1. Los Estados miembros velarán por que las entidades esenciales e importantes adopten medidas técnicas, operativas y organizativas adecuadas y proporcionadas para gestionar los riesgos que se plantean para la seguridad de la red y de los sistemas de informaciónSeguridad de redes y sistemas de información la capacidad de los sistemas de red y de información de resistir, con un determinado nivel de confianza, cualquier evento que pueda comprometer la disponibilidad, autenticidad, integridad o confidencialidad de los datos almacenados, transmitidos o procesados o de los servicios ofrecidos por dichos sistemas de red y de información o accesibles a través de ellos Definición según el artículo 6 de la Directiva (UE) 2022/2555 (Directiva NIS2) que dichas entidades utilizan para sus operaciones o para la prestación de sus servicios, y para prevenir o minimizar el impacto de los incidentes en los destinatarios de sus servicios y en otros servicios.
Teniendo en cuenta el estado de la técnica y, en su caso, las normas europeas e internacionales pertinentes, así como el coste de su aplicación, las medidas contempladas en el párrafo primero garantizarán un nivel de seguridad de las redes y sistemas de información adecuado a los riesgos planteados. Al evaluar la proporcionalidad de dichas medidas, se tendrá debidamente en cuenta el grado de entidadEntidad Persona física o jurídica creada y reconocida como tal en virtud de la legislación nacional de su lugar de establecimiento, que puede, actuando en nombre propio, ejercer derechos y estar sujeta a obligaciones -. Definición según el artículo 6 de la Directiva (UE) 2022/2555 (Directiva NIS2)La exposición de la entidad a los riesgos, su tamaño y la probabilidad de que se produzcan incidentes y su gravedad, incluidas sus repercusiones sociales y económicas.
2. Las medidas a que se refiere el apartado 1 se basarán en un enfoque que tenga en cuenta todos los riesgos y cuyo objetivo sea proteger las redes y los sistemas de información, así como el entorno físico de dichos sistemas, frente a los incidentes, e incluirán, como mínimo, lo siguiente:
(a) políticas sobre riesgoRiesgo Se refiere al potencial de pérdida o perturbación causado por un incidente y debe expresarse como una combinación de la magnitud de dicha pérdida o perturbación y la probabilidad de que se produzca el incidente. Definición según el artículo 6 de la Directiva (UE) 2022/2555 (Directiva NIS2) análisis y seguridad de los sistemas de información;
(b) gestión de incidentesGestión de incidentes Se refiere a todas las acciones y procedimientos destinados a prevenir, detectar, analizar y contener un incidente, o a responder a él y recuperarse de él. Definición según el artículo 6 de la Directiva (UE) 2022/2555 (Directiva NIS2);
(c) continuidad de la actividad, como gestión de copias de seguridad y recuperación en caso de catástrofe, y gestión de crisis;
(d) la seguridad de la cadena de suministro, incluidos los aspectos relativos a la seguridad de las relaciones entre cada entidad y sus proveedores directos o proveedores de servicios;
(e) seguridad en la adquisición, desarrollo y mantenimiento de redes y sistemas de información, incluyendo vulnerabilidadVulnerabilidad Se refiere a una debilidad, susceptibilidad o defecto de los productos o servicios de las TIC que puede ser explotado por una ciberamenaza -. Definición según el artículo 6 de la Directiva (UE) 2022/2555 (Directiva NIS2) manipulación y divulgación;
(f) políticas y procedimientos para evaluar la eficacia de ciberseguridadCiberseguridad "ciberseguridad": la ciberseguridad definida en el artículo 2, punto 1, del Reglamento (UE) 2019/881; - Definición según el artículo 6 de la Directiva (UE) 2022/2555 (Directiva NIS2) "ciberseguridad": las actividades necesarias para proteger las redes y los sistemas de información, a los usuarios de dichos sistemas y a otras personas afectadas por las ciberamenazas; - Definición según el artículo 2, punto (1), del Reglamento (UE) 2019/881; medidas de gestión de riesgos;
(g) prácticas básicas de ciberhigiene y formación en ciberseguridad;
(h) políticas y procedimientos relativos al uso de criptografía y, en su caso, de cifrado;
(i) seguridad de los recursos humanos, políticas de control de acceso y gestión de activos;
(j) el uso de soluciones de autenticación multifactor o autenticación continua, comunicaciones de voz, vídeo y texto seguras y sistemas de comunicación de emergencia seguros dentro de la entidad, cuando proceda.
3. Los Estados miembros velarán por que, al considerar qué medidas contempladas en el apartado 2, letra d), del presente artículo son adecuadas, las entidades tengan en cuenta las vulnerabilidades específicas de cada proveedor directo y prestador de servicios y la calidad general de los productos y las prácticas de ciberseguridad de sus proveedores y prestadores de servicios, incluidos sus procedimientos de desarrollo seguro. Los Estados miembros velarán asimismo por que, al considerar qué medidas de las mencionadas en dicha letra son adecuadas, las entidades tengan en cuenta los resultados de las evaluaciones coordinadas de los riesgos para la seguridad de las cadenas de suministro críticas realizadas de conformidad con el artículo 22, apartado 1.
4. Los Estados miembros velarán por que una entidad que compruebe que no cumple las medidas previstas en el apartado 2 adopte, sin demora injustificada, todas las medidas correctoras necesarias, adecuadas y proporcionadas.
5. A más tardar el 17 de octubre de 2024, la Comisión adoptará actos de ejecución por los que se establezcan los requisitos técnicos y metodológicos de las medidas a que se refiere el apartado 2 en relación con los proveedores de servicios DNS, los registros de nombres TLD, servicio de computación en nubeServicio de computación en nube Se refiere a un servicio digital que permite la administración bajo demanda y un amplio acceso remoto a un conjunto escalable y elástico de recursos informáticos compartibles, incluso cuando dichos recursos están distribuidos en varias ubicaciones -. Definición según el artículo 6 de la Directiva (UE) 2022/2555 (Directiva NIS2) proveedores, servicio de centro de datosServicio de centro de datos designa un servicio que engloba estructuras, o grupos de estructuras, dedicadas al alojamiento centralizado, la interconexión y el funcionamiento de equipos informáticos y de red que prestan servicios de almacenamiento, tratamiento y transporte de datos, junto con todas las instalaciones e infraestructuras de distribución de energía y control ambiental -. Definición según el artículo 6 de la Directiva (UE) 2022/2555 (Directiva NIS2) proveedores, red de distribución de contenidosRed de distribución de contenidos Se refiere a una red de servidores distribuidos geográficamente con el fin de garantizar una alta disponibilidad, accesibilidad o entrega rápida de contenidos y servicios digitales a los usuarios de Internet en nombre de los proveedores de contenidos y servicios -. Definición según el artículo 6 de la Directiva (UE) 2022/2555 (Directiva NIS2) proveedores, proveedores de servicios gestionados, proveedores de servicios gestionados de seguridad, proveedores de mercados en línea, de motores de búsqueda en línea y de plataformas de servicios de redes sociales, y servicio fiduciarioServicio de confianza Significa un servicio electrónico prestado normalmente a cambio de una remuneración que consiste en: a) la creación, verificación y validación de firmas electrónicas, sellos electrónicos o sellos de tiempo electrónicos, servicios de entrega electrónica certificada y certificados relacionados con dichos servicios, o b) la creación, verificación y validación de certificados para la autenticación de sitios web, o c) la conservación de firmas electrónicas, sellos o certificados relacionados con dichos servicios - Definición según el artículo 3, punto (16), del Reglamento (UE) nº 910/2014. proveedores.
La Comisión podrá adoptar actos de ejecución por los que se establezcan los requisitos técnicos y metodológicos, así como los requisitos sectoriales, según sea necesario, de las medidas a que se refiere el apartado 2 con respecto a entidades esenciales e importantes distintas de las mencionadas en el párrafo primero del presente apartado.
Al preparar los actos de ejecución a que se refieren los párrafos primero y segundo del presente apartado, la Comisión se atendrá, en la medida de lo posible, a las normas europeas e internacionales, así como a las especificaciones técnicas pertinentes. La Comisión intercambiará asesoramiento y cooperará con el Grupo de Cooperación y la ENISA sobre los proyectos de actos de ejecución de conformidad con el artículo 14, apartado 4, letra e).
Dichos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 39, apartado 2.