Preámbulo

REGLAMENTO (UE) 2019/881 DEL PARLAMENTO EUROPEO Y DEL CONSEJO

de 17 de abril de 2019

sobre ENISA (la Agencia de la Unión Europea para CiberseguridadCiberseguridad "ciberseguridad": la ciberseguridad definida en el artículo 2, punto 1, del Reglamento (UE) 2019/881; - Definición según el artículo 6 de la Directiva (UE) 2022/2555 (Directiva NIS2) "ciberseguridad": las actividades necesarias para proteger las redes y los sistemas de información, a los usuarios de dichos sistemas y a otras personas afectadas por las ciberamenazas; - Definición según el artículo 2, punto (1), del Reglamento (UE) 2019/881;) y sobre certificación de la ciberseguridad de las tecnologías de la información y las comunicaciones y por el que se deroga el Reglamento (UE) nº 526/2013 (Ley de Ciberseguridad)

(Texto pertinente a efectos del EEE)

EL PARLAMENTO EUROPEO Y EL CONSEJO DE LA UNIÓN EUROPEA,
Visto el Tratado de Funcionamiento de la Unión Europea y, en particular, su artículo 114,
Vista la propuesta de la Comisión Europea,
Tras la transmisión del proyecto de acto legislativo a los parlamentos nacionales,
Visto el dictamen del Comité Económico y Social Europeo (1),
Visto el dictamen del Comité de las Regiones (2),
Actuando con arreglo al procedimiento legislativo ordinario (3),

Considerando que:

(1) Los sistemas de redes e información y las redes y servicios de comunicaciones electrónicas desempeñan un papel vital en la sociedad y se han convertido en la espina dorsal del crecimiento económico. Las tecnologías de la información y la comunicación (TIC) sustentan los complejos sistemas que sustentan las actividades cotidianas de la sociedad, mantienen en funcionamiento nuestras economías en sectores clave como la sanidad, la energía, las finanzas y el transporte y, en particular, apoyan el funcionamiento del mercado interior.

(2) El uso de redes y sistemas de información por parte de ciudadanos, organizaciones y empresas de toda la Unión es ya generalizado. La digitalización y la conectividad se están convirtiendo en características esenciales de un número cada vez mayor de productos y servicios y, con la llegada de la Internet de los objetos (IO), se espera que en la próxima década se despliegue en toda la Unión un número extremadamente elevado de dispositivos digitales conectados. Aunque cada vez hay más dispositivos conectados a internet, la seguridad y la resistencia no están suficientemente integradas en el diseño, lo que da lugar a una ciberseguridad insuficiente. En este contexto, el uso limitado de la certificación hace que los usuarios individuales, organizativos y empresariales no dispongan de información suficiente sobre las características de ciberseguridad de los productos, servicios y procesos de las TIC, lo que socava la confianza en las soluciones digitales. Las redes y los sistemas de información son capaces de dar soporte a todos los aspectos de nuestras vidas e impulsar el crecimiento económico de la Unión. Son la piedra angular para lograr el mercado único digital.

(3) El aumento de la digitalización y de la conectividad incrementa los riesgos para la ciberseguridad, lo que hace que la sociedad en su conjunto sea más vulnerable a las ciberamenazas y agrava los peligros a los que se enfrentan los individuos, incluidas las personas vulnerables como los niños. A fin de mitigar esos riesgos, es preciso adoptar todas las medidas necesarias para mejorar la ciberseguridad en la Unión, de modo que los sistemas de redes y de información, las redes de comunicaciones, los productos digitales, los servicios y los dispositivos utilizados por los ciudadanos, las organizaciones y las empresas -desde las pequeñas y medianas empresas (PYME), tal como se definen en la Recomendación 2003/361/CE de la Comisión (4 ), hasta los operadores de infraestructuras críticas- estén mejor protegidos frente a las ciberamenazas.

(4) Al poner a disposición del público la información pertinente, la Agencia de Seguridad de las Redes y de la Información de la Unión Europea (ENISA), creada en virtud del Reglamento (UE) n.º 526/2013 del Parlamento Europeo y del Consejo (5), contribuye al desarrollo de la industria de la ciberseguridad en la Unión, en particular de las PYME y las empresas emergentes. La ENISA debe esforzarse por cooperar más estrechamente con las universidades y las entidades de investigación para contribuir a reducir la dependencia de los productos y servicios de ciberseguridad procedentes de fuera de la Unión y reforzar las cadenas de suministro dentro de la Unión.

(5) Los ciberataques van en aumento y una economía y una sociedad conectadas y más vulnerables a las ciberamenazas y los ciberataques requieren defensas más sólidas. Sin embargo, aunque los ciberataques se producen a menudo a través de las fronteras, la competencia y las respuestas políticas de las autoridades encargadas de la ciberseguridad y de la aplicación de la ley son predominantemente nacionales. Los incidentes a gran escala podrían interrumpir la prestación de servicios esenciales en toda la Unión. Esto requiere respuestas y una gestión de crisis eficaces y coordinadas a nivel de la Unión, basadas en políticas específicas y en instrumentos más amplios de solidaridad y asistencia mutua europeas. Además, una evaluación periódica del estado de la ciberseguridad y la resistencia en la Unión, basada en datos fiables de la Unión, así como previsiones sistemáticas de la evolución, los retos y las amenazas futuros, a escala de la Unión y mundial, son importantes para los responsables políticos, la industria y los usuarios.

(6) A la luz del aumento de los retos en materia de ciberseguridad a los que se enfrenta la Unión, es necesario un conjunto global de medidas que se basen en la actuación anterior de la Unión y fomenten objetivos que se refuercen mutuamente. Estos objetivos incluyen el aumento de las capacidades y la preparación de los Estados miembros y las empresas, así como la mejora de la cooperación, el intercambio de información y la coordinación entre los Estados miembros y las instituciones, órganos y organismos de la Unión. Además, dada la naturaleza sin fronteras de las ciberamenazas, es necesario aumentar las capacidades a nivel de la Unión que podrían complementar la acción de los Estados miembros, en particular en casos de incidentes y crisis transfronterizos a gran escala, teniendo en cuenta al mismo tiempo la importancia de mantener y seguir mejorando las capacidades nacionales para responder a las ciberamenazas de todas las escalas.

(7) También son necesarios esfuerzos adicionales para aumentar la concienciación de los ciudadanos, las organizaciones y las empresas sobre los problemas de ciberseguridad. Además, dado que los incidentes socavan la confianza en servicio digitalServicio digital todo servicio de la sociedad de la información, es decir, todo servicio prestado normalmente a cambio de una remuneración, a distancia, por vía electrónica y a petición individual de un destinatario de servicios. A efectos de esta definición: (i) "a distancia" significa que el servicio se presta sin que las partes estén presentes simultáneamente; (ii) "por vía electrónica" significa que el servicio se envía inicialmente y se recibe en su destino mediante equipos electrónicos de tratamiento (incluida la compresión digital) y almacenamiento de datos, y se transmite, conduce y recibe íntegramente por cable, radio, medios ópticos u otros medios electromagnéticos; (iii) "a petición individual de un destinatario de servicios" significa que el servicio se presta mediante la transmisión de datos a petición individual. - Definición con arreglo al artículo 1, apartado 1, letra b), de la Directiva (UE) 2015/1535 del Parlamento Europeo y del Consejo. proveedores y en el propio mercado único digital, especialmente entre los consumidores, la confianza debe reforzarse aún más ofreciendo información de forma transparente sobre el nivel de seguridad de los productos de TIC, los servicios de TIC y los procesos de TIC que subraye que incluso un alto nivel de certificación de ciberseguridad no puede garantizar que un Producto TICProducto TIC Se refiere a un elemento o grupo de elementos de una red o sistema de información - Definición según el artículo 2, punto (12), Reglamento (UE) 2019/881, Servicio TICServicio TIC Se entiende un servicio que consiste total o principalmente en la transmisión, el almacenamiento, la recuperación o el tratamiento de información por medio de redes y sistemas de información - Definición según el artículo 2, punto (13), Reglamento (UE) 2019/881 o Proceso TICProceso TIC Se refiere a un conjunto de actividades realizadas para diseñar, desarrollar, entregar o mantener un producto o servicio de TIC - Definición según el artículo 2, punto (14), Reglamento (UE) 2019/881 sea completamente segura. El aumento de la confianza puede verse facilitado por una certificación a escala de la Unión que establezca requisitos comunes de ciberseguridad y criterios de evaluación en todos los mercados y sectores nacionales.

(8) La ciberseguridad no es sólo una cuestión relacionada con la tecnología, sino que el comportamiento humano es igualmente importante. Por lo tanto, debe promoverse decididamente la "ciberhigiene", es decir, medidas sencillas y rutinarias que, cuando son aplicadas y llevadas a cabo regularmente por los ciudadanos, las organizaciones y las empresas, minimizan su exposición a los riesgos derivados de las ciberamenazas.

(9) Con el fin de reforzar las estructuras de ciberseguridad de la Unión, es importante mantener y desarrollar las capacidades de los Estados miembros para responder de forma global a las ciberamenazas, incluidos los incidentes transfronterizos.

(10) Las empresas y los consumidores individuales deben disponer de información precisa sobre el nivel de garantía con el que se ha certificado la seguridad de sus productos de TIC, servicios de TIC y procesos de TIC. Al mismo tiempo, ningún producto o servicio de TIC es totalmente ciberseguro y deben fomentarse y priorizarse las normas básicas de ciberhigiene. Dada la creciente disponibilidad de dispositivos IoT, existe una serie de medidas voluntarias que el sector privado puede adoptar para reforzar la confianza en la seguridad de los productos TIC, los servicios TIC y los procesos TIC.

(11) Los productos y sistemas de TIC modernos a menudo integran y dependen de una o más tecnologías y componentes de terceros, como módulos de software, bibliotecas o interfaces de programación de aplicaciones. Esta dependencia puede plantear riesgos adicionales de ciberseguridad, ya que las vulnerabilidades detectadas en los componentes de terceros pueden afectar también a la seguridad de los productos, servicios y procesos de TIC. En muchos casos, la identificación y documentación de tales dependencias permite a los usuarios finales de productos, servicios y procesos de TIC mejorar su ciberseguridad. riesgoRiesgo Se refiere al potencial de pérdida o perturbación causado por un incidente y debe expresarse como una combinación de la magnitud de dicha pérdida o perturbación y la probabilidad de que se produzca el incidente. Definición según el artículo 6 de la Directiva (UE) 2022/2555 (Directiva NIS2) actividades de gestión mejorando, por ejemplo, la ciberseguridad de los usuarios vulnerabilidadVulnerabilidad Se refiere a una debilidad, susceptibilidad o defecto de los productos o servicios de las TIC que puede ser explotado por una ciberamenaza -. Definición según el artículo 6 de la Directiva (UE) 2022/2555 (Directiva NIS2) procedimientos de gestión y reparación.

(12) Debe alentarse a las organizaciones, fabricantes o proveedores que participan en el diseño y desarrollo de productos de TIC, servicios de TIC o procesos de TIC a que apliquen medidas en las fases más tempranas del diseño y desarrollo para proteger la seguridad de dichos productos, servicios y procesos en el mayor grado posible, de tal manera que se presuma la ocurrencia de ciberataques y se prevea y minimice su impacto ("seguridad desde el diseño"). La seguridad debe garantizarse durante toda la vida útil del producto de TIC, servicio de TIC o proceso de TIC mediante procesos de diseño y desarrollo que evolucionen constantemente para reducir el riesgo de daños derivados de una explotación malintencionada.

(13) Las empresas, las organizaciones y el sector público deben configurar los productos de TIC, los servicios de TIC o los procesos de TIC diseñados por ellos de manera que se garantice un mayor nivel de seguridad que permita al primer usuario recibir una configuración por defecto con los ajustes más seguros posibles ("seguridad por defecto"), reduciendo así la carga que supone para los usuarios tener que configurar adecuadamente un producto de TIC, un servicio de TIC o un proceso de TIC. La seguridad por defecto no debe requerir una configuración exhaustiva ni conocimientos técnicos específicos o un comportamiento no intuitivo por parte del usuario, y debe funcionar de manera fácil y fiable cuando se implemente. Si, caso por caso, un análisis de riesgos y de facilidad de uso lleva a la conclusión de que tal configuración por defecto no es viable, se debe instar a los usuarios a optar por la configuración más segura.

(14) El Reglamento (CE) nº 460/2004 del Parlamento Europeo y del Consejo (6) creó la ENISA con el fin de contribuir a los objetivos de garantizar un nivel elevado y efectivo de seguridad de las redes y de la información en la Unión y desarrollar una cultura de la seguridad de las redes y de la información en beneficio de los ciudadanos, los consumidores, las empresas y las administraciones públicas. El Reglamento (CE) n.º 1007/2008 del Parlamento Europeo y del Consejo (7) prorrogó el mandato de la ENISA hasta marzo de 2012. El Reglamento (UE) nº 580/2011 del Parlamento Europeo y del Consejo (8) prorrogó de nuevo el mandato de la ENISA hasta el 13 de septiembre de 2013. El Reglamento (UE) nº 526/2013 prorrogó el mandato de la ENISA hasta el 19 de junio de 2020.

(15) La Unión ya ha tomado medidas importantes para garantizar la ciberseguridad y aumentar la confianza en las tecnologías digitales. En 2013, se adoptó la Estrategia de Ciberseguridad de la Unión Europea para orientar la respuesta política de la Unión a las amenazas y riesgos cibernéticos. En un esfuerzo por proteger mejor a los ciudadanos en línea, el primer acto jurídico de la Unión en el ámbito de la ciberseguridad se adoptó en 2016 en forma de Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo (9). La Directiva (UE) 2016/1148 estableció requisitos relativos a las capacidades nacionales en el ámbito de la ciberseguridad, estableció los primeros mecanismos para mejorar la cooperación estratégica y operativa entre los Estados miembros, e introdujo obligaciones relativas a las medidas de seguridad y la incidenteIncidente Se refiere a un suceso que compromete la disponibilidad, autenticidad, integridad o confidencialidad de los datos almacenados, transmitidos o procesados, o de los servicios ofrecidos por los sistemas de red y de información o accesibles a través de ellos". Definición según el artículo 6 de la Directiva (UE) 2022/2555 (Directiva NIS2) notificaciones en sectores vitales para la economía y la sociedad, como la energía, el transporte, el suministro y la distribución de agua potable, la banca, las infraestructuras de los mercados financieros, la sanidad, las infraestructuras digitales y los principales proveedores de servicios digitales (motores de búsqueda, servicios de computación en nube y mercados en línea).

Se atribuyó a ENISA un papel clave en el apoyo a la aplicación de dicha Directiva. Además, la lucha eficaz contra la ciberdelincuencia es una prioridad importante de la Agenda Europea de Seguridad, que contribuye al objetivo general de alcanzar un alto nivel de ciberseguridad. Otros actos jurídicos, como el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (10) y las Directivas 2002/58/CE (11) y (UE) 2018/1972 (12) del Parlamento Europeo y del Consejo, también contribuyen a un alto nivel de ciberseguridad en el mercado único digital.

(16) Desde la adopción de la Estrategia de Ciberseguridad de la Unión Europea en 2013 y la última revisión del mandato de la ENISA, el contexto político general ha cambiado significativamente, ya que el entorno mundial se ha vuelto más incierto y menos seguro. Con este telón de fondo y en el contexto de la evolución positiva del papel de la ENISA como punto de referencia para el asesoramiento y los conocimientos técnicos, como facilitadora de la cooperación y del desarrollo de capacidades, así como en el marco de la nueva política de ciberseguridad de la Unión, es necesario revisar el mandato de la ENISA, establecer su papel en el ecosistema de ciberseguridad modificado y garantizar que contribuya eficazmente a la respuesta de la Unión a los retos de ciberseguridad derivados de la radicalmente transformada amenaza cibernéticaCiberamenazas significa cualquier circunstancia, evento o acción potencial que pueda dañar, interrumpir o afectar negativamente de otro modo a los sistemas de red y de información, a los usuarios de dichos sistemas y a otras personas - Definición según el artículo 2, punto (8), Reglamento (UE) 2019/881 para el que, como se reconoció durante la evaluación de la ENISA, el mandato actual no es suficiente.

(17) La ENISA creada por el presente Reglamento debe suceder a la ENISA creada por el Reglamento (UE) n.º 526/2013. La ENISA debe desempeñar las funciones que le confieren el presente Reglamento y otros actos jurídicos de la Unión en el ámbito de la ciberseguridad, entre otras cosas, proporcionando asesoramiento y conocimientos especializados y actuando como centro de información y conocimientos de la Unión. Debe promover el intercambio de mejores prácticas entre los Estados miembros y las partes interesadas privadas, ofrecer sugerencias políticas a la Comisión y a los Estados miembros, actuar como punto de referencia para las iniciativas políticas sectoriales de la Unión en materia de ciberseguridad y fomentar la cooperación operativa, tanto entre los Estados miembros como entre estos y las instituciones, órganos y organismos de la Unión.

(18) En el marco de la Decisión 2004/97/CE, Euratom adoptada de común acuerdo por los Representantes de los Estados miembros reunidos a nivel de Jefes de Estado o de Gobierno (13), los representantes de los Estados miembros decidieron que la ENISA tendría su sede en una ciudad de Grecia que determinaría el Gobierno griego. El Estado miembro de acogida de la ENISA debe garantizar las mejores condiciones posibles para el funcionamiento fluido y eficaz de la ENISA. Es imperativo para el desempeño adecuado y eficiente de sus tareas, para la contratación y retención del personal y para mejorar la eficiencia de las actividades de creación de redes que la ENISA tenga su sede en un lugar adecuado, entre otras cosas proporcionando conexiones de transporte adecuadas y facilidades para los cónyuges e hijos que acompañen a los miembros del personal de la ENISA. Las disposiciones necesarias deben establecerse en un acuerdo entre la ENISA y el Estado miembro de acogida celebrado tras obtener la aprobación del Consejo de Administración de la ENISA.

(19) Habida cuenta de los crecientes riesgos y desafíos en materia de ciberseguridad a los que se enfrenta la Unión, los recursos financieros y humanos asignados a la ENISA deben incrementarse para reflejar su papel y tareas reforzados, así como su posición crítica en el ecosistema de organizaciones que defienden el ecosistema digital de la Unión, permitiendo a la ENISA llevar a cabo eficazmente las tareas que le confiere el presente Reglamento.

(20) La ENISA debe desarrollar y mantener un alto nivel de conocimientos especializados y actuar como punto de referencia, estableciendo la confianza en el mercado único en virtud de su independencia, la calidad del asesoramiento que presta, la calidad de la información que difunde, la transparencia de sus procedimientos, la transparencia de sus métodos de funcionamiento y su diligencia en el desempeño de sus tareas. La ENISA debe apoyar activamente los esfuerzos nacionales y contribuir de forma proactiva a los esfuerzos de la Unión, al tiempo que lleva a cabo sus tareas en plena cooperación con las instituciones, órganos, oficinas y agencias de la Unión y con los Estados miembros, evitando cualquier duplicación del trabajo y fomentando las sinergias. Además, la ENISA debe basarse en las aportaciones del sector privado y en la cooperación con el mismo, así como con otras partes interesadas pertinentes. Un conjunto de tareas debería establecer la forma en que la ENISA debe cumplir sus objetivos, permitiendo al mismo tiempo flexibilidad en sus operaciones.

(21) Para poder prestar un apoyo adecuado a la cooperación operativa entre los Estados miembros, la ENISA debe seguir reforzando sus capacidades y competencias técnicas y humanas. La ENISA debería aumentar sus conocimientos y capacidades. La ENISA y los Estados miembros, de forma voluntaria, podrían desarrollar programas de envío de expertos nacionales a la ENISA, creando grupos de expertos e intercambios de personal.

(22) La ENISA debe asistir a la Comisión mediante asesoramiento, dictámenes y análisis sobre todas las cuestiones de la Unión relacionadas con la elaboración, actualización y revisión de las políticas y la legislación en el ámbito de la ciberseguridad y sus aspectos sectoriales específicos, a fin de aumentar la pertinencia de las políticas y la legislación de la Unión con una dimensión de ciberseguridad y permitir la coherencia en la aplicación de dichas políticas y legislación a nivel nacional. La ENISA debe actuar como punto de referencia para el asesoramiento y los conocimientos especializados en relación con las iniciativas políticas y legislativas sectoriales de la Unión en los ámbitos relacionados con la ciberseguridad. La ENISA deberá informar periódicamente al Parlamento Europeo sobre sus actividades.

(23) El núcleo público de la Internet abierta, a saber, sus principales protocolos e infraestructuras, que son un bien público mundial, proporciona la funcionalidad esencial de la Internet en su conjunto y sustenta su funcionamiento normal. ENISA debe apoyar la seguridad del núcleo público de la Internet abierta y la estabilidad de su funcionamiento, incluidos, entre otros, los protocolos clave (en particular DNS, BGP e IPv6), el funcionamiento del sistema de nombres de dominio (como el funcionamiento de todos los dominios de nivel superior) y el funcionamiento de la zona raíz.

(24) La tarea subyacente de la ENISA es promover la aplicación coherente del marco jurídico pertinente, en particular la aplicación efectiva de la Directiva (UE) 2016/1148 y otros instrumentos jurídicos pertinentes que contengan aspectos de ciberseguridad, lo cual es esencial para aumentar la ciberresiliencia. A la luz de la rápida evolución del panorama de las ciberamenazas, está claro que los Estados miembros tienen que contar con el apoyo de un enfoque más global e interpolítico para aumentar la ciberresiliencia.

(25) La ENISA debe asistir a los Estados miembros y a las instituciones, órganos y organismos de la Unión en sus esfuerzos por crear y mejorar las capacidades y la preparación para prevenir, detectar y responder a las amenazas e incidentes cibernéticos y en relación con la seguridad de la red y de los sistemas de informaciónSeguridad de redes y sistemas de información la capacidad de los sistemas de red y de información de resistir, con un determinado nivel de confianza, cualquier evento que pueda comprometer la disponibilidad, autenticidad, integridad o confidencialidad de los datos almacenados, transmitidos o procesados o de los servicios ofrecidos por dichos sistemas de red y de información o accesibles a través de ellos Definición según el artículo 6 de la Directiva (UE) 2022/2555 (Directiva NIS2). En particular, la ENISA debe apoyar el desarrollo y la mejora de los equipos de respuesta a incidentes de seguridad informática ("CSIRT") nacionales y de la Unión previstos en la Directiva (UE) 2016/1148, con vistas a alcanzar un alto nivel común de su madurez en la Unión. Las actividades realizadas por la ENISA en relación con las capacidades operativas de los Estados miembros deben apoyar activamente las medidas adoptadas por los Estados miembros para cumplir sus obligaciones en virtud de la Directiva (UE) 2016/1148 y, por lo tanto, no deben sustituirlas.

(26) La ENISA también debe contribuir a la elaboración y actualización de estrategias sobre la seguridad de las redes y los sistemas de información a escala de la Unión y, previa solicitud, a escala de los Estados miembros, en particular sobre ciberseguridad, y debe promover la difusión de dichas estrategias y seguir los avances en su aplicación. La ENISA también debe contribuir a cubrir las necesidades de formación y de material didáctico, incluidas las necesidades de los organismos públicos, y, en su caso, en gran medida, a "formar a los formadores", basándose en el Marco de Competencia Digital para los Ciudadanos con vistas a ayudar a los Estados miembros y a las instituciones, órganos y organismos de la Unión a desarrollar sus propias capacidades de formación.

(27) La ENISA debe apoyar a los Estados miembros en el ámbito de la sensibilización y la educación en materia de ciberseguridad, facilitando una coordinación más estrecha y el intercambio de mejores prácticas entre los Estados miembros. Este apoyo podría consistir en la creación de una red de puntos de contacto nacionales en materia de educación y en el desarrollo de una plataforma de formación sobre ciberseguridad. La red de puntos de contacto nacionales en materia de educación podría funcionar en el marco de la red de funcionarios nacionales de enlace y constituir un punto de partida para la futura coordinación en los Estados miembros.

(28) La ENISA debe asistir al Grupo de Cooperación creado por la Directiva (UE) 2016/1148 en la ejecución de sus tareas, en particular proporcionando conocimientos especializados, asesoramiento y facilitando el intercambio de mejores prácticas, entre otras cosas, en lo que respecta a la identificación de los operadores de servicios esenciales por los Estados miembros, así como en relación con las dependencias transfronterizas, en materia de riesgos e incidentes.

(29) Con vistas a estimular la cooperación entre los sectores público y privado y dentro del sector privado, en particular para apoyar la protección de las infraestructuras críticas, la ENISA debe apoyar el intercambio de información dentro de los sectores y entre ellos, en particular los sectores enumerados en el anexo II de la Directiva (UE) 2016/1148, proporcionando las mejores prácticas y orientaciones sobre las herramientas disponibles y sobre el procedimiento, así como proporcionando orientaciones sobre cómo abordar las cuestiones reglamentarias relacionadas con el intercambio de información, por ejemplo facilitando la creación de centros sectoriales de intercambio y análisis de información.

(30) Considerando que el impacto negativo potencial de las vulnerabilidades de los productos, servicios y procesos de las TIC aumenta constantemente, la detección y corrección de dichas vulnerabilidades desempeña un papel importante en la reducción del riesgo global de ciberseguridad. Se ha demostrado que la cooperación entre las organizaciones, los fabricantes o los proveedores de productos, servicios y procesos vulnerables de las TIC y los miembros de la comunidad de investigación sobre ciberseguridad y los gobiernos que descubren vulnerabilidades aumenta significativamente tanto el índice de descubrimiento como el de remediación de vulnerabilidades en productos, servicios y procesos de las TIC. La divulgación coordinada de vulnerabilidades especifica un proceso estructurado de cooperación en el que las vulnerabilidades se comunican al propietario del sistema de información, dando a la organización la oportunidad de diagnosticar y remediar la vulnerabilidad antes de que la información detallada sobre la vulnerabilidad se divulgue a terceros o al público. El proceso también prevé la coordinación entre el descubridor y la organización en lo que respecta a la publicación de dichas vulnerabilidades. Las políticas coordinadas de divulgación de vulnerabilidades podrían desempeñar un papel importante en los esfuerzos de los Estados miembros por mejorar la ciberseguridad.

(31) La ENISA debe agregar y analizar los informes nacionales voluntariamente compartidos de los CSIRT y del equipo interinstitucional de respuesta a emergencias informáticas para las instituciones, órganos y organismos de la Unión establecido por el Acuerdo entre el Parlamento Europeo, el Consejo Europeo, el Consejo de la Unión Europea, la Comisión Europea, el Tribunal de Justicia de la Unión Europea, el Banco Central Europeo, el Tribunal de Cuentas Europeo, el Servicio Europeo de Acción Exterior, el Comité Económico y Social Europeo, el Comité Europeo de las Regiones y el Banco Europeo de Inversiones, sobre la organización y el funcionamiento de un equipo de respuesta a emergencias informáticas para las instituciones, órganos y organismos de la Unión (CERT-UE) (14) , con el fin de contribuir al establecimiento de procedimientos, lenguaje y terminología comunes para el intercambio de información. En ese contexto, la ENISA debe implicar al sector privado en el marco de la Directiva (UE) 2016/1148, que establece las bases para el intercambio voluntario de información técnica a nivel operativo, en la red de equipos de respuesta a incidentes de seguridad informática ("red CSIRTs") creada por dicha Directiva.

(32) La ENISA debe contribuir a las respuestas a escala de la Unión en caso de incidentes y crisis transfronterizos a gran escala relacionados con la ciberseguridad. Esa tarea debe llevarse a cabo de conformidad con el mandato de la ENISA en virtud del presente Reglamento y un enfoque que debe ser acordado por los Estados miembros en el contexto de la Recomendación (UE) 2017/1584 (15) de la Comisión y las conclusiones del Consejo de 26 de junio de 2018 sobre la respuesta coordinada de la UE a incidentes y crisis de ciberseguridad a gran escala. Esa tarea podría incluir la recopilación de información pertinente y actuar como facilitador entre la red de CSIRT y la comunidad técnica, así como entre los responsables de la toma de decisiones encargados de la gestión de crisis. Además, ENISA debe apoyar la cooperación operativa entre los Estados miembros, cuando así lo soliciten uno o más Estados miembros, en la gestión de incidentes desde una perspectiva técnica, facilitando los intercambios pertinentes de soluciones técnicas entre los Estados miembros y aportando información a las comunicaciones públicas. La ENISA debe apoyar la cooperación operativa poniendo a prueba las modalidades de dicha cooperación mediante ejercicios periódicos de ciberseguridad.

(33) En apoyo de la cooperación operativa, la ENISA debe aprovechar los conocimientos técnicos y operativos disponibles del CERT-UE mediante una cooperación estructurada. Dicha cooperación estructurada podría basarse en la experiencia de ENISA. Cuando proceda, deberán establecerse acuerdos específicos entre ambas entidades para definir la aplicación práctica de dicha cooperación y evitar la duplicación de actividades.

(34) En el desempeño de su misión de apoyo a la cooperación operativa dentro de la red de CSIRT, la ENISA debe poder prestar apoyo a los Estados miembros que lo soliciten, por ejemplo asesorándoles sobre cómo mejorar sus capacidades de prevención, detección y respuesta a los incidentes, facilitando el tratamiento técnico de los incidentes que tengan un impacto significativo o sustancial o garantizando el análisis de las ciberamenazas y los incidentes. La ENISA debe facilitar el tratamiento técnico de los incidentes que tengan un impacto significativo o sustancial, en particular apoyando el intercambio voluntario de soluciones técnicas entre los Estados miembros o elaborando información técnica combinada, como soluciones técnicas compartidas voluntariamente por los Estados miembros. La Recomendación (UE) 2017/1584 recomienda que los Estados miembros cooperen de buena fe y compartan entre ellos y con la ENISA información sobre incidentes y crisis a gran escala relacionados con la ciberseguridad sin demoras indebidas. Dicha información ayudaría aún más a la ENISA en el desempeño de su tarea de apoyo a la cooperación operativa.

(35) Como parte de la cooperación periódica a nivel técnico para apoyar el conocimiento de la situación de la Unión, la ENISA, en estrecha cooperación con los Estados miembros, debe elaborar periódicamente un informe de situación técnico en profundidad sobre la ciberseguridad de la UE acerca de los incidentes y las ciberamenazas, basado en la información públicamente disponible, sus propios análisis y los informes que le compartan los CSIRT de los Estados miembros o los puntos de contacto únicos nacionales sobre la seguridad de las redes y los sistemas de información ("puntos de contacto únicos") previstos en la Directiva (UE) 2016/1148, ambos con carácter voluntario, el Centro Europeo de Ciberdelincuencia (EC3) de Europol, CERT-EU y, en su caso, el Centro de Inteligencia y Situación de la Unión Europea (EU INTCEN) del Servicio Europeo de Acción Exterior. Dicho informe deberá ponerse a disposición del Consejo, de la Comisión, del Alto Representante de la Unión para Asuntos Exteriores y Política de Seguridad y de la Comisión Europea. RepresentanteRepresentante Persona física o jurídica establecida en la Unión designada explícitamente para actuar en nombre de un proveedor de servicios DNS, un registro de nombres TLD, una entidad que preste servicios de registro de nombres de dominio, un proveedor de servicios de computación en nube, un proveedor de servicios de centros de datos, un proveedor de redes de suministro de contenidos, un proveedor de servicios gestionados, un proveedor de servicios de seguridad gestionados o un proveedor de un mercado en línea, de un motor de búsqueda en línea o de una plataforma de servicios de redes sociales que no esté establecido en la Unión, a la que pueda dirigirse una autoridad competente o un CSIRT en lugar de la propia entidad en lo que respecta a las obligaciones que incumben a dicha entidad en virtud de la presente Directiva. - Definición según el artículo 6 de la Directiva (UE) 2022/2555 (Directiva NIS2) de la Unión para Asuntos Exteriores y Política de Seguridad y la red de CSIRTs.

(36) El apoyo de la ENISA a las investigaciones técnicas ex post de incidentes que tengan un impacto significativo o sustancial emprendidas a petición de los Estados miembros afectados debe centrarse en la prevención de futuros incidentes. Los Estados miembros afectados deben facilitar la información y la asistencia necesarias para que la ENISA pueda apoyar eficazmente la investigación técnica ex post.

(37) Los Estados miembros podrán invitar a las empresas afectadas por el incidente a cooperar facilitando la información y asistencia necesarias a la ENISA, sin perjuicio de su derecho a proteger la información sensible a efectos comerciales y la información pertinente para la seguridad pública.

(38) Para comprender mejor los retos en el ámbito de la ciberseguridad, y con vistas a prestar asesoramiento estratégico a largo plazo a los Estados miembros y a las instituciones, órganos y organismos de la Unión, la ENISA debe analizar los riesgos actuales y emergentes en materia de ciberseguridad. A tal fin, la ENISA, en cooperación con los Estados miembros y, en su caso, con los organismos estadísticos y otros organismos, debe recopilar la información pertinente disponible públicamente o compartida voluntariamente y realizar análisis de las tecnologías emergentes y proporcionar evaluaciones temáticas específicas sobre el impacto social, jurídico, económico y reglamentario previsto de las innovaciones tecnológicas en la seguridad de las redes y de la información, en particular la ciberseguridad. Además, la ENISA debe apoyar a los Estados miembros y a las instituciones, órganos y organismos de la Unión en la identificación de los riesgos emergentes en materia de ciberseguridad y en la prevención de incidentes, mediante la realización de análisis de las ciberamenazas, vulnerabilidades e incidentes.

(39) A fin de aumentar la resiliencia de la Unión, la ENISA debe desarrollar conocimientos especializados en el ámbito de la ciberseguridad de las infraestructuras, en particular para apoyar a los sectores enumerados en el anexo II de la Directiva (UE) 2016/1148 y a los utilizados por los proveedores de los servicios digitales enumerados en el anexo III de dicha Directiva, proporcionando asesoramiento, publicando directrices e intercambiando las mejores prácticas. Con vistas a garantizar un acceso más fácil a una información mejor estructurada sobre los riesgos de ciberseguridad y las posibles soluciones, la ENISA debe desarrollar y mantener el "centro de información" de la Unión, un portal de ventanilla única que proporcione al público información sobre ciberseguridad procedente de las instituciones, órganos, oficinas y agencias de la Unión y nacionales. Facilitar el acceso a una información mejor estructurada sobre los riesgos de ciberseguridad y las posibles soluciones también podría ayudar a los Estados miembros a reforzar sus capacidades y alinear sus prácticas, aumentando así su resistencia general a los ciberataques.

(40) La ENISA debe contribuir a sensibilizar a la población sobre los riesgos para la ciberseguridad, en particular mediante una campaña de sensibilización a escala de la UE, promoviendo la educación y facilitando orientaciones sobre buenas prácticas para los usuarios individuales dirigidas a los ciudadanos, las organizaciones y las empresas. La ENISA también debería contribuir a promover las mejores prácticas y soluciones, incluidas la ciberhigiene y la ciberalfabetización a nivel de los ciudadanos, las organizaciones y las empresas, recopilando y analizando la información disponible públicamente sobre incidentes significativos, y compilando y publicando informes y orientaciones para los ciudadanos, las organizaciones y las empresas, con el fin de mejorar su nivel general de preparación y resistencia. La ENISA también debe esforzarse por proporcionar a los consumidores información pertinente sobre los regímenes de certificación aplicables, por ejemplo facilitando directrices y recomendaciones. Además, ENISA debe organizar, en consonancia con el Plan de Acción de Educación Digital establecido en la Comunicación de la Comisión de 17 de enero de 2018 y en cooperación con los Estados miembros y las instituciones, órganos, oficinas y agencias de la Unión, campañas periódicas de divulgación y educación pública dirigidas a los usuarios finales, para promover un comportamiento en línea más seguro por parte de las personas y la alfabetización digital, sensibilizar sobre las posibles amenazas cibernéticas, incluidas las actividades delictivas en línea, como los ataques de suplantación de identidad, las redes de bots, el fraude financiero y bancario, los incidentes de fraude de datos, y promover la autenticación multifactor básica, la aplicación de parches, el cifrado, la anonimización y el asesoramiento en materia de protección de datos.

(41) La ENISA debe desempeñar un papel central en la aceleración de la concienciación de los usuarios finales sobre la seguridad de los dispositivos y el uso seguro de los servicios, y debe promover la seguridad desde el diseño y la privacidad desde el diseño a escala de la Unión. En la consecución de este objetivo, la ENISA debe hacer uso de las mejores prácticas y la experiencia disponibles, especialmente las mejores prácticas y la experiencia de las instituciones académicas y de los investigadores en seguridad informática.

(42) Con el fin de apoyar a las empresas que operan en el sector de la ciberseguridad, así como a los usuarios de soluciones de ciberseguridad, ENISA debe desarrollar y mantener un "observatorio del mercado" mediante la realización de análisis periódicos y la difusión de información sobre las principales tendencias del mercado de la ciberseguridad, tanto del lado de la demanda como de la oferta.

(43) La ENISA debe contribuir a los esfuerzos de la Unión por cooperar con las organizaciones internacionales, así como en los marcos de cooperación internacional pertinentes en el ámbito de la ciberseguridad. En particular, la ENISA debe contribuir, cuando proceda, a la cooperación con organizaciones como la OCDE, la OSCE y la OTAN. Dicha cooperación podría incluir ejercicios conjuntos de ciberseguridad y la coordinación conjunta de la respuesta a incidentes. Estas actividades se llevarán a cabo respetando plenamente los principios de inclusión, reciprocidad y autonomía decisoria de la Unión, sin perjuicio del carácter específico de la política de seguridad y defensa de cualquier Estado miembro.

(44) A fin de garantizar la plena consecución de sus objetivos, la ENISA debe actuar de enlace con las autoridades de supervisión pertinentes de la Unión y con otras autoridades competentes de la Unión, instituciones, órganos y organismos de la Unión, incluidos CERT-UE, EC3, la Agencia Europea de Defensa (AED), la Agencia Europea de Sistemas Globales de Navegación por Satélite (Agencia del GNSS Europeo), el Organismo de Reguladores Europeos de las Comunicaciones Electrónicas (ORECE), la Agencia Europea para la Gestión Operativa de Sistemas Informáticos de Gran Magnitud en el Espacio de Libertad, Seguridad y Justicia (eu-LISA), el Banco Central Europeo (BCE), la Autoridad Bancaria Europea (ABE), el Consejo Europeo de Protección de Datos, la Agencia de Cooperación de los Reguladores de la Energía (ACER), la Agencia Europea de Seguridad Aérea (AESA) y cualquier otra agencia de la Unión implicada en la ciberseguridad. La ENISA también debe mantener contactos con las autoridades que se ocupan de la protección de datos con el fin de intercambiar conocimientos y mejores prácticas, y debe proporcionar asesoramiento sobre cuestiones de ciberseguridad que puedan tener un impacto en su trabajo. Los representantes de las autoridades nacionales y de la Unión encargadas de la aplicación de la ley y de la protección de datos deben poder estar representados en el Grupo Consultivo de la ENISA. En sus contactos con las autoridades policiales y judiciales en relación con cuestiones de seguridad de las redes y de la información que puedan repercutir en su trabajo, la ENISA debe respetar los canales de información existentes y las redes establecidas.

(45) Podrían establecerse asociaciones con instituciones académicas que tengan iniciativas de investigación en los campos pertinentes, y debería haber canales adecuados para las aportaciones de las organizaciones de consumidores y otras organizaciones, que deberían tenerse en cuenta.

(46) La ENISA, en su función de secretaría de la red de CSIRT, debe apoyar a los CSIRT de los Estados miembros y al CERT-UE en la cooperación operativa en relación con las tareas pertinentes de la red de CSIRT, según lo dispuesto en la Directiva (UE) 2016/1148. Además, la ENISA debe promover y apoyar la cooperación entre los CSIRT pertinentes en caso de incidentes, ataques o perturbaciones de las redes o infraestructuras gestionadas o protegidas por los CSIRT y que impliquen o puedan implicar al menos a dos CSIRT, teniendo debidamente en cuenta al mismo tiempo la EstándarEstándar Especificación técnica, adoptada por un organismo de normalización reconocido, de aplicación repetida o continua, cuyo cumplimiento no es obligatorio y que es una de las siguientes (a) "norma internacional": norma adoptada por un organismo internacional de normalización; b) "norma europea": norma adoptada por un organismo europeo de normalización; c) "norma armonizada": norma europea adoptada sobre la base de una solicitud formulada por la Comisión para la aplicación de la legislación de armonización de la Unión; d) "norma nacional": norma adoptada por un organismo nacional de normalización - Definición según el artículo 2, punto 1, delReglamento (UE) nº 1025/2012 del Parlamento Europeo y del Consejo. Procedimientos operativos de la red de CSIRTs.

(47) Con vistas a aumentar la preparación de la Unión para responder a incidentes, la ENISA debe organizar periódicamente ejercicios de ciberseguridad a escala de la Unión y, a petición de estos, apoyar a los Estados miembros y a las instituciones, órganos y organismos de la Unión en la organización de tales ejercicios. Cada dos años deberían organizarse ejercicios globales a gran escala que incluyan elementos técnicos, operativos o estratégicos. Además, la ENISA debería poder organizar periódicamente ejercicios menos exhaustivos con el mismo objetivo de aumentar la preparación de la Unión para responder a incidentes.

(48) La ENISA debe seguir desarrollando y manteniendo sus conocimientos especializados en materia de certificación de la ciberseguridad con vistas a apoyar la política de la Unión en ese ámbito. La ENISA debe basarse en las mejores prácticas existentes y promover la adopción de la certificación de la ciberseguridad en la Unión, en particular contribuyendo al establecimiento y mantenimiento de un marco de certificación de la ciberseguridad a nivel de la Unión (marco europeo de certificación de la ciberseguridad) con vistas a aumentar la transparencia de la garantía de la ciberseguridad de los productos de las TIC, los servicios de las TIC y los procesos de las TIC, reforzando así la confianza en el mercado interior digital y su competitividad.

(49) Las políticas de ciberseguridad eficientes deben basarse en métodos de evaluación de riesgos bien desarrollados, tanto en el sector público como en el privado. Los métodos de evaluación de riesgos se utilizan a distintos niveles, sin que exista una práctica común sobre cómo aplicarlos de manera eficiente. La promoción y el desarrollo de las mejores prácticas de evaluación de riesgos y de soluciones interoperables de gestión de riesgos en las organizaciones de los sectores público y privado aumentarán el nivel de ciberseguridad en la Unión. A tal fin, la ENISA debe apoyar la cooperación entre las partes interesadas a nivel de la Unión y facilitar sus esfuerzos en relación con el establecimiento y la adopción de normas europeas e internacionales para la gestión de riesgos y para la seguridad mensurable de los productos, sistemas, redes y servicios electrónicos que, junto con los programas informáticos, componen la red y los sistemas de información.

(50) La ENISA debe animar a los Estados miembros, fabricantes o proveedores de productos de TIC, servicios de TIC o procesos de TIC a elevar sus normas generales de seguridad para que todos los usuarios de Internet puedan tomar las medidas necesarias para garantizar su propia ciberseguridad personal y debe ofrecer incentivos para hacerlo. En particular, los fabricantes y proveedores de productos de TIC, servicios de TIC o procesos de TIC deben proporcionar las actualizaciones necesarias y deben recuperar, retirar o reciclar los productos de TIC, servicios de TIC o procesos de TIC que no cumplan las normas de ciberseguridad, mientras que los importadores y distribuidores deben asegurarse de que los productos de TIC, servicios de TIC y procesos de TIC que introducen en el mercado de la Unión cumplen los requisitos aplicables y no presentan un riesgo para los consumidores de la Unión.

(51) En cooperación con las autoridades competentes, la ENISA debe poder difundir información relativa al nivel de ciberseguridad de los productos de TIC, servicios de TIC y procesos de TIC ofrecidos en el mercado interior, y debe emitir advertencias dirigidas a los fabricantes o proveedores de productos de TIC, servicios de TIC o procesos de TIC y exigirles que mejoren la seguridad de sus productos de TIC, servicios de TIC y procesos de TIC, incluida la ciberseguridad.

(52) La ENISA debe tener plenamente en cuenta las actividades de investigación, desarrollo y evaluación tecnológica en curso, en particular las llevadas a cabo por las diversas iniciativas de investigación de la Unión para asesorar a las instituciones, órganos y organismos de la Unión y, en su caso, a los Estados miembros que lo soliciten, sobre las necesidades y prioridades de investigación en el ámbito de la ciberseguridad. Para determinar las necesidades y prioridades en materia de investigación, la ENISA debería consultar también a los grupos de usuarios pertinentes. Más concretamente, podría establecerse una cooperación con el Consejo Europeo de Investigación, el Instituto Europeo de Innovación y Tecnología y el Instituto de Estudios de Seguridad de la Unión Europea.

(53) La ENISA debe consultar periódicamente a las organizaciones de normalización, en particular a las organizaciones europeas de normalización, a la hora de preparar los regímenes europeos de certificación de la ciberseguridad.

(54) Las ciberamenazas son un problema mundial. Es necesaria una cooperación internacional más estrecha para mejorar las normas de ciberseguridad, incluida la necesidad de definir normas comunes de comportamiento, adoptar códigos de conducta, utilizar normas internacionales e intercambiar información, fomentando una colaboración internacional más rápida en respuesta a los problemas de seguridad de las redes y de la información y promoviendo un enfoque mundial común de tales problemas. A tal fin, la ENISA debe apoyar una mayor participación y cooperación de la Unión con terceros países y organizaciones internacionales, aportando los conocimientos y análisis necesarios a las instituciones, órganos, oficinas y agencias pertinentes de la Unión, cuando proceda.

(55) La ENISA debe poder responder a las solicitudes ad hoc de asesoramiento y asistencia de los Estados miembros y de las instituciones, órganos y organismos de la Unión sobre cuestiones que entren en el ámbito de competencias de la ENISA.

(56) Es sensato y recomendable aplicar determinados principios relativos a la gobernanza de la ENISA a fin de cumplir la Declaración Conjunta y el Enfoque Común acordados en julio de 2012 por el Grupo de Trabajo Interinstitucional sobre las agencias descentralizadas de la UE, cuyo objetivo es racionalizar las actividades de las agencias descentralizadas y mejorar su rendimiento. Las recomendaciones de la Declaración Conjunta y el Enfoque Común también deben reflejarse, según proceda, en los programas de trabajo de la ENISA, las evaluaciones de la ENISA y la práctica administrativa y de presentación de informes de la ENISA.

(57) El Consejo de Administración, compuesto por los representantes de los Estados miembros y de la Comisión, debe establecer la dirección general de las operaciones de la ENISA y velar por que ésta lleve a cabo sus tareas de conformidad con el presente Reglamento. Deben confiarse al Consejo de Administración las competencias necesarias para establecer el presupuesto, verificar la ejecución del presupuesto, adoptar las normas financieras apropiadas, establecer procedimientos de trabajo transparentes para la toma de decisiones por parte de la ENISA, adoptar el documento único de programación de la ENISA, adoptar su propio reglamento interno, nombrar al Director Ejecutivo y decidir sobre la prórroga y el cese del mandato del Director Ejecutivo.

(58) Para que la ENISA funcione adecuada y eficazmente, la Comisión y los Estados miembros deben velar por que las personas que se nombren para el Consejo de Administración tengan los conocimientos y la experiencia profesionales adecuados. La Comisión y los Estados miembros también deben esforzarse por limitar la rotación de sus respectivos representantes en el Consejo de Administración a fin de garantizar la continuidad de su labor.

(59) El buen funcionamiento de la ENISA requiere que su Director Ejecutivo sea nombrado en función de sus méritos y de sus capacidades administrativas y de gestión documentadas, así como de su competencia y experiencia en materia de ciberseguridad. Las funciones del Director Ejecutivo deben desempeñarse con total independencia. El Director Ejecutivo debe preparar una propuesta de programa de trabajo anual de la ENISA, previa consulta con la Comisión, y debe tomar todas las medidas necesarias para garantizar la correcta ejecución de dicho programa de trabajo. El Director Ejecutivo debe preparar un informe anual, que presentará al Consejo de Administración, sobre la ejecución del programa de trabajo anual de la ENISA, elaborar un proyecto de estado de previsión de ingresos y gastos de la ENISA y ejecutar el presupuesto. Además, el Director Ejecutivo debe tener la opción de crear grupos de trabajo ad hoc para tratar asuntos específicos, en particular asuntos de naturaleza científica, técnica, jurídica o socioeconómica. En particular, en relación con la preparación de un sistema europeo candidato específico de certificación de la ciberseguridad ("sistema candidato"), se considera necesaria la creación de un grupo de trabajo ad hoc. El Director Ejecutivo debe velar por que los miembros de los grupos de trabajo ad hoc se seleccionen con arreglo a los más altos niveles de especialización, procurando garantizar el equilibrio entre hombres y mujeres y un equilibrio adecuado, en función de las cuestiones específicas de que se trate, entre las administraciones públicas de los Estados miembros, las instituciones, órganos y organismos de la Unión y el sector privado, incluidos la industria, los usuarios y los expertos académicos en seguridad de las redes y de la información.

(60) El Comité Ejecutivo debe contribuir al funcionamiento eficaz del Consejo de Administración. Como parte de su trabajo preparatorio relacionado con las decisiones del Consejo de Administración, el Consejo Ejecutivo debe examinar detalladamente la información pertinente, explorar las opciones disponibles y ofrecer asesoramiento y soluciones para preparar las decisiones del Consejo de Administración.

(61) La ENISA debe contar con un Grupo Consultivo de la ENISA como órgano consultivo para garantizar un diálogo regular con el sector privado, las organizaciones de consumidores y otras partes interesadas pertinentes. El Grupo Consultivo de ENISA, creado por el Consejo de Administración a propuesta del Director Ejecutivo, debe centrarse en las cuestiones pertinentes para las partes interesadas y ponerlas en conocimiento de ENISA. El Grupo Consultivo de la ENISA debe ser consultado, en particular, en relación con el proyecto de programa de trabajo anual de la ENISA. La composición del Grupo Consultivo de la ENISA y las tareas que se le asignen deben garantizar una representación suficiente de las partes interesadas en el trabajo de la ENISA.

(62) Debe crearse el Grupo de Certificación de la Ciberseguridad de las Partes Interesadas para ayudar a ENISA y a la Comisión a facilitar la consulta de las partes interesadas pertinentes. El Grupo de partes interesadas en la certificación de la ciberseguridad debe estar compuesto por miembros que representen a la industria en proporciones equilibradas, tanto del lado de la demanda como del lado de la oferta de productos y servicios de TIC, y que incluyan, en particular, a las PYME, los proveedores de servicios digitales, los organismos europeos e internacionales de normalización, los organismos nacionales de acreditación, las autoridades de control de la protección de datos y los organismos de evaluación de la conformidad con arreglo al Reglamento (CE) nº 765/2008 del Parlamento Europeo y del Consejo (16), y el mundo académico, así como las organizaciones de consumidores.

(63) ENISA debe disponer de normas relativas a la prevención y gestión de conflictos de intereses. ENISA también debe aplicar las disposiciones pertinentes de la Unión relativas al acceso del público a los documentos, tal como se establece en el Reglamento (CE) n.º 1049/2001 del Parlamento Europeo y del Consejo (17). El tratamiento de datos personales por ENISA debe estar sujeto al Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo (18). La ENISA debe cumplir las disposiciones aplicables a las instituciones, órganos y organismos de la Unión, así como la legislación nacional relativa al tratamiento de la información, en particular la información sensible no clasificada y la información clasificada de la Unión Europea (ICUE).

(64) Con el fin de garantizar la plena autonomía e independencia de la ENISA y permitirle realizar tareas adicionales, incluidas tareas de emergencia imprevistas, debe concederse a la ENISA un presupuesto suficiente y autónomo cuyos ingresos procedan principalmente de una contribución de la Unión y de contribuciones de terceros países que participen en los trabajos de la ENISA. Un presupuesto adecuado es primordial para garantizar que la ENISA tenga capacidad suficiente para llevar a cabo todas sus crecientes tareas y alcanzar sus objetivos. La mayor parte del personal de la ENISA debe dedicarse directamente a la ejecución operativa del mandato de la ENISA. Debe permitirse al Estado miembro de acogida, y a cualquier otro Estado miembro, realizar contribuciones voluntarias al presupuesto de la ENISA. El procedimiento presupuestario de la Unión debe seguir siendo aplicable en lo que respecta a las subvenciones imputables al presupuesto general de la Unión. Además, el Tribunal de Cuentas debería auditar las cuentas de ENISA para garantizar la transparencia y la rendición de cuentas.

(65) La certificación de la ciberseguridad desempeña un papel importante en el aumento de la confianza y la seguridad en los productos, servicios y procesos de las TIC. El mercado único digital, y en particular la economía de los datos y la IO, solo pueden prosperar si existe una confianza pública general en que tales productos, servicios y procesos ofrecen un determinado nivel de ciberseguridad. Los automóviles conectados y automatizados, los dispositivos médicos electrónicos, los sistemas de control de automatización industrial y las redes inteligentes son solo algunos ejemplos de sectores en los que la certificación ya se utiliza ampliamente o es probable que se utilice en un futuro próximo. Los sectores regulados por la Directiva (UE) 2016/1148 también son sectores en los que la certificación de la ciberseguridad es fundamental.

(66) En la Comunicación de 2016 "Reforzar el sistema de ciberresiliencia de Europa y fomentar una industria de la ciberseguridad competitiva e innovadora", la Comisión expuso la necesidad de disponer de productos y soluciones de ciberseguridad de alta calidad, asequibles e interoperables. La oferta de productos, servicios y procesos de TIC en el mercado único sigue estando muy fragmentada geográficamente. Esto se debe a que la industria de la ciberseguridad en Europa se ha desarrollado en gran medida sobre la base de la demanda gubernamental nacional. Además, la falta de soluciones interoperables (normas técnicas), de prácticas y de mecanismos de certificación a escala de la Unión son otras de las lagunas que afectan al mercado único en el ámbito de la ciberseguridad. Esto dificulta la competencia de las empresas europeas a escala nacional, de la Unión y mundial. También reduce la oferta de tecnologías de ciberseguridad viables y utilizables a las que tienen acceso los particulares y las empresas. Del mismo modo, en la Comunicación de 2017 sobre la revisión intermedia de la aplicación de la Estrategia para el Mercado Único Digital - Un mercado único digital conectado para todos, la Comisión destacó la necesidad de productos y sistemas conectados seguros, e indicó que la creación de un marco europeo de seguridad de las TIC que establezca normas sobre cómo organizar la certificación de la seguridad de las TIC en la Unión podría tanto preservar la confianza en internet como abordar la fragmentación actual del mercado interior.

(67) En la actualidad, la certificación de la ciberseguridad de los productos, servicios y procesos de las TIC se utiliza solo de forma limitada. Cuando existe, se produce sobre todo a nivel de los Estados miembros o en el marco de regímenes impulsados por la industria. En ese contexto, un certificado expedido por una autoridad nacional de certificación de la ciberseguridad no se reconoce, en principio, en otros Estados miembros. Así pues, las empresas pueden verse obligadas a certificar sus productos, servicios y procesos de TIC en varios Estados miembros en los que operan, por ejemplo, con vistas a participar en procedimientos nacionales de contratación pública, lo que incrementa sus costes. Además, aunque están surgiendo nuevos regímenes, no parece haber un enfoque coherente y holístico de las cuestiones horizontales de ciberseguridad, por ejemplo en el ámbito de la IO. Los regímenes existentes presentan importantes deficiencias y diferencias en cuanto a la cobertura de los productos, los niveles de garantía, los criterios sustantivos y el uso real, lo que obstaculiza los mecanismos de reconocimiento mutuo dentro de la Unión.

(68) Se han realizado algunos esfuerzos para garantizar el reconocimiento mutuo de los certificados dentro de la Unión. Sin embargo, sólo han tenido éxito en parte. El ejemplo más importante a este respecto es el Acuerdo de Reconocimiento Mutuo (ARM) del Grupo de Altos Funcionarios - Seguridad de los Sistemas de Información (SOG-IS). Aunque representa el modelo más importante de cooperación y reconocimiento mutuo en el ámbito de la certificación de seguridad, SOG-IS sólo incluye a algunos de los Estados miembros. Este hecho ha limitado la eficacia del ARM SOG-IS desde el punto de vista del mercado interior.

(69) Por consiguiente, es necesario adoptar un enfoque común y establecer un marco europeo de certificación de la ciberseguridad que fije los principales requisitos horizontales para que se desarrollen regímenes europeos de certificación de la ciberseguridad y permita que los certificados europeos de ciberseguridad y las declaraciones de conformidad de la UE para productos de TIC, servicios de TIC o procesos de TIC sean reconocidos y utilizados en todos los Estados miembros. Para ello, es esencial basarse en los regímenes nacionales e internacionales existentes, así como en los sistemas de reconocimiento mutuo, en particular SOG-IS, y hacer posible una transición fluida de los regímenes existentes en virtud de dichos sistemas a los regímenes del nuevo marco europeo de certificación de la ciberseguridad. El marco europeo de certificación de la ciberseguridad debería tener un doble objetivo. En primer lugar, debe contribuir a aumentar la confianza en los productos, servicios y procesos de las TIC que hayan sido certificados con arreglo a sistemas europeos de certificación de la ciberseguridad. En segundo lugar, debe contribuir a evitar la multiplicación de regímenes nacionales de certificación de la ciberseguridad que entren en conflicto o se solapen, reduciendo así los costes para las empresas que operan en el mercado único digital. Los regímenes europeos de certificación de la ciberseguridad deben ser no discriminatorios y basarse en normas europeas o internacionales, a menos que dichas normas sean ineficaces o inadecuadas para cumplir los objetivos legítimos de la Unión a este respecto.

(70) El marco europeo de certificación de la ciberseguridad debe establecerse de manera uniforme en todos los Estados miembros para evitar el "certification shopping" basado en diferentes niveles de exigencia en los distintos Estados miembros.

(71) Los sistemas europeos de certificación de la ciberseguridad deben basarse en lo que ya existe a nivel internacional y nacional y, si es necesario, en las especificaciones técnicas de foros y consorcios, aprendiendo de los puntos fuertes actuales y evaluando y corrigiendo los puntos débiles.

(72) Las soluciones flexibles de ciberseguridad son necesarias para que el sector se mantenga por delante de las ciberamenazas, por lo que cualquier sistema de certificación debe diseñarse de forma que evite el riesgo de quedar obsoleto rápidamente.

(73) La Comisión debe estar facultada para adoptar regímenes europeos de certificación de la ciberseguridad relativos a grupos específicos de productos de TIC, servicios de TIC y procesos de TIC. Dichos regímenes deben ser aplicados y supervisados por las autoridades nacionales de certificación de la ciberseguridad, y los certificados expedidos con arreglo a los mismos deben ser válidos y reconocidos en toda la Unión. Los regímenes de certificación gestionados por la industria o por otras organizaciones privadas deben quedar fuera del ámbito de aplicación del presente Reglamento. No obstante, los organismos que gestionen tales regímenes deben poder proponer a la Comisión que considere dichos regímenes como base para aprobarlos como regímenes europeos de certificación de la ciberseguridad.

(74) Las disposiciones del presente Reglamento deben entenderse sin perjuicio del Derecho de la Unión que establece normas específicas sobre la certificación de productos de TIC, servicios de TIC y procesos de TIC. En particular, el Reglamento (UE) 2016/679 establece disposiciones para la creación de mecanismos de certificación y de sellos y marcas de protección de datos, con el fin de demostrar la conformidad de las operaciones de tratamiento por parte de los responsables y encargados con dicho Reglamento. Dichos mecanismos de certificación y sellos y marcas de protección de datos deben permitir a los interesados evaluar rápidamente el nivel de protección de datos de los correspondientes productos de TIC, servicios de TIC y procesos de TIC. El presente Reglamento se entiende sin perjuicio de la certificación de las operaciones de tratamiento de datos con arreglo al Reglamento (UE) 2016/679, incluso cuando dichas operaciones estén integradas en productos de TIC, servicios de TIC y procesos de TIC.

(75) La finalidad de los regímenes europeos de certificación de la ciberseguridad debe ser garantizar que los productos de las TIC, los servicios de las TIC y los procesos de las TIC certificados con arreglo a dichos regímenes cumplan los requisitos especificados destinados a proteger la disponibilidad, autenticidad, integridad y confidencialidad de los datos almacenados, transmitidos o procesados o de las funciones o servicios relacionados ofrecidos por dichos productos, servicios y procesos, o accesibles a través de ellos, durante todo su ciclo de vida. No es posible exponer detalladamente en el presente Reglamento los requisitos de ciberseguridad relativos a todos los productos de TIC, servicios de TIC y procesos de TIC. Los productos TIC, los servicios TIC y los procesos TIC, así como las necesidades de ciberseguridad relacionadas con dichos productos, servicios y procesos, son tan diversos que resulta muy difícil elaborar requisitos generales de ciberseguridad que sean válidos en todas las circunstancias. Por lo tanto, es necesario adoptar una noción amplia y general de ciberseguridad a efectos de certificación, que debe complementarse con un conjunto de objetivos específicos de ciberseguridad que deben tenerse en cuenta al diseñar los regímenes europeos de certificación de la ciberseguridad. Las modalidades mediante las cuales deben alcanzarse dichos objetivos en productos, servicios y procesos de TIC específicos deben especificarse con mayor detalle en el nivel del régimen de certificación individual adoptado por la Comisión, por ejemplo mediante referencia a normas o especificaciones técnicas si no se dispone de normas adecuadas.

(76) Las especificaciones técnicas que se utilicen en los regímenes europeos de certificación de la ciberseguridad deben respetar los requisitos establecidos en el anexo II del Reglamento (UE) nº 1025/2012 del Parlamento Europeo y del Consejo (19). No obstante, podrían considerarse necesarias algunas desviaciones de dichos requisitos en casos debidamente justificados cuando dichas especificaciones técnicas vayan a utilizarse en un sistema europeo de certificación de la ciberseguridad que se refiera a un nivel de garantía "alto". Los motivos de tales desviaciones deben hacerse públicos.

(77) Una evaluación de la conformidad es un procedimiento para evaluar si se cumplen los requisitos especificados relativos a un producto de TIC, un servicio de TIC o un proceso de TIC. Dicho procedimiento lo lleva a cabo un tercero independiente que no es el fabricante o proveedor de los productos, servicios o procesos de TIC que se evalúan. Debe expedirse un certificado europeo de ciberseguridad tras la evaluación satisfactoria de un producto de TIC, servicio de TIC o proceso de TIC. Un certificado europeo de ciberseguridad debe considerarse una confirmación de que la evaluación se ha llevado a cabo correctamente. En función del nivel de garantía, el sistema europeo de certificación de la ciberseguridad debe indicar si el certificado europeo de ciberseguridad debe ser expedido por un organismo privado o público. La evaluación de la conformidad y la certificación no pueden garantizar per se que los productos de TIC, los servicios de TIC y los procesos de TIC certificados sean ciberseguros. Son, en cambio, procedimientos y metodologías técnicas para certificar que los productos, servicios y procesos de TIC han sido probados y que cumplen determinados requisitos de ciberseguridad establecidos en otros lugares, por ejemplo en normas técnicas.

(78) La elección de la certificación adecuada y de los requisitos de seguridad asociados por parte de los usuarios de los certificados europeos de ciberseguridad debe basarse en un análisis de los riesgos asociados al uso de los productos, servicios o procesos de TIC. En consecuencia, el nivel de garantía debe ser proporcional al nivel de riesgo asociado al uso previsto de un producto de TIC, servicio de TIC o proceso de TIC.

(79) Los regímenes europeos de certificación de la ciberseguridad podrían prever la realización de una evaluación de la conformidad bajo la responsabilidad exclusiva del fabricante o proveedor de productos de TIC, servicios de TIC o procesos de TIC ("autoevaluación de la conformidad"). En tales casos, debería bastar con que el propio fabricante o proveedor de productos, servicios o procesos de TIC lleve a cabo todos los controles para garantizar que los productos, servicios o procesos de TIC son conformes con el sistema europeo de certificación de la ciberseguridad. La autoevaluación de la conformidad debe considerarse adecuada para los productos de TIC, servicios de TIC o procesos de TIC de baja complejidad que presenten un bajo riesgo para el público, como los mecanismos de diseño y producción sencillos. Además, la autoevaluación de la conformidad debe permitirse para los productos de TIC, servicios de TIC o procesos de TIC únicamente cuando correspondan al nivel de garantía "básico".

(80) Los regímenes europeos de certificación de la ciberseguridad podrían permitir tanto las autoevaluaciones de conformidad como las certificaciones de productos de TIC, servicios de TIC o procesos de TIC. En tal caso, el sistema debería prever medios claros y comprensibles para que los consumidores u otros usuarios puedan diferenciar entre los productos, servicios o procesos de TIC respecto de los cuales el fabricante o proveedor de productos, servicios o procesos de TIC es responsable de la evaluación, y los productos, servicios o procesos de TIC certificados por un tercero.

(81) El fabricante o proveedor de productos de TIC, servicios de TIC o procesos de TIC que lleve a cabo una autoevaluación de la conformidad debe poder expedir y firmar la declaración UE de conformidad como parte del procedimiento de evaluación de la conformidad. Una declaración UE de conformidad es un documento que establece que un producto, servicio o proceso TIC específico cumple los requisitos del sistema europeo de certificación de la ciberseguridad. Al emitir y firmar la declaración UE de conformidad, el fabricante o proveedor de productos TIC, servicios TIC o procesos TIC asume la responsabilidad de la conformidad del producto TIC, servicio TIC o proceso TIC con los requisitos legales del sistema europeo de certificación de la ciberseguridad. Deberá presentarse una copia de la declaración UE de conformidad a la autoridad nacional de certificación de ciberseguridad y a ENISA.

(82) Los fabricantes o proveedores de productos de TIC, servicios de TIC o procesos de TIC deben poner a disposición de la autoridad nacional de certificación de la ciberseguridad competente la declaración UE de conformidad, la documentación técnica y toda la demás información pertinente relativa a la conformidad de los productos de TIC, servicios de TIC o procesos de TIC con un sistema europeo de certificación de la ciberseguridad durante el período previsto en el sistema europeo de certificación de la ciberseguridad pertinente. La documentación técnica deberá especificar los requisitos aplicables en virtud del régimen y abarcar el diseño, la fabricación y el funcionamiento del producto de TIC, el servicio de TIC o el proceso de TIC en la medida en que sea pertinente para la autoevaluación de la conformidad. La documentación técnica debe compilarse de manera que permita evaluar si un producto o servicio de TIC cumple los requisitos aplicables en virtud de dicho régimen.

(83) La gobernanza del marco europeo de certificación de la ciberseguridad tiene en cuenta la participación de los Estados miembros, así como la adecuada participación de las partes interesadas, y establece el papel de la Comisión durante la planificación y la propuesta, solicitud, preparación, adopción y revisión de los regímenes europeos de certificación de la ciberseguridad.

(84) La Comisión debe preparar, con el apoyo del Grupo Europeo de Certificación de la Ciberseguridad (el "ECCG") y del Grupo de Certificación de la Ciberseguridad de las Partes Interesadas, y tras una consulta abierta y amplia, un programa de trabajo renovable de la Unión para los regímenes europeos de certificación de la ciberseguridad, y debe publicarlo en forma de instrumento no vinculante. El programa de trabajo renovable de la Unión debe ser un documento estratégico que permita a la industria, a las autoridades nacionales y a los organismos de normalización, en particular, prepararse con antelación para los futuros regímenes europeos de certificación de la ciberseguridad. El programa de trabajo renovable de la Unión debe incluir una visión plurianual de las solicitudes de regímenes candidatos que la Comisión tiene la intención de presentar a la ENISA para su preparación sobre la base de motivos específicos. La Comisión debe tener en cuenta el programa de trabajo renovable de la Unión al preparar su plan renovable de normalización de las TIC y las solicitudes de normalización a las organizaciones europeas de normalización. A la luz de la rápida introducción y adopción de nuevas tecnologías, la aparición de riesgos de ciberseguridad previamente desconocidos y la evolución de la legislación y el mercado, la Comisión o el ECCG deben estar facultados para solicitar a ENISA que prepare sistemas candidatos que no se hayan incluido en el programa de trabajo renovable de la Unión. En tales casos, la Comisión y el ECCG también deben evaluar la necesidad de dicha solicitud, teniendo en cuenta los fines y objetivos generales del presente Reglamento y la necesidad de garantizar la continuidad en lo que respecta a la planificación y el uso de los recursos por parte de la ENISA.

A raíz de dicha solicitud, ENISA debe preparar sin demora indebida los regímenes candidatos para productos específicos de TIC, servicios de TIC y procesos de TIC. La Comisión debe evaluar el impacto positivo y negativo de su solicitud en el mercado específico en cuestión, especialmente su impacto en las PYME, en la innovación, en los obstáculos a la entrada en ese mercado y en los costes para los usuarios finales. La Comisión, sobre la base del sistema candidato preparado por la ENISA, debe estar facultada para adoptar el sistema europeo de certificación de la ciberseguridad mediante actos de ejecución. Teniendo en cuenta la finalidad general y los objetivos de seguridad establecidos en el presente Reglamento, los regímenes europeos de certificación de la ciberseguridad adoptados por la Comisión deben especificar un conjunto mínimo de elementos relativos al objeto, ámbito de aplicación y funcionamiento del régimen individual. Estos elementos deben incluir, entre otras cosas, el alcance y el objeto de la certificación de ciberseguridad, incluidas las categorías de productos de TIC, servicios de TIC y procesos de TIC cubiertos, la especificación detallada de los requisitos de ciberseguridad, por ejemplo mediante referencia a normas o especificaciones técnicas, los criterios específicos de evaluación y los métodos de evaluación, así como el nivel de garantía previsto ("básico", "sustancial" o "alto") y los niveles de evaluación, en su caso. ENISA debe poder rechazar una solicitud del GECC. Tales decisiones deberán ser adoptadas por el Consejo de Administración y estar debidamente motivadas.

(85) La ENISA debe mantener un sitio web que proporcione información sobre los regímenes europeos de certificación de la ciberseguridad y los dé a conocer, que debe incluir, entre otras cosas, las solicitudes de preparación de un régimen candidato, así como las reacciones recibidas en el proceso de consulta llevado a cabo por la ENISA en la fase de preparación. El sitio web también debe proporcionar información sobre los certificados europeos de ciberseguridad y las declaraciones UE de conformidad expedidos en virtud del presente Reglamento, incluida la información relativa a la retirada y expiración de dichos certificados europeos de ciberseguridad y declaraciones UE de conformidad. El sitio web también debe indicar los sistemas nacionales de certificación de la ciberseguridad que han sido sustituidos por un sistema europeo de certificación de la ciberseguridad.

(86) El nivel de garantía de un régimen europeo de certificación es una base para confiar en que un producto de TIC, un servicio de TIC o un proceso de TIC cumple los requisitos de seguridad de un régimen europeo de certificación de la ciberseguridad específico. Para garantizar la coherencia del marco europeo de certificación de la ciberseguridad, un sistema europeo de certificación de la ciberseguridad debe poder especificar niveles de garantía para los certificados europeos de ciberseguridad y las declaraciones UE de conformidad expedidos en virtud de dicho sistema. Cada certificado europeo de ciberseguridad podría referirse a uno de los niveles de garantía: "básico", "sustancial" o "alto", mientras que la declaración UE de conformidad podría referirse únicamente al nivel de garantía "básico". Los niveles de garantía proporcionarían el rigor y la profundidad correspondientes de la evaluación del producto de TIC, el servicio de TIC o el proceso de TIC y se caracterizarían por la referencia a las especificaciones técnicas, las normas y los procedimientos relacionados con ellos, incluidos los controles técnicos, cuya finalidad es mitigar o prevenir los incidentes. Cada nivel de garantía debe ser coherente entre los distintos ámbitos sectoriales en los que se aplique la certificación.

(87) Un sistema europeo de certificación de la ciberseguridad podría especificar varios niveles de evaluación en función del rigor y la profundidad de la metodología de evaluación utilizada. Los niveles de evaluación deben corresponder a uno de los niveles de garantía y deben asociarse a una combinación adecuada de componentes de garantía. Para todos los niveles de garantía, el producto de TIC, el servicio de TIC o el proceso de TIC debe contener una serie de funciones seguras, según especifique el sistema, que pueden incluir: una configuración "lista para usar" segura, un código firmado, una actualización segura y mitigaciones de exploits y protecciones completas de la pila o de la memoria de montón. Estas funciones deben haberse desarrollado, y mantenerse, utilizando enfoques de desarrollo centrados en la seguridad y herramientas asociadas para garantizar que se incorporan de forma fiable mecanismos eficaces de software y hardware.

(88) Para el nivel de garantía "básico", la evaluación debe guiarse al menos por los siguientes componentes de garantía: la evaluación debe incluir al menos una revisión de la documentación técnica del producto de TIC, servicio de TIC o proceso de TIC por parte del organismo de evaluación de la conformidad. Cuando la certificación incluya procesos de TIC, el proceso utilizado para diseñar, desarrollar y mantener un producto o servicio de TIC también debe estar sujeto a la revisión técnica. Cuando un sistema europeo de certificación de la ciberseguridad prevea una autoevaluación de la conformidad, debería bastar con que el fabricante o proveedor de productos de TIC, servicios de TIC o procesos de TIC haya llevado a cabo una autoevaluación de la conformidad del producto de TIC, servicio de TIC o proceso de TIC con el sistema de certificación.

(89) Para el nivel de garantía "sustancial", la evaluación, además de los requisitos para el nivel de garantía "básico", debe guiarse al menos por la verificación de la conformidad de las funcionalidades de seguridad del producto de TIC, servicio de TIC o proceso de TIC con su documentación técnica.

(90) Para el nivel de garantía "alto", la evaluación, además de los requisitos para el nivel de garantía "sustancial", debe guiarse al menos por una prueba de eficiencia que evalúe la resistencia de las funcionalidades de seguridad del producto de TIC, servicio de TIC o proceso de TIC frente a ciberataques elaborados realizados por personas que dispongan de competencias y recursos significativos.

(91) El recurso a la certificación europea de ciberseguridad y a las declaraciones de conformidad de la UE debe seguir siendo voluntario, salvo disposición en contrario del Derecho de la Unión o del Derecho de los Estados miembros adoptado de conformidad con el Derecho de la Unión. A falta de Derecho de la Unión armonizado, los Estados miembros pueden adoptar reglamentos técnicos nacionales que prevean la certificación obligatoria con arreglo a un sistema europeo de certificación de la ciberseguridad, de conformidad con la Directiva (UE) 2015/1535 del Parlamento Europeo y del Consejo (20). Los Estados miembros también pueden recurrir a la certificación europea de ciberseguridad en el contexto de la contratación pública y de la Directiva 2014/24/UE del Parlamento Europeo y del Consejo (21).

(92) En algunos ámbitos, podría ser necesario en el futuro imponer requisitos específicos de ciberseguridad y hacer obligatoria su certificación para determinados productos de TIC, servicios de TIC o procesos de TIC, con el fin de mejorar el nivel de ciberseguridad en la Unión. La Comisión debe supervisar periódicamente el impacto de los regímenes europeos de certificación de la ciberseguridad adoptados sobre la disponibilidad de productos de TIC, servicios de TIC y procesos de TIC seguros en el mercado interior y debe evaluar periódicamente el nivel de utilización de los regímenes de certificación por parte de los fabricantes o proveedores de productos de TIC, servicios de TIC o procesos de TIC en la Unión. La eficiencia de los regímenes europeos de certificación de la ciberseguridad y la conveniencia de hacer obligatorios regímenes específicos deben evaluarse a la luz de la legislación de la Unión relacionada con la ciberseguridad, en particular la Directiva (UE) 2016/1148, teniendo en cuenta la seguridad de la red y los sistemas de información utilizados por los operadores de servicios esenciales.

(93) Los certificados europeos de ciberseguridad y las declaraciones UE de conformidad deben ayudar a los usuarios finales a elegir con conocimiento de causa. Por consiguiente, los productos de las TIC, los servicios de las TIC y los procesos de las TIC que hayan sido certificados o para los que se haya expedido una declaración UE de conformidad deben ir acompañados de información estructurada que se adapte al nivel técnico esperado del usuario final previsto. Toda esta información debe estar disponible en línea y, cuando proceda, en formato físico. El usuario final debe tener acceso a la información relativa al número de referencia del sistema de certificación, el nivel de garantía, la descripción de los riesgos de ciberseguridad asociados al producto de TIC, servicio de TIC o proceso de TIC, y la autoridad u organismo emisor, o debe poder obtener una copia del certificado europeo de ciberseguridad. Además, el usuario final debe ser informado de la política de apoyo a la ciberseguridad, es decir, durante cuánto tiempo puede esperar recibir actualizaciones o parches de ciberseguridad, del fabricante o proveedor de los productos de TIC, servicios de TIC o procesos de TIC. Cuando proceda, deben facilitarse orientaciones sobre las medidas o ajustes que el usuario final puede aplicar para mantener o aumentar la ciberseguridad del producto o servicio de TIC y la información de contacto de un único punto de contacto para informar y recibir apoyo en caso de ciberataques (además de la notificación automática). Esta información debe actualizarse periódicamente y estar disponible en un sitio web que ofrezca información sobre los regímenes europeos de certificación de la ciberseguridad.

(94) Con vistas a alcanzar los objetivos del presente Reglamento y evitar la fragmentación del mercado interior, los regímenes o procedimientos nacionales de certificación de la ciberseguridad para productos de TIC, servicios de TIC o procesos de TIC cubiertos por un régimen europeo de certificación de la ciberseguridad deben dejar de ser efectivos a partir de una fecha establecida por la Comisión mediante actos de ejecución. Además, los Estados miembros no deben introducir nuevos regímenes nacionales de certificación de la ciberseguridad para productos de TIC, servicios de TIC o procesos de TIC ya cubiertos por un régimen europeo de certificación de la ciberseguridad existente. Sin embargo, no debe impedirse que los Estados miembros adopten o mantengan regímenes nacionales de certificación de la ciberseguridad con fines de seguridad nacional. Los Estados miembros deben informar a la Comisión y al ECCG de cualquier intención de elaborar nuevos regímenes nacionales de certificación de la ciberseguridad. La Comisión y el ECCG deben evaluar el impacto de los nuevos esquemas nacionales de certificación de ciberseguridad en el correcto funcionamiento del mercado interior y a la luz de cualquier interés estratégico en solicitar un esquema europeo de certificación de ciberseguridad en su lugar.

(95) Los sistemas europeos de certificación de la ciberseguridad tienen por objeto contribuir a armonizar las prácticas de ciberseguridad en la Unión. Deben contribuir a aumentar el nivel de ciberseguridad en la Unión. El diseño de los sistemas europeos de certificación de la ciberseguridad debe tener en cuenta y permitir el desarrollo de innovaciones en el ámbito de la ciberseguridad.

(96) Los regímenes europeos de certificación de la ciberseguridad deben tener en cuenta los métodos actuales de desarrollo de software y hardware y, en particular, el impacto de las frecuentes actualizaciones de software o firmware en los certificados europeos de ciberseguridad individuales. Los regímenes europeos de certificación de la ciberseguridad deben especificar las condiciones en las que una actualización puede requerir que un producto de TIC, un servicio de TIC o un proceso de TIC se recertifique o que se reduzca el alcance de un certificado europeo de ciberseguridad específico, teniendo en cuenta cualquier posible efecto adverso de la actualización sobre el cumplimiento de los requisitos de seguridad de dicho certificado.

(97) Una vez adoptado un sistema europeo de certificación de la ciberseguridad, los fabricantes o proveedores de productos de TIC, servicios de TIC o procesos de TIC deben poder presentar solicitudes de certificación de sus productos de TIC o servicios de TIC al organismo de evaluación de la conformidad de su elección en cualquier lugar de la Unión. Los organismos de evaluación de la conformidad deben ser acreditados por un organismo nacional de acreditación si cumplen determinados requisitos específicos establecidos en el presente Reglamento. La acreditación debe concederse por un máximo de cinco años y debe ser renovable en las mismas condiciones, siempre que el organismo de evaluación de la conformidad siga cumpliendo los requisitos. Los organismos nacionales de acreditación deben restringir, suspender o revocar la acreditación de un organismo de evaluación de la conformidad cuando las condiciones para la acreditación no se hayan cumplido o hayan dejado de cumplirse, o cuando el organismo de evaluación de la conformidad infrinja el presente Reglamento.

(98) Las referencias en la legislación nacional a normas nacionales que han dejado de ser efectivas debido a la entrada en vigor de un sistema europeo de certificación de la ciberseguridad pueden ser fuente de confusión. Por lo tanto, los Estados miembros deben reflejar la adopción de un sistema europeo de certificación de la ciberseguridad en su legislación nacional.

(99) Para lograr normas equivalentes en toda la Unión, facilitar el reconocimiento mutuo y promover la aceptación general de los certificados europeos de ciberseguridad y las declaraciones UE de conformidad, es necesario establecer un sistema de revisión inter pares entre las autoridades nacionales de certificación de la ciberseguridad. La revisión inter pares debe abarcar procedimientos para supervisar la conformidad de los productos de TIC, los servicios de TIC y los procesos de TIC con los certificados europeos de ciberseguridad, para supervisar las obligaciones de los fabricantes o proveedores de productos de TIC, servicios de TIC o procesos de TIC que llevan a cabo la autoevaluación de la conformidad, para supervisar los organismos de evaluación de la conformidad, así como la adecuación de los conocimientos técnicos del personal de los organismos que expiden certificados para el nivel de garantía "alto". La Comisión debe poder establecer, mediante actos de ejecución, al menos un plan quinquenal para las revisiones inter pares, así como criterios y metodologías para el funcionamiento del sistema de revisión inter pares.

(100) Sin perjuicio del sistema general de evaluación inter pares que debe implantarse en todas las autoridades nacionales de certificación de la ciberseguridad dentro del marco europeo de certificación de la ciberseguridad, determinados regímenes europeos de certificación de la ciberseguridad podrán incluir un mecanismo de evaluación inter pares para los organismos que expidan certificados europeos de ciberseguridad para productos de TIC, servicios de TIC y procesos de TIC con un nivel de garantía "alto" con arreglo a dichos regímenes. El ECCG debe apoyar la aplicación de tales mecanismos de evaluación inter pares. Las evaluaciones inter pares deben valorar, en particular, si los organismos en cuestión llevan a cabo sus tareas de forma armonizada, y pueden incluir mecanismos de recurso. Los resultados de las evaluaciones inter pares deben ponerse a disposición del público. Los organismos afectados podrán adoptar las medidas oportunas para adaptar sus prácticas y conocimientos en consecuencia.

(101) Los Estados miembros deben designar una o varias autoridades nacionales de certificación de la ciberseguridad para supervisar el cumplimiento de las obligaciones derivadas del presente Reglamento. Una autoridad nacional de certificación de la ciberseguridad puede ser una autoridad existente o nueva. Un Estado miembro también debe poder designar, previo acuerdo con otro Estado miembro, una o varias autoridades nacionales de certificación de la ciberseguridad en el territorio de ese otro Estado miembro.

(102) Las autoridades nacionales de certificación de la ciberseguridad deben, en particular, supervisar y hacer cumplir las obligaciones de los fabricantes o proveedores de productos de TIC, servicios de TIC o procesos de TIC establecidos en su territorio respectivo en relación con la declaración UE de conformidad, deben asistir a los organismos nacionales de acreditación en el seguimiento y la supervisión de las actividades de los organismos de evaluación de la conformidad proporcionándoles conocimientos técnicos e información pertinente, deben autorizar a los organismos de evaluación de la conformidad a desempeñar sus tareas cuando dichos organismos cumplan los requisitos adicionales establecidos en un sistema europeo de certificación de la ciberseguridad, y deben seguir la evolución pertinente en el ámbito de la certificación de la ciberseguridad. Las autoridades nacionales de certificación de la ciberseguridad también deben tramitar las reclamaciones presentadas por personas físicas o jurídicas en relación con los certificados europeos de ciberseguridad expedidos por dichas autoridades o en relación con los certificados europeos de ciberseguridad expedidos por organismos de evaluación de la conformidad, cuando dichos certificados indiquen un nivel de garantía "alto", deben investigar, en la medida en que proceda, el objeto de la reclamación e informar al reclamante de los progresos y el resultado de la investigación en un plazo razonable. Además, las autoridades nacionales de certificación de la ciberseguridad deben cooperar con otras autoridades nacionales de certificación de la ciberseguridad u otras autoridades públicas, incluso compartiendo información sobre la posible no conformidad de los productos de TIC, los servicios de TIC y los procesos de TIC con los requisitos del presente Reglamento o con regímenes europeos específicos de certificación de la ciberseguridad. La Comisión debe facilitar ese intercambio de información poniendo a disposición un sistema electrónico general de apoyo a la información, por ejemplo el Sistema de Información y Comunicación sobre Vigilancia del Mercado (ICSMS) y el Sistema de Alerta Rápida para Productos No Alimentarios Peligrosos (RAPEX), ya utilizados por las autoridades de vigilancia del mercado en virtud del Reglamento (CE) nº 765/2008.

(103) Con vistas a garantizar la aplicación coherente del marco europeo de certificación de la ciberseguridad, debe crearse un GECC compuesto por representantes de las autoridades nacionales de certificación de la ciberseguridad u otras autoridades nacionales pertinentes. Las principales tareas del GECC deben consistir en asesorar y asistir a la Comisión en su labor encaminada a garantizar la ejecución y aplicación coherentes del marco europeo de certificación de la ciberseguridad, asistir y cooperar estrechamente con la ENISA en la preparación de los regímenes de certificación de la ciberseguridad candidatos, solicitar a la ENISA, en casos debidamente justificados, que prepare un régimen candidato, adoptar dictámenes dirigidos a la ENISA sobre los regímenes candidatos y adoptar dictámenes dirigidos a la Comisión sobre el mantenimiento y la revisión de los regímenes europeos de certificación de la ciberseguridad existentes. El GECC debe facilitar el intercambio de buenas prácticas y conocimientos técnicos entre las distintas autoridades nacionales de certificación de la ciberseguridad responsables de la autorización de los organismos de evaluación de la conformidad y de la expedición de los certificados europeos de ciberseguridad.

(104) Para aumentar la sensibilización y facilitar la aceptación de los futuros regímenes europeos de certificación de la ciberseguridad, la Comisión podrá publicar directrices generales o sectoriales en materia de ciberseguridad, por ejemplo sobre buenas prácticas de ciberseguridad o comportamientos responsables en materia de ciberseguridad que pongan de relieve el efecto positivo del uso de productos de TIC, servicios de TIC y procesos de TIC certificados.

(105) Para facilitar aún más el comercio, y reconociendo que las cadenas de suministro de las TIC son mundiales, la Unión podrá celebrar acuerdos de reconocimiento mutuo relativos a los certificados europeos de ciberseguridad, de conformidad con el artículo 218 del Tratado de Funcionamiento de la Unión Europea (TFUE). La Comisión, teniendo en cuenta el asesoramiento de la ENISA y del Grupo Europeo de Certificación de la Ciberseguridad, podrá recomendar la apertura de las negociaciones pertinentes. Cada sistema europeo de certificación de la ciberseguridad deberá prever condiciones específicas para tales acuerdos de reconocimiento mutuo con terceros países.

(106) A fin de garantizar condiciones uniformes de ejecución del presente Reglamento, deben conferirse a la Comisión competencias de ejecución. Dichas competencias deben ejercerse de conformidad con el Reglamento (UE) nº 182/2011 del Parlamento Europeo y del Consejo (22).

(107) El procedimiento de examen debe utilizarse para la adopción de actos de ejecución sobre los regímenes europeos de certificación de la ciberseguridad para los productos de las TIC, los servicios de las TIC o los procesos de las TIC, para la adopción de actos de ejecución sobre las disposiciones para la realización de investigaciones por la ENISA, para la adopción de actos de ejecución sobre un plan para la revisión inter pares de las autoridades nacionales de certificación de la ciberseguridad, así como para la adopción de actos de ejecución sobre las circunstancias, los formatos y los procedimientos de las notificaciones de los organismos de evaluación de la conformidad acreditados por las autoridades nacionales de certificación de la ciberseguridad a la Comisión.

(108) Las operaciones de la ENISA deben someterse a una evaluación periódica e independiente. Dicha evaluación debe tener en cuenta los objetivos de la ENISA, sus prácticas de trabajo y la pertinencia de sus tareas, en particular las relacionadas con la cooperación operativa a escala de la Unión. Dicha evaluación debe valorar asimismo el impacto, la eficacia y la eficiencia del marco europeo de certificación de la ciberseguridad. En caso de revisión, la Comisión debe evaluar cómo puede reforzarse el papel de la ENISA como punto de referencia para el asesoramiento y los conocimientos técnicos y debe evaluar también la posibilidad de que la ENISA desempeñe un papel de apoyo a la evaluación de los productos de TIC, servicios de TIC y procesos de TIC de terceros países que no cumplan las normas de la Unión, cuando dichos productos, servicios y procesos entren en la Unión.

(109) Dado que los objetivos del presente Reglamento no pueden ser alcanzados de manera suficiente por los Estados miembros, sino que, debido a su dimensión y efectos, pueden lograrse mejor a escala de la Unión, ésta puede adoptar medidas, de acuerdo con el principio de subsidiariedad consagrado en el artículo 5 del Tratado de la Unión Europea (TUE). De conformidad con el principio de proporcionalidad enunciado en dicho artículo, el presente Reglamento no excede de lo necesario para alcanzar estos objetivos.

(110) Debe derogarse el Reglamento (UE) nº 526/2013,

HAN ADOPTADO ESTE REGLAMENTO: