Preámbulo

EL PARLAMENTO EUROPEO Y EL CONSEJO DE LA UNIÓN EUROPEA,

Visto el Tratado de Funcionamiento de la Unión Europea y, en particular, su artículo 114,
Vista la propuesta de la Comisión Europea,
Tras la transmisión del proyecto de acto legislativo a los parlamentos nacionales,
Visto el dictamen del Banco Central Europeo,
Visto el dictamen del Comité Económico y Social Europeo,
Previa consulta al Comité de las Regiones,
Actuar de acuerdo con el procedimiento legislativo ordinario,

Considerando que:

(1) La Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo (4) tenía por objeto construir ciberseguridadCiberseguridad "ciberseguridad": la ciberseguridad definida en el artículo 2, punto 1, del Reglamento (UE) 2019/881; - Definición según el artículo 6 de la Directiva (UE) 2022/2555 (Directiva NIS2) "ciberseguridad": las actividades necesarias para proteger las redes y los sistemas de información, a los usuarios de dichos sistemas y a otras personas afectadas por las ciberamenazas; - Definición según el artículo 2, punto (1), del Reglamento (UE) 2019/881; capacidades en toda la Unión, mitigar las amenazas a los sistemas de red e información utilizados para prestar servicios esenciales en sectores clave y garantizar la continuidad de dichos servicios cuando se enfrenten a incidentes, contribuyendo así a la seguridad de la Unión y al funcionamiento eficaz de su economía y su sociedad.

(2) Desde la entrada en vigor de la Directiva (UE) 2016/1148, se han logrado avances significativos en el aumento del nivel de ciberresiliencia de la Unión. La revisión de dicha Directiva ha puesto de manifiesto que ha servido de catalizador para el enfoque institucional y normativo de la ciberseguridad en la Unión, allanando el camino para un importante cambio de mentalidad.

Dicha Directiva ha garantizado la finalización de los marcos nacionales sobre la seguridad de la red y de los sistemas de informaciónSeguridad de redes y sistemas de información la capacidad de los sistemas de red y de información de resistir, con un determinado nivel de confianza, cualquier evento que pueda comprometer la disponibilidad, autenticidad, integridad o confidencialidad de los datos almacenados, transmitidos o procesados o de los servicios ofrecidos por dichos sistemas de red y de información o accesibles a través de ellos Definición según el artículo 6 de la Directiva (UE) 2022/2555 (Directiva NIS2) estableciendo estrategias nacionales sobre la seguridad de las redes y los sistemas de información y creando capacidades nacionales, y aplicando medidas reglamentarias que cubran las infraestructuras y entidades esenciales identificadas por cada Estado miembro.

La Directiva (UE) 2016/1148 también ha contribuido a la cooperación a escala de la Unión mediante la creación del Grupo de Cooperación y la red de seguridad informática nacional incidenteIncidente Se refiere a un suceso que compromete la disponibilidad, autenticidad, integridad o confidencialidad de los datos almacenados, transmitidos o procesados, o de los servicios ofrecidos por los sistemas de red y de información o accesibles a través de ellos". Definición según el artículo 6 de la Directiva (UE) 2022/2555 (Directiva NIS2) equipos de respuesta. A pesar de estos logros, la revisión de la Directiva (UE) 2016/1148 ha puesto de manifiesto deficiencias inherentes que le impiden abordar eficazmente los retos actuales y emergentes en materia de ciberseguridad.

(3) Las redes y los sistemas de información se han convertido en un elemento central de la vida cotidiana con la rápida transformación digital y la interconexión de la sociedad, incluidos los intercambios transfronterizos. Esta evolución ha dado lugar a una expansión de la amenaza cibernéticaCiberamenazas significa cualquier circunstancia, evento o acción potencial que pueda dañar, interrumpir o afectar negativamente de otro modo a los sistemas de red y de información, a los usuarios de dichos sistemas y a otras personas - Definición según el artículo 2, punto (8), Reglamento (UE) 2019/881 que plantean nuevos retos que requieren respuestas adaptadas, coordinadas e innovadoras en todos los Estados miembros.

El número, la magnitud, la sofisticación, la frecuencia y el impacto de los incidentes van en aumento y representan una amenaza importante para el funcionamiento de las redes y los sistemas de información. Como consecuencia, los incidentes pueden obstaculizar el desarrollo de las actividades económicas en el mercado interior, generar pérdidas financieras, socavar la confianza de los usuarios y causar daños importantes a la economía y la sociedad de la Unión.

Por lo tanto, la preparación y la eficacia de la ciberseguridad son ahora más esenciales que nunca para el correcto funcionamiento del mercado interior. Además, la ciberseguridad es un factor clave para que muchos sectores críticos adopten con éxito la transformación digital y aprovechen plenamente los beneficios económicos, sociales y sostenibles de la digitalización.

(4) La base jurídica de la Directiva (UE) 2016/1148 era el artículo 114 del Tratado de Funcionamiento de la Unión Europea (TFUE), cuyo objetivo es el establecimiento y el funcionamiento del mercado interior mediante la intensificación de las medidas de aproximación de las legislaciones nacionales. Los requisitos de ciberseguridad impuestos a las entidades que prestan servicios o realizan actividades económicamente significativas varían considerablemente entre los Estados miembros en cuanto al tipo de requisito, su nivel de detalle y el método de supervisión. Estas disparidades suponen costes adicionales y crean dificultades para las entidades que ofrecen bienes o servicios transfronterizos.

Los requisitos impuestos por un Estado miembro que sean diferentes de los impuestos por otro Estado miembro, o que incluso entren en conflicto con ellos, pueden afectar sustancialmente a dichas actividades transfronterizas. Además, es probable que la posibilidad de un diseño o aplicación inadecuados de los requisitos de ciberseguridad en un Estado miembro repercuta en el nivel de ciberseguridad de otros Estados miembros, en particular dada la intensidad de los intercambios transfronterizos.

El examen de la Directiva (UE) 2016/1148 ha puesto de manifiesto una gran divergencia en su aplicación por los Estados miembros, incluso en relación con su ámbito de aplicación, cuya delimitación se dejó en gran medida a la discreción de los Estados miembros. La Directiva (UE) 2016/1148 también otorgó a los Estados miembros una discrecionalidad muy amplia en lo que respecta a la aplicación de las obligaciones de seguridad y de notificación de incidentes establecidas en ella. Por lo tanto, dichas obligaciones se aplicaron de maneras significativamente diferentes a nivel nacional. Existen divergencias similares en la aplicación de las disposiciones de la Directiva (UE) 2016/1148 en materia de supervisión y ejecución.

(5) Todas esas divergencias suponen una fragmentación del mercado interior y pueden tener un efecto perjudicial en su funcionamiento, afectando en particular a la prestación transfronteriza de servicios y al nivel de ciberresiliencia debido a la aplicación de diversas medidas. En última instancia, esas divergencias podrían dar lugar a un mayor vulnerabilidadVulnerabilidad Se refiere a una debilidad, susceptibilidad o defecto de los productos o servicios de las TIC que puede ser explotado por una ciberamenaza -. Definición según el artículo 6 de la Directiva (UE) 2022/2555 (Directiva NIS2) de algunos Estados miembros a las ciberamenazas, con posibles efectos indirectos en toda la Unión.

La presente Directiva tiene por objeto eliminar esas grandes divergencias entre los Estados miembros, en particular mediante el establecimiento de normas mínimas relativas al funcionamiento de un marco regulador coordinado, el establecimiento de mecanismos para una cooperación eficaz entre las autoridades responsables de cada Estado miembro, la actualización de la lista de sectores y actividades sujetos a obligaciones en materia de ciberseguridad y el establecimiento de recursos efectivos y medidas coercitivas que son fundamentales para el cumplimiento efectivo de dichas obligaciones. Por consiguiente, la Directiva (UE) 2016/1148 debe derogarse y sustituirse por la presente Directiva.

(6) Con la derogación de la Directiva (UE) 2016/1148, el ámbito de aplicación por sectores debe ampliarse a una mayor parte de la economía para proporcionar una cobertura completa de los sectores y servicios de vital importancia para las actividades sociales y económicas clave en el mercado interior. En particular, la presente Directiva pretende superar las deficiencias de la diferenciación entre operadores de servicios esenciales y servicio digitalServicio digital todo servicio de la sociedad de la información, es decir, todo servicio prestado normalmente a cambio de una remuneración, a distancia, por vía electrónica y a petición individual de un destinatario de servicios. A efectos de esta definición: (i) "a distancia" significa que el servicio se presta sin que las partes estén presentes simultáneamente; (ii) "por vía electrónica" significa que el servicio se envía inicialmente y se recibe en su destino mediante equipos electrónicos de tratamiento (incluida la compresión digital) y almacenamiento de datos, y se transmite, conduce y recibe íntegramente por cable, radio, medios ópticos u otros medios electromagnéticos; (iii) "a petición individual de un destinatario de servicios" significa que el servicio se presta mediante la transmisión de datos a petición individual. - Definición con arreglo al artículo 1, apartado 1, letra b), de la Directiva (UE) 2015/1535 del Parlamento Europeo y del Consejo. proveedores, que se ha demostrado obsoleta, ya que no refleja la importancia de los sectores o servicios para las actividades sociales y económicas en el mercado interior.

(7) En virtud de la Directiva (UE) 2016/1148, los Estados miembros eran responsables de determinar las entidades que cumplían los criterios para ser consideradas operadores de servicios esenciales. Con el fin de eliminar las grandes divergencias entre los Estados miembros a este respecto y garantizar la seguridad jurídica en lo que respecta a la ciberseguridad riesgoRiesgo Se refiere al potencial de pérdida o perturbación causado por un incidente y debe expresarse como una combinación de la magnitud de dicha pérdida o perturbación y la probabilidad de que se produzca el incidente. Definición según el artículo 6 de la Directiva (UE) 2022/2555 (Directiva NIS2)-medidas de gestión y obligaciones de información para todas las entidades pertinentes, debe establecerse un criterio uniforme que determine las entidades que entran en el ámbito de aplicación de la presente Directiva.

Dicho criterio debe consistir en la aplicación de una norma de limitación del tamaño, en virtud de la cual entren en su ámbito de aplicación todas las entidades que reúnan las condiciones para ser consideradas medianas empresas con arreglo al artículo 2 del anexo de la Recomendación 2003/361/CE de la Comisión, o superen los límites máximos para las medianas empresas previstos en el apartado 1 de dicho artículo, y que operen en los sectores y presten los tipos de servicios o realicen las actividades a que se refiere la presente Directiva. Los Estados miembros también deben prever que determinadas pequeñas empresas y microempresas, tal como se definen en los apartados 2 y 3 del artículo 2 de dicho anexo, que cumplan criterios específicos que indiquen un papel clave para la sociedad, la economía o para determinados sectores o tipos de servicios, entren en el ámbito de aplicación de la presente Directiva.

(8) La exclusión de las entidades de la administración pública del ámbito de aplicación de la presente Directiva debe aplicarse a las entidades cuyas actividades se desarrollen predominantemente en los ámbitos de la seguridad nacional, la seguridad pública, la defensa o la aplicación de la ley, incluidas la prevención, investigación, detección y enjuiciamiento de delitos. Sin embargo, las entidades de la administración pública cuyas actividades estén sólo marginalmente relacionadas con esos ámbitos no deben quedar excluidas del ámbito de aplicación de la presente Directiva.

A efectos de la presente Directiva, no se considera que las entidades con competencias reguladoras lleven a cabo actividades en el ámbito de la aplicación de la ley y, por lo tanto, no quedan excluidas por ese motivo del ámbito de aplicación de la presente Directiva. Las entidades de la administración pública establecidas conjuntamente con un tercer país en virtud de un acuerdo internacional quedan excluidas del ámbito de aplicación de la presente Directiva. La presente Directiva no se aplica a las misiones diplomáticas y consulares de los Estados miembros en terceros países ni a sus redes y sistemas de información, en la medida en que dichos sistemas estén situados en los locales de la misión o sean explotados para usuarios en un tercer país.

(9) Los Estados miembros deben poder adoptar las medidas necesarias para garantizar la protección de los intereses esenciales de la seguridad nacional, salvaguardar el orden público y la seguridad pública y permitir la prevención, investigación, detección y enjuiciamiento de delitos.

A tal fin, los Estados miembros deben poder eximir a entidades específicas que lleven a cabo actividades en los ámbitos de la seguridad nacional, la seguridad pública, la defensa o la aplicación de la ley, incluidas la prevención, la investigación, la detección y el enjuiciamiento de delitos, de determinadas obligaciones establecidas en la presente Directiva en relación con dichas actividades.

Cuando un entidadEntidad Persona física o jurídica creada y reconocida como tal en virtud de la legislación nacional de su lugar de establecimiento, que puede, actuando en nombre propio, ejercer derechos y estar sujeta a obligaciones -. Definición según el artículo 6 de la Directiva (UE) 2022/2555 (Directiva NIS2) presta servicios exclusivamente a un entidad de la administración públicaEntidad de la Administración Pública Se trata de una entidad reconocida como tal en un Estado miembro de conformidad con la legislación nacional, sin incluir el poder judicial, los parlamentos ni los bancos centrales, que cumple los siguientes criterios (a) se crea para satisfacer necesidades de interés general y no tiene carácter industrial o comercial; (b) tiene personalidad jurídica o está facultada por ley para actuar en nombre de otra entidad con personalidad jurídica; (c) está financiada mayoritariamente por el Estado, los entes territoriales u otros organismos de Derecho público, está sometida a un control de gestión por parte de dichos entes u organismos, o dispone de un consejo de administración, de dirección o de vigilancia, más de la mitad de cuyos miembros son nombrados por el Estado, los entes territoriales u otros organismos de Derecho público; (d) está facultada para dirigir a personas físicas o jurídicas decisiones administrativas o reglamentarias que afecten a sus derechos en materia de circulación transfronteriza de personas, bienes, servicios o capitales. - Definición según el artículo 6 de la Directiva (UE) 2022/2555 (Directiva NIS2) que esté excluida del ámbito de aplicación de la presente Directiva, los Estados miembros deben poder eximir a dicha entidad de determinadas obligaciones establecidas en la presente Directiva en relación con dichos servicios. Además, no debe exigirse a ningún Estado miembro que facilite información cuya divulgación sea contraria a los intereses esenciales de su seguridad nacional, seguridad pública o defensa.

En este contexto, deberán tenerse en cuenta las normas nacionales o de la Unión para la protección de la información clasificada, los acuerdos de no divulgación y los acuerdos informales de no divulgación, como el protocolo del semáforo. El protocolo del semáforo debe entenderse como un medio para proporcionar información sobre cualquier limitación con respecto a la difusión ulterior de la información. Se utiliza en casi todos los equipos de respuesta a incidentes de seguridad informática (CSIRT) y en algunos centros de análisis e intercambio de información.

(10) Aunque la presente Directiva se aplica a las entidades que realizan actividades de producción de electricidad a partir de centrales nucleares, algunas de esas actividades pueden estar relacionadas con la seguridad nacional. En tal caso, un Estado miembro debe poder ejercer su responsabilidad de salvaguardar la seguridad nacional con respecto a dichas actividades, incluidas las actividades dentro de la cadena de valor nuclear, de conformidad con los Tratados.

(11) Algunas entidades llevan a cabo actividades en los ámbitos de la seguridad nacional, la seguridad pública, la defensa o la aplicación de la ley, incluidas la prevención, investigación, detección y persecución de delitos penales, al tiempo que prestan servicios de confianza. Servicio de confianzaServicio de confianza Significa un servicio electrónico prestado normalmente a cambio de una remuneración que consiste en: a) la creación, verificación y validación de firmas electrónicas, sellos electrónicos o sellos de tiempo electrónicos, servicios de entrega electrónica certificada y certificados relacionados con dichos servicios, o b) la creación, verificación y validación de certificados para la autenticación de sitios web, o c) la conservación de firmas electrónicas, sellos o certificados relacionados con dichos servicios - Definición según el artículo 3, punto (16), del Reglamento (UE) nº 910/2014. que entran en el ámbito de aplicación del Reglamento (UE) n.º 910/2014 del Parlamento Europeo y del Consejo (6) deben entrar en el ámbito de aplicación de la presente Directiva a fin de garantizar el mismo nivel de requisitos de seguridad y supervisión que el establecido anteriormente en dicho Reglamento con respecto a los proveedores de servicios de confianza. En consonancia con la exclusión de determinados servicios específicos del Reglamento (UE) no 910/2014, la presente Directiva no debe aplicarse a la prestación de servicios de confianza que se utilicen exclusivamente dentro de sistemas cerrados resultantes de la legislación nacional o de acuerdos entre un conjunto definido de participantes.

(12) Los proveedores de servicios postales, tal como se definen en la Directiva 97/67/CE del Parlamento Europeo y del Consejo, incluidos los proveedores de servicios de mensajería, deben estar sujetos a la presente Directiva si prestan al menos uno de los pasos de la cadena de distribución postal, en particular la recogida, clasificación, transporte o distribución de envíos postales, incluidos los servicios de recogida, teniendo en cuenta su grado de dependencia de los sistemas de redes y de información. Los servicios de transporte que no se realicen en relación con una de esas fases deben excluirse del ámbito de los servicios postales.

(13) Habida cuenta de la intensificación y la creciente sofisticación de las ciberamenazas, los Estados miembros deben esforzarse por garantizar que las entidades excluidas del ámbito de aplicación de la presente Directiva alcancen un elevado nivel de ciberseguridad y por apoyar la aplicación de medidas equivalentes de gestión de los riesgos de ciberseguridad que reflejen el carácter sensible de dichas entidades.

(14) El Derecho de la Unión en materia de protección de datos y el Derecho de la Unión en materia de privacidad se aplican a todo tratamiento de datos personales con arreglo a la presente Directiva. En particular, la presente Directiva se entiende sin perjuicio del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo y de la Directiva 2002/58/CE del Parlamento Europeo y del Consejo. Por consiguiente, la presente Directiva no debe afectar, entre otras cosas, a las funciones y competencias de las autoridades competentes para supervisar el cumplimiento del Derecho de la Unión aplicable en materia de protección de datos y del Derecho de la Unión aplicable en materia de privacidad.

(15) Las entidades incluidas en el ámbito de aplicación de la presente Directiva a efectos del cumplimiento de las medidas de gestión de riesgos en materia de ciberseguridad y de las obligaciones de información deben clasificarse en dos categorías, entidades esenciales y entidades importantes, que reflejen el grado en que son críticas en relación con su sector o el tipo de servicio que prestan, así como su tamaño. A este respecto, deben tenerse debidamente en cuenta las evaluaciones de riesgos sectoriales pertinentes o las orientaciones de las autoridades competentes, en su caso. Los regímenes de supervisión y ejecución para esas dos categorías de entidades deben diferenciarse para garantizar un equilibrio justo entre los requisitos y obligaciones basados en el riesgo, por una parte, y la carga administrativa derivada de la supervisión del cumplimiento, por otra.

(16) Para evitar que las entidades que tienen empresas asociadas o vinculadas sean consideradas entidades esenciales o importantes cuando ello resulte desproporcionado, los Estados miembros pueden tener en cuenta el grado de independencia de una entidad con respecto a sus empresas asociadas o vinculadas al aplicar el artículo 6, apartado 2, del anexo de la Recomendación 2003/361/CE. En particular, los Estados miembros pueden tener en cuenta el hecho de que una entidad sea independiente de sus empresas asociadas o vinculadas por lo que respecta a la red y los sistemas de información que dicha entidad utiliza en la prestación de sus servicios y por lo que respecta a los servicios que la entidad presta.

Sobre esta base, cuando proceda, los Estados miembros pueden considerar que tal entidad no reúne las condiciones para ser considerada mediana empresa con arreglo al artículo 2 del anexo de la Recomendación 2003/361/CE, o no supera los límites máximos para una mediana empresa previstos en el apartado 1 de dicho artículo, si, tras tener en cuenta el grado de independencia de dicha entidad, se hubiera considerado que ésta no reúne las condiciones para ser considerada mediana empresa o no supera dichos límites máximos en caso de que sólo se hubieran tenido en cuenta sus propios datos. Ello no afecta a las obligaciones establecidas en la presente Directiva de las empresas asociadas y vinculadas que entren en el ámbito de aplicación de la presente Directiva.

(17) Los Estados miembros deben poder decidir que las entidades identificadas antes de la entrada en vigor de la presente Directiva como operadores de servicios esenciales de conformidad con la Directiva (UE) 2016/1148 sean consideradas entidades esenciales.

(18) A fin de garantizar una visión clara de las entidades que entran en el ámbito de aplicación de la presente Directiva, los Estados miembros deben establecer una lista de entidades esenciales e importantes, así como de entidades que presten servicios de registro de nombres de dominio. A tal fin, los Estados miembros deben exigir a las entidades que presenten como mínimo la siguiente información a las autoridades competentes, a saber, el nombre, la dirección y los datos de contacto actualizados, incluidas las direcciones de correo electrónico, los rangos IP y los números de teléfono de la entidad, y, en su caso, el sector y subsector pertinentes a que se refieren los anexos, así como, en su caso, una lista de los Estados miembros en los que prestan servicios que entran en el ámbito de aplicación de la presente Directiva.

A tal fin, la Comisión, con la asistencia de la Agencia de Ciberseguridad de la Unión Europea (ENISA), debe proporcionar, sin demora injustificada, directrices y plantillas relativas a la obligación de presentar información. Para facilitar el establecimiento y la actualización de la lista de entidades esenciales e importantes, así como de las entidades que prestan servicios de registro de nombres de dominio, los Estados miembros deben poder establecer mecanismos nacionales para que las entidades se registren. Cuando existan registros a nivel nacional, los Estados miembros podrán decidir los mecanismos adecuados que permitan la identificación de las entidades incluidas en el ámbito de aplicación de la presente Directiva.

(19) Los Estados miembros deben encargarse de presentar a la Comisión al menos el número de entidades esenciales e importantes para cada sector y subsector a que se refieren los anexos, así como la información pertinente sobre el número de entidades identificadas y la disposición, de entre las establecidas en la presente Directiva, sobre cuya base fueron identificadas, y el tipo de servicio que prestan. Se anima a los Estados miembros a intercambiar con la Comisión información sobre las entidades esenciales e importantes y, en el caso de un incidente de ciberseguridad a gran escalaIncidente de ciberseguridad a gran escala Incidente que causa un nivel de perturbación que supera la capacidad de respuesta de un Estado miembro o que tiene un impacto significativo en al menos dos Estados miembros. Definición según el artículo 6 de la Directiva (UE) 2022/2555 (Directiva NIS2)información pertinente, como el nombre de la entidad en cuestión.

(20) La Comisión, en cooperación con el Grupo de cooperación y previa consulta a las partes interesadas pertinentes, debe proporcionar directrices sobre la aplicación de los criterios aplicables a las microempresas y las pequeñas empresas para evaluar si entran en el ámbito de aplicación de la presente Directiva. La Comisión también debe velar por que se ofrezca una orientación adecuada a las microempresas y pequeñas empresas que entren en el ámbito de aplicación de la presente Directiva. La Comisión, con la asistencia de los Estados miembros, debe poner a disposición de las microempresas y las pequeñas empresas información a este respecto.

(21) La Comisión podría proporcionar orientaciones para ayudar a los Estados miembros a aplicar las disposiciones de la presente Directiva sobre el ámbito de aplicación y a evaluar la proporcionalidad de las medidas que deben adoptarse en virtud de la presente Directiva, en particular en lo que respecta a las entidades con modelos empresariales o entornos operativos complejos, en los que una entidad puede cumplir simultáneamente los criterios asignados tanto a las entidades esenciales como a las importantes o puede llevar a cabo simultáneamente actividades, algunas de las cuales entran en el ámbito de aplicación de la presente Directiva y otras quedan excluidas de él.

(22) La presente Directiva establece la base para las medidas de gestión de riesgos en materia de ciberseguridad y las obligaciones de información en todos los sectores incluidos en su ámbito de aplicación. A fin de evitar la fragmentación de las disposiciones sobre ciberseguridad de los actos jurídicos de la Unión, cuando se considere necesario adoptar otros actos jurídicos sectoriales específicos de la Unión relativos a las medidas de gestión de riesgos en materia de ciberseguridad y a las obligaciones de información para garantizar un elevado nivel de ciberseguridad en toda la Unión, la Comisión debe evaluar si tales disposiciones adicionales podrían estipularse en un acto de ejecución en virtud de la presente Directiva.

En caso de que dicho acto de ejecución no fuera adecuado a tal efecto, los actos jurídicos sectoriales de la Unión podrían contribuir a garantizar un alto nivel de ciberseguridad en toda la Unión, teniendo plenamente en cuenta las especificidades y complejidades de los sectores afectados. A tal fin, la presente Directiva no excluye la adopción de otros actos jurídicos sectoriales de la Unión que aborden medidas de gestión de los riesgos de ciberseguridad y obligaciones de información que tengan debidamente en cuenta la necesidad de un marco de ciberseguridad global y coherente. La presente Directiva se entiende sin perjuicio de las competencias de ejecución existentes que se han conferido a la Comisión en una serie de sectores, incluidos el transporte y la energía.

(23) Cuando un acto jurídico sectorial de la Unión contenga disposiciones que obliguen a las entidades esenciales o importantes a adoptar medidas de gestión de riesgos en materia de ciberseguridad o a notificar incidentes significativos, y cuando dichos requisitos sean al menos de efecto equivalente a las obligaciones establecidas en la presente Directiva, dichas disposiciones, incluidas las relativas a la supervisión y la ejecución, deben aplicarse a dichas entidades. Si un acto jurídico sectorial de la Unión no abarca a todas las entidades de un sector específico incluidas en el ámbito de aplicación de la presente Directiva, las disposiciones pertinentes de la presente Directiva deben seguir aplicándose a las entidades no cubiertas por dicho acto.

(24) Cuando las disposiciones de un acto jurídico sectorial de la Unión exijan a las entidades esenciales o importantes el cumplimiento de obligaciones de notificación de efectos al menos equivalentes a las obligaciones de notificación establecidas en la presente Directiva, debe garantizarse la coherencia y la eficacia de la gestión de las notificaciones de incidentes. A tal fin, las disposiciones relativas a las notificaciones de incidentes del acto jurídico sectorial de la Unión deben proporcionar a los CSIRT, las autoridades competentes o los puntos de contacto únicos en materia de ciberseguridad (puntos de contacto únicos) con arreglo a la presente Directiva un acceso inmediato a las notificaciones de incidentes presentadas de conformidad con el acto jurídico sectorial de la Unión.

En particular, dicho acceso inmediato puede garantizarse si las notificaciones de incidentes se remiten sin demora injustificada al CSIRT, a la autoridad competente o al punto de contacto único con arreglo a la presente Directiva. Cuando proceda, los Estados miembros deben establecer un mecanismo de notificación automática y directa que garantice el intercambio sistemático e inmediato de información con los CSIRT, las autoridades competentes o los puntos de contacto únicos en relación con la tramitación de dichas notificaciones de incidentes. Con el fin de simplificar la notificación y de aplicar el mecanismo de notificación automática y directa, los Estados miembros podrían, de conformidad con el acto jurídico sectorial específico de la Unión, utilizar un punto de entrada único.

(25) Los actos jurídicos sectoriales de la Unión que prevean medidas de gestión de riesgos en materia de ciberseguridad u obligaciones de información de efecto al menos equivalente a las establecidas en la presente Directiva podrían disponer que las autoridades competentes en virtud de dichos actos ejerzan sus facultades de supervisión y ejecución en relación con tales medidas u obligaciones con la asistencia de las autoridades competentes en virtud de la presente Directiva.

Las autoridades competentes afectadas podrían establecer acuerdos de cooperación a tal efecto. Dichos acuerdos de cooperación podrían especificar, entre otras cosas, los procedimientos relativos a la coordinación de las actividades de supervisión, incluidos los procedimientos de investigación y las inspecciones in situ de conformidad con la legislación nacional, y un mecanismo para el intercambio de información pertinente sobre supervisión y ejecución entre las autoridades competentes, incluido el acceso a la información relacionada con la ciberdelincuencia solicitada por las autoridades competentes en virtud de la presente Directiva.

(26) Cuando los actos jurídicos sectoriales específicos de la Unión exijan o incentiven a las entidades a notificar las ciberamenazas significativas, los Estados miembros también deben fomentar la puesta en común de las ciberamenazas significativas con los CSIRT, las autoridades competentes o las ventanillas únicas con arreglo a la presente Directiva, a fin de garantizar un mayor nivel de conocimiento de dichos organismos sobre el panorama de las ciberamenazas y permitirles responder de manera eficaz y oportuna en caso de que se materialicen las ciberamenazas significativas.

(27) Los futuros actos jurídicos sectoriales de la Unión deben tener debidamente en cuenta las definiciones y el marco de supervisión y ejecución establecidos en la presente Directiva.

(28) El Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo (10) debe considerarse un acto jurídico sectorial específico de la Unión en relación con la presente Directiva por lo que respecta a las entidades financieras. Las disposiciones del Reglamento (UE) 2022/2554 relativas a la gestión de riesgos en el ámbito de las tecnologías de la información y la comunicación (TIC), la gestión de incidentes relacionados con las TIC y, en particular, la notificación de incidentes graves relacionados con las TIC, así como sobre las pruebas de resistencia operativa digital, los acuerdos de intercambio de información y el riesgo de terceros en el ámbito de las TIC deben aplicarse en lugar de las previstas en la presente Directiva. Por consiguiente, los Estados miembros no deben aplicar las disposiciones de la presente Directiva sobre gestión de riesgos de ciberseguridad y obligaciones de información, supervisión y ejecución a las entidades financieras cubiertas por el Reglamento (UE) 2022/2554. Al mismo tiempo, es importante mantener una relación sólida y el intercambio de información con el sector financiero en virtud de la presente Directiva.

A tal fin, el Reglamento (UE) 2022/2554 permite a las Autoridades Europeas de Supervisión (AES) y a las autoridades competentes en virtud de dicho Reglamento participar en las actividades del Grupo de Cooperación e intercambiar información y cooperar con los puntos de contacto únicos, así como con los CSIRT y las autoridades competentes en virtud de la presente Directiva. Las autoridades competentes con arreglo al Reglamento (UE) 2022/2554 también deben transmitir detalles de los incidentes importantes relacionados con las TIC y, en su caso, de las ciberamenazas significativas a los CSIRT, las autoridades competentes o los puntos de contacto únicos con arreglo a la presente Directiva. Esto puede lograrse proporcionando acceso inmediato a las notificaciones de incidentes y transmitiéndolas directamente o a través de un punto de entrada único. Además, los Estados miembros deben seguir incluyendo al sector financiero en sus estrategias de ciberseguridad y los CSIRT pueden incluir al sector financiero en sus actividades.

(29) A fin de evitar lagunas o duplicaciones en las obligaciones de ciberseguridad impuestas a las entidades del sector de la aviación, las autoridades nacionales en virtud de los Reglamentos (CE) nº 300/2008 y (UE) 2018/1139 del Parlamento Europeo y del Consejo y las autoridades competentes en virtud de la presente Directiva deben cooperar en relación con la aplicación de medidas de gestión de riesgos en materia de ciberseguridad y la supervisión del cumplimiento de dichas medidas a nivel nacional. Las autoridades competentes en virtud de la presente Directiva podrían considerar que el cumplimiento por parte de una entidad de los requisitos de seguridad establecidos en los Reglamentos (CE) n.º 300/2008 y (UE) 2018/1139 y en los actos delegados y de ejecución pertinentes adoptados de conformidad con dichos Reglamentos constituye el cumplimiento de los requisitos correspondientes establecidos en la presente Directiva.

(30) Habida cuenta de las interrelaciones entre la ciberseguridad y la seguridad física de las entidades, debe garantizarse un enfoque coherente entre la Directiva (UE) 2022/2557 del Parlamento Europeo y del Consejo y la presente Directiva. Para ello, las entidades identificadas como entidades críticas con arreglo a la Directiva (UE) 2022/2557 deben considerarse entidades esenciales con arreglo a la presente Directiva.

Además, cada Estado miembro debe garantizar que su estrategia nacional de ciberseguridadEstrategia Nacional de Ciberseguridad Se refiere a un marco coherente de un Estado miembro que establece objetivos y prioridades estratégicos en el ámbito de la ciberseguridad y la gobernanza para alcanzarlos en dicho Estado miembro. Definición según el artículo 6 de la Directiva (UE) 2022/2555 (Directiva NIS2) establezca un marco político para mejorar la coordinación dentro de ese Estado miembro entre sus autoridades competentes con arreglo a la presente Directiva y a la Directiva (UE) 2022/2557, en el contexto del intercambio de información sobre riesgos, amenazas cibernéticas e incidentes, así como sobre riesgos, amenazas e incidentes no cibernéticos, y del ejercicio de las tareas de supervisión. Las autoridades competentes en virtud de la presente Directiva y de la Directiva (UE) 2022/2557 deben cooperar e intercambiar información sin demoras indebidas, en particular en relación con la identificación de entidades críticas, riesgos, ciberamenazas e incidentes, así como en relación con riesgos, amenazas e incidentes no cibernéticos que afecten a entidades críticas, incluidas las medidas físicas y de ciberseguridad adoptadas por las entidades críticas, así como los resultados de las actividades de supervisión llevadas a cabo en relación con dichas entidades.

Además, con el fin de racionalizar las actividades de supervisión entre las autoridades competentes en virtud de la presente Directiva y las de la Directiva (UE) 2022/2557 y de minimizar la carga administrativa para las entidades afectadas, dichas autoridades competentes deben esforzarse por armonizar los modelos de notificación de incidentes y los procesos de supervisión. Cuando proceda, las autoridades competentes con arreglo a la Directiva (UE) 2022/2557 deben poder solicitar a las autoridades competentes con arreglo a la presente Directiva que ejerzan sus facultades de supervisión y ejecución en relación con una entidad identificada como entidad crítica con arreglo a la Directiva (UE) 2022/2557. Las autoridades competentes en virtud de la presente Directiva y las autoridades competentes en virtud de la Directiva (UE) 2022/2557 deben, siempre que sea posible en tiempo real, cooperar e intercambiar información a tal efecto.

(31) Las entidades pertenecientes al sector de las infraestructuras digitales se basan esencialmente en sistemas de red y de información y, por lo tanto, las obligaciones impuestas a dichas entidades en virtud de la presente Directiva deben abordar de manera exhaustiva la seguridad física de tales sistemas como parte de sus medidas de gestión de riesgos en materia de ciberseguridad y de sus obligaciones de información. Dado que estas cuestiones están cubiertas por la presente Directiva, las obligaciones establecidas en los capítulos III, IV y VI de la Directiva (UE) 2022/2557 no se aplican a dichas entidades.

(32) Mantener y preservar un sistema de nombres de dominio (DNS) fiable, resistente y seguro son factores clave para mantener la integridad de Internet y resultan esenciales para su funcionamiento continuo y estable, del que dependen la economía y la sociedad digitales. Por consiguiente, la presente Directiva debe aplicarse a los registros de nombres de dominio de primer nivel (TLD) y a los proveedores de servicios de DNS, entendidos como entidades que prestan servicios de resolución recursiva de nombres de dominio a disposición del público para los usuarios finales de Internet o servicios de resolución autoritativa de nombres de dominio para uso de terceros. La presente Directiva no debe aplicarse a los servidores de nombres raíz.

(33) Los servicios de computación en nube deben abarcar los servicios digitales que permiten la administración a petición y un amplio acceso a distancia a un conjunto escalable y elástico de recursos informáticos compartibles, incluso cuando dichos recursos estén distribuidos en varias ubicaciones. Los recursos informáticos incluyen recursos como redes, servidores u otras infraestructuras, sistemas operativos, software, almacenamiento, aplicaciones y servicios. Los modelos de servicio de la computación en nube incluyen, entre otros, la Infraestructura como Servicio (IaaS), la Plataforma como Servicio (PaaS), el Software como Servicio (SaaS) y la Red como Servicio (NaaS).

Los modelos de despliegue de la computación en nube deben incluir la nube privada, comunitaria, pública e híbrida. El sitio servicio de computación en nubeServicio de computación en nube Se refiere a un servicio digital que permite la administración bajo demanda y un amplio acceso remoto a un conjunto escalable y elástico de recursos informáticos compartibles, incluso cuando dichos recursos están distribuidos en varias ubicaciones -. Definición según el artículo 6 de la Directiva (UE) 2022/2555 (Directiva NIS2) y modelos de despliegue tienen el mismo significado que los términos de servicio y modelos de despliegue definidos en la norma ISO/IEC 17788:2014 estándarEstándar Especificación técnica, adoptada por un organismo de normalización reconocido, de aplicación repetida o continua, cuyo cumplimiento no es obligatorio y que es una de las siguientes (a) "norma internacional": norma adoptada por un organismo internacional de normalización; b) "norma europea": norma adoptada por un organismo europeo de normalización; c) "norma armonizada": norma europea adoptada sobre la base de una solicitud formulada por la Comisión para la aplicación de la legislación de armonización de la Unión; d) "norma nacional": norma adoptada por un organismo nacional de normalización - Definición según el artículo 2, punto 1, delReglamento (UE) nº 1025/2012 del Parlamento Europeo y del Consejo.. La capacidad del usuario de computación en nube para autoproveerse unilateralmente de capacidades informáticas, como tiempo de servidor o almacenamiento en red, sin ninguna interacción humana por parte del proveedor de servicios de computación en nube podría describirse como administración bajo demanda.

El término "acceso remoto amplio" se utiliza para describir que las capacidades de la nube se proporcionan a través de la red y se accede a ellas mediante mecanismos que promueven el uso de plataformas heterogéneas de clientes ligeros o gruesos, incluidos teléfonos móviles, tabletas, ordenadores portátiles y estaciones de trabajo. El término "escalable" se refiere a los recursos informáticos asignados de forma flexible por el proveedor de servicios en nube, con independencia de la ubicación geográfica de los recursos, para hacer frente a las fluctuaciones de la demanda.

El término "pool elástico" se utiliza para describir los recursos informáticos que se proporcionan y liberan en función de la demanda con el fin de aumentar y disminuir rápidamente los recursos disponibles en función de la carga de trabajo. El término "compartible" se utiliza para describir los recursos informáticos que se proporcionan a múltiples usuarios que comparten un acceso común al servicio, pero en los que el procesamiento se lleva a cabo por separado para cada usuario, aunque el servicio se preste desde el mismo equipo electrónico. El término "distribuido" se utiliza para describir los recursos informáticos que se encuentran en diferentes ordenadores o dispositivos conectados en red y que se comunican y coordinan entre sí mediante el paso de mensajes.

(34) Dada la aparición de tecnologías innovadoras y nuevos modelos empresariales, se espera que aparezcan en el mercado interior nuevos modelos de servicios y despliegue de computación en nube en respuesta a la evolución de las necesidades de los clientes. En ese contexto, los servicios de computación en nube pueden prestarse de forma muy distribuida, incluso más cerca del lugar donde se generan o recogen los datos, pasando así del modelo tradicional a otro muy distribuido (computación de borde).

(35) Servicios ofrecidos por servicio de centro de datosServicio de centro de datos designa un servicio que engloba estructuras, o grupos de estructuras, dedicadas al alojamiento centralizado, la interconexión y el funcionamiento de equipos informáticos y de red que prestan servicios de almacenamiento, tratamiento y transporte de datos, junto con todas las instalaciones e infraestructuras de distribución de energía y control ambiental -. Definición según el artículo 6 de la Directiva (UE) 2022/2555 (Directiva NIS2) no siempre se prestan en forma de servicios de computación en nube. Por consiguiente, los centros de datos no siempre pueden formar parte de la infraestructura de computación en nube. A fin de gestionar todos los riesgos que se plantean para la seguridad de las redes y los sistemas de información, la presente Directiva debe abarcar, por tanto, a los proveedores de servicios de centros de datos que no sean servicios de computación en nube.

A efectos de la presente Directiva, el término "servicio de centro de datos" debe abarcar la prestación de un servicio que comprenda estructuras, o grupos de estructuras, dedicadas al alojamiento centralizado, la interconexión y el funcionamiento de equipos de tecnología de la información (TI) y de red que presten servicios de almacenamiento, tratamiento y transporte de datos, junto con todas las instalaciones e infraestructuras de distribución de energía y control medioambiental. El término "servicio de centro de datos" no debe aplicarse a los centros de datos corporativos internos propiedad de la entidad en cuestión y explotados por ella, para sus propios fines.

(36) Las actividades de investigación desempeñan un papel fundamental en el desarrollo de nuevos productos y procesos. Muchas de esas actividades son llevadas a cabo por entidades que comparten, difunden o explotan los resultados de su investigación con fines comerciales. Estas entidades pueden ser, por tanto, actores importantes en las cadenas de valor, lo que hace que la seguridad de sus redes y sistemas de información forme parte integrante de la ciberseguridad general del mercado interior.

Debe entenderse por organismos de investigación las entidades que centran la parte esencial de sus actividades en la realización de investigación aplicada o desarrollo experimental, en el sentido del Manual de Frascati 2015 de la Organización de Cooperación y Desarrollo Económicos: Directrices para la recogida y comunicación de datos sobre investigación y desarrollo experimental, con vistas a explotar sus resultados con fines comerciales, como la fabricación o el desarrollo de un producto o proceso, la prestación de un servicio o la comercialización del mismo.

(37) Las crecientes interdependencias son el resultado de una red cada vez más transfronteriza e interdependiente de prestación de servicios que utiliza infraestructuras clave en toda la Unión en sectores como la energía, el transporte, las infraestructuras digitales, el agua potable y las aguas residuales, la sanidad, determinados aspectos de la administración pública, así como el espacio en la medida en que se refiere a la prestación de determinados servicios que dependen de infraestructuras terrestres que son propiedad de los Estados miembros o de partes privadas, o que son gestionadas y explotadas por ellos, por lo que no incluye las infraestructuras que son propiedad de la Unión o son gestionadas o explotadas por ella o en su nombre como parte de su programa espacial.

Estas interdependencias significan que cualquier perturbación, aunque inicialmente se limite a una entidad o un sector, puede tener efectos en cascada más amplios, lo que puede provocar repercusiones negativas de gran alcance y duraderas en la prestación de servicios en todo el mercado interior. La intensificación de los ciberataques durante la pandemia COVID-19 ha puesto de manifiesto la vulnerabilidad de unas sociedades cada vez más interdependientes frente a riesgos de baja probabilidad.

(38) Habida cuenta de las diferencias en las estructuras nacionales de gobernanza y con el fin de salvaguardar los acuerdos sectoriales ya existentes o los organismos de supervisión y regulación de la Unión, los Estados miembros deben poder designar o establecer una o varias autoridades competentes responsables de la ciberseguridad y de las tareas de supervisión previstas en la presente Directiva.

(39) Para facilitar la cooperación y la comunicación transfronterizas entre las autoridades y permitir una aplicación eficaz de la presente Directiva, es necesario que cada Estado miembro designe un punto de contacto único responsable de coordinar las cuestiones relacionadas con la seguridad de las redes y sistemas de información y la cooperación transfronteriza a escala de la Unión.

(40) Los puntos de contacto únicos deben garantizar una cooperación transfronteriza eficaz con las autoridades pertinentes de otros Estados miembros y, en su caso, con la Comisión y la ENISA. Por consiguiente, los puntos de contacto únicos deben encargarse de transmitir las notificaciones de incidentes significativos con repercusión transfronteriza a los puntos de contacto únicos de otros Estados miembros afectados a petición del CSIRT o de la autoridad competente. A escala nacional, los puntos de contacto únicos deben permitir una cooperación intersectorial fluida con otras autoridades competentes. Los puntos de contacto únicos también podrían ser los destinatarios de la información pertinente sobre incidentes relativos a entidades financieras procedente de las autoridades competentes en virtud del Reglamento (UE) 2022/2554 , que deberían poder transmitir, según proceda, a los CSIRT o a las autoridades competentes en virtud de la presente Directiva.

(41) Los Estados miembros deben estar adecuadamente equipados, tanto en términos de capacidades técnicas como organizativas, para prevenir, detectar, responder y mitigar incidentes y riesgos. Por consiguiente, los Estados miembros deben crear o designar uno o varios CSIRT con arreglo a la presente Directiva y velar por que dispongan de los recursos y capacidades técnicas adecuados. Los CSIRT deben cumplir los requisitos establecidos en la presente Directiva a fin de garantizar unas capacidades eficaces y compatibles para hacer frente a incidentes y riesgos y asegurar una cooperación eficaz a escala de la Unión.

Los Estados miembros deben poder designar como CSIRT a los equipos de respuesta a emergencias informáticas (CERT) existentes. Con el fin de reforzar la relación de confianza entre las entidades y los CSIRT, cuando un CSIRT forme parte de una autoridad competente, los Estados miembros deben poder considerar la separación funcional entre las tareas operativas proporcionadas por los CSIRT, en particular en relación con el intercambio de información y la asistencia proporcionada a las entidades, y las actividades de supervisión de las autoridades competentes.

(42) Los CSIRT tienen la misión de gestión de incidentesGestión de incidentes Se refiere a todas las acciones y procedimientos destinados a prevenir, detectar, analizar y contener un incidente, o a responder a él y recuperarse de él. Definición según el artículo 6 de la Directiva (UE) 2022/2555 (Directiva NIS2). Esto incluye el tratamiento de grandes volúmenes de datos, a veces sensibles. Los Estados miembros deben velar por que los CSIRT dispongan de una infraestructura de intercambio y tratamiento de la información, así como de personal bien equipado, que garantice la confidencialidad y fiabilidad de sus operaciones. Los CSIRT también podrían adoptar códigos de conducta al respecto.

(43) Por lo que respecta a los datos personales, los CSIRT deben poder proporcionar, de conformidad con el Reglamento (UE) 2016/679, a petición de una entidad esencial o importante, un escaneado proactivo de la red y de los sistemas de información utilizados para la prestación de los servicios de la entidad. Cuando proceda, los Estados miembros deben tratar de garantizar un mismo nivel de capacidades técnicas para todos los CSIRT sectoriales. Los Estados miembros deben poder solicitar la asistencia de la ENISA para desarrollar sus CSIRT.

(44) Los CSIRT deben tener la capacidad, a petición de una entidad esencial o importante, de supervisar los activos de la entidad conectados a Internet, tanto dentro como fuera de las instalaciones, con el fin de identificar, comprender y gestionar los riesgos organizativos generales de la entidad en lo que respecta a los compromisos o vulnerabilidades críticas recientemente identificados en la cadena de suministro. Debe animarse a la entidad a que comunique al CSIRT si utiliza una interfaz de gestión privilegiada, ya que esto podría afectar a la rapidez de la adopción de medidas de mitigación.

(45) Dada la importancia de la cooperación internacional en materia de ciberseguridad, los CSIRT deben poder participar en redes de cooperación internacional, además de en la red de CSIRT establecida por la presente Directiva. Por consiguiente, a efectos del desempeño de sus funciones, los CSIRT y las autoridades competentes deben poder intercambiar información, incluidos datos personales, con los equipos nacionales de respuesta a incidentes de seguridad informática o las autoridades competentes de terceros países, siempre que se cumplan las condiciones previstas en el Derecho de la Unión en materia de protección de datos para las transferencias de datos personales a terceros países, entre otras las del artículo 49 del Reglamento (UE) 2016/679.

(46) Es esencial garantizar los recursos adecuados para cumplir los objetivos de la presente Directiva y permitir que las autoridades competentes y los CSIRT lleven a cabo las tareas que en ella se establecen. Los Estados miembros pueden introducir a nivel nacional un mecanismo de financiación para cubrir los gastos necesarios en relación con la realización de las tareas de las entidades públicas responsables de la ciberseguridad en el Estado miembro con arreglo a la presente Directiva. Dicho mecanismo debe ajustarse al Derecho de la Unión, ser proporcionado y no discriminatorio y tener en cuenta los distintos enfoques de la prestación de servicios seguros.

(47) La red de CSIRT debe seguir contribuyendo a reforzar la confianza y promover una cooperación operativa rápida y eficaz entre los Estados miembros. Con el fin de reforzar la cooperación operativa a escala de la Unión, la red de CSIRT debe considerar la posibilidad de invitar a participar en sus trabajos a los organismos y agencias de la Unión que intervienen en la política de ciberseguridad, como Europol.

(48) Con el fin de alcanzar y mantener un alto nivel de ciberseguridad, las estrategias nacionales de ciberseguridad exigidas en virtud de la presente Directiva deben consistir en marcos coherentes que proporcionen objetivos y prioridades estratégicos en el ámbito de la ciberseguridad y la gobernanza para alcanzarlos. Dichas estrategias pueden estar compuestas por uno o varios instrumentos legislativos o no legislativos.

(49) Las políticas de ciberhigiene sientan las bases para proteger red y sistema de informaciónRedes y sistemas de información (a) una red de comunicaciones electrónicas, tal como se define en el artículo 2, punto 1, de la Directiva (UE) 2018/1972; b) cualquier dispositivo o grupo de dispositivos interconectados o relacionados entre sí, uno o varios de los cuales, con arreglo a un programa, lleven a cabo un tratamiento automático de datos digitales; o c) datos digitales almacenados, tratados, recuperados o transmitidos por elementos contemplados en las letras a) y b) a efectos de su funcionamiento, uso, protección y mantenimiento; - Definición según el artículo 6 de la Directiva (UE) 2022/2555 (Directiva NIS2) las infraestructuras, el hardware, el software y la seguridad de las aplicaciones en línea, así como los datos de las empresas o de los usuarios finales de los que dependen las entidades. Las políticas de ciberhigiene, que comprenden un conjunto básico común de prácticas, incluidas las actualizaciones de software y hardware, los cambios de contraseña, la gestión de nuevas instalaciones, la limitación de las cuentas de acceso a nivel de administrador y la realización de copias de seguridad de los datos, permiten un marco proactivo de preparación y seguridad general en caso de incidentes o ciberamenazas. La ENISA debería supervisar y analizar las políticas de ciberhigiene de los Estados miembros.

(50) La concienciación sobre la ciberseguridad y la ciberhigiene son esenciales para mejorar el nivel de ciberseguridad en la Unión, en particular a la luz del creciente número de dispositivos conectados que se utilizan cada vez más en los ciberataques. Deben realizarse esfuerzos para aumentar la concienciación general sobre los riesgos relacionados con dichos dispositivos, mientras que las evaluaciones a nivel de la Unión podrían ayudar a garantizar una comprensión común de tales riesgos en el mercado interior.

(51) Los Estados miembros deben fomentar el uso de cualquier tecnología innovadora, incluida la inteligencia artificial, cuyo uso pueda mejorar la detección y prevención de ciberataques, permitiendo desviar recursos hacia los ciberataques de manera más eficaz. Por consiguiente, los Estados miembros deben fomentar en su estrategia nacional de ciberseguridad actividades de investigación y desarrollo para facilitar el uso de dichas tecnologías, en particular las relativas a herramientas automatizadas o semiautomatizadas de ciberseguridad, y, en su caso, el intercambio de los datos necesarios para formar a los usuarios de dicha tecnología y para mejorarla.

El uso de cualquier tecnología innovadora, incluida la inteligencia artificial, debe cumplir el Derecho de la Unión en materia de protección de datos, incluidos los principios de protección de datos de exactitud de los datos, minimización de los datos, imparcialidad y transparencia, y seguridad de los datos, como el cifrado de última generación. Deben aprovecharse plenamente los requisitos de protección de datos desde el diseño y por defecto establecidos en el Reglamento (UE) 2016/679.

(52) Las herramientas y aplicaciones de ciberseguridad de código abierto pueden contribuir a un mayor grado de apertura y repercutir positivamente en la eficiencia de la innovación industrial. Las normas abiertas facilitan la interoperabilidad entre las herramientas de seguridad, lo que beneficia a la seguridad de las partes interesadas del sector industrial. Las herramientas y aplicaciones de ciberseguridad de código abierto pueden aprovechar una comunidad de desarrolladores más amplia, permitiendo la diversificación de los proveedores. El código abierto puede conducir a un proceso de verificación más transparente de las herramientas relacionadas con la ciberseguridad y a un proceso de descubrimiento de vulnerabilidades impulsado por la comunidad.

Por lo tanto, los Estados miembros deberían poder promover el uso de programas informáticos de código abierto y de normas abiertas aplicando políticas relativas al uso de datos abiertos y de código abierto como parte de la seguridad a través de la transparencia. Las políticas que promueven la introducción y el uso sostenible de herramientas de ciberseguridad de código abierto son de especial importancia para las pequeñas y medianas empresas que se enfrentan a costes significativos de implementación, que podrían minimizarse reduciendo la necesidad de aplicaciones o herramientas específicas.

(53) Los servicios públicos están cada vez más conectados a las redes digitales en las ciudades, con el fin de mejorar las redes de transporte urbano, modernizar las instalaciones de suministro de agua y eliminación de residuos y aumentar la eficiencia de la iluminación y la calefacción de los edificios. Estos servicios públicos digitalizados son vulnerables a los ciberataques y corren el riesgo, en caso de ciberataque con éxito, de perjudicar a los ciudadanos a gran escala debido a su interconexión. Los Estados miembros deben desarrollar una política que aborde el desarrollo de estas ciudades conectadas o inteligentes, y sus posibles efectos en la sociedad, como parte de su estrategia nacional de ciberseguridad.

(54) En los últimos años, la Unión se ha enfrentado a un aumento exponencial de los ataques de ransomware, en los que los programas maliciosos cifran datos y sistemas y exigen el pago de un rescate para liberarlos. La creciente frecuencia y gravedad de los ataques de ransomware puede deberse a varios factores, como los diferentes patrones de ataque, los modelos de negocio delictivos en torno al "ransomware como servicio" y las criptomonedas, las peticiones de rescate y el aumento de los ataques a la cadena de suministro. Los Estados miembros deben desarrollar una política que aborde el aumento de los ataques de ransomware como parte de su estrategia nacional de ciberseguridad.

(55) Las asociaciones público-privadas (APP) en el ámbito de la ciberseguridad pueden proporcionar un marco adecuado para el intercambio de conocimientos, la puesta en común de las mejores prácticas y el establecimiento de un nivel común de entendimiento entre las partes interesadas. Los Estados miembros deben promover políticas que respalden el establecimiento de APP específicas en materia de ciberseguridad.

Dichas políticas deben aclarar, entre otras cosas, el alcance y las partes interesadas, el modelo de gobernanza, las opciones de financiación disponibles y la interacción entre las partes interesadas participantes con respecto a las APP. Las APP pueden aprovechar la experiencia de las entidades del sector privado para ayudar a las autoridades competentes a desarrollar servicios y procesos de vanguardia, como el intercambio de información, las alertas tempranas, los ejercicios sobre ciberamenazas e incidentes, la gestión de crisis y la planificación de la resiliencia.

(56) Los Estados miembros deben abordar, en sus estrategias nacionales de ciberseguridad, las necesidades específicas de ciberseguridad de las pequeñas y medianas empresas. Las pequeñas y medianas empresas representan, en toda la Unión, un gran porcentaje del mercado industrial y empresarial y a menudo luchan por adaptarse a las nuevas prácticas empresariales en un mundo más conectado y al entorno digital, con empleados que trabajan desde casa y negocios que se realizan cada vez más en línea.

Algunas pequeñas y medianas empresas se enfrentan a retos específicos en materia de ciberseguridad, como una escasa concienciación cibernética, la falta de seguridad informática a distancia, el elevado coste de las soluciones de ciberseguridad y un mayor nivel de amenazas, como el ransomware, para las que deben recibir orientación y asistencia. Las pequeñas y medianas empresas se están convirtiendo cada vez más en el blanco de los ataques a la cadena de suministro debido a que sus medidas de gestión de riesgos de ciberseguridad y de gestión de ataques son menos rigurosas, y a que disponen de recursos de seguridad limitados.

Estos ataques a la cadena de suministro no solo repercuten en las pequeñas y medianas empresas y en sus operaciones de forma aislada, sino que también pueden tener un efecto en cascada de ataques de mayor envergadura contra las entidades a las que suministran productos. Los Estados miembros deben, a través de sus estrategias nacionales de ciberseguridad, ayudar a las pequeñas y medianas empresas a hacer frente a los retos que se plantean en sus cadenas de suministro.

Los Estados miembros deben contar con un punto de contacto para las pequeñas y medianas empresas a nivel nacional o regional, que proporcione orientación y asistencia a las pequeñas y medianas empresas o las dirija a los organismos adecuados para que reciban orientación y asistencia en relación con cuestiones relacionadas con la ciberseguridad. También se anima a los Estados miembros a ofrecer servicios como la configuración de sitios web y la habilitación de registros a las microempresas y pequeñas empresas que carezcan de esas capacidades.

(57) Como parte de sus estrategias nacionales de ciberseguridad, los Estados miembros deben adoptar políticas de fomento de la ciberprotección activa como parte de una estrategia defensiva más amplia. En lugar de responder de forma reactiva, la ciberprotección activa consiste en la prevención, detección, supervisión, análisis y mitigación de las violaciones de la seguridad de la red de forma activa, combinada con el uso de capacidades desplegadas dentro y fuera de la red víctima.

Esto podría incluir que los Estados miembros ofrecieran servicios o herramientas gratuitos a determinadas entidades, incluidas comprobaciones de autoservicio, herramientas de detección y servicios de retirada. La capacidad de compartir y comprender de forma rápida y automática información y análisis sobre amenazas, alertas de ciberactividad y medidas de respuesta es fundamental para permitir una unidad de esfuerzos a la hora de prevenir, detectar, abordar y bloquear con éxito los ataques contra los sistemas de red y de información. La ciberprotección activa se basa en una estrategia defensiva que excluye las medidas ofensivas.

(58) Dado que la explotación de vulnerabilidades en los sistemas de red y de información puede causar perturbaciones y daños significativos, la rápida identificación y subsanación de dichas vulnerabilidades es un factor importante para reducir el riesgo. Las entidades que desarrollan o administran redes y sistemas de información deben, por tanto, establecer procedimientos adecuados para tratar las vulnerabilidades cuando se descubran. Dado que las vulnerabilidades suelen ser descubiertas y divulgadas por terceros, el fabricante o proveedor de productos o servicios de TIC también debe establecer los procedimientos necesarios para recibir información sobre vulnerabilidades de terceros.

A este respecto, las normas internacionales ISO/IEC 30111 e ISO/IEC 29147 proporcionan orientaciones sobre el tratamiento y la divulgación de vulnerabilidades. Reforzar la coordinación entre las personas físicas y jurídicas declarantes y los fabricantes o proveedores de productos o servicios de TIC es especialmente importante para facilitar el marco voluntario de divulgación de vulnerabilidades.

La divulgación coordinada de vulnerabilidades especifica un proceso estructurado mediante el cual las vulnerabilidades se notifican al fabricante o proveedor de los productos o servicios de TIC potencialmente vulnerables de manera que pueda diagnosticar y remediar la vulnerabilidad antes de que se divulgue información detallada sobre la vulnerabilidad a terceros o al público. La divulgación coordinada de vulnerabilidades también debe incluir la coordinación entre la persona física o jurídica informadora y el fabricante o proveedor de los productos o servicios de TIC potencialmente vulnerables en lo que respecta al calendario de reparación y publicación de vulnerabilidades.

(59) La Comisión, la ENISA y los Estados miembros deben seguir fomentando la armonización con las normas internacionales y las mejores prácticas existentes en el sector en el ámbito de la gestión de riesgos de ciberseguridad, por ejemplo en materia de evaluación de la seguridad de la cadena de suministro, intercambio de información y divulgación de vulnerabilidades.

(60) Los Estados miembros, en cooperación con la ENISA, deben tomar medidas para facilitar la divulgación coordinada de vulnerabilidades mediante el establecimiento de una política nacional pertinente. Como parte de su política nacional, los Estados miembros deben tratar de abordar, en la medida de lo posible, los retos a los que se enfrentan los investigadores de vulnerabilidades, incluida su posible exposición a la responsabilidad penal, de conformidad con la legislación nacional. Dado que las personas físicas y jurídicas que investigan vulnerabilidades podrían estar expuestas en algunos Estados miembros a responsabilidad penal y civil, se anima a los Estados miembros a adoptar directrices relativas a la no persecución de los investigadores de la seguridad de la información y a la exención de responsabilidad civil por sus actividades.

(61) Los Estados miembros deben designar a uno de sus CSIRT como coordinador, que actúe como intermediario de confianza entre las personas físicas o jurídicas declarantes y los fabricantes o proveedores de productos o servicios de TIC que puedan verse afectados por la vulnerabilidad, cuando sea necesario.

Las tareas del CSIRT designado como coordinador deberán incluir la identificación y el contacto con las entidades afectadas, la asistencia a las personas físicas o jurídicas que notifiquen una vulnerabilidad, la negociación de los plazos de divulgación y la gestión de las vulnerabilidades que afecten a varias entidades (divulgación coordinada de vulnerabilidades por varias partes). Cuando la vulnerabilidad notificada pueda tener un impacto significativo en entidades de más de un Estado miembro, los CSIRT designados como coordinadores deberán cooperar dentro de la red de CSIRT, cuando proceda.

(62) El acceso a información correcta y oportuna sobre las vulnerabilidades que afectan a los productos y servicios de TIC contribuye a mejorar la gestión de los riesgos de ciberseguridad. Las fuentes de información públicamente disponibles sobre vulnerabilidades son una herramienta importante para las entidades y para los usuarios de sus servicios, pero también para las autoridades competentes y los CSIRT. Por este motivo, la ENISA debe crear una base de datos europea sobre vulnerabilidades en la que las entidades, independientemente de que entren o no en el ámbito de aplicación de la presente Directiva, y sus proveedores de sistemas de redes y de información, así como las autoridades competentes y los CSIRT, puedan divulgar y registrar, con carácter voluntario, las vulnerabilidades de conocimiento público con el fin de que los usuarios puedan adoptar las medidas paliativas adecuadas.

El objetivo de dicha base de datos es abordar los retos únicos que plantean los riesgos para las entidades de la Unión. Además, la ENISA debe establecer un procedimiento adecuado en relación con el proceso de publicación a fin de dar tiempo a las entidades para que adopten medidas paliativas en lo que respecta a sus vulnerabilidades y empleen medidas de gestión de riesgos de ciberseguridad de última generación, así como conjuntos de datos legibles por máquina e interfaces correspondientes. Para fomentar una cultura de divulgación de vulnerabilidades, la divulgación no debe tener efectos perjudiciales para la persona física o jurídica informante.

(63) Aunque existen registros o bases de datos de vulnerabilidades similares, están alojados y mantenidos por entidades que no están establecidas en la Unión. Una base de datos europea sobre vulnerabilidades mantenida por ENISA proporcionaría una mayor transparencia en relación con el proceso de publicación antes de que la vulnerabilidad se divulgue públicamente, así como capacidad de recuperación en caso de perturbación o interrupción de la prestación de servicios similares.

Para evitar, en la medida de lo posible, la duplicación de esfuerzos y buscar la complementariedad, ENISA debería explorar la posibilidad de celebrar acuerdos de cooperación estructurados con registros o bases de datos similares que estén bajo la jurisdicción de terceros países. En particular, ENISA debería explorar la posibilidad de cooperar estrechamente con los operadores del sistema Common Vulnerabilities and Exposures (CVE).

(64) El Grupo de Cooperación debe apoyar y facilitar la cooperación estratégica y el intercambio de información, así como reforzar la confianza entre los Estados miembros. El Grupo de Cooperación debe establecer un programa de trabajo cada dos años. El programa de trabajo deberá incluir las acciones que deberá emprender el Grupo de Cooperación para llevar a cabo sus objetivos y tareas. El calendario para el establecimiento del primer programa de trabajo en virtud de la presente Directiva debe ajustarse al calendario del último programa de trabajo establecido en virtud de la Directiva (UE) 2016/1148, a fin de evitar posibles interrupciones en la labor del Grupo de cooperación.

(65) Cuando elabore documentos de orientación, el Grupo de cooperación debería cartografiar sistemáticamente las soluciones y experiencias nacionales, evaluar el impacto de los resultados del Grupo de cooperación en los enfoques nacionales, debatir los problemas de aplicación y formular recomendaciones específicas, en particular en lo que se refiere a facilitar la armonización de la transposición de la presente Directiva entre los Estados miembros, que deberá abordarse mediante una mejor aplicación de las normas existentes. El Grupo de Cooperación también podría cartografiar las soluciones nacionales con el fin de promover la compatibilidad de las soluciones de ciberseguridad aplicadas a cada sector específico en toda la Unión. Esto es especialmente pertinente para los sectores que tienen un carácter internacional o transfronterizo.

(66) El Grupo de Cooperación debe seguir siendo un foro flexible y capaz de reaccionar ante los cambios y los nuevos retos y prioridades políticas, teniendo en cuenta al mismo tiempo la disponibilidad de recursos. Podría organizar reuniones conjuntas periódicas con las partes interesadas del sector privado de toda la Unión para debatir las actividades llevadas a cabo por el Grupo de Cooperación y recabar datos y aportaciones sobre los nuevos retos políticos. Además, el Grupo de Cooperación debería llevar a cabo una evaluación periódica de la situación de las amenazas o incidentes cibernéticos, como el ransomware.

Con el fin de mejorar la cooperación a escala de la Unión, el Grupo de Cooperación debe considerar la posibilidad de invitar a participar en sus trabajos a las instituciones, órganos, oficinas y agencias pertinentes de la Unión que participan en la política de ciberseguridad, como el Parlamento Europeo, Europol, el Consejo Europeo de Protección de Datos, la Agencia de Seguridad Aérea de la Unión Europea, creada por el Reglamento (UE) 2018/1139, y la Agencia de la Unión Europea para el Programa Espacial, creada por el Reglamento (UE) 2021/696 del Parlamento Europeo y del Consejo (14).

(67) Las autoridades competentes y los CSIRT deben poder participar en regímenes de intercambio de funcionarios de otros Estados miembros, dentro de un marco específico y, en su caso, con sujeción a la habilitación de seguridad exigida a los funcionarios que participen en dichos regímenes de intercambio, a fin de mejorar la cooperación y reforzar la confianza entre los Estados miembros. Las autoridades competentes deberán adoptar las medidas necesarias para que los funcionarios de otros Estados miembros puedan desempeñar un papel efectivo en las actividades de la autoridad competente o del CSIRT de acogida.

(68) Los Estados miembros deben contribuir al establecimiento del Marco de Respuesta a las Crisis de Ciberseguridad de la UE, tal como se establece en la Recomendación (UE) 2017/1584 (15) de la Comisión, a través de las redes de cooperación existentes, en particular la red de organizaciones europeas de enlace en situaciones de cibercrisis (EU-CyCLONe), la red de CSIRT y el Grupo de Cooperación. EU-CyCLONe y la red de CSIRT deben cooperar sobre la base de acuerdos de procedimiento que especifiquen los detalles de dicha cooperación y eviten la duplicación de tareas.

El reglamento interno de EU-CyCLONe debe especificar con más detalle los acuerdos a través de los cuales debe funcionar dicha red, incluidas las funciones de la red, los medios de cooperación, las interacciones con otros actores pertinentes y las plantillas para el intercambio de información, así como los medios de comunicación. Para la gestión de crisis a escala de la Unión, las partes pertinentes deben basarse en las disposiciones de la UE en materia de Respuesta Política Integrada a las Crisis con arreglo a la Decisión de Ejecución (UE) 2018/1993 (16) del Consejo (disposiciones IPCR). La Comisión debe utilizar a tal efecto el proceso de coordinación intersectorial de crisis de alto nivel ARGUS. Si la crisis implica una dimensión exterior importante o de Política Común de Seguridad y Defensa, deberá activarse el Mecanismo de Respuesta a las Crisis del Servicio Europeo de Acción Exterior.

(69) De conformidad con el anexo de la Recomendación (UE) 2017/1584, por incidente de ciberseguridad a gran escala debe entenderse un incidente que cause un nivel de perturbación que supere la capacidad de un Estado miembro para responder a él o que tenga un impacto significativo en al menos dos Estados miembros. Dependiendo de su causa e impacto, los incidentes de ciberseguridad a gran escala pueden escalar y convertirse en crisis en toda regla que no permitan el correcto funcionamiento del mercado interior o planteen graves riesgos para la seguridad pública y la seguridad de las entidades o los ciudadanos de varios Estados miembros o de la Unión en su conjunto.

Dado el amplio alcance y, en la mayoría de los casos, el carácter transfronterizo de estos incidentes, los Estados miembros y las instituciones, órganos y organismos pertinentes de la Unión deben cooperar a nivel técnico, operativo y político para coordinar adecuadamente la respuesta en toda la Unión.

(70) Los incidentes y crisis de ciberseguridad a gran escala a escala de la Unión requieren una acción coordinada para garantizar una respuesta rápida y eficaz debido al alto grado de interdependencia entre sectores y Estados miembros. La disponibilidad de redes y sistemas de información ciberresistentes y la disponibilidad, confidencialidad e integridad de los datos son vitales para la seguridad de la Unión y para la protección de sus ciudadanos, empresas e instituciones frente a incidentes y ciberamenazas, así como para reforzar la confianza de las personas y organizaciones en la capacidad de la Unión para promover y proteger un ciberespacio global, abierto, libre, estable y seguro, basado en los derechos humanos, las libertades fundamentales, la democracia y el Estado de Derecho.

(71) El EU-CyCLONe debe trabajar como intermediario entre el nivel técnico y el político durante los incidentes y crisis de ciberseguridad a gran escala y debe mejorar la cooperación a nivel operativo y apoyar la toma de decisiones a nivel político. En cooperación con la Comisión, teniendo en cuenta la competencia de la Comisión en el ámbito de la gestión de crisis, el EU-CyCLONe debería basarse en los resultados de la red de CSIRT y utilizar sus propias capacidades para crear análisis de impacto de los incidentes y crisis de ciberseguridad a gran escala.

(72) Los ciberataques son de naturaleza transfronteriza, y un incidente significativo puede perturbar y dañar infraestructuras de información críticas de las que depende el buen funcionamiento del mercado interior. La Recomendación (UE) 2017/1584 aborda el papel de todos los agentes pertinentes. Además, la Comisión es responsable, en el marco del Mecanismo de Protección Civil de la Unión, establecido por la Decisión n.º 1313/2013/UE del Parlamento Europeo y del Consejo, de las acciones generales de preparación, incluida la gestión del Centro de Coordinación de la Respuesta a Emergencias y del Sistema Común de Comunicación e Información de Emergencia, el mantenimiento y ulterior desarrollo de la capacidad de conocimiento y análisis de la situación, y el establecimiento y la gestión de la capacidad de movilización y envío de equipos de expertos en caso de solicitud de ayuda de un Estado miembro o de un tercer país.

La Comisión también es responsable de proporcionar informes analíticos para los acuerdos IPCR en virtud de la Decisión de Ejecución (UE) 2018/1993, incluso en relación con el conocimiento de la situación y la preparación en materia de ciberseguridad, así como para el conocimiento de la situación y la respuesta a las crisis en los ámbitos de la agricultura, las condiciones meteorológicas adversas, la cartografía y las previsiones de conflictos, los sistemas de alerta temprana de desastres naturales, las emergencias sanitarias, la vigilancia de las enfermedades infecciosas, la fitosanidad, los incidentes químicos, la seguridad de los alimentos y los piensos, la sanidad animal, la migración, las aduanas, las emergencias nucleares y radiológicas y la energía.

(73) La Unión puede, en su caso, celebrar acuerdos internacionales, de conformidad con el artículo 218 del TFUE, con terceros países u organizaciones internacionales, que permitan y organicen su participación en actividades concretas del Grupo de Cooperación, la red de CSIRT y EU-CyCLONe. Tales acuerdos deben garantizar los intereses de la Unión y la adecuada protección de los datos. Esto no debe excluir el derecho de los Estados miembros a cooperar con terceros países en la gestión de vulnerabilidades y la gestión de riesgos de ciberseguridad, facilitando la presentación de informes y el intercambio general de información de conformidad con el Derecho de la Unión.

(74) Para facilitar la aplicación efectiva de la presente Directiva en lo que respecta, entre otras cosas, a la gestión de vulnerabilidades, las medidas de gestión de riesgos en materia de ciberseguridad, las obligaciones de notificación y los acuerdos de intercambio de información sobre ciberseguridad, los Estados miembros pueden cooperar con terceros países y emprender las actividades que se consideren adecuadas a tal fin, incluido el intercambio de información sobre ciberamenazas, incidentes, vulnerabilidades, herramientas y métodos, tácticas, técnicas y procedimientos, preparación y ejercicios de gestión de crisis de ciberseguridad, formación, creación de confianza y acuerdos estructurados de intercambio de información.

(75) Deben introducirse las evaluaciones inter pares para ayudar a aprender de las experiencias compartidas, reforzar la confianza mutua y alcanzar un alto nivel común de ciberseguridad. Las revisiones inter pares pueden dar lugar a valiosas percepciones y recomendaciones que refuercen las capacidades generales de ciberseguridad, creando otra vía funcional para el intercambio de mejores prácticas entre los Estados miembros y contribuyendo a mejorar los niveles de madurez de los Estados miembros en materia de ciberseguridad. Además, las revisiones inter pares deben tener en cuenta los resultados de mecanismos similares, como el sistema de revisión inter pares de la red de CSIRT, y deben aportar valor añadido y evitar la duplicación. La aplicación de las revisiones inter pares debe entenderse sin perjuicio del Derecho de la Unión o nacional en materia de protección de la información confidencial o clasificada.

(76) El Grupo de cooperación debe establecer una metodología de autoevaluación para los Estados miembros, con el objetivo de cubrir factores tales como el nivel de aplicación de las medidas de gestión de riesgos en materia de ciberseguridad y las obligaciones de información, el nivel de capacidades y la eficacia del ejercicio de las funciones de las autoridades competentes, las capacidades operativas de los CSIRT, el nivel de aplicación de la asistencia mutua, el nivel de aplicación de los acuerdos de intercambio de información sobre ciberseguridad, o cuestiones específicas de carácter transfronterizo o intersectorial. Debe animarse a los Estados miembros a que realicen autoevaluaciones periódicas y a que presenten y debatan los resultados de sus autoevaluaciones en el seno del Grupo de Cooperación.

(77) La responsabilidad de garantizar la seguridad de la red y del sistema de información recae, en gran medida, en las entidades esenciales e importantes. Debe fomentarse y desarrollarse una cultura de gestión de riesgos que incluya evaluaciones de riesgos y la aplicación de medidas de gestión de riesgos de ciberseguridad adecuadas a los riesgos afrontados.

(78) Las medidas de gestión de riesgos en materia de ciberseguridad deben tener en cuenta el grado de dependencia de la entidad esencial o importante de los sistemas de red y de información e incluir medidas para identificar cualquier riesgo de incidente, prevenir, detectar, responder y recuperarse de los incidentes y mitigar su impacto. La seguridad de las redes y sistemas de información debe incluir la seguridad de los datos almacenados, transmitidos y procesados. Las medidas de gestión de los riesgos de ciberseguridad deben prever un análisis sistémico, teniendo en cuenta el factor humano, con el fin de tener una visión completa de la seguridad de la red y del sistema de información.

(79) Dado que las amenazas a la seguridad de las redes y los sistemas de información pueden tener distintos orígenes, las medidas de gestión de riesgos en materia de ciberseguridad deben basarse en un enfoque que tenga en cuenta todos los peligros y cuyo objetivo sea proteger las redes y los sistemas de información, así como el entorno físico de dichos sistemas, frente a sucesos como robos, incendios, inundaciones, fallos en las telecomunicaciones o en el suministro eléctrico, o el acceso físico no autorizado y los daños e interferencias en las instalaciones de información y procesamiento de la información de una entidad esencial o importante, que podrían comprometer la disponibilidad, autenticidad, integridad o confidencialidad de los datos almacenados, transmitidos o procesados o de los servicios ofrecidos por los sistemas de red e información o accesibles a través de ellos.

Por lo tanto, las medidas de gestión de riesgos de ciberseguridad también deben abordar la seguridad física y medioambiental de los sistemas de red y de información, incluyendo medidas para proteger dichos sistemas de fallos del sistema, errores humanos, actos malintencionados o fenómenos naturales, en consonancia con las normas europeas e internacionales, como las incluidas en la serie ISO/IEC 27000. A este respecto, las entidades esenciales e importantes deben, como parte de sus medidas de gestión de riesgos de ciberseguridad, abordar también la seguridad de los recursos humanos y disponer de políticas adecuadas de control de acceso. Estas medidas deben ser coherentes con la Directiva (UE) 2022/2557.

(80) Con el fin de demostrar el cumplimiento de las medidas de gestión de riesgos en materia de ciberseguridad y en ausencia de regímenes europeos de certificación de la ciberseguridad adecuados adoptados de conformidad con el Reglamento (UE) 2019/881 del Parlamento Europeo y del Consejo (18), los Estados miembros deben, en consulta con el Grupo de Cooperación y el Grupo Europeo de Certificación de la Ciberseguridad, promover el uso de las normas europeas e internacionales pertinentes por parte de las entidades esenciales e importantes o pueden exigir a las entidades que utilicen productos de TIC, servicios de TIC y procesos de TIC certificados.


(81) Con el fin de evitar imponer una carga financiera y administrativa desproporcionada a las entidades esenciales e importantes, las medidas de gestión de los riesgos de ciberseguridad deben ser proporcionales a los riesgos planteados para la red y el sistema de información de que se trate, teniendo en cuenta el estado de la técnica de dichas medidas y, en su caso, las normas europeas e internacionales pertinentes, así como el coste de su aplicación.

(82) Las medidas de gestión de riesgos en materia de ciberseguridad deben ser proporcionales al grado de exposición de la entidad esencial o importante a los riesgos y al impacto social y económico que tendría un incidente. Al establecer medidas de gestión de los riesgos de ciberseguridad adaptadas a las entidades esenciales e importantes, deben tenerse debidamente en cuenta las divergencias en la exposición al riesgo de las entidades esenciales e importantes, como el carácter crítico de la entidad, los riesgos, incluidos los riesgos sociales, a los que está expuesta, el tamaño de la entidad y la probabilidad de que se produzcan incidentes y su gravedad, incluido su impacto social y económico.

(83) Las entidades esenciales e importantes deben garantizar la seguridad de la red y de los sistemas de información que utilizan en sus actividades. Estos sistemas son principalmente redes y sistemas de información privados gestionados por el personal informático interno de las entidades esenciales e importantes o cuya seguridad se ha externalizado. Las medidas de gestión de riesgos en materia de ciberseguridad y las obligaciones de información establecidas en la presente Directiva deben aplicarse a las entidades esenciales e importantes pertinentes con independencia de que dichas entidades mantengan sus redes y sistemas de información internamente o externalicen su mantenimiento.

(84) Teniendo en cuenta su carácter transfronterizo, proveedores de servicios DNS, registros de nombres TLD, proveedores de servicios de computación en nube, proveedores de servicios de centros de datos, red de distribución de contenidosRed de distribución de contenidos Se refiere a una red de servidores distribuidos geográficamente con el fin de garantizar una alta disponibilidad, accesibilidad o entrega rápida de contenidos y servicios digitales a los usuarios de Internet en nombre de los proveedores de contenidos y servicios -. Definición según el artículo 6 de la Directiva (UE) 2022/2555 (Directiva NIS2) los proveedores, los proveedores de servicios gestionados, los proveedores de servicios de seguridad gestionados, los proveedores de mercados en línea, de motores de búsqueda en línea y de plataformas de servicios de redes sociales, y los proveedores de servicios de confianza deben estar sujetos a un alto grado de armonización a escala de la Unión. Por consiguiente, un acto de ejecución debe facilitar la aplicación de medidas de gestión de riesgos en materia de ciberseguridad en relación con dichas entidades.

(85) Abordar los riesgos derivados de la cadena de suministro de una entidad y su relación con sus proveedores, como los proveedores de servicios de almacenamiento y procesamiento de datos o los proveedores de servicios de seguridad gestionados y los editores de programas informáticos, es especialmente importante dada la prevalencia de incidentes en los que las entidades han sido víctimas de ciberataques y en los que autores malintencionados han podido comprometer la seguridad de la red y los sistemas de información de una entidad aprovechando vulnerabilidades que afectaban a productos y servicios de terceros.

Por consiguiente, las entidades esenciales e importantes deben evaluar y tener en cuenta la calidad y resistencia generales de los productos y servicios, las medidas de gestión de los riesgos de ciberseguridad integradas en ellos y las prácticas de ciberseguridad de sus proveedores y prestadores de servicios, incluidos sus procedimientos de desarrollo seguro. En particular, debería animarse a las entidades esenciales e importantes a incorporar medidas de gestión de riesgos de ciberseguridad en los acuerdos contractuales con sus proveedores directos y prestadores de servicios. Dichas entidades podrían considerar los riesgos derivados de otros niveles de proveedores y prestadores de servicios.

(86) Entre los proveedores de servicios, los proveedores de servicios de seguridad gestionada en ámbitos como la respuesta a incidentes, las pruebas de penetración, las auditorías de seguridad y la consultoría desempeñan un papel especialmente importante a la hora de ayudar a las entidades en sus esfuerzos por prevenir, detectar, responder o recuperarse de incidentes. Sin embargo, los proveedores de servicios de seguridad gestionados también han sido objeto de ciberataques y, debido a su estrecha integración en las operaciones de las entidades, plantean un riesgo particular. Por lo tanto, las entidades esenciales e importantes deben actuar con mayor diligencia a la hora de seleccionar un proveedor de servicios de seguridad gestionada. proveedor de servicios de seguridad gestionadosProveedor de servicios de seguridad gestionados Se refiere a un proveedor de servicios gestionados que lleva a cabo o proporciona asistencia para actividades relacionadas con la gestión de riesgos de ciberseguridad -. Definición según el artículo 6 de la Directiva (UE) 2022/2555 (Directiva NIS2).

(87) Las autoridades competentes, en el contexto de sus tareas de supervisión, también pueden beneficiarse de servicios de ciberseguridad tales como auditorías de seguridad, pruebas de penetración o respuesta a incidentes.

(88) Las entidades esenciales e importantes también deben abordar los riesgos derivados de sus interacciones y relaciones con otras partes interesadas dentro de un ecosistema más amplio, incluso con respecto a la lucha contra el espionaje industrial y la protección de los secretos comerciales.

En particular, dichas entidades deben adoptar las medidas adecuadas para garantizar que su cooperación con las instituciones académicas y de investigación se lleve a cabo en consonancia con sus políticas de ciberseguridad y siga las buenas prácticas en materia de acceso y difusión seguros de la información en general y de protección de la propiedad intelectual en particular. Del mismo modo, dada la importancia y el valor de los datos para las actividades de las entidades esenciales e importantes, cuando confíen en los servicios de transformación y análisis de datos de terceros, dichas entidades deben adoptar todas las medidas adecuadas de gestión de riesgos de ciberseguridad.

(89) Las entidades esenciales e importantes deben adoptar una amplia gama de prácticas básicas de ciberhigiene, como los principios de confianza cero, las actualizaciones de software, la configuración de dispositivos, la segmentación de redes, la gestión de identidades y accesos o la concienciación de los usuarios, organizar la formación de su personal y concienciarlo sobre las ciberamenazas, el phishing o las técnicas de ingeniería social. Además, esas entidades deben evaluar sus propias capacidades de ciberseguridad y, cuando proceda, procurar la integración de tecnologías que mejoren la ciberseguridad, como la inteligencia artificial o los sistemas de aprendizaje automático, para mejorar sus capacidades y la seguridad de los sistemas de red y de información.

(90) Para seguir abordando los riesgos clave de la cadena de suministro y ayudar a las entidades esenciales e importantes que operan en los sectores regulados por la presente Directiva a gestionar adecuadamente los riesgos relacionados con la cadena de suministro y los proveedores, el Grupo de Cooperación, en cooperación con la Comisión y la ENISA, y, cuando proceda, previa consulta a las partes interesadas pertinentes, incluidas las de la industria, debe llevar a cabo evaluaciones coordinadas de los riesgos de seguridad de las cadenas de suministro críticas, como las realizadas para las redes 5G siguiendo la Recomendación (UE) 2019/534 de la Comisión, con el objetivo de identificar, por sector, los servicios de TIC críticos, los sistemas de TIC o los productos de TIC, las amenazas y vulnerabilidades pertinentes.

Estas evaluaciones coordinadas de los riesgos para la seguridad deben identificar medidas, planes de mitigación y mejores prácticas para contrarrestar las dependencias críticas, los posibles puntos únicos de fallo, las amenazas, las vulnerabilidades y otros riesgos asociados a la cadena de suministro, y deben explorar formas de seguir fomentando su adopción más amplia por parte de entidades esenciales e importantes. Los posibles factores de riesgo no técnicos, como la influencia indebida de un tercer país en los proveedores y prestadores de servicios, en particular en el caso de modelos alternativos de gobernanza, incluyen vulnerabilidades ocultas o puertas traseras y posibles interrupciones sistémicas del suministro, en particular en el caso de bloqueo tecnológico o dependencia del proveedor.

(91) Las evaluaciones coordinadas de riesgos para la seguridad de las cadenas de suministro críticas, a la luz de las características del sector de que se trate, deben tener en cuenta tanto los factores técnicos como, en su caso, los no técnicos, incluidos los definidos en la Recomendación (UE) 2019/534, en la evaluación coordinada de riesgos de la UE sobre la ciberseguridad de las redes 5G y en la caja de herramientas de la UE sobre ciberseguridad 5G acordada por el Grupo de Cooperación.

Para determinar las cadenas de suministro que deben someterse a una evaluación coordinada de los riesgos para la seguridad, deben tenerse en cuenta los siguientes criterios:

(i) la medida en que las entidades esenciales e importantes utilizan y dependen de servicios de TIC, sistemas de TIC o productos de TIC críticos específicos;

(ii) la pertinencia de servicios de TIC críticos específicos, sistemas de TIC o productos de TIC para el desempeño de funciones críticas o sensibles, incluido el tratamiento de datos personales;

(iii) la disponibilidad de servicios TIC, sistemas TIC o productos TIC alternativos;

(iv) la resistencia de la cadena global de suministro de servicios de TIC, sistemas de TIC o productos de TIC a lo largo de su ciclo de vida frente a acontecimientos perturbadores; y

(v) en el caso de servicios TIC, sistemas TIC o productos TIC emergentes, su potencial importancia futura para las actividades de las entidades.

Además, debe hacerse especial hincapié en los servicios de TIC, los sistemas de TIC o los productos de TIC sujetos a requisitos específicos procedentes de terceros países.

(92) Con el fin de racionalizar las obligaciones impuestas a los proveedores de redes públicas de comunicaciones electrónicas o de servicios de comunicaciones electrónicas disponibles al público, y a los proveedores de servicios de confianza, en relación con la seguridad de su red y de sus sistemas de información, así como para permitir que dichas entidades y las autoridades competentes en virtud de la Directiva (UE) 2018/1972 del Parlamento Europeo y del Consejo y del Reglamento (UE) n.º 910/2014, respectivamente, se beneficien del marco jurídico establecido por la presente Directiva, incluida la designación de un CSIRT responsable de la gestión de incidentes, la participación de las autoridades competentes afectadas en las actividades del Grupo de Cooperación y la red de CSIRT, dichas entidades deben entrar en el ámbito de aplicación de la presente Directiva.

Por consiguiente, deben suprimirse las disposiciones correspondientes establecidas en el Reglamento (UE) n.o 910/2014 y en la Directiva (UE) 2018/1972 relativas a la imposición de requisitos de seguridad y notificación a esos tipos de entidades. Las normas sobre obligaciones de notificación establecidas en la presente Directiva deben entenderse sin perjuicio del Reglamento (UE) 2016/679 y de la Directiva 2002/58/CE.

(93) Las obligaciones en materia de ciberseguridad establecidas en la presente Directiva deben considerarse complementarias de los requisitos impuestos a los proveedores de servicios de confianza en virtud del Reglamento (UE) n.º 910/2014. Debe exigirse a los proveedores de servicios de confianza que adopten todas las medidas adecuadas y proporcionadas para gestionar los riesgos que plantean sus servicios, incluso en relación con los clientes y los terceros que confían, y que notifiquen los incidentes con arreglo a la presente Directiva. Dichas obligaciones de ciberseguridad y notificación deben referirse también a la protección física de los servicios prestados. Los requisitos de servicio fiduciario cualificadoServicio de fideicomiso cualificado Definición según el artículo 3, punto 17, del Reglamento (UE) nº 910/2014. proveedores establecidos en el artículo 24 del Reglamento (UE) nº 910/2014 siguen siendo de aplicación.

(94) Los Estados miembros pueden asignar la función de autoridades competentes en materia de servicios de confianza a los organismos de supervisión previstos en el Reglamento (UE) n.º 910/2014, a fin de garantizar la continuidad de las prácticas actuales y aprovechar los conocimientos y la experiencia adquiridos en la aplicación de dicho Reglamento. En tal caso, las autoridades competentes en virtud de la presente Directiva deben cooperar estrecha y oportunamente con dichos organismos de supervisión mediante el intercambio de información pertinente a fin de garantizar la supervisión efectiva y el cumplimiento por parte de los proveedores de servicios de confianza de los requisitos establecidos en la presente Directiva y en el Reglamento (UE) n.º 910/2014.

Cuando proceda, el CSIRT o la autoridad competente con arreglo a la presente Directiva deben informar inmediatamente al organismo de supervisión con arreglo al Reglamento (UE) n.º 910/2014 sobre cualquier notificación de importante amenaza cibernéticaCiberamenazas significativas Se trata de una ciberamenaza que, en función de sus características técnicas, cabe suponer que puede tener un impacto grave en la red y los sistemas de información de una entidad o en los usuarios de los servicios de la entidad, causando daños materiales o inmateriales considerables. Definición según el artículo 6 de la Directiva (UE) 2022/2555 (Directiva NIS2) o incidente que afecte a los servicios de confianza, así como sobre cualquier infracción cometida por un proveedor de servicios fiduciariosProveedor de servicios de confianza Persona física o jurídica que presta uno o varios servicios fiduciarios, ya sea como prestador de servicios fiduciarios cualificado o no cualificado - Definición según el artículo 3, punto 19, del Reglamento (UE) nº 910/2014. de la presente Directiva. A efectos de notificación, los Estados miembros pueden utilizar, en su caso, el punto de entrada único establecido para lograr una notificación común y automática de incidentes tanto al organismo de supervisión con arreglo al Reglamento (UE) n.º 910/2014 como al CSIRT o a la autoridad competente con arreglo a la presente Directiva.

(95) Cuando proceda y con el fin de evitar perturbaciones innecesarias, las directrices nacionales existentes adoptadas para la transposición de las normas relativas a las medidas de seguridad establecidas en los artículos 40 y 41 de la Directiva (UE) 2018/1972 deben tenerse en cuenta en la transposición de la presente Directiva, aprovechando así los conocimientos y competencias ya adquiridos en virtud de la Directiva (UE) 2018/1972 en relación con las medidas de seguridad y las notificaciones de incidentes.

La ENISA también puede elaborar orientaciones sobre los requisitos de seguridad y sobre las obligaciones de notificación para los proveedores de redes públicas de comunicaciones electrónicas o de servicios de comunicaciones electrónicas disponibles para el público, a fin de facilitar la armonización y la transición y minimizar las perturbaciones. Los Estados miembros pueden asignar el papel de las autoridades competentes en materia de comunicaciones electrónicas a las autoridades nacionales de reglamentación en virtud de la Directiva (UE) 2018/1972 para garantizar la continuación de las prácticas actuales y aprovechar los conocimientos y la experiencia adquiridos como resultado de la aplicación de dicha Directiva.

(96) Dada la creciente importancia de los servicios de comunicaciones interpersonales independientes del número, tal como se definen en la Directiva (UE) 2018/1972, es necesario garantizar que dichos servicios también estén sujetos a requisitos de seguridad adecuados en vista de su naturaleza específica y su importancia económica. A medida que la superficie de ataque sigue ampliándose, los servicios de comunicaciones interpersonales independientes del número, como los servicios de mensajería, se están convirtiendo en vectores de ataque generalizados.

Los autores malintencionados utilizan las plataformas para comunicarse y atraer a las víctimas para que abran páginas web comprometidas, aumentando así la probabilidad de incidentes que impliquen la explotación de datos personales y, por extensión, la seguridad de los sistemas de red y de información. Los proveedores de servicios de comunicaciones interpersonales independientes del número deben garantizar un nivel de seguridad de la red y de los sistemas de información adecuado a los riesgos planteados.

Dado que los proveedores de servicios de comunicaciones interpersonales independientes del número normalmente no ejercen un control real sobre la transmisión de señales a través de las redes, el grado de riesgo que plantean dichos servicios puede considerarse, en algunos aspectos, inferior al de los servicios de comunicaciones electrónicas tradicionales. Lo mismo se aplica a los servicios de comunicaciones interpersonales definidos en la Directiva (UE) 2018/1972 que hacen uso de números y que no ejercen un control real sobre la transmisión de señales.

(97) El mercado interior depende más que nunca del funcionamiento de internet. Los servicios de casi todas las entidades esenciales e importantes dependen de los servicios prestados a través de Internet. Con el fin de garantizar la prestación sin problemas de los servicios prestados por entidades esenciales e importantes, es importante que todos los proveedores de redes públicas de comunicaciones electrónicas dispongan de medidas adecuadas de gestión de riesgos en materia de ciberseguridad y notifiquen los incidentes significativos en relación con las mismas.

Los Estados miembros deben garantizar el mantenimiento de la seguridad de las redes públicas de comunicaciones electrónicas y la protección de sus intereses vitales en materia de seguridad frente al sabotaje y el espionaje. Dado que la conectividad internacional mejora y acelera la digitalización competitiva de la Unión y su economía, los incidentes que afecten a los cables de comunicaciones submarinos deben notificarse al CSIRT o, en su caso, a la autoridad competente. La estrategia nacional de ciberseguridad debe tener en cuenta, cuando proceda, la ciberseguridad de los cables de comunicaciones submarinos e incluir una cartografía de los posibles riesgos de ciberseguridad y medidas de mitigación para garantizar el máximo nivel de protección de los mismos.

(98) Para salvaguardar la seguridad de las redes públicas de comunicaciones electrónicas y de los servicios de comunicaciones electrónicas disponibles para el público, debe fomentarse el uso de tecnologías de cifrado, en particular el cifrado de extremo a extremo, así como conceptos de seguridad centrados en los datos, como la cartografía, la segmentación, el etiquetado, la política de acceso y la gestión del acceso, y las decisiones de acceso automatizadas. Cuando sea necesario, el uso del cifrado, en particular el cifrado de extremo a extremo, debe ser obligatorio para los proveedores de redes públicas de comunicaciones electrónicas o de servicios de comunicaciones electrónicas disponibles al público, de conformidad con los principios de seguridad y privacidad por defecto y desde el diseño a efectos de la presente Directiva.

El uso del cifrado de extremo a extremo debe conciliarse con las competencias de los Estados miembros para garantizar la protección de sus intereses esenciales de seguridad y la seguridad pública, y permitir la prevención, investigación, detección y enjuiciamiento de delitos penales de conformidad con el Derecho de la Unión. Sin embargo, esto no debe debilitar el cifrado de extremo a extremo, que es una tecnología fundamental para la protección efectiva de los datos y la intimidad y la seguridad de las comunicaciones.

(99) Con el fin de salvaguardar la seguridad de las redes públicas de comunicaciones electrónicas y de los servicios de comunicaciones electrónicas disponibles para el público, y de evitar su abuso y manipulación, debe fomentarse el uso de normas de encaminamiento seguro para garantizar la integridad y solidez de las funciones de encaminamiento en todo el ecosistema de proveedores de servicios de acceso a Internet.

(100) Para salvaguardar la funcionalidad e integridad de Internet y promover la seguridad y resistencia del DNS, debe alentarse a las partes interesadas pertinentes, incluidas las entidades del sector privado de la Unión, los proveedores de servicios de comunicaciones electrónicas disponibles al público, en particular los proveedores de servicios de acceso a Internet, y los proveedores de motores de búsqueda en línea, a adoptar una estrategia de diversificación de la resolución del DNS. Además, los Estados miembros deberían fomentar el desarrollo y la utilización de un servicio de resolución de DNS europeo público y seguro.

(101) La presente Directiva establece un planteamiento en varias etapas para la notificación de incidentes significativos con el fin de lograr el equilibrio adecuado entre, por una parte, una notificación rápida que ayude a mitigar la posible propagación de incidentes significativos y permita a las entidades esenciales e importantes solicitar asistencia y, por otra, una notificación en profundidad que extraiga enseñanzas valiosas de incidentes concretos y mejore con el tiempo la resistencia cibernética de entidades concretas y sectores enteros.

A este respecto, la presente Directiva debe incluir la notificación de incidentes que, sobre la base de una evaluación inicial realizada por la entidad de que se trate, puedan causar graves perturbaciones operativas de los servicios o pérdidas financieras para dicha entidad o afectar a otras personas físicas o jurídicas causándoles considerables daños materiales o inmateriales.

Esta evaluación inicial debe tener en cuenta, entre otras cosas, la red y los sistemas de información afectados, en particular su importancia en la prestación de los servicios de la entidad, la gravedad y las características técnicas de una amenaza cibernética y cualquier vulnerabilidad subyacente que esté siendo explotada, así como la experiencia de la entidad con incidentes similares. Indicadores como el grado en que se ve afectado el funcionamiento del servicio, la duración de un incidente o el número de destinatarios de servicios afectados podrían desempeñar un papel importante a la hora de identificar si la interrupción operativa del servicio es grave.

(102) Cuando las entidades esenciales o importantes tengan conocimiento de un incidente significativo, deben estar obligadas a presentar una alerta rápida sin demora indebida y, en cualquier caso, en un plazo de 24 horas. Esta alerta rápida debe ir seguida de una notificación del incidente. Las entidades afectadas deben presentar una notificación de incidente sin demora indebida y, en cualquier caso, en el plazo de 72 horas a partir del momento en que tengan conocimiento del incidente significativo, con el objetivo, en particular, de actualizar la información presentada a través de la alerta rápida y de indicar una evaluación inicial del incidente significativo, incluida su gravedad e impacto, así como los indicadores de compromiso, cuando se disponga de ellos.

Debe presentarse un informe final a más tardar un mes después de la notificación del incidente. La alerta temprana sólo debe incluir la información necesaria para que el CSIRT, o en su caso la autoridad competente, tenga conocimiento del incidente significativo y permita a la entidad afectada solicitar asistencia, en caso necesario. Dicha alerta temprana, en su caso, deberá indicar si se sospecha que el incidente significativo ha sido causado por actos ilícitos o malintencionados, y si es probable que tenga un impacto transfronterizo.

Los Estados miembros deben velar por que la obligación de presentar esa alerta rápida, o la posterior notificación del incidente, no desvíe los recursos de la entidad notificante de las actividades relacionadas con la gestión de incidentes a las que debería darse prioridad, a fin de evitar que las obligaciones de notificación de incidentes desvíen recursos de la gestión de la respuesta a incidentes significativos o comprometan de otro modo los esfuerzos de la entidad a ese respecto. En caso de que haya un incidente en curso en el momento de la presentación del informe final, los Estados miembros deben velar por que las entidades afectadas presenten un informe de situación en ese momento, y un informe final en el plazo de un mes desde su gestión del incidente significativo.

(103) Cuando proceda, las entidades esenciales e importantes deben comunicar, sin demora injustificada, a sus destinatarios de servicios las medidas o soluciones que puedan adoptar para mitigar los riesgos resultantes de una ciberamenaza significativa. Dichas entidades deben, cuando proceda y en particular cuando sea probable que la ciberamenaza significativa se materialice, informar también a sus destinatarios de servicios de la propia amenaza.

El requisito de informar a dichos destinatarios de las ciberamenazas significativas debe cumplirse en la medida de lo posible, pero no debe eximir a dichas entidades de la obligación de adoptar, a sus expensas, medidas adecuadas e inmediatas para prevenir o remediar tales amenazas y restablecer el nivel normal de seguridad del servicio. El suministro de dicha información sobre ciberamenazas significativas a los destinatarios del servicio debe ser gratuito y estar redactado en un lenguaje fácilmente comprensible.

(104) Los proveedores de redes públicas de comunicaciones electrónicas o de servicios de comunicaciones electrónicas disponibles al público deben aplicar la seguridad desde el diseño y por defecto, e informar a los destinatarios de sus servicios de las ciberamenazas significativas y de las medidas que pueden adoptar para proteger la seguridad de sus dispositivos y comunicaciones, por ejemplo utilizando tipos específicos de software o tecnologías de cifrado.

(105) Un enfoque proactivo de las ciberamenazas es un componente vital de la gestión de riesgos de ciberseguridad que debe permitir a las autoridades competentes evitar eficazmente que las ciberamenazas se materialicen en incidentes que puedan causar daños materiales o inmateriales considerables. A tal efecto, la notificación de las ciberamenazas reviste una importancia fundamental. A tal fin, se anima a las entidades a notificar de forma voluntaria las ciberamenazas.

(106) Con el fin de simplificar la comunicación de la información exigida en virtud de la presente Directiva, así como de reducir la carga administrativa de las entidades, los Estados miembros deben proporcionar medios técnicos, como una ventanilla única, sistemas automatizados, formularios en línea, interfaces de fácil uso, plantillas y plataformas especializadas, que puedan utilizar las entidades, independientemente de que entren o no en el ámbito de aplicación de la presente Directiva, para presentar la información pertinente que deba comunicarse.

La financiación de la Unión en apoyo de la aplicación de la presente Directiva, en particular en el marco del programa Europa Digital, establecido por el Reglamento (UE) 2021/694 del Parlamento Europeo y del Consejo (21), podría incluir el apoyo a las ventanillas únicas. Además, las entidades se encuentran a menudo en una situación en la que un incidente concreto, por sus características, debe notificarse a varias autoridades como consecuencia de las obligaciones de notificación incluidas en diversos instrumentos jurídicos. Estos casos generan una carga administrativa adicional y también podrían dar lugar a incertidumbres en cuanto al formato y los procedimientos de dichas notificaciones.

Cuando se establezca un punto de entrada único, se anima a los Estados miembros a utilizar también dicho punto de entrada único para las notificaciones de incidentes de seguridad exigidas en virtud de otra legislación de la Unión, como el Reglamento (UE) 2016/679 y la Directiva 2002/58/CE. El uso de dicho punto de entrada único para la notificación de incidentes de seguridad en virtud del Reglamento (UE) 2016/679 y de la Directiva 2002/58/CE no debe afectar a la aplicación de las disposiciones del Reglamento (UE) 2016/679 y de la Directiva 2002/58/CE, en particular las relativas a la independencia de las autoridades contempladas en ellos. La ENISA, en cooperación con el Grupo de Cooperación, debe elaborar plantillas comunes de notificación mediante directrices para simplificar y racionalizar la información que debe notificarse con arreglo al Derecho de la Unión y disminuir la carga administrativa de las entidades notificantes.

(107) Cuando se sospeche que un incidente está relacionado con actividades delictivas graves con arreglo al Derecho de la Unión o nacional, los Estados miembros deben alentar a las entidades esenciales e importantes, sobre la base de las normas de procedimiento penal aplicables de conformidad con el Derecho de la Unión, a que notifiquen los incidentes de presunta naturaleza delictiva grave a las autoridades policiales pertinentes. Cuando proceda, y sin perjuicio de las normas de protección de datos personales aplicables a Europol, es deseable que el Centro Europeo de Ciberdelincuencia (EC3) y la ENISA faciliten la coordinación entre las autoridades competentes y las autoridades policiales de los distintos Estados miembros.

(108) En muchos casos, los datos personales se ven comprometidos como consecuencia de incidentes. En ese contexto, las autoridades competentes deben cooperar e intercambiar información sobre todos los asuntos pertinentes con las autoridades a que se refieren el Reglamento (UE) 2016/679 y la Directiva 2002/58/CE.

(109) El mantenimiento de bases de datos exactas y completas de los datos de registro de nombres de dominio (datos WHOIS) y la facilitación de un acceso lícito a dichos datos son esenciales para garantizar la seguridad, estabilidad y resistencia del DNS, lo que a su vez contribuye a un elevado nivel común de ciberseguridad en toda la Unión. Con ese fin específico, debe exigirse a los registros de nombres de dominio de primer nivel y a las entidades que prestan servicios de registro de nombres de dominio que traten determinados datos necesarios para alcanzar ese fin.

Dicho tratamiento debe constituir una obligación legal en el sentido del artículo 6, apartado 1, letra c), del Reglamento (UE) 2016/679. Dicha obligación se entiende sin perjuicio de la posibilidad de recopilar datos de registro de nombres de dominio para otros fines, por ejemplo sobre la base de acuerdos contractuales o requisitos legales establecidos en otro Derecho de la Unión o nacional. Dicha obligación tiene por objeto lograr un conjunto completo y preciso de datos de registro y no debe dar lugar a que se recojan los mismos datos varias veces. Los registros de nombres de dominio de primer nivel y las entidades que prestan servicios de registro de nombres de dominio deben cooperar entre sí para evitar la duplicación de esa tarea.

(110) La disponibilidad y accesibilidad oportuna de los datos de registro de nombres de dominio para los solicitantes legítimos de acceso es esencial para prevenir y combatir el uso indebido del DNS, así como para prevenir y detectar incidentes y responder a ellos. Por "legítimo solicitante de acceso" debe entenderse cualquier persona física o jurídica que presente una solicitud de conformidad con el Derecho de la Unión o nacional.

Entre ellas pueden figurar las autoridades competentes en virtud de la presente Directiva y las competentes en virtud del Derecho de la Unión o nacional para la prevención, investigación, detección o enjuiciamiento de delitos, y los CERT o CSIRT. Debe exigirse a los registros de nombres de dominio de primer nivel y a las entidades que prestan servicios de registro de nombres de dominio que permitan el acceso legítimo de los solicitantes legítimos de acceso a los datos específicos de registro de nombres de dominio que sean necesarios a efectos de la solicitud de acceso, de conformidad con el Derecho de la Unión y nacional. La solicitud de los legítimos solicitantes de acceso debe ir acompañada de una exposición de motivos que permita evaluar la necesidad de acceder a los datos.

(111) A fin de garantizar la disponibilidad de datos exactos y completos sobre el registro de nombres de dominio, los registros de nombres de dominio de primer nivel y las entidades que prestan servicios de registro de nombres de dominio deben recopilar y garantizar la integridad y disponibilidad de los datos de registro de nombres de dominio. En particular, los registros de nombres de dominio de primer nivel y las entidades que prestan servicios de registro de nombres de dominio deben establecer políticas y procedimientos para recopilar y mantener datos de registro de nombres de dominio exactos y completos, así como para prevenir y corregir los datos de registro inexactos, de conformidad con la legislación de la Unión en materia de protección de datos.

Dichas políticas y procedimientos deben tener en cuenta, en la medida de lo posible, las normas elaboradas por las estructuras de gobernanza multilateral a nivel internacional. Los registros de nombres de TLD y las entidades que prestan servicios de registro de nombres de dominio deben adoptar y aplicar procedimientos proporcionados para verificar los datos de registro de nombres de dominio.

Dichos procedimientos deben reflejar las mejores prácticas utilizadas en el sector y, en la medida de lo posible, los progresos realizados en el ámbito de la identificación electrónica. Como ejemplos de procedimientos de verificación pueden citarse los controles ex ante efectuados en el momento del registro y los controles ex post efectuados después del registro. Los registros de nombres TLD y las entidades que prestan servicios de registro de nombres de dominio deben, en particular, verificar al menos un medio de contacto del solicitante de registro.

(112) Debe exigirse a los registros de nombres de dominio de primer nivel y a las entidades que prestan servicios de registro de nombres de dominio que pongan a disposición del público los datos de registro de nombres de dominio que queden fuera del ámbito de aplicación del Derecho de la Unión en materia de protección de datos, como los datos relativos a las personas jurídicas, en consonancia con el preámbulo del Reglamento (UE) 2016/679. En el caso de las personas jurídicas, los registros de nombres de dominio de primer nivel y las entidades que prestan servicios de registro de nombres de dominio deben poner a disposición del público al menos el nombre del solicitante de registro y el número de teléfono de contacto.

También debe publicarse la dirección de correo electrónico de contacto, siempre que no contenga datos personales, como en el caso de alias de correo electrónico o cuentas funcionales. Los registros de nombres de dominio de primer nivel y las entidades que prestan servicios de registro de nombres de dominio también deben permitir el acceso legal a los datos específicos de registro de nombres de dominio relativos a personas físicas a los legítimos solicitantes de acceso, de conformidad con la legislación de la Unión en materia de protección de datos. Los Estados miembros deben exigir a los registros de nombres de dominio de primer nivel y a las entidades que prestan servicios de registro de nombres de dominio que respondan sin demora injustificada a las solicitudes de divulgación de datos de registro de nombres de dominio presentadas por solicitantes de acceso legítimos.

Los registros de nombres TLD y las entidades que prestan servicios de registro de nombres de dominio deben establecer políticas y procedimientos para la publicación y divulgación de los datos de registro, incluidos los acuerdos de nivel de servicio para atender las solicitudes de acceso de los solicitantes legítimos. Dichas políticas y procedimientos deberían tener en cuenta, en la medida de lo posible, cualquier orientación y las normas desarrolladas por las estructuras de gobernanza de múltiples partes interesadas a nivel internacional. El procedimiento de acceso podría incluir el uso de una interfaz, un portal u otra herramienta técnica para proporcionar un sistema eficaz de solicitud y acceso a los datos de registro.

Con vistas a promover prácticas armonizadas en todo el mercado interior, la Comisión puede, sin perjuicio de las competencias del Consejo Europeo de Protección de Datos, proporcionar directrices en relación con dichos procedimientos, que tengan en cuenta, en la medida de lo posible, las normas elaboradas por las estructuras de gobernanza multilateral a escala internacional. Los Estados miembros deben garantizar la gratuidad de todos los tipos de acceso a los datos personales y no personales de registro de nombres de dominio.

(113) Las entidades incluidas en el ámbito de aplicación de la presente Directiva deben considerarse sometidas a la jurisdicción del Estado miembro en el que estén establecidas. No obstante, debe considerarse que los proveedores de redes públicas de comunicaciones electrónicas o los proveedores de servicios de comunicaciones electrónicas disponibles al público están sometidos a la jurisdicción del Estado miembro en el que prestan sus servicios.

Los proveedores de servicios DNS, los registros de nombres TLD, las entidades que prestan servicios de registro de nombres de dominio, los proveedores de servicios de computación en nube, los proveedores de servicios de centros de datos, los proveedores de redes de distribución de contenidos, los proveedores de servicios gestionados, los proveedores de servicios de seguridad gestionados, así como los proveedores de mercados en línea, de motores de búsqueda en línea y de plataformas de servicios de redes sociales deben considerarse sujetos a la jurisdicción del Estado miembro en el que tengan su establecimiento principal en la Unión.

Las entidades de la administración pública deben estar bajo la jurisdicción del Estado miembro que las estableció. Si la entidad presta servicios o está establecida en más de un Estado miembro, debe estar bajo la jurisdicción separada y concurrente de cada uno de esos Estados miembros. Las autoridades competentes de dichos Estados miembros deben cooperar, prestarse asistencia mutua y, en su caso, llevar a cabo acciones conjuntas de supervisión. Cuando los Estados miembros ejerzan su jurisdicción, no deben imponer medidas de ejecución o sanciones más de una vez por la misma conducta, en consonancia con el principio de ne bis in idem.

(114) A fin de tener en cuenta la naturaleza transfronteriza de los servicios y operaciones de los proveedores de servicios DNS, los registros de nombres TLD, las entidades que prestan servicios de registro de nombres de dominio, los proveedores de servicios de computación en nube, los proveedores de servicios de centros de datos, los proveedores de redes de entrega de contenidos, los proveedores de servicios gestionados, los proveedores de servicios de seguridad gestionados, así como los proveedores de mercados en línea, de motores de búsqueda en línea y de plataformas de servicios de redes sociales, solo un Estado miembro debe tener jurisdicción sobre dichas entidades. La competencia debe atribuirse al Estado miembro en el que la entidad de que se trate tenga su establecimiento principal en la Unión.

El criterio de establecimiento a efectos de la presente Directiva implica el ejercicio efectivo de la actividad a través de regímenes estables. La forma jurídica de tales acuerdos, ya sea a través de una sucursal o de una filial con personalidad jurídica, no es el factor determinante a este respecto. El cumplimiento de este criterio no debe depender de que la red y los sistemas de información estén situados físicamente en un lugar determinado; la presencia y la utilización de tales sistemas no constituyen, en sí mismas, ese establecimiento principal y, por lo tanto, no son criterios decisivos para determinar el establecimiento principal.

Debe considerarse que el establecimiento principal se encuentra en el Estado miembro en el que se toman predominantemente las decisiones relacionadas con las medidas de gestión de riesgos en materia de ciberseguridad en la Unión. Esto corresponderá normalmente al lugar de la administración central de las entidades en la Unión. Si no puede determinarse dicho Estado miembro o si tales decisiones no se adoptan en la Unión, debe considerarse que el establecimiento principal se encuentra en el Estado miembro en el que se llevan a cabo las operaciones de ciberseguridad.

Si no puede determinarse dicho Estado miembro, debe considerarse que el establecimiento principal se encuentra en el Estado miembro en el que la entidad tenga el establecimiento con el mayor número de empleados de la Unión. Cuando los servicios sean prestados por un grupo de empresas, debe considerarse que el establecimiento principal de la empresa que ejerce el control es el establecimiento principal del grupo de empresas.

(115) Cuando un proveedor de redes públicas de comunicaciones electrónicas o de servicios de comunicaciones electrónicas disponibles al público preste un servicio de DNS recursivo disponible al público únicamente como parte del servicio de acceso a Internet, debe considerarse que la entidad está sujeta a la jurisdicción de todos los Estados miembros en los que preste sus servicios.

(116) Cuando un Proveedor de servicios DNSProveedor de servicios DNS Se refiere a una entidad que proporciona: (a) servicios de resolución de nombres de dominio recursivos disponibles públicamente para los usuarios finales de Internet; o (b) servicios de resolución de nombres de dominio autoritativos para uso de terceros, con la excepción de los servidores de nombres raíz -. Definición según el artículo 6 de la Directiva (UE) 2022/2555 (Directiva NIS2)un registro de nombres TLD, un entidad que presta servicios de registro de nombres de dominioEntidad que presta servicios de registro de nombres de dominio Se refiere a un registrador o a un agente que actúa en nombre de registradores, como un proveedor o revendedor de servicios de registro de privacidad o proxy. Definición según el artículo 6 de la Directiva (UE) 2022/2555 (Directiva NIS2)un proveedor de servicios de computación en nube, un proveedor de servicios de centro de datos, un proveedor de red de entrega de contenidos, un proveedor de servicios gestionadosProveedor de servicios gestionados Se refiere a una entidad que presta servicios relacionados con la instalación, gestión, operación o mantenimiento de productos TIC, redes, infraestructuras, aplicaciones o cualquier otra red y sistemas de información, mediante asistencia o administración activa llevada a cabo en las instalaciones de los clientes o a distancia -. Definición según el artículo 6 de la Directiva (UE) 2022/2555 (Directiva NIS2)un proveedor de servicios de seguridad gestionados o un proveedor de un mercado en línea, de un motor de búsqueda en líneaMotor de búsqueda en línea Significa un servicio digital que permite a los usuarios introducir consultas con el fin de realizar búsquedas de, en principio, todos los sitios web, o todos los sitios web en un idioma determinado, sobre la base de una consulta sobre cualquier tema en forma de palabra clave, solicitud de voz, frase u otra entrada, y devuelve resultados en cualquier formato en el que se pueda encontrar información relacionada con el contenido solicitado. - Definición según el artículo 2, punto (5), del Reglamento (UE) 2019/1150 del Parlamento Europeo y del Consejo. o de un plataforma de servicios de redes socialesPlataforma de servicios de redes sociales Se refiere a una plataforma que permite a los usuarios finales conectarse, compartir, descubrir y comunicarse entre sí a través de múltiples dispositivos, en particular mediante chats, publicaciones, vídeos y recomendaciones -. Definición según el artículo 6 de la Directiva (UE) 2022/2555 (Directiva NIS2)que no está establecida en la Unión, ofrece servicios dentro de la Unión, debe designar un representanteRepresentante Persona física o jurídica establecida en la Unión designada explícitamente para actuar en nombre de un proveedor de servicios DNS, un registro de nombres TLD, una entidad que preste servicios de registro de nombres de dominio, un proveedor de servicios de computación en nube, un proveedor de servicios de centros de datos, un proveedor de redes de suministro de contenidos, un proveedor de servicios gestionados, un proveedor de servicios de seguridad gestionados o un proveedor de un mercado en línea, de un motor de búsqueda en línea o de una plataforma de servicios de redes sociales que no esté establecido en la Unión, a la que pueda dirigirse una autoridad competente o un CSIRT en lugar de la propia entidad en lo que respecta a las obligaciones que incumben a dicha entidad en virtud de la presente Directiva. - Definición según el artículo 6 de la Directiva (UE) 2022/2555 (Directiva NIS2) en la Unión.

Para determinar si una entidad de este tipo ofrece servicios en la Unión, debe comprobarse si la entidad tiene previsto ofrecer servicios a personas en uno o varios Estados miembros. La mera accesibilidad en la Unión del sitio web de la entidad o de un intermediario o de una dirección de correo electrónico u otros datos de contacto, o el uso de una lengua de uso general en el tercer país en el que esté establecida la entidad, deben considerarse insuficientes para determinar tal intención.

Sin embargo, factores como el uso de una lengua o una moneda de uso general en uno o varios Estados miembros, con la posibilidad de solicitar servicios en esa lengua, o la mención de clientes o usuarios que se encuentran en la Unión, podrían hacer evidente que la entidad tiene previsto ofrecer servicios dentro de la Unión. El representante debe actuar en nombre de la entidad y las autoridades competentes o los CSIRT deben poder dirigirse a él. El representante debe ser designado explícitamente mediante un mandato escrito de la entidad para actuar en nombre de esta última en lo que respecta a las obligaciones de esta última establecidas en la presente Directiva, incluida la notificación de incidentes.

(117) A fin de garantizar una visión clara de los proveedores de servicios DNS, los registros de nombres TLD, las entidades que prestan servicios de registro de nombres de dominio, los proveedores de servicios de computación en nube, los proveedores de servicios de centros de datos, los proveedores de redes de entrega de contenidos, los proveedores de servicios gestionados, los proveedores de servicios de seguridad gestionados, así como los proveedores de mercados en línea, de motores de búsqueda en línea y de plataformas de servicios de redes sociales, que prestan servicios en toda la Unión que entran en el ámbito de aplicación de la presente Directiva, ENISA debe crear y mantener un registro de dichas entidades, basado en la información recibida por los Estados miembros, en su caso a través de los mecanismos nacionales establecidos para que las entidades se registren.

Las ventanillas únicas deberán remitir a ENISA la información y cualquier modificación de la misma. Con el fin de garantizar la exactitud y exhaustividad de la información que debe incluirse en dicho registro, los Estados miembros pueden remitir a la ENISA la información disponible en cualesquiera registros nacionales sobre dichas entidades. ENISA y los Estados miembros deben adoptar medidas para facilitar la interoperabilidad de dichos registros, garantizando al mismo tiempo la protección de la información confidencial o clasificada. ENISA debe establecer protocolos adecuados de clasificación y gestión de la información para garantizar la seguridad y confidencialidad de la información divulgada y restringir el acceso, almacenamiento y transmisión de dicha información a los usuarios previstos.

(118) Cuando se intercambie, notifique o comparta de otro modo información clasificada de conformidad con el Derecho de la Unión o nacional con arreglo a la presente Directiva, deberán aplicarse las normas correspondientes sobre el tratamiento de información clasificada. Además, la ENISA debe disponer de la infraestructura, los procedimientos y las normas necesarios para tratar la información sensible y clasificada de conformidad con las normas de seguridad aplicables para proteger la información clasificada de la UE.

(119) Dado que las ciberamenazas son cada vez más complejas y sofisticadas, su buena detección y las medidas para prevenirlas dependen en gran medida de que las entidades compartan periódicamente información sobre amenazas y vulnerabilidades. El intercambio de información contribuye a una mayor concienciación sobre las ciberamenazas, lo que, a su vez, mejora la capacidad de las entidades para evitar que dichas amenazas se materialicen en incidentes y permite a las entidades contener mejor los efectos de los incidentes y recuperarse con mayor eficacia. A falta de orientaciones a nivel de la Unión, varios factores parecen haber inhibido este intercambio de información, en particular la incertidumbre sobre la compatibilidad con las normas de competencia y responsabilidad.

(120) Los Estados miembros deben alentar y ayudar a las entidades a aprovechar colectivamente sus conocimientos individuales y su experiencia práctica a nivel estratégico, táctico y operativo con vistas a mejorar sus capacidades para prevenir, detectar, responder o recuperarse adecuadamente de los incidentes o mitigar su impacto. Así pues, es necesario permitir la aparición a escala de la Unión de acuerdos voluntarios de intercambio de información sobre ciberseguridad.

A tal fin, los Estados miembros deben ayudar y alentar activamente a las entidades, como las que prestan servicios de ciberseguridad e investigación, así como a las entidades pertinentes no incluidas en el ámbito de aplicación de la presente Directiva, a participar en dichos acuerdos de intercambio de información sobre ciberseguridad. Dichos acuerdos deben establecerse de conformidad con las normas de competencia de la Unión y el Derecho de la Unión en materia de protección de datos.


(121) El tratamiento de datos personales, en la medida en que sea necesario y proporcionado a efectos de garantizar la seguridad de los sistemas de redes y de información por parte de entidades esenciales e importantes, podría considerarse lícito sobre la base de que dicho tratamiento cumple una obligación jurídica a la que está sujeto el responsable del tratamiento, de conformidad con los requisitos del artículo 6, apartado 1, letra c), y del artículo 6, apartado 3, del Reglamento (UE) 2016/679.

El tratamiento de datos personales también podría ser necesario para los intereses legítimos perseguidos por entidades esenciales e importantes, así como por proveedores de tecnologías y servicios de seguridad que actúen en nombre de dichas entidades, de conformidad con el artículo 6, apartado 1, letra f), del Reglamento (UE) 2016/679, incluso cuando dicho tratamiento sea necesario para acuerdos de intercambio de información sobre ciberseguridad o para la notificación voluntaria de información pertinente de conformidad con la presente Directiva.

Las medidas relacionadas con la prevención, detección, identificación, contención, análisis y respuesta a incidentes, las medidas de sensibilización en relación con ciberamenazas específicas, el intercambio de información en el contexto de la reparación de vulnerabilidades y la divulgación coordinada de vulnerabilidades, el intercambio voluntario de información sobre dichos incidentes, y ciberamenazas y vulnerabilidades, indicadores de compromiso, tácticas, técnicas y procedimientos, alertas de ciberseguridad y herramientas de configuración podrían requerir el tratamiento de determinadas categorías de datos personales, como direcciones IP, localizadores uniformes de recursos (URL), nombres de dominio, direcciones de correo electrónico y, cuando revelen datos personales, marcas de tiempo.

El tratamiento de datos personales por parte de las autoridades competentes, las ventanillas únicas y los CSIRT, podría constituir una obligación legal o considerarse necesario para el cumplimiento de una misión de interés público o en el ejercicio del poder público conferido al responsable del tratamiento de conformidad con el artículo 6, apartado 1, letras c) o e), y el artículo 6, apartado 3, del Reglamento (UE) 2016/679, o para perseguir un interés legítimo de las entidades esenciales e importantes, a que se refiere el artículo 6, apartado 1, letra f), de dicho Reglamento.

Además, el Derecho nacional podría establecer normas que permitan a las autoridades competentes, las ventanillas únicas y los CSIRT, en la medida en que sea necesario y proporcionado a efectos de garantizar la seguridad de las redes y los sistemas de información de entidades esenciales e importantes, tratar categorías especiales de datos personales de conformidad con el artículo 9 del Reglamento (UE) 2016/679, en particular estableciendo medidas adecuadas y específicas para salvaguardar los derechos e intereses fundamentales de las personas físicas, incluidas limitaciones técnicas a la reutilización de dichos datos y el uso de medidas de seguridad y de preservación de la intimidad de última generación, como la seudonimización, o el cifrado cuando la anonimización pueda afectar significativamente a la finalidad perseguida.

(122) A fin de reforzar las facultades y medidas de supervisión que contribuyan a garantizar un cumplimiento efectivo, la presente Directiva debe establecer una lista mínima de medidas y medios de supervisión a través de los cuales las autoridades competentes puedan supervisar a las entidades esenciales e importantes. Además, la presente Directiva debe establecer una diferenciación del régimen de supervisión entre entidades esenciales e importantes con vistas a garantizar un justo equilibrio de las obligaciones de dichas entidades y de las autoridades competentes.

Por lo tanto, las entidades esenciales deben estar sujetas a un régimen de supervisión ex ante y ex post exhaustivo, mientras que las entidades importantes deben estar sujetas a un régimen de supervisión ligero, únicamente ex post. Por lo tanto, no debe exigirse a las entidades importantes que documenten sistemáticamente el cumplimiento de las medidas de gestión de riesgos en materia de ciberseguridad, mientras que las autoridades competentes deben aplicar un enfoque de supervisión ex post reactivo y, por lo tanto, no deben tener la obligación general de supervisar a dichas entidades.

La supervisión a posteriori de entidades importantes puede ser desencadenada por pruebas, indicios o información puestos en conocimiento de las autoridades competentes que dichas autoridades consideren que sugieren posibles infracciones de la presente Directiva. Por ejemplo, dichas pruebas, indicios o información podrían ser del tipo facilitado a las autoridades competentes por otras autoridades, entidades, ciudadanos, medios de comunicación u otras fuentes o información públicamente disponible, o podrían surgir de otras actividades llevadas a cabo por las autoridades competentes en el cumplimiento de sus funciones.

(123) La ejecución de las tareas de supervisión por parte de las autoridades competentes no debe obstaculizar innecesariamente las actividades empresariales de la entidad de que se trate. Cuando las autoridades competentes ejecuten sus tareas de supervisión en relación con entidades esenciales, incluida la realización de inspecciones in situ y la supervisión a distancia, la investigación de infracciones de la presente Directiva y la realización de auditorías o exploraciones de seguridad, deben minimizar el impacto en las actividades empresariales de la entidad de que se trate.

(124) En el ejercicio de la supervisión ex ante, las autoridades competentes deben poder decidir sobre la priorización del uso de las medidas y medios de supervisión a su disposición de manera proporcionada. Esto implica que las autoridades competentes pueden decidir sobre dicha priorización basándose en metodologías de supervisión que deben seguir un enfoque basado en el riesgo.

Más concretamente, dichas metodologías podrían incluir criterios o puntos de referencia para la clasificación de las entidades esenciales en categorías de riesgo y las correspondientes medidas y medios de supervisión recomendados por categoría de riesgo, como el uso, la frecuencia o los tipos de inspecciones in situ, auditorías de seguridad específicas o escáneres de seguridad, el tipo de información que debe solicitarse y el nivel de detalle de dicha información. Estas metodologías de supervisión también podrían ir acompañadas de programas de trabajo y ser evaluadas y revisadas periódicamente, incluso en aspectos como la asignación de recursos y las necesidades. En relación con las entidades de la administración pública, las competencias de supervisión deberían ejercerse en consonancia con los marcos legislativos e institucionales nacionales.

(125) Las autoridades competentes deben velar por que sus tareas de supervisión en relación con las entidades esenciales e importantes sean llevadas a cabo por profesionales formados, que deben contar con las competencias necesarias para desempeñar dichas tareas, en particular en lo que respecta a la realización de inspecciones in situ y a la supervisión a distancia, incluida la detección de deficiencias en las bases de datos, el hardware, los cortafuegos, el cifrado y las redes. Esas inspecciones y esa supervisión deben realizarse de manera objetiva.

(126) En casos debidamente justificados en los que tenga conocimiento de una ciberamenaza significativa o de un riesgo inminente, la autoridad competente debe poder adoptar decisiones coercitivas inmediatas con el fin de prevenir o responder a un incidente.

(127) Para que la ejecución sea efectiva, debe establecerse una lista mínima de competencias de ejecución que puedan ejercerse por incumplimiento de las medidas de gestión de riesgos en materia de ciberseguridad y de las obligaciones de notificación previstas en la presente Directiva, creando un marco claro y coherente para dicha ejecución en toda la Unión. Deben tenerse debidamente en cuenta la naturaleza, gravedad y duración de la infracción de la presente Directiva, el daño material o moral causado, si la infracción ha sido intencionada o por negligencia, las medidas adoptadas para prevenir o mitigar el daño material o moral, el grado de responsabilidad o cualquier infracción anterior pertinente, el grado de cooperación con la autoridad competente y cualquier otro factor agravante o atenuante.

Las medidas coercitivas, incluidas las multas administrativas, deben ser proporcionadas y su imposición debe estar sujeta a las garantías procesales adecuadas de conformidad con los principios generales del Derecho de la Unión y la Carta de los Derechos Fundamentales de la Unión Europea (la "Carta"), incluido el derecho a la tutela judicial efectiva y a un juez imparcial, la presunción de inocencia y los derechos de la defensa.

(128) La presente Directiva no exige a los Estados miembros que establezcan la responsabilidad penal o civil de las personas físicas responsables de garantizar que una entidad cumple la presente Directiva por los daños sufridos por terceros como consecuencia de una infracción de la presente Directiva.

(129) Para garantizar el cumplimiento efectivo de las obligaciones establecidas en la presente Directiva, cada autoridad competente debe estar facultada para imponer o solicitar la imposición de multas administrativas.

(130) Cuando se imponga una multa administrativa a una entidad esencial o importante que sea una empresa, debe entenderse que se trata de una empresa de conformidad con los artículos 101 y 102 del TFUE a estos efectos. Cuando se imponga una multa administrativa a una persona que no sea una empresa, la autoridad competente debe tener en cuenta el nivel general de ingresos en el Estado miembro, así como la situación económica de la persona, a la hora de considerar el importe adecuado de la multa. Debe corresponder a los Estados miembros determinar si las autoridades públicas deben estar sujetas a multas administrativas y en qué medida. La imposición de una multa administrativa no afecta a la aplicación de otros poderes de las autoridades competentes ni de otras sanciones establecidas en las normas nacionales de transposición de la presente Directiva.