Resolución legislativa del Parlamento Europeo, de 13 de marzo de 2014, sobre la propuesta de Directiva del Parlamento Europeo y del Consejo relativa a medidas para garantizar un elevado nivel común de seguridad de las redes y de la información en la Unión (COM(2013)0048 — C7-0035/2013 — 2013/0027(COD))

P7_TC1-COD(2013)0027

Posición del Parlamento Europeo aprobada en primera lectura el 13 de marzo de 2014 con vistas a la adopción de la Directiva 2014/…/UE del Parlamento Europeo y del Consejo relativa a medidas para garantizar un elevado nivel común de seguridad de las redes y de la información en la Unión

EL PARLAMENTO EUROPEO Y EL CONSEJO DE LA UNIÓN EUROPEA,

Visto el Tratado de Funcionamiento de la Unión Europea y, en particular, su artículo 114,

Vista la propuesta de la Comisión Europea,

Previa transmisión del proyecto de acto legislativo a los Parlamentos nacionales,

Visto el dictamen del Comité Económico y Social Europeo (1),

De conformidad con el procedimiento legislativo ordinario (2),

Considerando lo siguiente:

(1)

Las redes y los sistemas y servicios de información desempeñan un papel crucial en la sociedad. Su fiabilidad y seguridad son esenciales para la libertad y la seguridad general de los ciudadanos de la Unión, así como para la actividad económica y el bienestar social y, en particular, para el funcionamiento del mercado interior. [Enm. 1]

(2)

La magnitud y la frecuencia y los efectos de los incidentes de seguridad, ya sean deliberados o accidentales, se están incrementando y representan una grave amenaza para el funcionamiento de las redes y los sistemas de información. Estos sistemas podrían convertirse también en un objetivo fácil para acciones dañinas deliberadas con el propósito de perjudicar o interrumpir su funcionamiento. Tales incidentes pueden interrumpir las actividades económicas, generar considerables pérdidas financieras, minar la confianza del usuario y del inversor y causar grandes daños a la economía de la Unión y, en última instancia, poner en peligro el bienestar de los ciudadanos de la Unión y la capacidad de los Estados miembros de la Unión de protegerse y garantizar la seguridad de infraestructuras críticas . [Enm. 2]

(3)

Al ser instrumentos de comunicación sin fronteras, los sistemas de información digitales —y sobre todo Internet— contribuyen decisivamente a facilitar la circulación transfronteriza de bienes, servicios y personas. Dado su carácter transnacional, una perturbación grave de esos sistemas en un Estado miembro puede afectar también a otros Estados miembros y a la Unión en su conjunto. Por consiguiente, la resiliencia y la estabilidad de las redes y los sistemas de información son fundamentales para el correcto funcionamiento del mercado interior.

(3 bis)

Habida cuenta de que las causas más comunes de los fallos sistémicos siguen siendo accidentales, como causas naturales o errores humanos, las infraestructuras deben ser resilientes tanto ante perturbaciones intencionadas como accidentales, y los operadores de infraestructuras críticas deben diseñar sistemas basados en la resiliencia. [Enm. 3]

(4)

Es conveniente crear a escala de la Unión un mecanismo de cooperación que propicie el intercambio de información y una prevención, detección y respuesta coordinadas en relación con la seguridad de las redes y de la información (en lo sucesivo, «SRI»). Para que dicho mecanismo sea eficaz e integrador, es esencial que todos los Estados miembros posean unas capacidades mínimas y una estrategia que aseguren un elevado nivel de SRI en su territorio. Asimismo, procede imponer a las administraciones públicas y al menos a los algunos operadores de infraestructuras críticas de información del mercado requisitos mínimos en materia de seguridad para fomentar una cultura de gestión de riesgos y garantizar la notificación de los incidentes más graves Debe animarse a las sociedades cotizadas a que publiquen los incidentes en sus informes financieros de forma voluntaria. El marco jurídico deberá basarse en la necesidad de salvaguardar la privacidad y la integridad de los ciudadanos. La Red de información sobre alertas en infraestructuras críticas debe ampliarse a los operadores del mercado cubiertos por la presente Directiva . [Enm. 4]

(4 bis)

Si bien las administraciones públicas, dada su misión de servicio público, deben ejercer la debida diligencia en la gestión y la protección de sus propias redes y sistemas de información, la presente Directiva deberá centrarse en las infraestructuras críticas esenciales para el mantenimiento de actividades económicas y sociales vitales en los sectores de la energía, los transportes, la banca, las infraestructuras de los mercados financieros y la sanidad. Los desarrolladores de programas informáticos y los fabricantes de equipos físicos deben quedar excluidos del ámbito de la presente Directiva. [Enm. 5]

(4 ter)

Ha de garantizarse la cooperación y la coordinación entre las autoridades pertinentes de la Unión y la Alta Representante/Vicepresidenta, responsable de la Política Exterior y de Seguridad Común y la Política Común de Seguridad y Defensa, así como el Coordinador de la lucha contra el terrorismo de la Unión en todos los casos en los que se perciba que incidentes con efectos significativos son de naturaleza exterior y terrorista. [Enm. 6]

(5)

Para abarcar todos los incidentes y riesgos pertinentes, la presente Directiva debe aplicarse a todas las redes y a todos los sistemas de información. No obstante, las obligaciones impuestas a las administraciones públicas y a los operadores del mercado no deberían ser aplicables a las empresas que suministran redes públicas de comunicaciones o prestan servicios de comunicaciones electrónicas disponibles para el público con arreglo a la Directiva 2002/21/CE del Parlamento Europeo y del Consejo (3), que están sujetas a los requisitos específicos de seguridad e integridad establecidos en el artículo 13 bis de dicha Directiva, ni tampoco a los proveedores de servicios de confianza.

(6)

Las capacidades existentes no bastan para garantizar un elevado nivel de SRI en la Unión. Los niveles de preparación de los Estados miembros son muy distintos, lo que da lugar a enfoques fragmentarios en la Unión. Esta situación engendra desiguales niveles de protección de los consumidores y las empresas, comprometiendo el nivel general de SRI de la Unión. A su vez, la inexistencia de requisitos mínimos comunes para las administraciones públicas y los operadores del mercado imposibilita la creación de un mecanismo global y efectivo de cooperación en la Unión. Las universidades y los centros de investigación tienen un papel determinante a la hora de impulsar la investigación, el desarrollo y la innovación en estos ámbitos y deben recibir la financiación adecuada. [Enm. 7]

(7)

Para responder con eficacia a los problemas de seguridad de las redes y los sistemas de información es, pues, necesario un planteamiento global a escala de la Unión que integre requisitos mínimos comunes en materia de desarrollo de capacidades y planificación, que desarrolle suficientes capacidades de ciberseguridad, actividades de intercambio de información y coordinación de medidas, así como requisitos mínimos comunes de seguridad para todos los operadores del mercado interesados y las administraciones públicas. Deben aplicarse unas normas comunes mínimas con arreglo a las recomendaciones pertinentes formuladas por los grupos de coordinación en materia de ciberseguridad. [Enm. 8]

(8)

Las disposiciones de la presente Directiva no han de obstar para que los Estados miembros adopten las medidas necesarias para asegurar la protección de sus intereses esenciales en materia de seguridad, salvaguardar el orden público y la seguridad pública, y permitir la investigación, detección y represión de delitos. De conformidad con el artículo 346 del Tratado de Funcionamiento de la Unión Europea (TFUE), ningún Estado miembro debe estar obligado a facilitar información cuya divulgación considere contraria a los intereses esenciales de su seguridad. Ningún Estado miembro está obligado a publicar información clasificada de la UE de acuerdo con la Decisión 2011/292/UE del Consejo (4) , ni información sujeta a acuerdos sobre confidencialidad o acuerdos informales de no divulgación, tales como el Protocolo para el intercambio de información. [Enm. 9]

(9)

A fin de alcanzar y mantener un elevado nivel común de seguridad de las redes y los sistemas de información, los Estados miembros deben disponer de sendas estrategias nacionales de SRI que fijen los objetivos estratégicos y las medidas concretas que haya que aplicar. Deben elaborarse a escala nacional planes de cooperación en el ámbito de la SRI que cumplan los requisitos esenciales , sobre la base de los requisitos mínimos establecidos en la presente Directiva, para así lograr niveles de capacidad de respuesta que hagan posible una cooperación efectiva y eficaz a escala nacional y de la Unión ante los incidentes que se produzcan , respetando y protegiendo la vida privada y los datos personales . Procede, por tanto, que cada Estado miembro esté obligado a cumplir las normas comunes relativas al formato de los datos y la posibilidad de intercambio de los datos que se deban compartir y evaluar. Los Estados miembros podrán solicitar la asistencia de la Agencia de Seguridad de las Redes y de la Información de la Unión Europea («ENISA») para desarrollar sus estrategias nacionales de SRI, partiendo de un proyecto mínimo común de estrategia de SRI . [Enm. 10]

(10)

Con miras a una aplicación efectiva de las disposiciones adoptadas de conformidad con la presente Directiva, procede crear o designar en cada uno de los Estados miembros un organismo que coordine las cuestiones relacionadas con la SRI y actúe como centro de referencia nacional a efectos de cooperación transfronteriza a escala de la Unión. Estos organismos deben disponer de recursos técnicos, financieros y humanos suficientes para poder desempeñar efectiva y eficazmente las tareas que se les encomienden y alcanzar de este modo los objetivos de la presente Directiva.

(10 bis)

A la vista de las diferencias en las estructuras nacionales de gobernanza y con el fin de salvaguardar los acuerdos sectoriales o los organismos de regulación y supervisión de la Unión y evitar duplicidades, los Estados miembros deben tener competencia para designar a más de una autoridad nacional competente que se encargue de realizar las tareas vinculadas a la seguridad de las redes y de los sistemas de información de los operadores del mercado en virtud de la presente Directiva. No obstante, con el fin de garantizar una cooperación y una comunicación transfronterizas adecuadas, es necesario que cada Estado miembro designe, sin perjuicio de los acuerdos normativos sectoriales, solo una ventanilla única nacional que se encargue de la cooperación transfronteriza a escala de la Unión. Si fuera necesario en virtud de su estructura constitucional o de otros acuerdos, el Estado miembro deberá poder designar solo una única autoridad que se encargue de realizar las tareas de la autoridad competente y de la ventanilla única. Las autoridades competentes y a las ventanillas únicas deben ser organismos civiles sujetos a un pleno control democrático y no deben desempeñar funciones en los ámbitos de inteligencia, garantía del cumplimiento de la ley o defensa ni mantener ningún tipo de relaciones de organización con organismos activos en estos ámbitos. [Enm. 11]

(11)

Todos los Estados miembros y los operadores del mercado deben disponer de capacidades técnicas y de organización suficientes para poder adoptar las medidas de prevención, detección, respuesta y atenuación oportunas ante los incidentes y riesgos que puedan afectar a las redes y los sistemas de información en cualquier momento . Los sistemas de seguridad de las administraciones públicas deberán ser seguros y estar sujetos a control y examen democráticos. Los equipos y las capacidades generalmente necesarios deben cumplir las normas técnicas establecidas de común acuerdo y atenerse a los procedimientos normativos de funcionamiento . Por consiguiente, procede crear en todos los Estados miembros equipos de respuesta a emergencias informáticas (CERT) que funcionen correctamente y cumplan los requisitos esenciales para así disponer de capacidades efectivas y compatibles que permitan hacer frente a incidentes y riesgos y garantizar una cooperación eficaz a escala de la Unión. Estos CERT deben poder interactuar basándose en normas técnicas comunes y procedimientos normativos de funcionamiento. A la vista de las diferentes características de los CERT existentes, que responden a necesidades temáticas y actores distintos, los Estados miembros deben garantizar que cada uno de los sectores que figuren en la lista de operadores del mercado recogida en la presente Directiva recibe servicios al menos de un CERT. En cuanto a la cooperación transfronteriza entre CERT, los Estados miembros deben garantizar que los CERT dispongan de los medios suficientes para participar en las redes de cooperación internacionales y europeas ya establecidas. [Enm. 12]

(12)

Sobre la base de los significativos avances logrados en el marco del Foro Europeo de Estados Miembros («EFMS») merced a los debates e intercambios sobre mejores prácticas, incluida la elaboración de principios de cooperación europea ante crisis cibernéticas, los Estados miembros y la Comisión deberían crear una red que los mantuviera en comunicación permanente y respaldara su cooperación. Se espera que este mecanismo seguro y efectivo de comunicación , con el que se garantiza, en su caso, la participación de los operadores del mercado, permita estructurar y coordinar a escala de la Unión las labores de intercambio de información, detección y respuesta. [Enm. 13]

(13)

Es conveniente que la Agencia Europea de Seguridad de las Redes y de la Información («ENISA») preste asistencia a los Estados miembros y a la Comisión ofreciéndoles su experiencia, conocimientos y asesoramiento y facilitando el intercambio de mejores prácticas. En particular, la Comisión debe y los Estados miembros deben consultar a la ENISA a la hora de aplicar la presente Directiva. A fin de facilitar información eficaz y oportuna a los Estados miembros y la Comisión, deben lanzarse alertas tempranas sobre incidentes y riesgos en el marco de la red de cooperación. Al objeto de desarrollar capacidades y conocimientos entre los Estados miembros, la red de cooperación debe servir también de instrumento para el intercambio de mejores prácticas, ayudando a sus miembros a desarrollar capacidades y dirigiendo la organización de revisiones por homólogos y ejercicios de SRI. [Enm. 14]

(13 bis)

Cuando proceda, los Estados miembros podrán utilizar o adaptar las estructuras o estrategias organizativas existentes al aplicar las disposiciones de la presente Directiva. [Enm. 15]

(14)

Es oportuno crear infraestructuras seguras para el intercambio de información delicada y confidencial en el marco de la red de cooperación. Las estructuras existentes en la Unión deben utilizarse plenamente para este fin. Sin perjuicio de la obligación de notificar a la red de cooperación los incidentes y riesgos que afecten a toda la Unión, el acceso a la información confidencial de otros Estados miembros solo debe permitirse a los Estados miembros que demuestren que sus recursos técnicos, financieros y humanos y sus procedimientos, así como sus infraestructuras de comunicación, garantizan su participación efectiva, eficiente y segura en la red , utilizando métodos transparentes . [Enm. 16]

(15)

La cooperación entre los sectores público y privado reviste importancia esencial por cuanto la mayor parte de las redes y sistemas de información es de titularidad privada. Conviene alentar a los operadores del mercado a crear sus propios mecanismos de cooperación informal para garantizar la SRI. Asimismo, los operadores deben cooperar con el sector público e intercambiar información y mejores prácticas a cambio de obtener , incluido el intercambio recíproco de información pertinente y apoyo operativo e información analizada desde un punto de vista estratégico, en caso de que se produzcan incidentes. Para fomentar eficazmente el intercambio de información y de mejores prácticas, es esencial garantizar que los operadores del mercado que participan en dichos intercambios no queden en desventaja a causa de su cooperación. Se necesitan suficientes salvaguardias para garantizar que este tipo de cooperación no exponga a estos operadores a un mayor riesgo de cumplimiento o a nuevas responsabilidades en ámbitos como, entre otros, la competencia, la propiedad intelectual, la protección de datos o la legislación sobre ciberdelincuencia, ni los exponga a mayores riesgos operativos o de seguridad. [Enm. 17]

(16)

Para garantizar la transparencia e informar debidamente a los ciudadanos y operadores del mercado de la UE, conviene que las autoridades competentes ventanillas únicas creen un sitio web común a escala de la Unión para publicar información no confidencial sobre incidentes y riesgos y medios para la mitigación de riesgos, así como, cuando sea necesario, sobre medidas de mantenimiento adecuadas . La información ofrecida en el sitio web debe ser accesible con independencia del dispositivo que se utilice. Los datos personales publicados en este sitio web deben limitarse únicamente a lo necesario y mantenerse anónimos en la medida de lo posible . [Enm. 18]

(17)	Cuando la información se considere confidencial de conformidad con las normas nacionales y de la Unión en materia de secreto comercial, debe mantenerse ese carácter confidencial a la hora de desarrollar las actividades y cumplir los objetivos establecidos en la presente Directiva.

(18)

Basándose ante todo en las experiencias nacionales en materia de gestión de crisis y en cooperación con la ENISA, la Comisión y los Estados miembros deben elaborar un plan de cooperación de la Unión en materia de SRI que establezca mecanismos de cooperación , mejores prácticas y pautas de funcionamiento para prevenir, detectar y para hacer frente a riesgos e incidentes e informar sobre ellos . Dicho plan debe tomarse debidamente en consideración a la hora de lanzar alertas tempranas en el marco de la red de cooperación. [Enm. 19]

(19)

Las alertas tempranas solamente deben notificarse en el marco de la red cuando la dimensión y gravedad del incidente o riesgo en cuestión sean o puedan llegar a ser de tal envergadura que requieran medidas de información o coordinación de la respuesta a escala de la Unión. Por tanto, las alertas tempranas se deberían limitar a los incidentes o riesgos reales o potenciales que se extiendan rápidamente, superen la capacidad nacional de respuesta o afecten a más de un Estado miembro. Para poder proceder a un análisis adecuado, debe comunicarse a la red de cooperación toda la información pertinente para la evaluación del riesgo o incidente. [Enm. 20]

(20)

Tras haber recibido y evaluado una alerta temprana, las autoridades competentes ventanillas únicas deben acordar una respuesta coordinada en el marco del plan de cooperación de la Unión en materia de SRI. Tanto las autoridades competentes como ventanillas únicas como la ENISA o la Comisión deben estar informadas de las medidas adoptadas a escala nacional como resultado de la respuesta coordinada. [Enm. 21]

(21)

El alcance mundial de los problemas de SRI hace necesaria una mayor cooperación internacional con miras a mejorar las normas de seguridad y el intercambio de información, y promover un planteamiento mundial común con respecto a las cuestiones de SRI. Todo marco para dicha cooperación internacional debe someterse a las disposiciones de la Directiva 95/46/CE del Parlamento Europeo y del Consejo (5) y del Reglamento (CE) no 45/2001 del Parlamento Europeo y del Consejo (6) . [Enm. 22]

(22)

La responsabilidad de velar por la SRI recae en gran medida en las administraciones públicas y los operadores del mercado. Debe fomentarse una cultura de gestión de riesgos , de estrecha cooperación y de confianza que entrañe una evaluación del riesgo y la aplicación de medidas de seguridad proporcionales a los riesgos existentes e incidentes, ya sean deliberados o accidentales, y que habrá de desarrollarse a través de requisitos reglamentarios adecuados y prácticas voluntarias del sector. Asimismo, son necesarias condiciones uniformes y fiables para garantizar el funcionamiento efectivo de la red de cooperación y, por ende, una colaboración eficaz de todos los Estados miembros. [Enm. 23]

(23)

La Directiva 2002/21/CE establece que las empresas que suministran redes públicas de comunicaciones o prestan servicios de comunicaciones electrónicas disponibles para el público deben adoptar medidas adecuadas para salvaguardar su integridad y seguridad e introduce requisitos de notificación de las violaciones de la seguridad y las pérdidas de integridad. La Directiva 2002/58/CE del Parlamento Europeo y del Consejo (7) exige que los proveedores de servicios de comunicaciones electrónicas accesibles para el público tomen las medidas técnicas y de organización necesarias para velar por la seguridad de sus servicios.

(24)

Estas obligaciones no solo han de imponerse al sector de las comunicaciones electrónicas, sino también a los operadores de infraestructuras, que son muy dependientes de las tecnologías de la información y la comunicación y desempeñan un papel esencial en el mantenimiento de funciones económicas o sociales vitales, tales como la electricidad y el gas, los transportes, las entidades de crédito, las infraestructuras de los mercados financieros y la sanidad. Los trastornos que puedan sufrir tales redes y sistemas de información afectan al mercado interior. Si bien las obligaciones establecidas por la presente Directiva no deben extenderse a los principales proveedores de servicios de la sociedad de la información, tal y como se definen en la Directiva 98/34/CE del Parlamento Europeo y del Consejo (8), que sirven de apoyo a los servicios de la sociedad de la información derivados o a las actividades en línea, tales como las plataformas de comercio electrónico, las pasarelas de pago por Internet, las redes sociales, los motores de búsqueda, los servicios de computación en nube en general o las tiendas de aplicaciones. La interrupción de estos servicios de apoyo a la sociedad de la información impide la prestación de otros servicios de la sociedad de la información que dependen de ellos. Los desarrolladores de programas informáticos y los fabricantes de equipos físicos no son proveedores de servicios de la sociedad de la información y quedan, por tanto, excluidos. Procede imponer asimismo esas obligaciones a las administraciones públicas y a los operadores de infraestructuras críticas, que son muy dependientes de las tecnologías de la información y la comunicación y desempeñan un papel esencial en el mantenimiento de funciones económicas o sociales vitales, tales como el gas y la electricidad, los transportes, las entidades de crédito, las bolsas y la sanidad. Los trastornos que puedan sufrir tales redes y sistemas de información afectan al mercado interior , podrían informar voluntariamente a las autoridades competentes o las ventanillas únicas de aquellos incidentes de seguridad de la red que consideren oportunos . La autoridad competente o la ventanilla única presentarán, si es posible, a las administraciones públicas o a los operadores del mercado que hayan informado del incidente información estratégica analizada que ayude a superar la amenaza de seguridad . [Enm. 24]

(24 bis)

Aunque los proveedores de equipos y programas informáticos no son operadores del mercado comparables a los cubiertos por la presente Directiva, sus productos facilitan la seguridad de las redes y los sistemas de información. Por consiguiente, tienen una función importante para capacitar a los operadores del mercado para garantizar la seguridad de sus redes e infraestructuras de información. Habida cuenta de que los equipos y los programas informáticos ya están sujetos a las normas vigentes sobre responsabilidad por los productos, los Estados miembros deben velar por el cumplimiento de estas normas. [Enm. 25]

(25)	Las medidas técnicas y de organización impuestas a las administraciones públicas y a los operadores del mercado no requerirán que se diseñe, se desarrolle o fabrique de una manera especial un determinado producto comercial de tecnología de la información y la comunicación. [Enm. 26]

(26)

Las administraciones públicas y los operadores del mercado deben velar por la seguridad de las redes y sistemas que se hallan bajo su control. Se trata fundamentalmente de redes y sistemas privados gestionados por el personal de TI interno o cuya seguridad se ha encomendado a empresas externas. Las obligaciones en materia de seguridad y notificación han de aplicarse a los operadores del mercado y a las administraciones públicas pertinentes, independientemente de si se encargan ellos mismos del mantenimiento de sus redes y sistemas de información o lo subcontratan. [Enm. 27]

(27)

Para no imponer una carga financiera y administrativa desproporcionada a los pequeños operadores y a los usuarios, los requisitos han de ser proporcionales a los riesgos que presenta la red o el sistema de información en cuestión, habida cuenta del estado de la técnica. Dichos requisitos no deben aplicarse a las microempresas.

(28)

Las autoridades competentes y las ventanillas únicas deben procurar que se mantengan los canales de intercambio de información informales y de confianza entre los operadores del mercado y entre los sectores público y privado. Las autoridades competentes y las ventanillas únicas deben informar a los fabricantes y proveedores de los productos y servicios de TIC afectados de los incidentes con efectos significativos que les sean notificados. Antes de dar publicidad a los incidentes notificados a las autoridades competentes y las ventanillas únicas , es preciso sopesar debidamente el interés de los ciudadanos en ser informados sobre las amenazas existentes y los perjuicios que en términos comerciales y de reputación puedan sufrir las administraciones públicas y los operadores del mercado que notifican los incidentes. A la hora de cumplir sus obligaciones de notificación, las autoridades competentes y las ventanillas únicas han de tener muy en cuenta la necesidad de mantener estrictamente confidencial la información sobre los puntos vulnerables del producto antes de dar a conocer desplegar las soluciones de seguridad adecuadas. Como norma general, las ventanillas únicas no divulgarán los datos personales de las personas implicadas en los incidentes. Las ventanillas únicas solo divulgarán datos de carácter personal si la divulgación de dichos datos es necesaria y guarda proporción con los objetivos perseguidos. [Enm. 28]

(29)

Es preciso que las autoridades competentes dispongan de los medios necesarios para desempeñar su cometido y, en particular, de competencias para obtener información suficiente de los operadores del mercado y las administraciones públicas a fin de evaluar el nivel de seguridad de las redes y los sistemas de información y medir la cantidad, la magnitud y el alcance de los incidentes , así como datos fidedignos y exhaustivos sobre incidentes reales que hayan repercutido en el funcionamiento de las redes y los sistemas de información. [Enm. 29]

(30)

Los incidentes suelen estar causados por actividades delictivas. Cabe suponer el carácter delictivo de los incidentes aun cuando las pruebas para demostrarlo no sean lo suficientemente claras desde el principio. A este respecto, una cooperación adecuada entre las autoridades competentes , las ventanillas únicas y los cuerpos de seguridad , así como la cooperación con el EC3 (Centro Europeo de Ciberdelincuencia de Europol) y la ENISA debería formar parte de una respuesta efectiva y global ante la amenaza de que se produzcan incidentes de seguridad. En particular, para promover un entorno protegido, seguro y más resiliente es preciso notificar sistemáticamente los incidentes de carácter supuestamente delictivo a los cuerpos de seguridad. La naturaleza delictiva grave de los incidentes debe evaluarse a la luz de la normativa de la Unión sobre ciberdelincuencia. [Enm. 30]

(31)

En numerosas ocasiones los datos de carácter personal se ven comprometidos a raíz de incidentes. Los Estados miembros y los operadores del mercado deben proteger los datos personales almacenados, tratados o transmitidos de la destrucción accidental o ilícita, la pérdida o alteración accidental y el almacenamiento, el acceso, la divulgación o la difusión no autorizados o ilícitos, y garantizarán la aplicación de una política de seguridad con respecto al tratamiento de los datos personales. En este contexto, las autoridades competentes , las ventanillas únicas y las autoridades responsables de la protección de datos han de cooperar e intercambiar la información pertinente ante , también con los operadores del mercado, cuando proceda, para hacer frente a las violaciones de datos personales derivadas de incidentes de acuerdo con las normas aplicables de protección de datos . Los Estados miembros deben imponer La obligación de notificar los incidentes de seguridad se cumplirá de modo que se reduzca al mínimo la carga administrativa en caso de que el incidente de seguridad constituya también una violación de datos personales con arreglo al Reglamento del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (9) . En colaboración con las autoridades competentes y las autoridades responsables de la protección de datos que deba notificarse de conformidad con la legislación de la Unión en materia de protección de datos. La ENISA podría debe contribuir a elaborar mecanismos de intercambio de información y modelos que evitaran la necesidad de contar con dos modelos de notificación. Este un modelo único de notificación facilitaría la comunicación de incidentes que comprometan los datos personales, aliviando de este modo la carga administrativa para empresas y administraciones públicas. [Enm. 31]

(32)

La normalización de los requisitos en materia de seguridad es un proceso impulsado por el mercado y de carácter voluntario que debe permitir a los operadores del mercado utilizar medios alternativos para conseguir al menos resultados similares . Al objeto de garantizar una aplicación convergente de las normas de seguridad, es oportuno que los Estados miembros fomenten el cumplimiento de normas específicas interoperables o la conformidad con ellas para así lograr un elevado nivel de seguridad en la Unión. A tal fin, se ha de considerar la aplicación de normas internacionales abiertas a la seguridad de las redes y de la información o el diseño de este tipo de instrumentos. Otro paso adelante necesario puede ser necesario elaborar normas armonizadas, de acuerdo con las disposiciones del Reglamento (UE) no 1025/2012 del Parlamento Europeo y del Consejo (10). En particular, se debe encomendar al Instituto Europeo de Normas de Telecomunicación (ETSI), al Centro Europeo de Normalización (CEN) y al Comité Europeo de Normalización Electrotécnica (CENELEC) la tarea de proponer normas de seguridad abiertas a escala de la Unión que resulten eficaces y eficientes, donde se eviten todo lo posible preferencias tecnológicas, y que sean de fácil gestión para los operadores pequeños y medianos del mercado. Conviene examinar detenidamente las normas internacionales relativas a la ciberseguridad a fin de garantizar que no se hayan visto comprometidas y que ofrezcan unos niveles adecuados de seguridad, cerciorándose así de que el cumplimiento obligatorio de las normas de ciberseguridad mejora el nivel global de ciberseguridad de la Unión y no al contrario. [Enm. 32]

(33)	La Comisión debe revisar periódicamente las disposiciones contenidas en la presente Directiva , en consulta con todas las partes interesadas , en particular con vistas a determinar si es preciso modificarlas a la luz de la cambiante situación política, de la tecnología o el mercado. [Enm. 33]

(34)

En aras del correcto funcionamiento de la red de cooperación, procede delegar en la Comisión poderes para adoptar actos de conformidad con el artículo 290 del TFUE en relación con la determinación de los criterios que debe reunir un Estado miembro para poder ser autorizado a participar en el sistema de el conjunto común de normas de interconexión y de seguridad para las infraestructuras para el intercambio seguro de información, con la especificación de los hechos que activan la alterta temprana y con la definición de las circunstancias en que los operadores del mercado y las administraciones públicas están obligados a notificar incidentes. [Enm. 34]

(35)

Reviste primordial importancia que la Comisión lleve a cabo las consultas oportunas durante la fase preparatoria, en particular con expertos. Al preparar y elaborar actos delegados, la Comisión debe garantizar que los documentos pertinentes se transmitan al Parlamento Europeo y al Consejo de manera simultánea, oportuna y adecuada.

(36)

A fin de garantizar condiciones uniformes de ejecución de la presente Directiva, procede conferir competencias de ejecución a la Comisión en lo que respecta a la cooperación entre las autoridades competentes ventanillas únicas y la Comisión en el marco de la red de cooperación, el acceso a las infraestructuras seguras de intercambio de información, sin perjuicio de los mecanismos de cooperación existentes a escala nacional, el plan de cooperación de la Unión en materia de SRI, los formatos y procedimientos aplicables a la hora de informar a los ciudadanos sobre notificación de incidentes y las normas o especificaciones técnicas en materia de SRI con efectos significativos . Dichas competencias deben ejercerse de conformidad con el Reglamento (UE) no 182/2011 del Parlamento Europeo y del Consejo (11). [Enm. 35]

(37)

Es conveniente que, a la hora de aplicar la presente Directiva, la Comisión colabore, cuando proceda, con los comités sectoriales y organismos pertinentes establecidos a escala de la Unión, especialmente en los ámbitos de la administración electrónica, la energía, los transportes y la sanidad , los transportes y la defensa . [Enm. 36]

(38)

La información que una autoridad competente considere o una ventanilla única consideren confidencial de acuerdo con las normas nacionales y de la Unión sobre secreto comercial únicamente debe intercambiarse con la Comisión sus agencias competentes, ventanillas únicas y /u otras autoridades nacionales competentes cuando tal intercambio sea estrictamente necesario a los efectos de la aplicación de la presente Directiva. El intercambio se debe limitar a la información que resulte pertinente , necesario y proporcional a la finalidad perseguida , y debe respetar los criterios preestablecidos de confidencialidad y seguridad, de conformidad con la Decisión 2011/292/UE, ni información sujeta a acuerdos sobre confidencialidad o acuerdos informales de no divulgación, tales como el Protocolo para el intercambio de información . [Enm. 37]

(39)

El intercambio de información sobre riesgos e incidentes en el marco de la red de cooperación y el cumplimiento de la obligación de notificar los incidentes a las autoridades nacionales competentes o a las ventanillas únicas pueden hacer necesario el tratamiento de datos personales. Dicho tratamiento es necesario para alcanzar los objetivos de interés público perseguidos por la presente Directiva y es por tanto legítimo en virtud del artículo 7 de la Directiva 95/46/CE. No constituye, en relación con esos objetivos legítimos, una intervención desmesurada e intolerable que afecte a la propia esencia del derecho a la protección de los datos personales garantizado por el artículo 8 de la Carta de los Derechos Fundamentales de la Unión Europea. Al llevar a la práctica la presente Directiva, se debe aplicar, cuando proceda, el Reglamento (CE) no 1049/2001 del Parlamento Europeo y del Consejo (12). Cuando las instituciones y órganos de la Unión procedan al tratamiento de datos a los efectos de la aplicación de la presente Directiva, dicho tratamiento deberá efectuarse de conformidad con los dispuesto en el Reglamento (CE) no 45/2001. [Enm. 38]

(40)

Dado que el objetivo de la presente Directiva, a saber, garantizar un elevado nivel de SRI en la Unión, no puede ser alcanzado de manera suficiente por los Estados miembros de manera individual, sino que, debido a los efectos de la acción, puede lograrse mejor a nivel de la Unión, esta puede adoptar medidas, de acuerdo con el principio de subsidiariedad establecido en el artículo 5 del Tratado de la Unión Europea. De conformidad con el principio de proporcionalidad enunciado en dicho artículo, la presente Directiva no excede de lo necesario para alcanzar estos objetivos.

(41)

La presente Directiva observa los derechos fundamentales y los principios reconocidos por la Carta de los Derechos Fundamentales de la Unión Europea y, en particular, el derecho al respeto de la vida privada y las comunicaciones, el derecho a la protección de los datos de carácter personal, el derecho a la libertad de empresa, el derecho a la propiedad, el derecho a una tutela judicial efectiva y el derecho a ser oído. La presente Directiva debe aplicarse de acuerdo con estos derechos y principios.

(41 bis)

De conformidad con la Declaración política conjunta de los Estados miembros y de la Comisión sobre los documentos explicativos de 28 de septiembre de 2011, los Estados miembros se han comprometido a adjuntar a la notificación de sus medidas de transposición, cuando esté justificado, uno o varios documentos que expliquen la relación entre los elementos de una directiva y las partes correspondientes de los instrumentos nacionales de transposición. Por lo que respecta a la presente Directiva, el legislador considera que la transmisión de tales documentos está justificada. [Enm. 39]

(41 ter)

El Supervisor Europeo de Protección de Datos, al que se consultó de conformidad con el artículo 28, apartado 2, del Reglamento (CE) no 45/2001 y emitió su dictamen el 14 de junio de 2013 (13).

HAN ADOPTADO LA PRESENTE DIRECTIVA:

CAPÍTULO I

DISPOSICIONES GENERALES

Artículo 1

Objeto y ámbito de aplicación

1. La presente Directiva establece medidas para garantizar un elevado nivel común de seguridad de las redes y de la información («SRI») en la Unión.

2. A tal fin, la presente Directiva:

a)	establece las obligaciones que han de cumplir todos los Estados miembros en materia de prevención, gestión y respuesta a riesgos e incidentes que afecten a las redes y los sistemas de información;

establece un mecanismo de cooperación entre los Estados miembros con el fin de garantizar la aplicación uniforme de la presente Directiva en la Unión y, en su caso, una gestión y una respuesta eficientes y eficaces y coordinadas ante los riesgos e incidentes que afecten a las redes y los sistemas de información con la participación de las partes interesadas pertinentes ; [Enm. 40]

c)	establece requisitos en materia de seguridad para los operadores del mercado y las administraciones públicas. [Enm. 41]

3. Los requisitos de seguridad previstos en el artículo 14 de la presente Directiva no serán aplicables a las empresas que suministran redes públicas de comunicaciones o prestan servicios de comunicaciones electrónicas disponibles para el público con arreglo a la Directiva 2002/21/CE, que están sujetas a los requisitos específicos de seguridad e integridad establecidos en los artículos 13 bis y 13 ter de dicha Directiva, ni tampoco a los proveedores de servicios de confianza.

4. La presente Directiva se entenderá sin perjuicio de la normativa sobre ciberdelincuencia de la Unión y de la Directiva 2008/114/CE del Consejo (14).

5. Asimismo, la presente Directiva se entenderá sin perjuicio de la Directiva 95/46/CE, de la Directiva 2002/58/CE, y del Reglamento (CE) no 45/2001 . Todo uso de datos personales debe limitarse a lo estrictamente necesario para los fines de la presente Directiva, y estos datos deben permanecer anónimos en la medida de lo posible, incluso anónimos por completo. [Enm. 42]

6. El intercambio de información en el marco de la red de cooperación a que se hace referencia en el capítulo III y las notificaciones de incidentes de SRI contempladas en el artículo 14 pueden requerir el tratamiento de datos personales. Dicho tratamiento, que es necesario para alcanzar los objetivos de interés público perseguidos por la presente Directiva, será autorizado por el Estado miembro interesado de acuerdo con el artículo 7 de la Directiva 95/46/CE y con la Directiva 2002/58/CE según su adopción en el Derecho interno.

Artículo 1 bis

Tratamiento y protección de los datos personales

1. El tratamiento de los datos personales en los Estados miembros con arreglo a la presente Directiva se llevará a cabo de conformidad con las Directivas 95/46/CE y 2002/58/CE.

2. El tratamiento de los datos personales por la Comisión y la ENISA con arreglo al presente Reglamento se llevará a cabo de conformidad con el Reglamento (CE) no 45/2001.

3. El tratamiento de los datos personales por el Centro Europeo de Ciberdelincuencia de Europol a efectos de la presente Directiva se llevará a cabo de conformidad con la Decisión 2009/371/JAI del Consejo (15).

4. El tratamiento de los datos personales será justo y lícito y se limitará estrictamente a los datos mínimos necesarios para los efectos para los que se procesan. Los datos personales se conservarán en una forma que permita la identificación de los interesados durante un periodo no superior al necesario para los fines para los que se traten dichos datos personales.

5. Las notificaciones de incidentes mencionadas en el artículo 14 de la presente Directiva se tramitarán sin perjuicio de las disposiciones y obligaciones en materia de notificación de violaciones de datos personales contempladas en el artículo 4 de la Directiva 2002/58/CE y en el Reglamento (UE) no 611/2013 de la Comisión (16) . [Enm. 43]

Artículo 2

Armonización mínima

No se impedirá que los Estados miembros adopten o mantengan disposiciones que garanticen un nivel de seguridad más elevado, sin perjuicio de las obligaciones que les impone la normativa de la Unión.

Artículo 3

Definiciones

A los efectos de la presente Directiva, se entenderá por:

«redes y sistemas de información»:

a)	una red de comunicaciones electrónicas en la acepción de la Directiva 2002/21/CE,

b)	todo dispositivo o grupo de dispositivos interconectados o relacionados entre sí, uno o varios de los cuales realizan, mediante un programa, el tratamiento automático de datos informáticos digitales , [Enm. 44]

c)	los datos informáticos digitales almacenados, tratados, recuperados o transmitidos por los elementos contemplados en las letras a) y b) para su funcionamiento, utilización, protección y mantenimiento; [Enm. 45]

«seguridad»: la capacidad de las redes y sistemas de información de resistir, con un nivel determinado de confianza, a acciones accidentales o malintencionadas que comprometan la disponibilidad, autenticidad, integridad y confidencialidad de los datos almacenados o transmitidos, o los servicios correspondientes ofrecidos por tales redes y sistemas de información o accesibles a través de ellos; «seguridad» incluye los dispositivos técnicos, las soluciones y los procedimientos de funcionamiento pertinentes para el cumplimiento de los requisitos de seguridad establecidos en la presente Directiva; [Enm. 46]

3)	«riesgo»: toda circunstancia o hecho razonablemente identificable que pueda tener efectos adversos en la seguridad; [Enm. 47]

4)	«incidente»: toda circunstancia o todo hecho que tenga efectos adversos en la seguridad; [Enm. 48]

5)	«servicio de la sociedad de la información»: un servicio en la acepción del artículo 1, número 2, de la Directiva 98/34/CE; [Enm. 49]

6)	«plan de cooperación en materia de SRI»: un plan que constituye el marco para las funciones, responsabilidades y procedimientos de organización a fin de mantener o restablecer el funcionamiento de las redes y los sistemas de información en caso de que se vean afectados por un riesgo o incidente;

7)	«gestión de incidentes»: todos los procedimientos seguidos para detectar, prevenir, analizar, limitar y responder a un incidente; [Enm. 50]

«operador del mercado»:

a)	un proveedor de servicios de la sociedad de la información que posibilitan la prestación de otros servicios de la sociedad de la información, una lista no exhaustiva de los cuales figura en el anexo II; [Enm. 51]

un operador de infraestructuras críticas esenciales para el mantenimiento de actividades económicas y sociales vitales en los sectores de la energía, los transportes, la banca, la bolsa las infraestructuras de los mercados financieros, puntos de intercambio de Internet, la cadena de suministro alimentario y la sanidad, cuya interrupción o destrucción tendría efectos significativos en un Estado miembro como resultado de la incapacidad de mantener dichas funciones, una lista no exhaustiva de los cuales figura en el anexo II , en la medida en que las redes y los sistemas de información afectados están directamente relacionados con sus servicios básicos . [Enm. 52]

8 bis)

«incidente que tenga efectos significativos»: incidente que afecta a la seguridad y la continuidad de una red o sistema de información y da lugar a la perturbación grave de funciones económicas o sociales esenciales; [Enm. 53]

9)	«norma»: una norma en la acepción del Reglamento (UE) no 1025/2012;

10)	«especificación»: una especificación en la acepción del Reglamento (UE) no 1025/2012;

11)

«proveedor de servicios de confianza»: una persona física o jurídica que presta un servicio electrónico consistente en la creación, verificación, validación, gestión y conservación de firmas electrónicas, sellos electrónicos, marcas de tiempo electrónicas, documentos electrónicos, servicios de entrega electrónica, autenticación de sitios web y certificados electrónicos, incluidos los certificados de firma electrónica y de sello electrónico.

11 bis)

«mercado regulado»: mercado regulado con arreglo a la definición del artículo 4, punto 14, de la Directiva 2004/39/CE del Parlamento Europeo y del Consejo (17) ; [Enm. 54]

11 ter)

«sistema multilateral de negociación (SMN)»: el definido en el artículo 4, punto 15, de la Directiva 2004/39/CE; [Enm. 55]

11 quater)

«sistema organizado de negociación»: un sistema multilateral, distinto de un mercado regulado, un sistema multilateral de negociación o una entidad de contrapartida central, explotado por una empresa de inversión o por un operador del mercado, en el que interactúan los diversos intereses de compra y de venta sobre bonos y obligaciones, productos de financiación estructurados, derechos de emisión o derivados de múltiples terceros para dar lugar a contratos de conformidad con lo dispuesto en el título II de la Directiva 2004/39/CE; [Enm. 56]

CAPÍTULO II

MARCOS NACIONALES DE SEGURIDAD DE LAS REDES Y DE LA INFORMACIÓN

Artículo 4

Principio

Los Estados miembros garantizarán un elevado nivel común de seguridad de las redes y los sistemas de información en sus territorios de conformidad con lo dispuesto en la presente Directiva.

Artículo 5

Estrategia nacional de SRI y plan de cooperación nacional en materia de SRI

1. Cada Estado miembro adoptará una estrategia nacional de SRI que establezca los objetivos estratégicos y las medidas estratégicas y reglamentarias concretas para alcanzar y mantener un elevado nivel de seguridad de las redes y de la información. La estrategia nacional de SRI abordará, en particular, las cuestiones siguientes:

a)	Determinación de los objetivos y prioridades de la estrategia sobre la base de un análisis actualizado de riesgos e incidentes.

b)	Marco de gobernanza para lograr los objetivos y las prioridades de la estrategia, con una definición clara de las funciones y responsabilidades de las instituciones públicas y los demás agentes pertinentes.

c)	Determinación de las medidas generales sobre preparación, respuesta y recuperación, incluidos los mecanismos de cooperación entre los sectores público y privado.

d)	Indicación de los programas de educación, concienciación y formación.

e)	Planes de investigación y desarrollo y explicación de la manera en que reflejan las prioridades establecidas.

e bis)

Los Estados miembros podrán solicitar la asistencia de la ENISA para el desarrollo de sus estrategias nacionales de SRI y sus planes nacionales de cooperación en el ámbito de la SRI sobre la base de una estrategia común de SRI. [Enm. 57]

2. La estrategia nacional de SRI incluirá un plan de cooperación nacional en materia de SRI que contemple como mínimo los siguientes aspectos:

Plan de Marco de gestión de riesgos para establecer una metodología para la identificación, la priorización, la evaluación y el tratamiento de riesgos que permita determinarlos y evaluar riesgos que permita determinarlos y evaluar los efectos de incidentes potenciales , la prevención y las opciones de control y para definir criterios de selección de posibles contramedidas . [Enm. 58]

b)	Determinación de las funciones y responsabilidades de los diversos las diversas autoridades y demás agentes que participan en la ejecución del plan. [Enm. 59]

c)	Determinación de los procedimientos de cooperación y comunicación necesarios para garantizar la prevención, detección, respuesta, reparación y recuperación, adaptados en función del nivel de alerta.

d)	Hoja de ruta sobre ejercicios y actividades de formación en el ámbito de la SRI para reforzar, validar y someter a ensayo el plan. La experiencia adquirida se deberá documentar e incorporar a las actualizaciones del plan.

3. La estrategia nacional de SRI y el plan de cooperación nacional en materia de SRI se deberán remitir a la Comisión en el plazo de un mes tres meses a partir de su adopción. [Enm. 60]

Artículo 6

Autoridad nacional competente Autoridades nacionales competentes y ventanillas únicas en materia de seguridad de las redes y los sistemas de información [Enm. 61]

1. Cada Estado miembro designará una autoridad nacional competente o más autoridades nacionales civiles en materia de seguridad de las redes y los sistemas de información («la (s) autoridad (es) competente (s) »). [Enm. 62]

2. Las autoridades competentes supervisarán la aplicación de la presente Directiva a escala nacional y contribuirán a una aplicación coherente de la misma en toda la Unión.

2 bis. En caso de que un Estado miembro designe más de una autoridad competente, designará una autoridad civil nacional —por ejemplo, una autoridad competente— como ventanilla única nacional en materia de seguridad de las redes y los sistemas de información («ventanilla única»). Si un Estado miembro designa únicamente una autoridad competente, dicha autoridad también será la ventanilla única. [Enm. 63]

2 ter. Las autoridades competentes y la ventanilla única de un mismo Estado miembro cooperarán estrechamente en lo relativo a las obligaciones establecidas en la presente Directiva. [Enm. 64]

2 quater. La ventanilla única garantizará la cooperación transfronteriza con otras ventanillas únicas. [Enm. 65]

3. Los Estados miembros velarán por que las autoridades competentes y las ventanillas únicas dispongan de suficientes recursos técnicos, financieros y humanos para llevar a cabo las tareas a ellas asignadas de forma eficiente y eficaz y cumplir así los objetivos de la presente Directiva. Los Estados miembros garantizarán una cooperación eficiente, eficaz y segura entre las autoridades competentes ventanillas únicas a través de la red a que se hace referencia en el artículo 8. [Enm. 66]

4. Los Estados miembros velarán por que las autoridades competentes y las ventanillas únicas, cuando proceda de conformidad con el apartado 2 bis del presente artículo, reciban las notificaciones de incidentes de las administraciones públicas y los operadores del mercado con arreglo al artículo 14, apartado 2, y se les confieran las competencias de aplicación a que se refiere el artículo 15. [Enm. 67]

4 bis. Cuando la legislación de la Unión prevea un organismo europeo de regulación o supervisión específico para un sector, por ejemplo sobre seguridad de las redes y los sistemas de información, este organismo recibirá de los operadores del mercado afectados de ese sector las notificaciones de incidentes con arreglo al artículo 14, apartado 2, y le serán concedidas las competencias de ejecución a que se refiere el artículo 15. Este organismo de la Unión cooperará estrechamente con las autoridades competentes y las ventanillas únicas del Estado miembro de acogida en lo que respecta a estas obligaciones. La ventanilla única del Estado miembro de acogida representará al organismo de la Unión en lo que respecta a las obligaciones del capítulo III. [Enm. 68]

5. Las autoridades competentes y las ventanillas únicas llevarán a cabo consultas y cooperarán, cuando proceda, con las fuerzas de seguridad nacionales y las autoridades responsables de la protección de datos. [Enm. 69]

6. Los Estados miembros notificarán sin demora a la Comisión la autoridad competente las autoridades competentes y la ventanilla única que hayan designado, su cometido y cualquier cambio posterior que se introduzca en él. Los Estados miembros harán pública la designación de la autoridad competente las autoridades competentes . [Enm. 70]

Artículo 7

Equipo de respuesta a emergencias informáticas

1. Cada Estado miembro creará al menos un equipo de respuesta a emergencias informáticas («CERT») para cada uno de los sectores establecidos en el anexo II, responsable de la gestión de incidentes y riesgos de acuerdo con un procedimiento claramente definido, que se ajustará a los requisitos establecidos en el anexo I, punto 1. Podrá crearse un CERT en el marco de la autoridad competente. [Enm. 71]

2. Los Estados miembros velarán por que los CERT cuenten con suficientes recursos técnicos, financieros y humanos para llevar a cabo efectivamente las tareas que les correspondan, establecidas en el anexo I, punto 2.

3. Los Estados miembros velarán por que los CERT dispongan a escala nacional de infraestructuras de comunicación e información seguras y resilientes, que serán compatibles e interoperables con el sistema seguro de intercambio de información a que se hace referencia en el artículo 9.

4. Los Estados miembros informarán a la Comisión de los recursos, el mandato y el procedimiento de gestión de incidentes de los CERT.

5. Los CERT actuarán bajo la supervisión de la autoridad competente o de la ventanilla única , que comprobará periódicamente la adecuación de sus recursos, su mandato y la eficacia de su procedimiento de gestión de incidentes. [Enm. 72]

5 bis. Los Estados miembros garantizarán que los CERT dispongan de los recursos humanos y financieros adecuados para participar en redes de cooperación internacionales y, en particular, de la Unión. [Enm. 73]

5 ter. Se permitirá y fomentará que los CERT inicien ejercicios conjuntos y participen en ellos con otros CERT, con CERT de todos los Estados miembros y con las entidades oportunas de Estados no pertenecientes a la UE, así como con CERT de instituciones multinacionales e internacionales, como la Organización del Tratado del Atlántico Norte y las Naciones Unidas. [Enm. 74]

5 quater. Los Estados miembros podrán solicitar la asistencia de la ENISA o de otros Estados miembros cuando desarrollen sus CERT nacionales. [Enm. 75]

CAPÍTULO III

COOPERACIÓN ENTRE LAS AUTORIDADES COMPETENTES

Artículo 8

Red de cooperación

1. Las autoridades competentes y ventanillas únicas, la Comisión y la ENISA crearán una red («red de cooperación») para colaborar contra los riesgos e incidentes que afecten a las redes y los sistemas de información. [Enm. 76]

2. La Comisión y las autoridades competentes ventanillas únicas mantendrán una comunicación constante en el marco de la red de cooperación. Cuando así se le solicite, la Agencia Europea de Seguridad de las Redes y de la Información («ENISA») asistirá a la red de cooperación ofreciéndole su experiencia, conocimientos y asesoramiento. Cuando proceda, podrá invitarse también a operadores del mercado y proveedores de soluciones de ciberseguridad a participar en las actividades de la red de cooperación a que se refiere el apartado 3, letras g) e i).

Cuando proceda, la red de cooperación cooperará con las autoridades de protección de datos.

La Comisión informará regularmente a la red de cooperación de la investigación sobre seguridad y otros programas pertinentes de Horizonte 2020. [Enm. 77]

3. En el marco de la red de cooperación, las autoridades competentes ventanillas únicas :

a)	difundirán alertas tempranas sobre riesgos e incidentes de conformidad con el artículo 10;

b)	ofrecerán una respuesta coordinada de conformidad con el artículo 11;

c)	publicarán periódicamente en un sitio web común información no confidencial sobre las alertas tempranas y las respuestas coordinadas en curso;

d)	examinarán y evaluarán conjuntamente, a petición de un Estado miembro o de la Comisión, uno o varios planes de cooperación nacionales en materia de SRI y estrategias nacionales de SRI, contemplados en el artículo 5, en el marco de la presente Directiva;

e)	examinarán y evaluarán conjuntamente, a petición de un Estado miembro o de la Comisión, la eficacia de los CERT, especialmente cuando los ejercicios de SRI se realicen a escala de la Unión;

cooperarán e intercambiarán información conocimientos especializados sobre todas las cuestiones pertinentes con el Centro Europeo de Ciberdelincuencia de Europol y con otros organismos europeos pertinentes en materia de redes y seguridad de la información , en particular en los sectores de la protección de datos, la energía, los transportes, la banca, la bolsa los mercados financieros y la sanidad , con el Centro Europeo de Ciberdelincuencia en Europol y con otros organismos europeos pertinentes ;

f bis)

cuando proceda, informarán al Coordinador de la lucha contra el terrorismo de la Unión mediante un informe y podrán solicitar asistencia para análisis, trabajos preparatorios y acciones de la red de cooperación;

g)	intercambiarán información y mejores prácticas entre sí y con la Comisión, y se ayudarán mutuamente con el fin de crear capacidades en materia de SRI;

h)	organizarán revisiones por homólogos periódicas sobre capacidades y preparación;

i)	organizarán ejercicios de SRI a escala de la Unión y participarán, en su caso, en ejercicios de SRI internacionales.

i bis)

fomentarán la participación de los operadores del mercado, les consultarán e intercambiarán información con ellos, cuando proceda, sobre riesgos e incidentes que afecten a su red y sus sistemas de información;

i ter)

desarrollarán, con la cooperación de la ENISA, orientaciones sobre los criterios específicos del sector para la notificación de incidentes significativos, además de los parámetros establecidos en el artículo 14, apartado 2, para la interpretación común y la aplicación y ejecución coherentes en la Unión. [Enm. 78]

3 bis. La red de cooperación publicará un informe anual basado en las actividades de la red y en el informe resumido presentado con arreglo al artículo 14, apartado 4, de la presente Directiva, referido a los doce meses precedentes. [Enm. 79]

4. La Comisión establecerá mediante actos de ejecución las disposiciones necesarias para facilitar la cooperación entre las autoridades competentes ventanillas únicas, y la Comisión y la ENISA a que se hace referencia en los apartados 2 y 3. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de consulta examen contemplado en el artículo 19, apartado 2. [Enm. 80]

Artículo 9

Sistema seguro de intercambio de información

1. El intercambio de información delicada y confidencial dentro de la red de cooperación se efectuará a través de una infraestructura segura.

1 bis. Los participantes en la infraestructura segura cumplirán, entre otras cosas, las medidas adecuadas de seguridad y de confidencialidad con arreglo a la Directiva 95/46/CE y al Reglamento (CE) no 45/2001 en todas las fases del procedimiento. [Enm. 81]

2. La Comisión estará facultada para adoptar actos delegados de conformidad con el artículo 18 a fin de fijar los criterios que ha de reunir un Estado miembro para ser autorizado a participar en el sistema seguro de intercambio de información, en relación con:

a)	la disponibilidad a escala nacional de infraestructuras de comunicación e información seguras y resilientes que sean compatibles e interoperables con la infraestructura segura de la red de cooperación de conformidad con el artículo 7, apartado 3, y

la existencia de recursos y procedimientos técnicos, financieros y humanos adecuados para su autoridad competente y el CERT, de modo que sea posible una participación eficiente, eficaz y segura en el sistema seguro de intercambio de información contemplado en el artículo 6, apartado 3, el artículo 7, apartado 2, y el artículo 7, apartado 3. [Enm. 82]

3. La Comisión adoptará mediante actos de ejecución decisiones sobre el acceso de los Estados miembros a esta infraestructura segura, con arreglo a los criterios mencionados en los apartados 2 y 3. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 19, apartado 3 delegados con arreglo al artículo 18 un conjunto común de normas de interconexión y de seguridad que las ventanillas únicas deberán cumplir antes de intercambiar información sensible y confidencial en la red de cooperación . [Enm. 83]

Artículo 10

Alertas tempranas

1. Las autoridades competentes ventanillas únicas o la Comisión difundirán alertas tempranas en el marco de la red de cooperación en relación con los riesgos e incidentes que cumplan como mínimo una de las condiciones siguientes:

a)	riesgos e incidentes cuya magnitud aumente o pueda aumentar rápidamente;

b)	riesgos e incidentes que sobrepasen o puedan sobrepasar las ventanillas únicas consideren que posiblemente exceden la capacidad nacional de respuesta;

c)	riesgos e incidentes que afecten o puedan afectar las ventanillas únicas o la Comisión consideren que afectan a más de un Estado miembro. [Enm. 84]

2. Las autoridades competentes ventanillas únicas y la Comisión incluirán en sus alertas tempranas , sin demoras injustificadas, toda la información pertinente que obre en su poder y pueda ser de utilidad para evaluar el riesgo o incidente. [Enm. 85]

3. A petición de un Estado miembro o por iniciativa propia, la Comisión podrá solicitar a un Estado miembro que proporcione la información pertinente sobre un riesgo o incidente concreto. [Enm. 86]

4. Cuando se sospeche que el riesgo o incidente objeto de una alerta temprana es de carácter delictivo, las autoridades competentes o la Comisión informarán de ello al y cuando el operador del mercado en cuestión haya notificado incidentes de carácter grave y supuestamente delictivo con arreglo al artículo 15, apartado 4, los Estados miembros se asegurarán de que el Centro Europeo de Ciberdelincuencia de Europol esté informado, si procede . [Enm. 87]

4 bis. Los miembros de la red de cooperación no harán pública ninguna información que reciban sobre los riesgos e incidentes a los que se refiere el apartado 1 sin haber recibido la aprobación previa de la ventanilla única responsable de la notificación.

Además, antes de intercambiar información en la red de cooperación, la ventanilla única responsable de la notificación informará de su intención al operador del mercado al que hace referencia la información y, cuando lo considere apropiado, mantendrá anónima la información de que se trate. [Enm. 88]

4 ter. Cuando se sospeche que el riesgo o incidente objeto de una alerta temprana es de carácter técnico, transfronterizo y grave, las ventanilla únicas o la Comisión informarán de ello a la ENISA. [Enm. 89]

5. La Comisión estará facultada para adoptar actos delegados de conformidad con el artículo 18 con el fin de especificar los riesgos e incidentes que pueden activar la alerta temprana mencionada en el apartado 1 del presente artículo.

Artículo 11

Respuesta cordinada

1. Cuando reciban la alerta temprana a que se refiere el artículo 10, las autoridades competentes ventanillas únicas evaluarán la información pertinente y acordarán , sin demoras injustificadas, una respuesta coordinada de conformidad con el plan de cooperación de la Unión en materia de SRI contemplado en el artículo 12. [Enm. 90]

2. Las diversas medidas adoptadas a escala nacional a raíz de la respuesta coordinada se notificarán a la red de cooperación.

Artículo 12

Plan de cooperación de la Unión en materia de SRI

1. La Comisión estará facultada para adoptar mediante actos de ejecución un plan de cooperación de la Unión en materia de SRI. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 19, apartado 3.

2. El plan de cooperación de la Unión en materia de SRI establecerá:

a los efectos del artículo 10:

—	el formato y los procedimientos de recopilación e intercambio de información compatible y comparable sobre riesgos e incidentes por parte de las autoridades competentes ventanillas únicas , [Enm. 91]

—	los procedimientos y criterios de evaluación de riesgos e incidentes por parte de la red de cooperación;

b)	los procedimientos que se han de seguir para ofrecer las respuestas coordinadas previstas en el artículo 11, entre ellos el reparto de funciones y responsabilidades y los procedimientos de cooperación;

c)	una hoja de ruta sobre ejercicios y actividades de formación en el ámbito de la SRI para reforzar, validar y someter a ensayo el plan;

d)	un programa de transferencia de conocimientos entre los Estados miembros en materia de desarrollo de capacidades y aprendizaje entre homólogos;

e)	un programa de concienciación y formación entre los Estados miembros.

3. El plan de cooperación de la Unión en materia de SRI deberá adoptarse dentro del año siguiente a la entrada en vigor de la presente Directiva y se revisará periódicamente. Los resultados de cada revisión se notificarán al Parlamento Europeo. [Enm. 92]

3 bis. Se velará por la coherencia entre el plan de cooperación en materia de SRI de la Unión y las estrategias nacionales de SRI con arreglo a lo establecido en el artículo 5. [Enm. 93]

Artículo 13

Cooperación internacional

Sin perjuicio de la posibilidad de que la red de cooperación mantenga relaciones informales de colaboración a escala internacional, la Unión podrá concluir acuerdos internacionales con terceros países u organizaciones internacionales que hagan posible y organicen su participación en algunas actividades de la red de cooperación. En tales acuerdos se tendrá en cuenta la necesidad de deparar una protección adecuada a los datos personales que circulen en la red de cooperación y se especificará el procedimiento de control que deberá realizarse para garantizar la protección de los datos personales que circulen en la red de cooperación . Se informará al Parlamento Europeo de la negociación de los acuerdos. Toda transferencia de datos de carácter personal a destinatarios de países de fuera de la Unión se llevará a cabo con arreglo a los artículos 25 y 26 de la Directiva 95/46/CE, y al artículo 9 del Reglamento (CE) no 45/2001 . [Enm. 94]

Artículo 13 bis

Nivel de criticidad de los operadores del mercado

Los Estados miembros podrán determinar el nivel de criticidad de los operadores del mercado, teniendo en cuenta las particularidades de los sectores, parámetros como la importancia de un operador del mercado en particular para mantener un nivel suficiente del servicio sectorial, el número de partes proporcionadas por el operador del mercado, y que el plazo hasta la discontinuidad de los servicios básicos del operador tenga un efecto negativo en el mantenimiento de actividades sociales y económicas vitales. [Enm. 95]

CAPÍTULO IV

SEGURIDAD DE LAS REDES Y SISTEMAS DE INFORMACIÓN DE LAS ADMINISTRACIONES PÚBLICAS Y LOS OPERADORES DEL MERCADO

Artículo 14

Requisitos en materia de seguridad y notificación de incidentes

1. Los Estados miembros velarán por que las administraciones públicas y los operadores del mercado tomen las medidas técnicas y de organización apropiadas y proporcionadas para detectar gestionar eficazmente los riesgos existentes para la seguridad de las redes y los sistemas de información que controlan y utilizan en sus operaciones. Habida cuenta del estado de la técnica, dichas medidas garantizarán un nivel de seguridad adecuado en relación con el riesgo existente. En particular, adoptarán medidas para prevenir y reducir al mínimo los efectos de los incidentes que afecten a la seguridad de sus redes y sistemas de información en los servicios básicos que prestan, garantizando de este modo la continuidad de los servicios que dependen de tales redes y sistemas de información. [Enm. 96]

2. Los Estados miembros velarán por que las administraciones públicas y los operadores del mercado notifiquen sin demoras injustificadas a la autoridad competente o a la ventanilla única los incidentes que tengan efectos significativos en la seguridad continuidad de los servicios básicos que prestan. La notificación no expondrá a la parte que notifica a una mayor responsabilidad.

A fin de determinar la importancia del impacto de un incidente, se tendrán en cuenta, entre otros, los siguientes parámetros: [Enm. 97]

a)	el número de usuarios cuyo servicio básico se ve afectado; [Enm. 98]

b)	la duración del incidente; [Enm. 99]

c)	la extensión geográfica con respecto a la zona afectada por el incidente. [Enm. 100]

Dichos parámetros se especificarán en más detalle de conformidad con lo dispuesto en la letra i ter) del artículo 8, apartado 3. [Enm. 101]

2 bis. Los operadores del mercado notificarán los incidentes contemplados en los apartados 1 y 2 a la autoridad competente o a la ventanilla única del Estado miembro donde se haya visto afectado el servicio básico. Si se han visto afectados servicios básicos en más de un Estado miembro, la ventanilla única que reciba la notificación alertará, basándose en la información proporcionada por el operador del mercado, a las demás ventanillas únicas afectadas. El operador del mercado será informado lo antes posible de qué otras ventanillas únicas han sido informadas del incidente, así como de las medidas adoptadas, los resultados o cualquier información relacionada con el incidente. [Enm. 102]

2 ter. Si la notificación contiene datos personales, se divulgará solamente a los destinatarios de la autoridad competente notificada o de la ventanilla única que tengan que procesarlos para desempeñar sus cometidos de conformidad con las normas de protección de datos. Los datos divulgados se limitarán a lo necesario para el ejercicio de sus funciones. [Enm. 103]

2 quater. Los operadores del mercado no contempladas en el anexo II podrán notificar incidentes con arreglo al artículo 14, apartado 2, de forma voluntaria. [Enm. 104]

3. Los requisitos establecidos en los apartados 1 y 2 serán aplicables a todos los operadores del mercado que prestan servicios en la Unión Europea.

4. Cuando estime que la divulgación de un incidente redunda en el interés público, Tras consultar con la autoridad competente notificada y con el operador del mercado de que se trate, la ventanilla única podrá informar de él a los ciudadanos o pedir a las administraciones públicas y los operadores acerca de incidentes individuales, donde la concienciación pública sea necesaria para evitar un incidente o tratar con un incidente en curso, o donde el operador del mercado que lo hagan , sujeto a un incidente, haya rechazado solucionar sin retrasos indebidos una vulnerabilidad estructural grave relacionada con dicho incidente .

Antes de divulgar la información al público, la autoridad competente notificada garantizará que el operador del mercado en cuestión tiene la posibilidad de ser oído y que la decisión de divulgación pública guarda el debido equilibrio con el interés público.

Cuando se publique información sobre incidentes concretos, la autoridad competente notificada o la ventanilla única garantizarán que sea lo más anónima posible.

La autoridad competente o la ventanilla única proporcionarán, si es razonablemente posible, al operador del mercado afectado información de apoyo para una gestión eficaz del incidente notificado.

Una vez al año, la autoridad competente ventanilla única presentará a la red de cooperación un informe resumido sobre las notificaciones recibidas , con el número de notificaciones y en relación con los parámetros para incidentes enumerados en el apartado 2 del presente artículo, y las medidas adoptadas de acuerdo con el presente apartado. [Enm. 105]

4 bis. Los Estados miembros recomendarán a los operadores del mercado que anuncien los incidentes que afecten a su empresa en sus informes financieros de forma voluntaria. [Enm. 106]

5. La Comisión estará facultada para adoptar actos delegados de conformidad con el artículo 18 con el fin de determinar las circunstancias en que las administraciones públicas y los operadores del mercado estarán obligados a notificar incidentes. [Enm. 107]

6. A reserva de cualesquiera actos delegados adoptados en virtud del apartado 5, Las autoridades competentes o las ventanillas únicas podrán adoptar directrices y, en caso necesario, impartir instrucciones sobre las circunstancias en que las administraciones públicas y los operadores del mercado estarán obligados a notificar incidentes. [Enm. 108]

7. La Comisión estará facultada para determinar mediante actos de ejecución los formatos y procedimientos aplicables a los efectos del apartado 2. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 19, apartado 3.

8. Los apartados 1 y 2 no serán aplicables a las microempresas, según la definición que recoge la Recomendación 2003/361/CE de la Comisión (18) , a menos que la microempresa funcione como subsidiario de un operador con arreglo a la definición del artículo 3, apartado 8, letra b) . [Enm. 109]

8 bis. Los Estados miembros podrán decidir aplicar el presente artículo y el artículo 15 a las administraciones públicas mutatis mutandis. [Enm. 110]

Artículo 15

Aplicación y observancia

1. Los Estados miembros velarán por que las autoridades competentes y las ventanillas únicas dispongan de todas las competencias necesarias para investigar los casos de incumplimiento garantizar el cumplimiento por parte de las administraciones públicas o los operadores del mercado de las obligaciones que les impone el artículo 14 y los efectos que tengan en la seguridad de las redes y los sistemas de información. [Enm. 111]

2. Los Estados miembros velarán por que las autoridades competentes y a las ventanillas únicas estén facultadas para exigir a los operadores del mercado y a las administraciones públicas: [Enm. 112]

a)	que proporcionen la información necesaria para evaluar la seguridad de sus redes y sistemas de información, incluida la documentación sobre las políticas de seguridad;

que se sometan a ofrezcan pruebas de la aplicación eficaz de las políticas de seguridad, como los resultados de una auditoría de seguridad practicada por un organismo independiente o una autoridad nacional cualificados y pongan los resultados las pruebas en conocimiento de la autoridad competente o de la ventanilla única . [Enm. 113]

Cuando formulen dicha exigencia, las autoridades competentes y las ventanillas únicas expondrán el objetivo de la misma y especificarán en el grado suficiente la información exigida. [Enm. 114]

3. Los Estados miembros velarán por que las autoridades competentes y las ventanillas únicas estén facultadas para impartir instrucciones vinculantes a los operadores del mercado y a las administraciones públicas. [Enm. 115]

3 bis. Con carácter de excepción a lo dispuesto en la letra b) del apartado 2 del presente artículo, los Estados miembros podrán decidir que las autoridades competentes o las ventanillas únicas, según sea aplicable, apliquen un procedimiento diferente a determinados operadores del mercado, sobre la base de su nivel de criticidad establecido de conformidad con el artículo 13 bis. En caso que así lo decidan los Estados miembros:

las autoridades competentes o las ventanillas únicas, según sea aplicable, tendrán la facultad de presentar una petición suficientemente específica a los operadores del mercado solicitándoles que aporten pruebas de la aplicación efectiva de políticas de seguridad, tales como los resultados de una auditoría de seguridad realizada por un auditor interno cualificado, y que pongan las pruebas a disposición de la autoridad competente o la ventanilla única;

b)	cuando proceda, tras la presentación de la petición del operador del mercado mencionada en la letra a), la autoridad competente o la ventanilla única podrán solicitar pruebas o una auditoría adicionales que deberá realizar o bien un organismo independiente cualificado o una autoridad nacional.

3 ter. Los Estados miembros podrán reducir el número y la intensidad de las auditorías para un operador del mercado determinado si su auditoría de seguridad indica el cumplimiento de forma consecuente de lo dispuesto en el capítulo IV. [Enm. 116]

4. Las autoridades competentes notificarán y las ventanillas únicas informarán a los operadores del mercado en cuestión sobre la posibilidad de notificar los incidentes de carácter grave y supuestamente delictivo a los cuerpos de seguridad. [Enm. 117]

5. Sin perjuicio de las normas aplicables sobre protección de datos, las autoridades competentes y las ventanillas únicas cooperarán estrechamente con las autoridades responsables de la protección de datos personales a la hora de hacer frente a incidentes que den lugar a violaciones de datos personales. Las ventanillas únicas y las autoridades de protección de datos desarrollarán, con la cooperación de ENISA, mecanismos de intercambio de información y un modelo único que ambas utilizarán para las notificaciones en virtud del artículo 14, apartado 2, de la presente Directiva y de la restante legislación de la Unión en materia de protección de datos. [Enm. 118]

6. Los Estados miembros garantizarán que cualesquiera obligaciones impuestas a las administraciones públicas y a los operadores del mercado en virtud del presente capítulo puedan estar sujetas a control judicial. [Enm. 119]

6 bis. Los Estados miembros podrán decidir aplicar el artículo 14 y el presente artículo a las administraciones públicas mutatis mutandis. [Enm. 120]

Artículo 16

Normalización

1. A fin de garantizar una aplicación convergente de lo dispuesto en el artículo 14, apartado 1, los Estados miembros , sin prescribir el empleo de ninguna tecnología en particular, fomentarán la utilización de las normas y /o especificaciones internacionales interoperables pertinentes en materia de seguridad de las redes y la información. [Enm. 121]

2. La Comisión elaborará mediante actos de ejecución conferirá a un organismo europeo de normalización pertinente el mandato de elaborar, en consulta con las partes interesadas pertinentes, una lista de las normasy /o especificaciones mencionadas en el apartado 1. Dicha lista se publicará en el Diario Oficial de la Unión Europea. [Enm. 122]

CAPÍTULO V

DISPOSICIONES FINALES

Artículo 17

Sanciones

1. Los Estados miembros establecerán normas sobre las sanciones aplicables a las infracciones de las disposiciones nacionales adoptadas en virtud de la presente Directiva y tomarán todas las medidas necesarias para garantizar su aplicación. Las sanciones adoptadas deberán ser eficaces, proporcionadas y disuasorias. Los Estados miembros notificarán esas disposiciones a la Comisión a más tardar en la fecha de transposición de la presente Directiva, y le notificarán además sin demora cualquier modificación posterior que les afecte.

1 bis. Los Estados miembros garantizarán que la sanciones contempladas en el apartado 1 del presente artículo solo se apliquen cuando el operador del mercado no haya cumplido las obligaciones con arreglo al capítulo IV de forma deliberada o por negligencia grave. [Enm. 123]

2. Los Estados miembros garantizarán que, en caso de que un incidente de seguridad afecte a datos personales, las sanciones previstas guarden coherencia con las sanciones establecidas en el Reglamento del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (19).

Artículo 18

Ejercicio de la delegación

1. Se otorgan a la Comisión poderes para adoptar actos delegados de acuerdo con las condiciones establecidas en el presente artículo.

2. Se otorgan a la Comisión los poderes para adoptar los actos delegados a que se refieren el artículo 9, apartado 3, y el artículo 10, apartado 5. La Comisión elaborará un informe sobre los poderes delegados a más tardar nueve meses antes de que finalice el período de cinco años. La delegación de poderes se prorrogará automáticamente por períodos de idéntica duración, excepto si el Parlamento Europeo o el Consejo se oponen a dicha prórroga a más tardar tres meses antes del final de cada período.

3. La delegación de poderes a que se refieren refiere el artículo 9, apartado 3 y el artículo 10, apartado 5, y el artículo 14, apartado 5, podrá ser revocada en cualquier momento por el Parlamento Europeo o por el Consejo. La decisión de revocación pondrá término a la delegación de los poderes que en ella se especifiquen. Surtirá efecto al día siguiente de la publicación de la decisión en el Diario Oficial de la Unión Europea o en una fecha posterior que se precisará en dicha decisión. No afectará a la validez de los actos delegados que ya estén en vigor. [Enm. 124]

4. En cuanto la Comisión adopte un acto delegado, lo notificará simultáneamente al Parlamento Europeo y al Consejo.

5. Los actos delegados adoptados en virtud del artículo 9, apartado 2 y del artículo 10, apartado 5, y del artículo 14, apartado 5, entrarán en vigor únicamente si, en un plazo de dos meses desde su notificación al Parlamento Europeo y al Consejo, ni el Parlamento Europeo ni el Consejo formulan objeciones o si, antes del vencimiento de dicho plazo, tanto el uno como el otro informan a la Comisión de que no las formularán. Este plazo se prorrogará dos meses a iniciativa del Parlamento Europeo o del Consejo. [Enm. 125]

Artículo 19

Procedimiento de comité

1. La Comisión estará asistida por un comité (el Comité de Seguridad de las Redes y de la Información). Dicho comité será un comité en la acepción del Reglamento (UE) no 182/2011.

2. En los casos en que se haga referencia al presente apartado, será de aplicación el artículo 4 del Reglamento (UE) no 182/2011.

3. En los casos en que se haga referencia al presente apartado, será de aplicación el artículo 5 del Reglamento (UE) no 182/2011.

Artículo 20

Revisión

La Comisión revisará periódicamente el funcionamiento de la presente Directiva , en particular la lista contenida en el anexo II, e informará al Parlamento Europeo y al Consejo. El primer informe se presentará a más tardar tres años después de la fecha de transposición mencionada en el artículo 21. A tal fin, la Comisión podrá solicitar a los Estados miembros que faciliten información sin demoras injustificadas. [Enm. 126]

Artículo 21

Transposición

1. Los Estados miembros adoptarán y publicarán, a más tardar [un año y medio después de la fecha de adopción], las disposiciones legales, reglamentarias y administrativas necesarias para dar cumplimiento a lo establecido en la presente Directiva. Comunicarán inmediatamente a la Comisión el texto de dichas disposiciones.

Aplicarán esas medidas a partir del [un año y medio después de la fecha de adopción].

Cuando los Estados miembros adopten dichas disposiciones, estas harán referencia a la presente Directiva o irán acompañadas de dicha referencia en su publicación oficial. Los Estados miembros establecerán las modalidades de la mencionada referencia.

2. Los Estados miembros comunicarán a la Comisión el texto de las disposiciones básicas de Derecho interno que adopten en el ámbito regulado por la presente Directiva.

Artículo 22

Entrada en vigor

La presente Directiva entrará en vigor a los [veinte] días de su publicación en el Diario Oficial de la Unión Europea.

Artículo 23

Destinatarios

Los destinatarios de la presente Directiva son los Estados miembros.

Hecho en …, el

Por el Parlamento Europeo

El Presidente

Por el Consejo

El Presidente

(1) DO C 271 de 19.9.2013, p. 133.

(2) Posición del Parlamento Europeo de 13 de marzo de 2014.

(3) Directiva 2002/21/CE del Parlamento Europeo y del Consejo, de 7 de marzo de 2002, relativa a un marco regulador común de las redes y los servicios de comunicaciones electrónicas (Directiva Marco) (DO L 108 de 24.4.2002, p. 33).

(4) Decisión 2011/292/UE del Consejo, de 31 de marzo de 2011, sobre las normas de seguridad para la protección de la información clasificada de la UE (DO L 141 de 27.5.2011, p. 17).

(5) Directiva 95/46/CE del Parlamento Europeo y del Consejo de 24 de octubre de 1995 relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (DO L 281 de 23.11.1995, p. 31).

(6) Reglamento (CE) no 45/2001 del Parlamento Europeo y del Consejo de 18 de diciembre de 2000 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones y los organismos comunitarios y a la libre circulación de estos datos (DO L 8 de 12.1.2001, p. 1).

(7) Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas) (DO L 201 de 31.7.2002, p. 37).

(8) Directiva 98/34/CE del Parlamento Europeo y del Consejo, de 22 de junio de 1998, por la que se establece un procedimiento de información en materia de las normas y reglamentaciones técnicas y de las reglas relativas a los servicios de la sociedad de la información (DO L 204 de 21.7.1998, p. 37).

(9) SEC(2012) 72 final.

(10) Reglamento (UE) no 1025/2012 del Parlamento Europeo y del Consejo, de 25 de octubre de 2012, sobre la normalización europea, por el que se modifican las Directivas 89/686/CEE y 93/15/CEE del Consejo y las Directivas 94/9/CE, 94/25/CE, 95/16/CE, 97/23/CE, 98/34/CE, 2004/22/CE, 2007/23/CE, 2009/23/CE y 2009/105/CE del Parlamento Europeo y del Consejo y por el que se deroga la Decisión 87/95/CEE del Consejo y la Decisión no 1673/2006/CE del Parlamento Europeo y del Consejo (DO L 316 de 14.11.2012, p. 12).

(11) Reglamento (UE) no 182/2011 del Parlamento Europeo y del Consejo, de 16 de febrero de 2011, por el que se establecen las normas y los principios generales relativos a las modalidades de control por parte de los Estados miembros del ejercicio de las competencias de ejecución por la Comisión (DO L 55 de 28.2.2011, p. 13).

(12) Reglamento (CE) no 1049/2001 del Parlamento Europeo y del Consejo, de 30 de mayo de 2001, relativo al acceso del público a los documentos del Parlamento Europeo, del Consejo y de la Comisión (DO L 145 de 31.5.2001, p. 43).

(13) DO C 32 de 4.2.2014, p. 19.

(14) Directiva 2008/114/CE del Consejo, de 8 de diciembre de 2008, sobre la identificación y designación de infraestructuras críticas europeas y la evaluación de la necesidad de mejorar su protección (DO L 345 de 23.12.2008, p. 75).

(15) Decisión 2009/371/JAI del Consejo, de 6 de abril de 2009 , por la que se crea la Oficina Europea de Policía (Europol) (DO L 121 de 15.5.2009, p. 37).

(16) Reglamento (UE) no 611/2013 de la Comisión, de 24 de junio de 2013, relativo a las medidas aplicables a la notificación de casos de violación de datos personales en el marco de la Directiva 2002/58/CE del Parlamento Europeo y del Consejo sobre la privacidad y las comunicaciones electrónicas (DO L 173 de 26.6.2013, p. 2).

(17) Directiva 2004/39/CE del Parlamento Europeo y del Consejo, de 21 de abril de 2004, relativa a los mercados de instrumentos financieros (DO L 45 de 16.2.2005, p. 18).

(18) Recomendación 2003/361/CE de la Comisión, de 6 de mayo de 2003, sobre la definición de microempresas, pequeñas y medianas empresas (DO L 124 de 20.5.2003, p. 36).

(19) SEC(2012) 72 final.

ANEXO I

Obligaciones y tareas del equipo los equipos de respuesta a emergencias informáticas (CERT) [Enm. 127]

Las obligaciones y tareas del CERT estarán adecuada y claramente definidas y se basarán en la política o la reglamentación nacional. Incluirán los siguientes elementos:

Obligaciones del CERT

El Los CERT garantizará garantizarán una gran disponibilidad de sus servicios de comunicaciones evitando los fallos puntuales simples y contará con varios medios para ser contactado y contactar con otros en todo momento . Además, los canales de comunicación estarán claramente especificados y serán bien conocidos por los grupos de usuarios y los socios colaboradores. [Enm. 128]

b)	El CERT aplicará y gestionará medidas de seguridad para garantizar la confidencialidad, integridad, disponibilidad y autenticidad de la información que reciba y trate.

c)	Las dependencias del de los CERT y los sistemas de información de apoyo estarán situados en lugares seguros con redes y sistemas de información protegidos . [Enm. 129]

d)	Se creará un sistema de calidad de la gestión del servicio a fin de supervisar el funcionamiento del CERT y garantizar un proceso continuo de mejora. Se basará en sistemas de medición claramente definidos, entre los que figurarán niveles de servicio formales e indicadores de resultados clave.

Continuidad de las actividades:

—	El CERT dispondrá de un sistema adecuado para gestionar y encaminar las solicitudes con el fin de facilitar los traspasos.

—	El CERT contará con personal suficiente para garantizar su disponibilidad en todo momento.

—	El CERT dependerá de infraestructuras cuya continuidad esté asegurada. A tal fin, se crearán sistemas redundantes y espacios de trabajo de reserva para el CERT al objeto de garantizar un acceso permanente a los medios de comunicación.

Tareas del CERT

Entre las tareas del CERT figurarán como mínimo las siguientes:

—	Detectar y supervisar incidentes a escala nacional. [Enm. 130]

—	Difundir alertas tempranas, alertas, avisos e información sobre riesgos e incidentes entre las partes interesadas.

—	Responder a incidentes.

—	Efectuar un análisis dinámico de riesgos e incidentes y de conocimiento de la situación.

—	Lograr una amplia concienciación del público sobre los riesgos vinculados a las actividades en línea.

—	Participar activamente en las redes internacionales y de la Unión de cooperación entre CERT. [Enm. 131]

—	Organizar campañas sobre la SRI.

b)	El CERT entablará relaciones de cooperación con el sector privado.

A fin de facilitar la cooperación, el CERT fomentará la adopción y utilización de prácticas comunes o normalizadas:

—	Procedimientos de gestión de incidentes y riesgos.

—	Sistemas de clasificación de incidentes, riesgos e información.

—	Taxonomías de sistemas de medición.

—	Formatos de intercambio de información sobre riesgos e incidentes y convenciones sobre la denominación de sistemas.

ANEXO II

Lista de operadores del mercado

Contemplados en el artículo 3, apartado 8, letra a):

1.	Plataformas de comercio electrónico.

2.	Pasarelas de pago por Internet.

3.	Redes sociales.

4.	Motores de búsqueda.

5.	Servicios de computación en nube.

6.	Tiendas de aplicaciones.

Contemplados en el artículo 3, apartado 8, letra b): [Enm. 132]

Energía:

Electricidad

—	Proveedores de gas y electricidad.

—	Gestores de redes de distribución de gas o electricidad y minoristas para consumidores finales.

—	Gestores de redes de transporte de gas natural, gestores de almacenamiento y gestores de GNL.

—	Gestores de redes de transporte de electricidad.

Petróleo

—	Oleoductos de transporte de crudo y almacenamiento de crudo.

—	Operadores de producción de crudo, instalaciones de refinado y tratamiento, almacenamiento y transporte.

Gas

—	Operadores de los mercados del gas y la electricidad.

—	Proveedores

—	Gestores de redes de distribución y minoristas para consumidores finales.

—	Gestores de redes de transporte de gas natural, gestores de redes de almacenamiento y gestores de GNL.

—	Operadores de producción de crudo y gas natural, instalaciones de refinado y tratamiento , almacenamiento y transporte .

—	Operadores de los mercados del gas. [Enm. 133]

Transportes:

—	Compañías aéreas (transporte aéreo de mercancías y pasajeros).

—	Compañías de transporte marítimo (empresas de transporte marítimo y de cabotaje de pasajeros y empresas de transporte marítimo y de cabotaje de mercancías).

—	Compañías ferroviarias (gestores de infraestructuras, compañías integradas y operadores de transporte ferroviario).

—	Aeropuertos.

—

Puertos.

—	Operadores de control de la gestión del tráfico.

—	Servicios logísticos auxiliares [a) depósito y almacenamiento, b) manipulación de la carga y c) otras actividades auxiliares del transporte].

Transporte por carretera

i)	Operadores de control de la gestión del tráfico.

ii)

Servicios logísticos auxiliares:

—	depósito y almacenamiento,

—	manipulación de la carga, y

—	otras actividades auxiliares del transporte.

Transporte por ferrocarril

i)	Compañías ferroviarias (administradores de infraestructuras, compañías integradas y operadores de transporte ferroviario).

ii)	Operadores de control de la gestión del tráfico.

iii)

Servicios logísticos auxiliares:

—	depósito y almacenamiento,

—	manipulación de la carga, y

—	otras actividades auxiliares del transporte.

Transporte aéreo

i)	Compañías aéreas (transporte aéreo de mercancías y pasajeros).

ii)	Aeropuertos.

iii)	Operadores de control de la gestión del tráfico.

iv)

Servicios logísticos auxiliares:

—	explotación de almacenes de depósito,

—	manipulación de la carga, y

—	otras actividades auxiliares del transporte.

Transporte marítimo

i)	Compañías de transporte marítimo (empresas de transporte marítimo, fluvial y de cabotaje de pasajeros y empresas de transporte marítimo, fluvial y de cabotaje de mercancías). [Enm. 134]

3.	Banca: entidades de crédito con arreglo a la definición del artículo 4, número 1, de la Directiva 2006/48/CE del Parlamento Europeo y del Consejo (1).

4.	Infraestructuras de los mercados financieros: bolsas mercados regulados, sistemas multilaterales de negociación, sistemas organizados de negociación y entidades de contrapartida central. [Enm. 135]

5.	Sector sanitario: entornos de asistencia sanitaria (entre ellos hospitales y clínicas privadas) y otras entidades que prestan asistencia sanitaria.

5 bis.

Producción y el abastecimiento de aguas. [Enm. 136]

5 ter.

Cadena alimentaria. [Enm. 137]

5 quater.

Puntos de intercambio de Internet. [Enm. 138]

(1) Directiva 2006/48/CE del Parlamento Europeo y del Consejo de 14 de junio de 2006 relativa al acceso a la actividad de las entidades de crédito y a su ejercicio (DO L 177 de 30.6.2006, p. 1).