestionados, además de los productos, servicios y procesos de TIC. En particular, las modificaciones propuestas adaptan el ámbito de aplicación del marco europeo de certificación de la ciberseguridad para incluir los «servicios de seguridad gestionados», introducen una definición de dichos servicios que está en consonancia con la Directiva SRI 2 y modifican los objetivos de seguridad de la certificación europea de la ciberseguridad para adaptarla a los «servicios de seguridad gestionados». Las demás modificaciones son de carácter técnico y están destinadas a garantizar que los artículos pertinentes se apliquen también a los «servicios de seguridad gestionados». Por lo tanto, la iniciativa propuesta es proporcionada al objetivo que se persigue.

•Elección del instrumento

Dado que la propuesta modifica el Reglamento (UE) 2019/881, el instrumento jurídico adecuado es un reglamento.

3.RESULTADOS DE LAS EVALUACIONES EX POST, DE LAS CONSULTAS CON LAS PARTES INTERESADAS Y DE LAS EVALUACIONES DE IMPACTO

•Evaluaciones ex post / controles de la adecuación de la legislación existente

No procede.

•Consultas con las partes interesadas

Se han llevado a cabo consultas específicas con los Estados miembros y ENISA. En las consultas, los Estados miembros describieron sus actividades en curso y expusieron su punto de vista en relación con la certificación de los servicios de seguridad gestionados. ENISA explicó su punto de vista y expuso sus conclusiones a partir de las conversaciones con los Estados miembros y las partes interesadas. Las observaciones y la información recibidas de los Estados miembros y de ENISA se han tenido en cuenta en la presente propuesta.

•Obtención y uso de asesoramiento especializado

No procede.

•Evaluación de impacto

Se ha solicitado una exención de la obligación de realizar una evaluación de impacto, ya que la propuesta consiste en una modificación muy limitada y específica del Reglamento sobre la Ciberseguridad. La modificación facultaría a la Comisión para adoptar, mediante actos de ejecución, esquemas europeos de certificación de la ciberseguridad en relación con los «servicios de seguridad gestionados», además de los productos, servicios y procesos de TIC, que ya están cubiertos por el Reglamento sobre la Ciberseguridad. Sin embargo, los efectos de la modificación solo se materializarían cuando se adoptasen dichos esquemas de certificación en un momento posterior. Además, la modificación no afectaría al carácter voluntario de los esquemas de certificación.

•Adecuación regulatoria y simplificación

No procede.

•Derechos fundamentales

La propuesta no tiene ninguna consecuencia previsible en la protección de los derechos fundamentales. 

4.REPERCUSIONES PRESUPUESTARIAS

Ninguna.

5.OTROS ELEMENTOS

•Planes de ejecución y modalidades de seguimiento, evaluación e información

Las disposiciones modificadas por la propuesta se evaluarían en el marco de la evaluación periódica del Reglamento sobre la Ciberseguridad que, de conformidad con su artículo 67, debe llevar a cabo la Comisión. En dicha evaluación se examinan, entre otros aspectos, el impacto, la eficacia y la eficiencia de las disposiciones relativas al marco de certificación de la ciberseguridad con respecto a los objetivos de garantizar un nivel adecuado de ciberseguridad de los productos, servicios y procesos de TIC en la Unión y mejorar el funcionamiento del mercado interior. Así pues, la propuesta contiene una modificación por la que se asegura que esa evaluación abarque también los servicios de seguridad gestionados. Además de lo anterior, la Comisión debe enviar un informe sobre la evaluación y sus conclusiones al Parlamento Europeo, al Consejo y al Consejo de Administración de ENISA y publicar los resultados del informe.

•Explicación detallada de las disposiciones específicas de la propuesta

La propuesta consta de dos artículos. El artículo 1 consiste en las modificaciones del Reglamento (UE) 2019/881, mientras que el artículo 2 se refiere a la entrada en vigor. El artículo 1 contiene modificaciones específicas por las que se modifica el alcance del marco europeo de certificación de la ciberseguridad del Reglamento sobre la Ciberseguridad para incluir los «servicios de seguridad gestionados» (artículos 1 y 46 del Reglamento sobre la Ciberseguridad). Además, se introduce una definición de dichos servicios que coincide en gran medida con la definición de «proveedores de servicios de seguridad gestionados» de la Directiva SRI 2 (artículo 2 del Reglamento sobre la Ciberseguridad). Por otra parte, se añade un nuevo artículo 51 bis sobre los objetivos de seguridad de la certificación europea de la ciberseguridad, adaptado a los «servicios de seguridad gestionados». En último lugar, la propuesta comprende una serie de modificaciones técnicas para garantizar que los artículos pertinentes se apliquen también a los «servicios de seguridad gestionados».

2023/0108 (COD)

Propuesta de

REGLAMENTO DEL PARLAMENTO EUROPEO Y DEL CONSEJO

por el que se modifica el Reglamento (UE) 2019/881 en lo que se refiere a los servicios de seguridad gestionados

(Texto pertinente a efectos del EEE)

EL PARLAMENTO EUROPEO Y EL CONSEJO DE LA UNIÓN EUROPEA,

Visto el Tratado de Funcionamiento de la Unión Europea, y en particular su artículo 114,

Vista la propuesta de la Comisión Europea,

Previa transmisión del proyecto de acto legislativo a los Parlamentos nacionales,

Visto el dictamen del Comité Económico y Social Europeo,

Visto el dictamen del Comité de las Regiones,

De conformidad con el procedimiento legislativo ordinario,

Considerando lo siguiente:

(1)El Reglamento (UE) 2019/881 del Parlamento Europeo y del Consejo 7 establece un marco para la creación de esquemas europeos de certificación de la ciberseguridad, a efectos de garantizar un nivel adecuado de ciberseguridad de los productos, servicios y procesos de TIC en la Unión, así como de evitar la fragmentación del mercado interior respecto a los esquemas de certificación de la ciberseguridad en la Unión.

(2)Los servicios de seguridad gestionados, que consisten en llevar a cabo o prestar asistencia para actividades relacionadas con la gestión de los riesgos de ciberseguridad de los clientes de tales servicios, han ido adquiriendo cada vez más importancia en el contexto de la prevención y mitigación de incidentes de ciberseguridad. En consecuencia, los proveedores de servicios de seguridad gestionados se consideran, de conformidad con la Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo 8 , entidades esenciales o importantes pertenecientes a un sector de alta criticidad. De acuerdo con el considerando 86 de la citada Directiva, los proveedores de servicios de seguridad gestionados en ámbitos como la respuesta a incidentes, las pruebas de penetración, las auditorías de seguridad y la consultoría desempeñan un papel especialmente importante prestando asistencia a las entidades en sus esfuerzos de prevención, detección, respuesta y recuperación en relación con los incidentes. No obstante, los propios proveedores de servicios de seguridad gestionados también han sido víctimas de ciberataques y plantean un riesgo especial como consecuencia de su estrecha integración en las actividades de sus clientes. Por lo tanto, las entidades que se consideren esenciales e importantes de acuerdo con la Directiva (UE) 2022/2555 deben redoblar su diligencia a la hora de seleccionar un proveedor de servicios de seguridad gestionados.

(3)Los proveedores de servicios de seguridad gestionados también desempeñan un papel importante en el marco de la Reserva de Ciberseguridad de la UE, cuya creación gradual está respaldada por el Reglamento (UE) .../... [por el que se establecen medidas destinadas a reforzar la solidaridad y las capacidades en la Unión a fin de detectar amenazas e incidentes de ciberseguridad, prepararse para ellos y responder a ellos]. Dicha Reserva de Ciberseguridad de la UE está destinada a utilizarse para prestar apoyo a acciones de respuesta y recuperación inmediata en caso de incidentes de ciberseguridad significativos y a gran escala. El Reglamento (UE) .../... [por el que se establecen medidas destinadas a reforzar la solidaridad y las capacidades en la Unión a fin de detectar amenazas e incidentes de ciberseguridad, prepararse para ellos y responder a ellos] dispone un proceso para la selección de los proveedores que integren la Reserva de Ciberseguridad de la UE en el que, entre otros aspectos, debe tenerse en cuenta si el proveedor de que se trate ha obtenido una certificación de ciberseguridad a nivel nacional o europeo. Los servicios pertinentes prestados por «proveedores de confianza» de conformidad con el Reglamento (UE).../... [por el que se establecen medidas destinadas a reforzar la solidaridad y las capacidades en la Unión a fin de detectar amenazas e incidentes de ciberseguridad, prepararse para ellos y responder a ellos] corresponden a los «servicios de seguridad gestionados» de conformidad con el presente Reglamento.

(4)La certificación de los servicios de seguridad gestionados no solo es pertinente en el marco del proceso de selección de la Reserva de Ciberseguridad de la UE, sino que constituye también un indicador de calidad fundamental para las entidades públicas y privadas que tengan intención de contratar esos servicios. En vista de la criticidad de los servicios de seguridad gestionados y de la sensibilidad de los datos tratados en relación con tales servicios, la certificación podría proporcionar importantes orientaciones y garantías sobre la fiabilidad de los servicios a los clientes potenciales. Los esquemas europeos de certificación en relación con los servicios de seguridad gestionados contribuyen a evitar la fragmentación del mercado único. Por consiguiente, el presente Reglamento tiene por objeto mejorar el funcionamiento del mercado interior.

(5)Además de la implementación de productos, servicios o procesos de TIC, los servicios de seguridad gestionados a menudo ofrecen características adicionales que dependen de las competencias, conocimientos especializados y experiencia del personal encargado de su prestación. A fin de garantizar que los servicios de seguridad gestionados que se presten sean de óptima calidad, debe exigirse, dentro de los objetivos de seguridad, un nivel muy elevado de dichas competencias, conocimientos especializados y experiencia, así como unos procedimientos internos adecuados. Para asegurar que todos los aspectos de un servicio de seguridad gestionado puedan estar cubiertos por un esquema de certificación, es necesario, por tanto, modificar el Reglamento (UE) 2019/881.

El Supervisor Europeo de Protección de Datos, al que se consultó de conformidad con el artículo 42, apartado 1, del Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, emitió su dictamen el [DD/MM/AAAA].

HAN ADOPTADO EL PRESENTE REGLAMENTO:

Artículo 1

Modificaciones del Reglamento (UE) 2019/881

El Reglamento (UE) 2019/881 se modifica como sigue:

1)    En el artículo 1, apartado 1, párrafo primero, la letra b) se sustituye por el texto siguiente:

«b) un marco para la creación de esquemas europeos de certificación de la ciberseguridad, a efectos de garantizar un nivel adecuado de ciberseguridad de los productos, servicios y procesos de TIC y los servicios de seguridad gestionados en la Unión, así como de evitar la fragmentación del mercado interior respecto a los esquemas de certificación de la ciberseguridad en la Unión.».

2)    El artículo 2 se modifica como sigue:

a)    Los puntos 9, 10 y 11 se sustituyen por el texto siguiente:

«9) "esquema europeo de certificación de la ciberseguridad": conjunto completo de disposiciones, requisitos técnicos, normas y procedimientos establecidos a escala de la Unión y que se aplican a la certificación o a la evaluación de la conformidad de productos, servicios o procesos de TIC o servicios de seguridad gestionados específicos;

10) "esquema nacional de certificación de la ciberseguridad": conjunto completo de disposiciones, requisitos técnicos, normas y procedimientos desarrollados y adoptados por una autoridad pública nacional y que se aplican a la certificación o a la evaluación de la conformidad de los productos, servicios y procesos de TIC y los servicios de seguridad gestionados incluidos en el ámbito de aplicación del esquema específico;

11) "certificado europeo de ciberseguridad": documento expedido por un organismo pertinente que certifica que un determinado producto, servicio o proceso de TIC o servicio de seguridad gestionado ha sido evaluado para verificar que cumple los requisitos específicos de seguridad establecidos en un esquema europeo de certificación de la ciberseguridad;».

b)    Se inserta el punto siguiente:

«14 bis) "servicio de seguridad gestionado": servicio que consiste en llevar a cabo o prestar asistencia para actividades relacionadas con la gestión de riesgos de ciberseguridad, en particular, la respuesta a incidentes, las pruebas de penetración, las auditorías de seguridad y la consultoría;».

c)    Los puntos 20, 21 y 22 se sustituyen por el texto siguiente:

«20) "especificaciones técnicas": documento que prescribe los requisitos técnicos que debe cumplir un producto, servicio o proceso de TIC o un servicio de seguridad gestionado, o los procedimientos de evaluación de la conformidad relativos a los mismos;

21) "nivel de garantía": fundamento que permite garantizar que un producto, servicio o proceso de TIC o un servicio de seguridad gestionado cumple los requisitos de seguridad de un esquema europeo específico de certificación de la ciberseguridad; indica el nivel en el que se ha evaluado un producto, servicio o proceso de TIC o un servicio de seguridad gestionado, pero, como tal, no mide la seguridad del producto, servicio o proceso de TIC o del servicio de seguridad gestionado en cuestión;

22) "autoevaluación de la conformidad": acción realizada por un fabricante o proveedor de productos, servicios o procesos de TIC o servicios de seguridad gestionados para evaluar si estos cumplen los requisitos de un esquema europeo específico de certificación de la ciberseguridad.».

3)    En el artículo 4, el apartado 6 se sustituye por el texto siguiente:

«6. ENISA promoverá el uso de la certificación europea de ciberseguridad, con vistas a evitar la fragmentación del mercado interior. ENISA contribuirá a la creación y al mantenimiento de un marco europeo de certificación de la ciberseguridad de conformidad con el título III del presente Reglamento, con el fin de aumentar la transparencia de la ciberseguridad de los productos, servicios y procesos de TIC y los servicios de seguridad gestionados y reforzar así la confianza en el mercado interior digital y su competitividad.».

4)    El artículo 8 se modifica como sigue:

a)    El apartado 1 se sustituye por el texto siguiente:

«1. ENISA apoyará y promoverá el desarrollo y la aplicación de la política de la Unión en materia de certificación de la ciberseguridad de productos, servicios y procesos de TIC y servicios de seguridad gestionados, según lo establecido en el título III del presente Reglamento, por los siguientes medios:

a) controlar permanentemente los avances en los ámbitos de normalización relacionados y recomendar unas especificaciones técnicas apropiadas que se puedan utilizar en el desarrollo de los esquemas europeos de certificación de la ciberseguridad mencionados en el artículo 54, apartado 1, letra c), cuando no se disponga de normas;

b) preparar propuestas de esquemas europeos de certificación de la ciberseguridad (en lo sucesivo, “propuestas de esquemas”) para productos, servicios y procesos de TIC y servicios de seguridad gestionados de conformidad con el artículo 49;

c) evaluar los esquemas europeos de certificación de la ciberseguridad adoptados de conformidad con el artículo 49, apartado 8;

d) participar en las revisiones interpares de conformidad con el artículo 59, apartado 4;

e) asistir a la Comisión encargándose de la secretaría del GECC de conformidad con el artículo 62, apartado 5.».

b)    El apartado 3 se sustituye por el texto siguiente:

«3. ENISA recopilará y publicará directrices y formulará buenas prácticas en relación con los requisitos de ciberseguridad de los productos, servicios y procesos de TIC y los servicios de seguridad gestionados, en cooperación con las autoridades nacionales de certificación de la ciberseguridad y con el sector, de una manera formal, estructurada y transparente.».

c)    El apartado 5 se sustituye por el texto siguiente:

«5. ENISA facilitará el establecimiento y la adopción de normas europeas e internacionales para la gestión de riesgos y para la seguridad de los productos, servicios y procesos de TIC y los servicios de seguridad gestionados.».

5)    En el artículo 46, los apartados 1 y 2 se sustituyen por el texto siguiente:

«1. Se crea el marco europeo de certificación de la ciberseguridad con el fin de mejorar las condiciones de funcionamiento del mercado interior incrementando el nivel de ciberseguridad en el seno de la Unión y haciendo posible que, a escala de la Unión, se adopte un planteamiento armonizado de esquemas europeos de certificación de la ciberseguridad, con miras a crear un mercado único digital para los productos, servicios y procesos de TIC y los servicios de seguridad gestionados.

2. El marco europeo de certificación de la ciberseguridad define un mecanismo destinado a instaurar esquemas europeos de certificación de la ciberseguridad. Este mecanismo confirma que los productos, servicios y procesos de TIC que hayan sido evaluados con arreglo a dichos esquemas cumplen los requisitos de seguridad especificados con el objetivo de proteger la disponibilidad, autenticidad, integridad o confidencialidad de los datos almacenados, transmitidos o tratados o las funciones o servicios que ofrezcan, o a los que permitan acceder, dichos productos, servicios y procesos durante todo su ciclo de vida. Además, confirma que los servicios de seguridad gestionados que hayan sido evaluados con arreglo a dichos esquemas cumplen los requisitos de seguridad especificados con el objetivo de proteger la disponibilidad, autenticidad, integridad y confidencialidad de los datos consultados, tratados, almacenados o transmitidos en relación con la prestación de tales servicios, y que tales servicios son prestados en todo momento con la competencia, pericia y experiencia necesarias por personal que posee un nivel muy elevado de los conocimientos técnicos pertinentes y de integridad profesional.». 

6)    En el artículo 47, los apartados 2 y 3 se sustituyen por el texto siguiente:

«2. El programa de trabajo evolutivo de la Unión incluirá, en particular, una lista de productos, servicios y procesos de TIC, o de categorías de estos, y de servicios de seguridad gestionados que pudieran beneficiarse de la inclusión en el ámbito de aplicación de un esquema europeo de certificación de la ciberseguridad.

3. La inclusión de productos, servicios y procesos de TIC específicos, o de categorías de estos, o de servicios de seguridad gestionados en el programa de trabajo evolutivo de la Unión se justificará sobre la base de uno o más de los motivos siguientes:

a) la disponibilidad y el desarrollo de esquemas nacionales de certificación de la ciberseguridad que cubran cualquier categoría específica de productos, servicios o procesos de TIC o servicios de seguridad gestionados y, en particular, en lo que se refiere al riesgo de fragmentación;

b) el Derecho o las políticas aplicables de la Unión o de un Estado miembro;

c) la demanda del mercado;

d) la evolución del panorama de las ciberamenazas;

e) la solicitud de preparación de una propuesta de esquema específica por el GECC.».

7)    En el artículo 49, el apartado 7 se sustituye por el texto siguiente:

«7. La Comisión, a partir de la propuesta de esquema preparada por ENISA, podrá adoptar actos de ejecución que establezcan esquemas europeos de certificación de la ciberseguridad para productos, servicios y procesos de TIC y servicios de seguridad gestionados que cumplan los requisitos de los artículos 51, 52 y 54. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 66, apartado 2.».

8)    El artículo 51 se modifica como sigue:

   a)    El título se sustituye por el texto siguiente:

«Objetivos de seguridad de los esquemas europeos de certificación de la ciberseguridad en relación con los productos, servicios y procesos de TIC»

   b)    La parte introductoria se sustituye por el texto siguiente:

«Los esquemas europeos de certificación de la ciberseguridad en relación con los productos, servicios o procesos de TIC deberán diseñarse para cumplir, según proceda, al menos los objetivos de seguridad siguientes:»

9)    Se inserta el artículo siguiente:

«Artículo 51 bis

Objetivos de seguridad de los esquemas europeos de certificación de la ciberseguridad en relación con los servicios de seguridad gestionados»

«Los esquemas europeos de certificación de la ciberseguridad en relación con los servicios de seguridad gestionados deberán diseñarse para cumplir, según proceda, al menos los objetivos de seguridad siguientes:

a) garantizar que los servicios de seguridad gestionados se presten con la competencia, pericia y experiencia necesarias, y, en particular, que el personal encargado de prestar dichos servicios posea un nivel muy elevado de competencia y conocimientos técnicos en el ámbito específico, así como una experiencia suficiente y adecuada, y actúe con el máximo nivel de integridad profesional;

b) garantizar que el proveedor disponga de procedimientos internos adecuados para asegurar que los servicios de seguridad gestionados se presten en todo momento con un nivel de calidad muy elevado;

c) proteger los datos consultados, almacenados, transmitidos o tratados de otro modo en relación con la prestación de servicios de seguridad gestionados frente al acceso, almacenamiento, revelación, destrucción u otro tipo de tratamiento accidentales o no autorizados, la pérdida o la alteración, o la falta de disponibilidad;

d) garantizar que se restauren la disponibilidad y el acceso a los datos, servicios y funciones de forma rápida en caso de incidente físico o técnico;

e) garantizar que las personas, programas o máquinas autorizados puedan acceder exclusivamente a los datos, servicios o funciones a que se refiera su derecho de acceso;

f) registrar, y permitir evaluar, qué datos, servicios o funciones han sido objeto de acceso, uso u otro tratamiento, en qué momentos y por quién;

g) garantizar que los productos, servicios y procesos de TIC [y el soporte físico] que se implementen en el contexto de la prestación de los servicios de seguridad gestionados sean seguros por defecto y desde el diseño, no contengan vulnerabilidades conocidas e incluyan las últimas actualizaciones de seguridad.».

10)    El artículo 52 se modifica como sigue:

a)    El apartado 1 se sustituye por el texto siguiente:

«1. Los esquemas europeos de certificación de la ciberseguridad podrán especificar uno o más de los niveles de garantía siguientes para los productos, servicios y procesos de TIC y los servicios de seguridad gestionados: "básico", "sustancial" o "elevado". El nivel de garantía deberá reflejar el nivel del riesgo asociado al uso previsto del producto, servicio o proceso de TIC o servicio de seguridad gestionado, en términos de probabilidad y repercusiones de un incidente.».

b)    El apartado 3 se sustituye por el texto siguiente:

«3. Los requisitos de seguridad relativos a cada nivel de garantía se precisarán en el esquema europeo de certificación de la ciberseguridad pertinente, con inclusión de las correspondientes funcionalidades de seguridad y el correspondiente rigor y exhaustividad de la evaluación a la que debe someterse el producto, servicio o proceso de TIC o el servicio de seguridad gestionado.».

c)    Los apartados 5, 6 y 7 se sustituyen por el texto siguiente:

«5. El certificado europeo de ciberseguridad o la declaración de conformidad de la UE que se refiera a un nivel de garantía "básico" ofrecerá garantías de que los productos, servicios y procesos de TIC y los servicios de seguridad gestionados para los cuales se expida cumplen los requisitos de seguridad correspondientes, incluidas las funcionalidades de seguridad, y se han evaluado a un nivel que pretende minimizar los riesgos básicos conocidos de incidentes y ciberataques. Las actividades de evaluación que deberán efectuarse comprenderán al menos el examen de la documentación técnica. Cuando dicho examen no sea adecuado, se recurrirá a actividades de evaluación alternativas con efecto equivalente.

6. El certificado europeo de ciberseguridad que se refiera a un nivel de garantía "sustancial" ofrecerá garantías de que los productos, servicios y procesos de TIC y los servicios de seguridad gestionados para los cuales se expida cumplen los requisitos de seguridad correspondientes, incluidas las funcionalidades de seguridad, y se han evaluado a un nivel que pretende minimizar los riesgos de ciberseguridad conocidos, así como el riesgo de incidentes y ciberataques cometidos por agentes con capacidades y recursos limitados. Las actividades de evaluación que deberán efectuarse comprenderán al menos lo siguiente: un examen para demostrar la ausencia de vulnerabilidades conocidas públicamente y pruebas para demostrar que los productos, servicios o procesos de TIC o los servicios de seguridad gestionados aplican correctamente las funcionalidades de seguridad necesarias. Cuando dichas actividades de evaluación no sean adecuadas, se recurrirá a actividades de evaluación alternativas con efecto equivalente.

7. El certificado europeo de ciberseguridad que se refiera a un nivel de garantía "elevado" ofrecerá garantías de que los productos, servicios y procesos de TIC y los servicios de seguridad gestionados para los cuales se expida cumplen los requisitos de seguridad correspondientes, incluidas las funcionalidades de seguridad, y se han evaluado a un nivel que pretende minimizar el riesgo de ciberataques sofisticados cometidos por agentes con capacidades y recursos considerables. Las actividades de evaluación que deberán efectuarse comprenderán al menos lo siguiente: un examen para demostrar la ausencia de vulnerabilidades conocidas públicamente, pruebas para demostrar que los productos, procesos o servicios de TIC o los servicios de seguridad gestionados aplican correctamente las funcionalidades de seguridad más avanzadas necesarias, y una evaluación, mediante pruebas de penetración, de la resistencia a atacantes expertos. Cuando dichas actividades de evaluación no sean adecuadas, se recurrirá a actividades de evaluación alternativas con efecto equivalente.».

11)    En el artículo 53, los apartados 1, 2 y 3 se sustituyen por el texto siguiente:

«1.   Los esquemas europeos de certificación de la ciberseguridad podrán permitir la autoevaluación de la conformidad bajo la responsabilidad exclusiva del fabricante o proveedor de productos, servicios o procesos de TIC o servicios de seguridad gestionados. La autoevaluación de la conformidad únicamente se autorizará en relación con los productos, servicios y procesos de TIC y los servicios de seguridad gestionados que presenten un riesgo bajo correspondiente al nivel de garantía "básico".

2.   El fabricante o proveedor de productos, servicios o procesos de TIC o servicios de seguridad gestionados podrá emitir una declaración de conformidad de la UE en la que se indique que ha quedado demostrado el cumplimiento de los requisitos establecidos en el esquema. Al emitir dicha declaración, el fabricante o proveedor de productos, servicios o procesos de TIC o servicios de seguridad gestionados asumirá la responsabilidad respecto de la conformidad del producto, servicio o proceso de TIC o servicio de seguridad gestionado con los requisitos del esquema pertinente.

3.   El fabricante o proveedor de productos, servicios o procesos de TIC o servicios de seguridad gestionados pondrá a disposición de la autoridad nacional de certificación de la ciberseguridad a que se refiere el artículo 58, durante el período previsto en el esquema europeo de certificación de la ciberseguridad correspondiente, la declaración de conformidad de la UE, la documentación técnica y cualquier otra información pertinente en relación con la conformidad de los productos, servicios o procesos de TIC o los servicios de seguridad gestionados con el esquema. Deberá presentarse una copia de la declaración de conformidad de la UE a la autoridad nacional de certificación de la ciberseguridad y a ENISA.».

12)    En el artículo 54, el apartado 1 se modifica como sigue:

a)    La letra a) se sustituye por el texto siguiente:

«a) el objeto y el alcance del esquema de certificación, incluido el tipo o las categorías de productos, servicios y procesos de TIC y servicios de seguridad gestionados cubiertos;».

b)    La letra j) se sustituye por el texto siguiente:

«j) las normas para controlar la conformidad de los productos, servicios y procesos de TIC y los servicios de seguridad gestionados con los requisitos de los certificados europeos de ciberseguridad o las declaraciones de conformidad de la UE, incluidos los mecanismos que permitan demostrar la conformidad permanente con los requisitos de ciberseguridad especificados;».

c)    La letra l) se sustituye por el texto siguiente:

«l) las normas relativas a las consecuencias para los productos, servicios y procesos de TIC y los servicios de seguridad gestionados que hayan sido certificados o para los que se haya expedido una declaración de conformidad de la UE, pero que no sean conformes con los requisitos del esquema;».

d)    La letra o) se sustituye por el texto siguiente:

«o) las referencias a los esquemas nacionales o internacionales de certificación de la ciberseguridad que cubran el mismo tipo o categoría de productos, servicios y procesos de TIC y servicios de seguridad gestionados, requisitos de seguridad, criterios y métodos de evaluación y niveles de garantía;».

e)    La letra q) se sustituye por el texto siguiente:

«q) el período de disponibilidad de la declaración de conformidad de la UE, la documentación técnica y cualquier otra información pertinente que deba facilitar el fabricante o proveedor de productos, servicios o procesos de TIC o servicios de seguridad gestionados;».

13)    El artículo 56 se modifica como sigue:

a)    El apartado 1 se sustituye por el texto siguiente:

«1. Los productos, servicios y procesos de TIC y los servicios de seguridad gestionados que hayan sido certificados en virtud de un esquema europeo de certificación de la ciberseguridad adoptado con arreglo al artículo 49 se considerarán conformes con los requisitos de dicho esquema.».

b)    El apartado 3 se modifica como sigue:

i)    El párrafo primero se sustituye por el texto siguiente:

«La Comisión evaluará periódicamente la eficacia y la utilización de los esquemas europeos de certificación de la ciberseguridad adoptados, así como si un determinado esquema europeo de certificación de la ciberseguridad debe convertirse en obligatorio mediante el Derecho de la Unión pertinente para garantizar un nivel adecuado de ciberseguridad de los productos, servicios y procesos de TIC y los servicios de seguridad gestionados en la Unión y mejorar el funcionamiento del mercado interior. La primera de tales evaluaciones se efectuará a más tardar el 31 de diciembre de 2023, y las evaluaciones posteriores, como mínimo cada dos años. La Comisión deberá, a partir de los resultados de las evaluaciones, determinar los productos, servicios y procesos de TIC y los servicios de seguridad gestionados cubiertos por un esquema de certificación existente que deban estar cubiertos por un esquema de certificación obligatorio.».

ii)    El párrafo tercero se modifica como sigue:

aa) La letra a) se sustituye por el texto siguiente:

«a) tener en cuenta las repercusiones de las medidas, en términos de costes, sobre los fabricantes o proveedores de dichos productos, servicios o procesos de TIC o servicios de seguridad gestionados y sobre los usuarios, así como los beneficios sociales o económicos que se deriven del refuerzo previsto del nivel de seguridad de los productos, servicios o procesos de TIC o los servicios de seguridad gestionados de que se trate;».

bb) La letra d) se sustituye por el texto siguiente:

«d) tener en cuenta los plazos de aplicación, así como los períodos y medidas transitorios, en particular, respecto de las posibles repercusiones de la medida sobre los fabricantes o proveedores de productos, servicios o procesos de TIC o servicios de seguridad gestionados, incluidas las pymes;».

c)    Los apartados 7 y 8 se sustituyen por el texto siguiente:

«7. La persona física o jurídica que someta a certificación productos, servicios o procesos de TIC o servicios de seguridad gestionados pondrá a disposición de la autoridad nacional de certificación de la ciberseguridad a que se refiere el artículo 58, si dicha autoridad es el organismo que expide el certificado europeo de ciberseguridad, o del organismo de evaluación de la conformidad a que se refiere el artículo 60, toda la información necesaria para llevar a cabo el procedimiento de certificación.

8. El titular de un certificado europeo de ciberseguridad informará a la autoridad o al organismo a que se refiere el apartado 7 de cualquier vulnerabilidad o irregularidad que se detecte posteriormente en relación con la seguridad de los productos, servicios o procesos de TIC o los servicios de seguridad gestionados certificados que pueda afectar a su conformidad con los requisitos de certificación. Dicha autoridad u organismo transmitirá la información sin demora indebida a la autoridad nacional de certificación de la ciberseguridad correspondiente.».

14)    En el artículo 57, los apartados 1 y 2 se sustituyen por el texto siguiente:

«1. Sin perjuicio de lo dispuesto en el apartado 3 del presente artículo, los esquemas nacionales de certificación de la ciberseguridad y los procedimientos conexos para los productos, servicios y procesos de TIC y los servicios de seguridad gestionados que estén cubiertos por un esquema europeo de certificación de la ciberseguridad dejarán de surtir efectos a partir de la fecha establecida en el acto de ejecución adoptado con arreglo al artículo 49, apartado 7. Los esquemas nacionales de certificación de la ciberseguridad y los procedimientos conexos para los productos, servicios y procesos de TIC y los servicios de seguridad gestionados que no estén cubiertos por un esquema europeo de certificación de la ciberseguridad seguirán en vigor.

2. Los Estados miembros se abstendrán de introducir nuevos esquemas nacionales de certificación de la ciberseguridad para los productos, servicios y procesos de TIC y los servicios de seguridad gestionados que ya estén cubiertos por un esquema europeo de certificación de la ciberseguridad en vigor.».

15)    El artículo 58 se modifica como sigue:

a)    El apartado 7 se modifica como sigue:

i) Las letras a) y b) se sustituyen por el texto siguiente:

 «a) supervisarán y velarán por la aplicación de las normas recogidas en los esquemas europeos de certificación de la ciberseguridad en virtud del artículo 54, apartado 1, letra j), para controlar la conformidad de los productos, servicios y procesos de TIC y los servicios de seguridad gestionados con los requisitos de los certificados europeos de ciberseguridad que hayan sido expedidos en sus respectivos territorios, en cooperación con otras autoridades de vigilancia del mercado pertinentes;

b) controlarán el cumplimiento y velarán por la aplicación de las obligaciones de los fabricantes o proveedores de productos, servicios o procesos de TIC o servicios de seguridad gestionados que estén establecidos en sus respectivos territorios y lleven a cabo autoevaluaciones de la conformidad, y, en particular, controlarán el cumplimiento y velarán por la aplicación de las obligaciones que incumban a dichos fabricantes o proveedores en virtud del artículo 53, apartados 2 y 3, y del correspondiente esquema europeo de certificación de la ciberseguridad;».

ii) La letra h) se sustituye por el texto siguiente:

«h) cooperarán con otras autoridades nacionales de certificación de la ciberseguridad u otras autoridades públicas, en particular, mediante el intercambio de información sobre productos, servicios y procesos de TIC y servicios de seguridad gestionados que pudieran no ser conformes con los requisitos del presente Reglamento o de esquemas europeos de certificación de la ciberseguridad específicos, y».

b)    El apartado 9 se sustituye por el texto siguiente:

«9. Las autoridades nacionales de certificación de la ciberseguridad cooperarán entre ellas y con la Comisión, y, en particular, intercambiarán información, experiencias y buenas prácticas en relación con la certificación de la ciberseguridad y las cuestiones técnicas relativas a la ciberseguridad de los productos, servicios y procesos de TIC y los servicios de seguridad gestionados.».

16)    En el artículo 59, apartado 3, las letras b) y c) se sustituyen por el texto siguiente:

 «b) los procedimientos de supervisión y garantía del cumplimiento de las normas para controlar la conformidad de los productos, servicios y procesos de TIC y los servicios de seguridad gestionados con los certificados europeos de ciberseguridad con arreglo al artículo 58, apartado 7, letra a);

c) los procedimientos de control y garantía del cumplimiento de las obligaciones de los fabricantes o proveedores de productos, servicios o procesos de TIC o servicios de seguridad gestionados con arreglo al artículo 58, apartado 7, letra b);»;

17)    En el artículo 67, los apartados 2 y 3 se sustituyen por el texto siguiente:

«2. En la evaluación se analizarán también las repercusiones, la eficacia y la eficiencia de las disposiciones del título III del presente Reglamento en relación con los objetivos de garantizar un nivel adecuado de ciberseguridad de los productos, servicios y procesos de TIC y los servicios de seguridad gestionados en la Unión y de mejorar el funcionamiento del mercado interior.

3. En la evaluación se analizará la necesidad de establecer requisitos esenciales de ciberseguridad para el acceso al mercado interior a fin de evitar que se introduzcan en el mercado de la Unión productos, servicios y procesos de TIC y servicios de seguridad gestionados que no sean conformes con los requisitos básicos en materia de ciberseguridad.».

Artículo 2

El presente Reglamento entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.

El presente Reglamento será obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro.

Hecho en Estrasburgo, el

(1)    Reglamento (UE) 2019/881 del Parlamento Europeo y del Consejo, de 17 de abril de 2019, relativo a ENISA (Agencia de la Unión Europea para la Ciberseguridad) y a la certificación de la ciberseguridad de las tecnologías de la información y la comunicación y por el que se deroga el Reglamento (UE) n.º 526/2013 («Reglamento sobre la Ciberseguridad») (DO L 151 de 7.6.2019, p. 15).

(2)    9364/22.

(3)    JOIN(2022) 49 final.

(4)    DO L 333 de 27.12.2022, p. 80

(5)    DO L 119 de 4.5.2016, p. 1.

(6)    DO L 218 de 13.8.2008, p. 30.

(7)    Reglamento (UE) 2019/881 del Parlamento Europeo y del Consejo, de 17 de abril de 2019, relativo a ENISA (Agencia de la Unión Europea para la Ciberseguridad) y a la certificación de la ciberseguridad de las tecnologías de la información y la comunicación y por el que se deroga el Reglamento (UE) n.º 526/2013 («Reglamento sobre la Ciberseguridad») (DO L 151 de 7.6.2019, p. 15).

(8)    Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión, por la que se modifican el Reglamento (UE) n.º 910/2014 y la Directiva (UE) 2018/1972 y por la que se deroga la Directiva (UE) 2016/1148 (Directiva SRI 2) (DO L 333 de 27.12.2022, p. 80).