1. Cada Estado miembro velará por que las entidades esenciales e importantes notifiquen, sin demora indebida, a su CSIRT o, en su caso, a su autoridad competente, de conformidad con el apartado 4, cualquier incidenteIncidente Se refiere a un suceso que compromete la disponibilidad, autenticidad, integridad o confidencialidad de los datos almacenados, transmitidos o procesados, o de los servicios ofrecidos por los sistemas de red y de información o accesibles a través de ellos". Definición según el artículo 6 de la Directiva (UE) 2022/2555 (Directiva NIS2) que tenga un impacto significativo en la prestación de sus servicios, tal como se contempla en el apartado 3 (incidente significativo). Cuando proceda, las entidades afectadas notificarán sin demora injustificada a los destinatarios de sus servicios los incidentes significativos que puedan afectar negativamente a la prestación de dichos servicios. Cada Estado miembro velará por que dichas entidades notifiquen, entre otras cosas, cualquier información que permita al CSIRT o, en su caso, a la autoridad competente determinar cualquier repercusión transfronteriza del incidente. El mero acto de notificación no someterá a la entidad notificante a la obligación de notificar. entidadEntidad Persona física o jurídica creada y reconocida como tal en virtud de la legislación nacional de su lugar de establecimiento, que puede, actuando en nombre propio, ejercer derechos y estar sujeta a obligaciones -. Definición según el artículo 6 de la Directiva (UE) 2022/2555 (Directiva NIS2) a una mayor responsabilidad.
Cuando las entidades afectadas notifiquen a la autoridad competente un incidente significativo con arreglo al párrafo primero, el Estado miembro velará por que dicha autoridad competente remita la notificación al CSIRT en cuanto la reciba.
En caso de incidente transfronterizo o intersectorial significativo, los Estados miembros velarán por que sus puntos de contacto únicos reciban a su debido tiempo la información pertinente notificada de conformidad con el apartado 4.
2. Cuando proceda, los Estados miembros velarán por que las entidades esenciales e importantes comuniquen, sin demora indebida, a los destinatarios de sus servicios que puedan verse afectados por una importante amenaza cibernéticaCiberamenazas significativas Se trata de una ciberamenaza que, en función de sus características técnicas, cabe suponer que puede tener un impacto grave en la red y los sistemas de información de una entidad o en los usuarios de los servicios de la entidad, causando daños materiales o inmateriales considerables. Definición según el artículo 6 de la Directiva (UE) 2022/2555 (Directiva NIS2) cualquier medida o remedio que dichos destinatarios puedan adoptar en respuesta a dicha amenaza. Cuando proceda, las entidades también informarán a dichos destinatarios de la ciberamenaza significativa en sí.
3. Un incidente se considerará significativo si:
(a) ha causado o puede causar una grave perturbación del funcionamiento de los servicios o una pérdida financiera para la entidad en cuestión;
(b) haya afectado o pueda afectar a otras personas físicas o jurídicas causándoles un perjuicio material o moral considerable.
4. Los Estados miembros velarán por que, a efectos de la notificación prevista en el apartado 1, las entidades afectadas presenten al CSIRT o, en su caso, a la autoridad competente:
(a) sin demoras indebidas y, en cualquier caso, en el plazo de 24 horas a partir del momento en que se tenga conocimiento del incidente significativo, una alerta rápida, en la que, cuando proceda, se indicará si se sospecha que el incidente significativo ha sido causado por actos ilícitos o dolosos o podría tener repercusiones transfronterizas;
(b) sin demoras indebidas y, en cualquier caso, en el plazo de 72 horas a partir del momento en que se tenga conocimiento del incidente significativo, una notificación del incidente, que, en su caso, actualizará la información a que se refiere la letra a) e indicará una evaluación inicial del incidente significativo, incluida su gravedad e impacto, así como, cuando se disponga de ellos, los indicadores de compromiso;
(c) a petición de un CSIRT o, en su caso, de la autoridad competente, un informe intermedio sobre las actualizaciones de situación pertinentes;
(d) un informe final, a más tardar un mes después de la presentación de la notificación del incidente con arreglo a la letra b), que incluya lo siguiente:
(i) una descripción detallada del incidente, incluida su gravedad e impacto;
(ii) el tipo de amenaza o causa principal que probablemente haya desencadenado el incidente;
(iii) medidas de mitigación aplicadas y en curso;
(iv) en su caso, el impacto transfronterizo del incidente;
(e) en caso de incidente en curso en el momento de la presentación del informe final mencionado en la letra d), los Estados miembros velarán por que las entidades afectadas presenten un informe de situación en ese momento y un informe final en el plazo de un mes a partir de la gestión del incidente.
No obstante lo dispuesto en la letra b) del párrafo primero, un proveedor de servicios fiduciariosProveedor de servicios de confianza Persona física o jurídica que presta uno o varios servicios fiduciarios, ya sea como prestador de servicios fiduciarios cualificado o no cualificado - Definición según el artículo 3, punto 19, del Reglamento (UE) nº 910/2014. notificará al CSIRT o, en su caso, a la autoridad competente, los incidentes significativos que afecten a la prestación de sus servicios de confianza, sin demoras indebidas y, en cualquier caso, en un plazo de 24 horas a partir del momento en que tenga conocimiento del incidente significativo.
5. El CSIRT o la autoridad competente proporcionarán, sin demoras indebidas y, cuando sea posible, en un plazo de 24 horas a partir de la recepción de la alerta rápida mencionada en el apartado 4, letra a), una respuesta a la entidad notificante, que incluirá información inicial sobre el incidente significativo y, a petición de la entidad, orientación o asesoramiento operativo sobre la aplicación de posibles medidas paliativas. Cuando el CSIRT no sea el destinatario inicial de la notificación a que se refiere el apartado 1, las orientaciones serán facilitadas por la autoridad competente en cooperación con el CSIRT. El CSIRT proporcionará apoyo técnico adicional si la entidad afectada así lo solicita. Cuando se sospeche que el incidente significativo es de naturaleza delictiva, el CSIRT o la autoridad competente también proporcionarán orientación sobre la notificación del incidente significativo a las autoridades policiales.
6. Cuando proceda, y en particular cuando el incidente significativo afecte a dos o más Estados miembros, el CSIRT, la autoridad competente o el punto de contacto único informarán sin demora indebida a los demás Estados miembros afectados y a la ENISA del incidente significativo. Dicha información incluirá el tipo de información recibida de conformidad con el apartado 4. Al hacerlo, el CSIRT, la autoridad competente o el punto de contacto único preservarán, de conformidad con el Derecho de la Unión o nacional, los intereses de seguridad y comerciales de la entidad, así como la confidencialidad de la información facilitada.
7. Cuando sea necesaria la sensibilización del público para prevenir un incidente significativo o hacer frente a un incidente significativo en curso, o cuando la divulgación del incidente significativo sea de interés público, el CSIRT de un Estado miembro o, en su caso, su autoridad competente, y, cuando proceda, los CSIRT o las autoridades competentes de otros Estados miembros afectados, podrán, previa consulta a la entidad afectada, informar al público sobre el incidente significativo o exigir a la entidad que lo haga.
8. A petición del CSIRT o de la autoridad competente, el punto de contacto único transmitirá las notificaciones recibidas con arreglo al apartado 1 a los puntos de contacto únicos de los demás Estados miembros afectados.
9. La ventanilla única presentará a la ENISA cada tres meses un informe resumido, que incluirá datos anonimizados y agregados sobre incidentes significativos, incidentes, ciberamenazas y cuasiincidentes notificados de conformidad con el apartado 1 del presente artículo y con el artículo 30. A fin de contribuir al suministro de información comparable, la ENISA podrá adoptar orientaciones técnicas sobre los parámetros de la información que debe incluirse en el informe resumido. Cada seis meses, la ENISA informará al Grupo de Cooperación y a la red de CSIRT de sus conclusiones sobre las notificaciones recibidas.
10. Los CSIRT o, en su caso, las autoridades competentes facilitarán a las autoridades competentes con arreglo a la Directiva (UE) 2022/2557 información sobre incidentes significativos, incidentes, ciberamenazas y cuasi incidentes notificados de conformidad con el apartado 1 del presente artículo y con el artículo 30 por entidades identificadas como entidades críticas con arreglo a la Directiva (UE) 2022/2557.
11. La Comisión podrá adoptar actos de ejecución en los que se especifique el tipo de información, el formato y el procedimiento de una notificación presentada de conformidad con el apartado 1 del presente artículo y con el artículo 30 y de una comunicación presentada de conformidad con el apartado 2 del presente artículo.
A más tardar el 17 de octubre de 2024, la Comisión, por lo que respecta a los proveedores de servicios DNS, los registros de nombres TLD, servicio de computación en nubeServicio de computación en nube Se refiere a un servicio digital que permite la administración bajo demanda y un amplio acceso remoto a un conjunto escalable y elástico de recursos informáticos compartibles, incluso cuando dichos recursos están distribuidos en varias ubicaciones -. Definición según el artículo 6 de la Directiva (UE) 2022/2555 (Directiva NIS2) proveedores, servicio de centro de datosServicio de centro de datos designa un servicio que engloba estructuras, o grupos de estructuras, dedicadas al alojamiento centralizado, la interconexión y el funcionamiento de equipos informáticos y de red que prestan servicios de almacenamiento, tratamiento y transporte de datos, junto con todas las instalaciones e infraestructuras de distribución de energía y control ambiental -. Definición según el artículo 6 de la Directiva (UE) 2022/2555 (Directiva NIS2) proveedores, red de distribución de contenidosRed de distribución de contenidos Se refiere a una red de servidores distribuidos geográficamente con el fin de garantizar una alta disponibilidad, accesibilidad o entrega rápida de contenidos y servicios digitales a los usuarios de Internet en nombre de los proveedores de contenidos y servicios -. Definición según el artículo 6 de la Directiva (UE) 2022/2555 (Directiva NIS2) los proveedores, los proveedores de servicios gestionados, los proveedores de servicios de seguridad gestionados, así como los proveedores de mercados en línea, de motores de búsqueda en línea y de plataformas de servicios de redes sociales, adopten actos de ejecución en los que se especifiquen los casos en que un incidente se considerará significativo con arreglo al apartado 3. La Comisión podrá adoptar dichos actos de ejecución en relación con otras entidades esenciales e importantes.
La Comisión intercambiará asesoramiento y cooperará con el Grupo de cooperación sobre los proyectos de actos de ejecución a que se refieren los párrafos primero y segundo del presente apartado, de conformidad con el artículo 14, apartado 4, letra e).
Dichos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 39, apartado 2.