{"id":1146,"date":"2024-01-29T16:47:57","date_gmt":"2024-01-29T16:47:57","guid":{"rendered":"https:\/\/nis2resources.eu\/?page_id=1146"},"modified":"2024-08-11T22:16:06","modified_gmt":"2024-08-11T22:16:06","slug":"preambulo","status":"publish","type":"page","link":"https:\/\/nis2resources.eu\/es\/directiva-5\/preambulo\/","title":{"rendered":"Pre\u00e1mbulo"},"content":{"rendered":"
\n

REGLAMENTO (UE) 2019\/881 DEL PARLAMENTO EUROPEO Y DEL CONSEJO<\/h2>\n\n\n\n

de 17 de abril de 2019<\/p>\n\n\n\n

sobre ENISA (la Agencia de la Uni\u00f3n Europea para CiberseguridadCiberseguridad<\/span> \"ciberseguridad\": la ciberseguridad definida en el art\u00edculo 2, punto 1, del Reglamento (UE) 2019\/881; - Definici\u00f3n seg\u00fan el art\u00edculo 6 de la Directiva (UE) 2022\/2555 (Directiva NIS2)<\/a>\r\r\"ciberseguridad\": las actividades necesarias para proteger las redes y los sistemas de informaci\u00f3n, a los usuarios de dichos sistemas y a otras personas afectadas por las ciberamenazas; - Definici\u00f3n seg\u00fan el art\u00edculo 2, punto (1), del Reglamento (UE) 2019\/881;<\/span><\/span><\/span>) y sobre certificaci\u00f3n de la ciberseguridad de las tecnolog\u00edas de la informaci\u00f3n y las comunicaciones y por el que se deroga el Reglamento (UE) n\u00ba 526\/2013 (Ley de Ciberseguridad)<\/p>\n\n\n\n

(Texto pertinente a efectos del EEE)<\/p>\n<\/div>\n\n\n\n

<\/p>\n\n\n\n

EL PARLAMENTO EUROPEO Y EL CONSEJO DE LA UNI\u00d3N EUROPEA,
Visto el Tratado de Funcionamiento de la Uni\u00f3n Europea y, en particular, su art\u00edculo 114,
Vista la propuesta de la Comisi\u00f3n Europea,
Tras la transmisi\u00f3n del proyecto de acto legislativo a los parlamentos nacionales,
Visto el dictamen del Comit\u00e9 Econ\u00f3mico y Social Europeo (1),
Visto el dictamen del Comit\u00e9 de las Regiones (2),
Actuando con arreglo al procedimiento legislativo ordinario (3),<\/p>\n\n\n\n

Considerando que:<\/p>\n\n\n\n

(1) Los sistemas de redes e informaci\u00f3n y las redes y servicios de comunicaciones electr\u00f3nicas desempe\u00f1an un papel vital en la sociedad y se han convertido en la espina dorsal del crecimiento econ\u00f3mico. Las tecnolog\u00edas de la informaci\u00f3n y la comunicaci\u00f3n (TIC) sustentan los complejos sistemas que sustentan las actividades cotidianas de la sociedad, mantienen en funcionamiento nuestras econom\u00edas en sectores clave como la sanidad, la energ\u00eda, las finanzas y el transporte y, en particular, apoyan el funcionamiento del mercado interior.<\/p>\n\n\n\n

(2) El uso de redes y sistemas de informaci\u00f3n por parte de ciudadanos, organizaciones y empresas de toda la Uni\u00f3n es ya generalizado. La digitalizaci\u00f3n y la conectividad se est\u00e1n convirtiendo en caracter\u00edsticas esenciales de un n\u00famero cada vez mayor de productos y servicios y, con la llegada de la Internet de los objetos (IO), se espera que en la pr\u00f3xima d\u00e9cada se despliegue en toda la Uni\u00f3n un n\u00famero extremadamente elevado de dispositivos digitales conectados. Aunque cada vez hay m\u00e1s dispositivos conectados a internet, la seguridad y la resistencia no est\u00e1n suficientemente integradas en el dise\u00f1o, lo que da lugar a una ciberseguridad insuficiente. En este contexto, el uso limitado de la certificaci\u00f3n hace que los usuarios individuales, organizativos y empresariales no dispongan de informaci\u00f3n suficiente sobre las caracter\u00edsticas de ciberseguridad de los productos, servicios y procesos de las TIC, lo que socava la confianza en las soluciones digitales. Las redes y los sistemas de informaci\u00f3n son capaces de dar soporte a todos los aspectos de nuestras vidas e impulsar el crecimiento econ\u00f3mico de la Uni\u00f3n. Son la piedra angular para lograr el mercado \u00fanico digital.<\/p>\n\n\n\n

(3) El aumento de la digitalizaci\u00f3n y de la conectividad incrementa los riesgos para la ciberseguridad, lo que hace que la sociedad en su conjunto sea m\u00e1s vulnerable a las ciberamenazas y agrava los peligros a los que se enfrentan los individuos, incluidas las personas vulnerables como los ni\u00f1os. A fin de mitigar esos riesgos, es preciso adoptar todas las medidas necesarias para mejorar la ciberseguridad en la Uni\u00f3n, de modo que los sistemas de redes y de informaci\u00f3n, las redes de comunicaciones, los productos digitales, los servicios y los dispositivos utilizados por los ciudadanos, las organizaciones y las empresas -desde las peque\u00f1as y medianas empresas (PYME), tal como se definen en la Recomendaci\u00f3n 2003\/361\/CE de la Comisi\u00f3n (4 ), hasta los operadores de infraestructuras cr\u00edticas- est\u00e9n mejor protegidos frente a las ciberamenazas.<\/p>\n\n\n\n

(4) Al poner a disposici\u00f3n del p\u00fablico la informaci\u00f3n pertinente, la Agencia de Seguridad de las Redes y de la Informaci\u00f3n de la Uni\u00f3n Europea (ENISA), creada en virtud del Reglamento (UE) n.\u00ba 526\/2013 del Parlamento Europeo y del Consejo (5), contribuye al desarrollo de la industria de la ciberseguridad en la Uni\u00f3n, en particular de las PYME y las empresas emergentes. La ENISA debe esforzarse por cooperar m\u00e1s estrechamente con las universidades y las entidades de investigaci\u00f3n para contribuir a reducir la dependencia de los productos y servicios de ciberseguridad procedentes de fuera de la Uni\u00f3n y reforzar las cadenas de suministro dentro de la Uni\u00f3n.<\/p>\n\n\n\n

(5) Los ciberataques van en aumento y una econom\u00eda y una sociedad conectadas y m\u00e1s vulnerables a las ciberamenazas y los ciberataques requieren defensas m\u00e1s s\u00f3lidas. Sin embargo, aunque los ciberataques se producen a menudo a trav\u00e9s de las fronteras, la competencia y las respuestas pol\u00edticas de las autoridades encargadas de la ciberseguridad y de la aplicaci\u00f3n de la ley son predominantemente nacionales. Los incidentes a gran escala podr\u00edan interrumpir la prestaci\u00f3n de servicios esenciales en toda la Uni\u00f3n. Esto requiere respuestas y una gesti\u00f3n de crisis eficaces y coordinadas a nivel de la Uni\u00f3n, basadas en pol\u00edticas espec\u00edficas y en instrumentos m\u00e1s amplios de solidaridad y asistencia mutua europeas. Adem\u00e1s, una evaluaci\u00f3n peri\u00f3dica del estado de la ciberseguridad y la resistencia en la Uni\u00f3n, basada en datos fiables de la Uni\u00f3n, as\u00ed como previsiones sistem\u00e1ticas de la evoluci\u00f3n, los retos y las amenazas futuros, a escala de la Uni\u00f3n y mundial, son importantes para los responsables pol\u00edticos, la industria y los usuarios.<\/p>\n\n\n\n

(6) A la luz del aumento de los retos en materia de ciberseguridad a los que se enfrenta la Uni\u00f3n, es necesario un conjunto global de medidas que se basen en la actuaci\u00f3n anterior de la Uni\u00f3n y fomenten objetivos que se refuercen mutuamente. Estos objetivos incluyen el aumento de las capacidades y la preparaci\u00f3n de los Estados miembros y las empresas, as\u00ed como la mejora de la cooperaci\u00f3n, el intercambio de informaci\u00f3n y la coordinaci\u00f3n entre los Estados miembros y las instituciones, \u00f3rganos y organismos de la Uni\u00f3n. Adem\u00e1s, dada la naturaleza sin fronteras de las ciberamenazas, es necesario aumentar las capacidades a nivel de la Uni\u00f3n que podr\u00edan complementar la acci\u00f3n de los Estados miembros, en particular en casos de incidentes y crisis transfronterizos a gran escala, teniendo en cuenta al mismo tiempo la importancia de mantener y seguir mejorando las capacidades nacionales para responder a las ciberamenazas de todas las escalas.<\/p>\n\n\n\n

(7) Tambi\u00e9n son necesarios esfuerzos adicionales para aumentar la concienciaci\u00f3n de los ciudadanos, las organizaciones y las empresas sobre los problemas de ciberseguridad. Adem\u00e1s, dado que los incidentes socavan la confianza en servicio digitalServicio digital<\/span> todo servicio de la sociedad de la informaci\u00f3n, es decir, todo servicio prestado normalmente a cambio de una remuneraci\u00f3n, a distancia, por v\u00eda electr\u00f3nica y a petici\u00f3n individual de un destinatario de servicios.\r\rA efectos de esta definici\u00f3n: (i) \"a distancia\" significa que el servicio se presta sin que las partes est\u00e9n presentes simult\u00e1neamente; (ii) \"por v\u00eda electr\u00f3nica\" significa que el servicio se env\u00eda inicialmente y se recibe en su destino mediante equipos electr\u00f3nicos de tratamiento (incluida la compresi\u00f3n digital) y almacenamiento de datos, y se transmite, conduce y recibe \u00edntegramente por cable, radio, medios \u00f3pticos u otros medios electromagn\u00e9ticos; (iii) \"a petici\u00f3n individual de un destinatario de servicios\" significa que el servicio se presta mediante la transmisi\u00f3n de datos a petici\u00f3n individual.\r\r- Definici\u00f3n con arreglo al art\u00edculo 1, apartado 1, letra b), de la Directiva (UE) 2015\/1535 del Parlamento Europeo y del Consejo.<\/span><\/span><\/span> proveedores y en el propio mercado \u00fanico digital, especialmente entre los consumidores, la confianza debe reforzarse a\u00fan m\u00e1s ofreciendo informaci\u00f3n de forma transparente sobre el nivel de seguridad de los productos de TIC, los servicios de TIC y los procesos de TIC que subraye que incluso un alto nivel de certificaci\u00f3n de ciberseguridad no puede garantizar que un Producto TICProducto TIC<\/span> Se refiere a un elemento o grupo de elementos de una red o sistema de informaci\u00f3n - Definici\u00f3n seg\u00fan el art\u00edculo 2, punto (12), Reglamento (UE) 2019\/881<\/span><\/span><\/span>, Servicio TICServicio TIC<\/span> Se entiende un servicio que consiste total o principalmente en la transmisi\u00f3n, el almacenamiento, la recuperaci\u00f3n o el tratamiento de informaci\u00f3n por medio de redes y sistemas de informaci\u00f3n - Definici\u00f3n seg\u00fan el art\u00edculo 2, punto (13), Reglamento (UE) 2019\/881<\/span><\/span><\/span> o Proceso TICProceso TIC<\/span> Se refiere a un conjunto de actividades realizadas para dise\u00f1ar, desarrollar, entregar o mantener un producto o servicio de TIC - Definici\u00f3n seg\u00fan el art\u00edculo 2, punto (14), Reglamento (UE) 2019\/881<\/span><\/span><\/span> sea completamente segura. El aumento de la confianza puede verse facilitado por una certificaci\u00f3n a escala de la Uni\u00f3n que establezca requisitos comunes de ciberseguridad y criterios de evaluaci\u00f3n en todos los mercados y sectores nacionales.<\/p>\n\n\n\n

(8) La ciberseguridad no es s\u00f3lo una cuesti\u00f3n relacionada con la tecnolog\u00eda, sino que el comportamiento humano es igualmente importante. Por lo tanto, debe promoverse decididamente la \"ciberhigiene\", es decir, medidas sencillas y rutinarias que, cuando son aplicadas y llevadas a cabo regularmente por los ciudadanos, las organizaciones y las empresas, minimizan su exposici\u00f3n a los riesgos derivados de las ciberamenazas.<\/p>\n\n\n\n

(9) Con el fin de reforzar las estructuras de ciberseguridad de la Uni\u00f3n, es importante mantener y desarrollar las capacidades de los Estados miembros para responder de forma global a las ciberamenazas, incluidos los incidentes transfronterizos.<\/p>\n\n\n\n

(10) Las empresas y los consumidores individuales deben disponer de informaci\u00f3n precisa sobre el nivel de garant\u00eda con el que se ha certificado la seguridad de sus productos de TIC, servicios de TIC y procesos de TIC. Al mismo tiempo, ning\u00fan producto o servicio de TIC es totalmente ciberseguro y deben fomentarse y priorizarse las normas b\u00e1sicas de ciberhigiene. Dada la creciente disponibilidad de dispositivos IoT, existe una serie de medidas voluntarias que el sector privado puede adoptar para reforzar la confianza en la seguridad de los productos TIC, los servicios TIC y los procesos TIC.<\/p>\n\n\n\n

(11) Los productos y sistemas de TIC modernos a menudo integran y dependen de una o m\u00e1s tecnolog\u00edas y componentes de terceros, como m\u00f3dulos de software, bibliotecas o interfaces de programaci\u00f3n de aplicaciones. Esta dependencia puede plantear riesgos adicionales de ciberseguridad, ya que las vulnerabilidades detectadas en los componentes de terceros pueden afectar tambi\u00e9n a la seguridad de los productos, servicios y procesos de TIC. En muchos casos, la identificaci\u00f3n y documentaci\u00f3n de tales dependencias permite a los usuarios finales de productos, servicios y procesos de TIC mejorar su ciberseguridad. riesgoRiesgo<\/span> Se refiere al potencial de p\u00e9rdida o perturbaci\u00f3n causado por un incidente y debe expresarse como una combinaci\u00f3n de la magnitud de dicha p\u00e9rdida o perturbaci\u00f3n y la probabilidad de que se produzca el incidente. Definici\u00f3n seg\u00fan el art\u00edculo 6 de la Directiva (UE) 2022\/2555 (Directiva NIS2)<\/a><\/span><\/span><\/span> actividades de gesti\u00f3n mejorando, por ejemplo, la ciberseguridad de los usuarios vulnerabilidadVulnerabilidad<\/span> Se refiere a una debilidad, susceptibilidad o defecto de los productos o servicios de las TIC que puede ser explotado por una ciberamenaza -. Definici\u00f3n seg\u00fan el art\u00edculo 6 de la Directiva (UE) 2022\/2555 (Directiva NIS2)<\/a><\/span><\/span><\/span> procedimientos de gesti\u00f3n y reparaci\u00f3n.<\/p>\n\n\n\n

(12) Debe alentarse a las organizaciones, fabricantes o proveedores que participan en el dise\u00f1o y desarrollo de productos de TIC, servicios de TIC o procesos de TIC a que apliquen medidas en las fases m\u00e1s tempranas del dise\u00f1o y desarrollo para proteger la seguridad de dichos productos, servicios y procesos en el mayor grado posible, de tal manera que se presuma la ocurrencia de ciberataques y se prevea y minimice su impacto (\"seguridad desde el dise\u00f1o\"). La seguridad debe garantizarse durante toda la vida \u00fatil del producto de TIC, servicio de TIC o proceso de TIC mediante procesos de dise\u00f1o y desarrollo que evolucionen constantemente para reducir el riesgo de da\u00f1os derivados de una explotaci\u00f3n malintencionada.<\/p>\n\n\n\n

(13) Las empresas, las organizaciones y el sector p\u00fablico deben configurar los productos de TIC, los servicios de TIC o los procesos de TIC dise\u00f1ados por ellos de manera que se garantice un mayor nivel de seguridad que permita al primer usuario recibir una configuraci\u00f3n por defecto con los ajustes m\u00e1s seguros posibles (\"seguridad por defecto\"), reduciendo as\u00ed la carga que supone para los usuarios tener que configurar adecuadamente un producto de TIC, un servicio de TIC o un proceso de TIC. La seguridad por defecto no debe requerir una configuraci\u00f3n exhaustiva ni conocimientos t\u00e9cnicos espec\u00edficos o un comportamiento no intuitivo por parte del usuario, y debe funcionar de manera f\u00e1cil y fiable cuando se implemente. Si, caso por caso, un an\u00e1lisis de riesgos y de facilidad de uso lleva a la conclusi\u00f3n de que tal configuraci\u00f3n por defecto no es viable, se debe instar a los usuarios a optar por la configuraci\u00f3n m\u00e1s segura.<\/p>\n\n\n\n

(14) El Reglamento (CE) n\u00ba 460\/2004 del Parlamento Europeo y del Consejo (6) cre\u00f3 la ENISA con el fin de contribuir a los objetivos de garantizar un nivel elevado y efectivo de seguridad de las redes y de la informaci\u00f3n en la Uni\u00f3n y desarrollar una cultura de la seguridad de las redes y de la informaci\u00f3n en beneficio de los ciudadanos, los consumidores, las empresas y las administraciones p\u00fablicas. El Reglamento (CE) n.\u00ba 1007\/2008 del Parlamento Europeo y del Consejo (7) prorrog\u00f3 el mandato de la ENISA hasta marzo de 2012. El Reglamento (UE) n\u00ba 580\/2011 del Parlamento Europeo y del Consejo (8) prorrog\u00f3 de nuevo el mandato de la ENISA hasta el 13 de septiembre de 2013. El Reglamento (UE) n\u00ba 526\/2013 prorrog\u00f3 el mandato de la ENISA hasta el 19 de junio de 2020.<\/p>\n\n\n\n

(15) La Uni\u00f3n ya ha tomado medidas importantes para garantizar la ciberseguridad y aumentar la confianza en las tecnolog\u00edas digitales. En 2013, se adopt\u00f3 la Estrategia de Ciberseguridad de la Uni\u00f3n Europea para orientar la respuesta pol\u00edtica de la Uni\u00f3n a las amenazas y riesgos cibern\u00e9ticos. En un esfuerzo por proteger mejor a los ciudadanos en l\u00ednea, el primer acto jur\u00eddico de la Uni\u00f3n en el \u00e1mbito de la ciberseguridad se adopt\u00f3 en 2016 en forma de Directiva (UE) 2016\/1148 del Parlamento Europeo y del Consejo (9). La Directiva (UE) 2016\/1148 estableci\u00f3 requisitos relativos a las capacidades nacionales en el \u00e1mbito de la ciberseguridad, estableci\u00f3 los primeros mecanismos para mejorar la cooperaci\u00f3n estrat\u00e9gica y operativa entre los Estados miembros, e introdujo obligaciones relativas a las medidas de seguridad y la incidenteIncidente<\/span> Se refiere a un suceso que compromete la disponibilidad, autenticidad, integridad o confidencialidad de los datos almacenados, transmitidos o procesados, o de los servicios ofrecidos por los sistemas de red y de informaci\u00f3n o accesibles a trav\u00e9s de ellos\". Definici\u00f3n seg\u00fan el art\u00edculo 6 de la Directiva (UE) 2022\/2555 (Directiva NIS2)<\/a><\/span><\/span><\/span> notificaciones en sectores vitales para la econom\u00eda y la sociedad, como la energ\u00eda, el transporte, el suministro y la distribuci\u00f3n de agua potable, la banca, las infraestructuras de los mercados financieros, la sanidad, las infraestructuras digitales y los principales proveedores de servicios digitales (motores de b\u00fasqueda, servicios de computaci\u00f3n en nube y mercados en l\u00ednea).<\/p>\n\n\n\n

Se atribuy\u00f3 a ENISA un papel clave en el apoyo a la aplicaci\u00f3n de dicha Directiva. Adem\u00e1s, la lucha eficaz contra la ciberdelincuencia es una prioridad importante de la Agenda Europea de Seguridad, que contribuye al objetivo general de alcanzar un alto nivel de ciberseguridad. Otros actos jur\u00eddicos, como el Reglamento (UE) 2016\/679 del Parlamento Europeo y del Consejo (10) y las Directivas 2002\/58\/CE (11) y (UE) 2018\/1972 (12) del Parlamento Europeo y del Consejo, tambi\u00e9n contribuyen a un alto nivel de ciberseguridad en el mercado \u00fanico digital.<\/p>\n\n\n\n

(16) Desde la adopci\u00f3n de la Estrategia de Ciberseguridad de la Uni\u00f3n Europea en 2013 y la \u00faltima revisi\u00f3n del mandato de la ENISA, el contexto pol\u00edtico general ha cambiado significativamente, ya que el entorno mundial se ha vuelto m\u00e1s incierto y menos seguro. Con este tel\u00f3n de fondo y en el contexto de la evoluci\u00f3n positiva del papel de la ENISA como punto de referencia para el asesoramiento y los conocimientos t\u00e9cnicos, como facilitadora de la cooperaci\u00f3n y del desarrollo de capacidades, as\u00ed como en el marco de la nueva pol\u00edtica de ciberseguridad de la Uni\u00f3n, es necesario revisar el mandato de la ENISA, establecer su papel en el ecosistema de ciberseguridad modificado y garantizar que contribuya eficazmente a la respuesta de la Uni\u00f3n a los retos de ciberseguridad derivados de la radicalmente transformada amenaza cibern\u00e9ticaCiberamenazas<\/span> significa cualquier circunstancia, evento o acci\u00f3n potencial que pueda da\u00f1ar, interrumpir o afectar negativamente de otro modo a los sistemas de red y de informaci\u00f3n, a los usuarios de dichos sistemas y a otras personas - Definici\u00f3n seg\u00fan el art\u00edculo 2, punto (8), Reglamento (UE) 2019\/881<\/span><\/span><\/span> para el que, como se reconoci\u00f3 durante la evaluaci\u00f3n de la ENISA, el mandato actual no es suficiente.<\/p>\n\n\n\n

(17) La ENISA creada por el presente Reglamento debe suceder a la ENISA creada por el Reglamento (UE) n.\u00ba 526\/2013. La ENISA debe desempe\u00f1ar las funciones que le confieren el presente Reglamento y otros actos jur\u00eddicos de la Uni\u00f3n en el \u00e1mbito de la ciberseguridad, entre otras cosas, proporcionando asesoramiento y conocimientos especializados y actuando como centro de informaci\u00f3n y conocimientos de la Uni\u00f3n. Debe promover el intercambio de mejores pr\u00e1cticas entre los Estados miembros y las partes interesadas privadas, ofrecer sugerencias pol\u00edticas a la Comisi\u00f3n y a los Estados miembros, actuar como punto de referencia para las iniciativas pol\u00edticas sectoriales de la Uni\u00f3n en materia de ciberseguridad y fomentar la cooperaci\u00f3n operativa, tanto entre los Estados miembros como entre estos y las instituciones, \u00f3rganos y organismos de la Uni\u00f3n.<\/p>\n\n\n\n

(18) En el marco de la Decisi\u00f3n 2004\/97\/CE, Euratom adoptada de com\u00fan acuerdo por los Representantes de los Estados miembros reunidos a nivel de Jefes de Estado o de Gobierno (13), los representantes de los Estados miembros decidieron que la ENISA tendr\u00eda su sede en una ciudad de Grecia que determinar\u00eda el Gobierno griego. El Estado miembro de acogida de la ENISA debe garantizar las mejores condiciones posibles para el funcionamiento fluido y eficaz de la ENISA. Es imperativo para el desempe\u00f1o adecuado y eficiente de sus tareas, para la contrataci\u00f3n y retenci\u00f3n del personal y para mejorar la eficiencia de las actividades de creaci\u00f3n de redes que la ENISA tenga su sede en un lugar adecuado, entre otras cosas proporcionando conexiones de transporte adecuadas y facilidades para los c\u00f3nyuges e hijos que acompa\u00f1en a los miembros del personal de la ENISA. Las disposiciones necesarias deben establecerse en un acuerdo entre la ENISA y el Estado miembro de acogida celebrado tras obtener la aprobaci\u00f3n del Consejo de Administraci\u00f3n de la ENISA.<\/p>\n\n\n\n

(19) Habida cuenta de los crecientes riesgos y desaf\u00edos en materia de ciberseguridad a los que se enfrenta la Uni\u00f3n, los recursos financieros y humanos asignados a la ENISA deben incrementarse para reflejar su papel y tareas reforzados, as\u00ed como su posici\u00f3n cr\u00edtica en el ecosistema de organizaciones que defienden el ecosistema digital de la Uni\u00f3n, permitiendo a la ENISA llevar a cabo eficazmente las tareas que le confiere el presente Reglamento.<\/p>\n\n\n\n

(20) La ENISA debe desarrollar y mantener un alto nivel de conocimientos especializados y actuar como punto de referencia, estableciendo la confianza en el mercado \u00fanico en virtud de su independencia, la calidad del asesoramiento que presta, la calidad de la informaci\u00f3n que difunde, la transparencia de sus procedimientos, la transparencia de sus m\u00e9todos de funcionamiento y su diligencia en el desempe\u00f1o de sus tareas. La ENISA debe apoyar activamente los esfuerzos nacionales y contribuir de forma proactiva a los esfuerzos de la Uni\u00f3n, al tiempo que lleva a cabo sus tareas en plena cooperaci\u00f3n con las instituciones, \u00f3rganos, oficinas y agencias de la Uni\u00f3n y con los Estados miembros, evitando cualquier duplicaci\u00f3n del trabajo y fomentando las sinergias. Adem\u00e1s, la ENISA debe basarse en las aportaciones del sector privado y en la cooperaci\u00f3n con el mismo, as\u00ed como con otras partes interesadas pertinentes. Un conjunto de tareas deber\u00eda establecer la forma en que la ENISA debe cumplir sus objetivos, permitiendo al mismo tiempo flexibilidad en sus operaciones.<\/p>\n\n\n\n

(21) Para poder prestar un apoyo adecuado a la cooperaci\u00f3n operativa entre los Estados miembros, la ENISA debe seguir reforzando sus capacidades y competencias t\u00e9cnicas y humanas. La ENISA deber\u00eda aumentar sus conocimientos y capacidades. La ENISA y los Estados miembros, de forma voluntaria, podr\u00edan desarrollar programas de env\u00edo de expertos nacionales a la ENISA, creando grupos de expertos e intercambios de personal.<\/p>\n\n\n\n

(22) La ENISA debe asistir a la Comisi\u00f3n mediante asesoramiento, dict\u00e1menes y an\u00e1lisis sobre todas las cuestiones de la Uni\u00f3n relacionadas con la elaboraci\u00f3n, actualizaci\u00f3n y revisi\u00f3n de las pol\u00edticas y la legislaci\u00f3n en el \u00e1mbito de la ciberseguridad y sus aspectos sectoriales espec\u00edficos, a fin de aumentar la pertinencia de las pol\u00edticas y la legislaci\u00f3n de la Uni\u00f3n con una dimensi\u00f3n de ciberseguridad y permitir la coherencia en la aplicaci\u00f3n de dichas pol\u00edticas y legislaci\u00f3n a nivel nacional. La ENISA debe actuar como punto de referencia para el asesoramiento y los conocimientos especializados en relaci\u00f3n con las iniciativas pol\u00edticas y legislativas sectoriales de la Uni\u00f3n en los \u00e1mbitos relacionados con la ciberseguridad. La ENISA deber\u00e1 informar peri\u00f3dicamente al Parlamento Europeo sobre sus actividades.<\/p>\n\n\n\n

(23) El n\u00facleo p\u00fablico de la Internet abierta, a saber, sus principales protocolos e infraestructuras, que son un bien p\u00fablico mundial, proporciona la funcionalidad esencial de la Internet en su conjunto y sustenta su funcionamiento normal. ENISA debe apoyar la seguridad del n\u00facleo p\u00fablico de la Internet abierta y la estabilidad de su funcionamiento, incluidos, entre otros, los protocolos clave (en particular DNS, BGP e IPv6), el funcionamiento del sistema de nombres de dominio (como el funcionamiento de todos los dominios de nivel superior) y el funcionamiento de la zona ra\u00edz.<\/p>\n\n\n\n

(24) La tarea subyacente de la ENISA es promover la aplicaci\u00f3n coherente del marco jur\u00eddico pertinente, en particular la aplicaci\u00f3n efectiva de la Directiva (UE) 2016\/1148 y otros instrumentos jur\u00eddicos pertinentes que contengan aspectos de ciberseguridad, lo cual es esencial para aumentar la ciberresiliencia. A la luz de la r\u00e1pida evoluci\u00f3n del panorama de las ciberamenazas, est\u00e1 claro que los Estados miembros tienen que contar con el apoyo de un enfoque m\u00e1s global e interpol\u00edtico para aumentar la ciberresiliencia.<\/p>\n\n\n\n

(25) La ENISA debe asistir a los Estados miembros y a las instituciones, \u00f3rganos y organismos de la Uni\u00f3n en sus esfuerzos por crear y mejorar las capacidades y la preparaci\u00f3n para prevenir, detectar y responder a las amenazas e incidentes cibern\u00e9ticos y en relaci\u00f3n con la seguridad de la red y de los sistemas de informaci\u00f3nSeguridad de redes y sistemas de informaci\u00f3n<\/span> la capacidad de los sistemas de red y de informaci\u00f3n de resistir, con un determinado nivel de confianza, cualquier evento que pueda comprometer la disponibilidad, autenticidad, integridad o confidencialidad de los datos almacenados, transmitidos o procesados o de los servicios ofrecidos por dichos sistemas de red y de informaci\u00f3n o accesibles a trav\u00e9s de ellos Definici\u00f3n seg\u00fan el art\u00edculo 6 de la Directiva (UE) 2022\/2555 (Directiva NIS2)<\/a><\/span><\/span><\/span>. En particular, la ENISA debe apoyar el desarrollo y la mejora de los equipos de respuesta a incidentes de seguridad inform\u00e1tica (\"CSIRT\") nacionales y de la Uni\u00f3n previstos en la Directiva (UE) 2016\/1148, con vistas a alcanzar un alto nivel com\u00fan de su madurez en la Uni\u00f3n. Las actividades realizadas por la ENISA en relaci\u00f3n con las capacidades operativas de los Estados miembros deben apoyar activamente las medidas adoptadas por los Estados miembros para cumplir sus obligaciones en virtud de la Directiva (UE) 2016\/1148 y, por lo tanto, no deben sustituirlas.<\/p>\n\n\n\n

(26) La ENISA tambi\u00e9n debe contribuir a la elaboraci\u00f3n y actualizaci\u00f3n de estrategias sobre la seguridad de las redes y los sistemas de informaci\u00f3n a escala de la Uni\u00f3n y, previa solicitud, a escala de los Estados miembros, en particular sobre ciberseguridad, y debe promover la difusi\u00f3n de dichas estrategias y seguir los avances en su aplicaci\u00f3n. La ENISA tambi\u00e9n debe contribuir a cubrir las necesidades de formaci\u00f3n y de material did\u00e1ctico, incluidas las necesidades de los organismos p\u00fablicos, y, en su caso, en gran medida, a \"formar a los formadores\", bas\u00e1ndose en el Marco de Competencia Digital para los Ciudadanos con vistas a ayudar a los Estados miembros y a las instituciones, \u00f3rganos y organismos de la Uni\u00f3n a desarrollar sus propias capacidades de formaci\u00f3n.<\/p>\n\n\n\n

(27) La ENISA debe apoyar a los Estados miembros en el \u00e1mbito de la sensibilizaci\u00f3n y la educaci\u00f3n en materia de ciberseguridad, facilitando una coordinaci\u00f3n m\u00e1s estrecha y el intercambio de mejores pr\u00e1cticas entre los Estados miembros. Este apoyo podr\u00eda consistir en la creaci\u00f3n de una red de puntos de contacto nacionales en materia de educaci\u00f3n y en el desarrollo de una plataforma de formaci\u00f3n sobre ciberseguridad. La red de puntos de contacto nacionales en materia de educaci\u00f3n podr\u00eda funcionar en el marco de la red de funcionarios nacionales de enlace y constituir un punto de partida para la futura coordinaci\u00f3n en los Estados miembros.<\/p>\n\n\n\n

(28) La ENISA debe asistir al Grupo de Cooperaci\u00f3n creado por la Directiva (UE) 2016\/1148 en la ejecuci\u00f3n de sus tareas, en particular proporcionando conocimientos especializados, asesoramiento y facilitando el intercambio de mejores pr\u00e1cticas, entre otras cosas, en lo que respecta a la identificaci\u00f3n de los operadores de servicios esenciales por los Estados miembros, as\u00ed como en relaci\u00f3n con las dependencias transfronterizas, en materia de riesgos e incidentes.<\/p>\n\n\n\n

(29) Con vistas a estimular la cooperaci\u00f3n entre los sectores p\u00fablico y privado y dentro del sector privado, en particular para apoyar la protecci\u00f3n de las infraestructuras cr\u00edticas, la ENISA debe apoyar el intercambio de informaci\u00f3n dentro de los sectores y entre ellos, en particular los sectores enumerados en el anexo II de la Directiva (UE) 2016\/1148, proporcionando las mejores pr\u00e1cticas y orientaciones sobre las herramientas disponibles y sobre el procedimiento, as\u00ed como proporcionando orientaciones sobre c\u00f3mo abordar las cuestiones reglamentarias relacionadas con el intercambio de informaci\u00f3n, por ejemplo facilitando la creaci\u00f3n de centros sectoriales de intercambio y an\u00e1lisis de informaci\u00f3n.<\/p>\n\n\n\n

(30) Considerando que el impacto negativo potencial de las vulnerabilidades de los productos, servicios y procesos de las TIC aumenta constantemente, la detecci\u00f3n y correcci\u00f3n de dichas vulnerabilidades desempe\u00f1a un papel importante en la reducci\u00f3n del riesgo global de ciberseguridad. Se ha demostrado que la cooperaci\u00f3n entre las organizaciones, los fabricantes o los proveedores de productos, servicios y procesos vulnerables de las TIC y los miembros de la comunidad de investigaci\u00f3n sobre ciberseguridad y los gobiernos que descubren vulnerabilidades aumenta significativamente tanto el \u00edndice de descubrimiento como el de remediaci\u00f3n de vulnerabilidades en productos, servicios y procesos de las TIC. La divulgaci\u00f3n coordinada de vulnerabilidades especifica un proceso estructurado de cooperaci\u00f3n en el que las vulnerabilidades se comunican al propietario del sistema de informaci\u00f3n, dando a la organizaci\u00f3n la oportunidad de diagnosticar y remediar la vulnerabilidad antes de que la informaci\u00f3n detallada sobre la vulnerabilidad se divulgue a terceros o al p\u00fablico. El proceso tambi\u00e9n prev\u00e9 la coordinaci\u00f3n entre el descubridor y la organizaci\u00f3n en lo que respecta a la publicaci\u00f3n de dichas vulnerabilidades. Las pol\u00edticas coordinadas de divulgaci\u00f3n de vulnerabilidades podr\u00edan desempe\u00f1ar un papel importante en los esfuerzos de los Estados miembros por mejorar la ciberseguridad.<\/p>\n\n\n\n

(31) La ENISA debe agregar y analizar los informes nacionales voluntariamente compartidos de los CSIRT y del equipo interinstitucional de respuesta a emergencias inform\u00e1ticas para las instituciones, \u00f3rganos y organismos de la Uni\u00f3n establecido por el Acuerdo entre el Parlamento Europeo, el Consejo Europeo, el Consejo de la Uni\u00f3n Europea, la Comisi\u00f3n Europea, el Tribunal de Justicia de la Uni\u00f3n Europea, el Banco Central Europeo, el Tribunal de Cuentas Europeo, el Servicio Europeo de Acci\u00f3n Exterior, el Comit\u00e9 Econ\u00f3mico y Social Europeo, el Comit\u00e9 Europeo de las Regiones y el Banco Europeo de Inversiones, sobre la organizaci\u00f3n y el funcionamiento de un equipo de respuesta a emergencias inform\u00e1ticas para las instituciones, \u00f3rganos y organismos de la Uni\u00f3n (CERT-UE) (14) , con el fin de contribuir al establecimiento de procedimientos, lenguaje y terminolog\u00eda comunes para el intercambio de informaci\u00f3n. En ese contexto, la ENISA debe implicar al sector privado en el marco de la Directiva (UE) 2016\/1148, que establece las bases para el intercambio voluntario de informaci\u00f3n t\u00e9cnica a nivel operativo, en la red de equipos de respuesta a incidentes de seguridad inform\u00e1tica (\"red CSIRTs\") creada por dicha Directiva.<\/p>\n\n\n\n

(32) La ENISA debe contribuir a las respuestas a escala de la Uni\u00f3n en caso de incidentes y crisis transfronterizos a gran escala relacionados con la ciberseguridad. Esa tarea debe llevarse a cabo de conformidad con el mandato de la ENISA en virtud del presente Reglamento y un enfoque que debe ser acordado por los Estados miembros en el contexto de la Recomendaci\u00f3n (UE) 2017\/1584 (15) de la Comisi\u00f3n y las conclusiones del Consejo de 26 de junio de 2018 sobre la respuesta coordinada de la UE a incidentes y crisis de ciberseguridad a gran escala. Esa tarea podr\u00eda incluir la recopilaci\u00f3n de informaci\u00f3n pertinente y actuar como facilitador entre la red de CSIRT y la comunidad t\u00e9cnica, as\u00ed como entre los responsables de la toma de decisiones encargados de la gesti\u00f3n de crisis. Adem\u00e1s, ENISA debe apoyar la cooperaci\u00f3n operativa entre los Estados miembros, cuando as\u00ed lo soliciten uno o m\u00e1s Estados miembros, en la gesti\u00f3n de incidentes desde una perspectiva t\u00e9cnica, facilitando los intercambios pertinentes de soluciones t\u00e9cnicas entre los Estados miembros y aportando informaci\u00f3n a las comunicaciones p\u00fablicas. La ENISA debe apoyar la cooperaci\u00f3n operativa poniendo a prueba las modalidades de dicha cooperaci\u00f3n mediante ejercicios peri\u00f3dicos de ciberseguridad.<\/p>\n\n\n\n

(33) En apoyo de la cooperaci\u00f3n operativa, la ENISA debe aprovechar los conocimientos t\u00e9cnicos y operativos disponibles del CERT-UE mediante una cooperaci\u00f3n estructurada. Dicha cooperaci\u00f3n estructurada podr\u00eda basarse en la experiencia de ENISA. Cuando proceda, deber\u00e1n establecerse acuerdos espec\u00edficos entre ambas entidades para definir la aplicaci\u00f3n pr\u00e1ctica de dicha cooperaci\u00f3n y evitar la duplicaci\u00f3n de actividades.<\/p>\n\n\n\n

(34) En el desempe\u00f1o de su misi\u00f3n de apoyo a la cooperaci\u00f3n operativa dentro de la red de CSIRT, la ENISA debe poder prestar apoyo a los Estados miembros que lo soliciten, por ejemplo asesor\u00e1ndoles sobre c\u00f3mo mejorar sus capacidades de prevenci\u00f3n, detecci\u00f3n y respuesta a los incidentes, facilitando el tratamiento t\u00e9cnico de los incidentes que tengan un impacto significativo o sustancial o garantizando el an\u00e1lisis de las ciberamenazas y los incidentes. La ENISA debe facilitar el tratamiento t\u00e9cnico de los incidentes que tengan un impacto significativo o sustancial, en particular apoyando el intercambio voluntario de soluciones t\u00e9cnicas entre los Estados miembros o elaborando informaci\u00f3n t\u00e9cnica combinada, como soluciones t\u00e9cnicas compartidas voluntariamente por los Estados miembros. La Recomendaci\u00f3n (UE) 2017\/1584 recomienda que los Estados miembros cooperen de buena fe y compartan entre ellos y con la ENISA informaci\u00f3n sobre incidentes y crisis a gran escala relacionados con la ciberseguridad sin demoras indebidas. Dicha informaci\u00f3n ayudar\u00eda a\u00fan m\u00e1s a la ENISA en el desempe\u00f1o de su tarea de apoyo a la cooperaci\u00f3n operativa.<\/p>\n\n\n\n

(35) Como parte de la cooperaci\u00f3n peri\u00f3dica a nivel t\u00e9cnico para apoyar el conocimiento de la situaci\u00f3n de la Uni\u00f3n, la ENISA, en estrecha cooperaci\u00f3n con los Estados miembros, debe elaborar peri\u00f3dicamente un informe de situaci\u00f3n t\u00e9cnico en profundidad sobre la ciberseguridad de la UE acerca de los incidentes y las ciberamenazas, basado en la informaci\u00f3n p\u00fablicamente disponible, sus propios an\u00e1lisis y los informes que le compartan los CSIRT de los Estados miembros o los puntos de contacto \u00fanicos nacionales sobre la seguridad de las redes y los sistemas de informaci\u00f3n (\"puntos de contacto \u00fanicos\") previstos en la Directiva (UE) 2016\/1148, ambos con car\u00e1cter voluntario, el Centro Europeo de Ciberdelincuencia (EC3) de Europol, CERT-EU y, en su caso, el Centro de Inteligencia y Situaci\u00f3n de la Uni\u00f3n Europea (EU INTCEN) del Servicio Europeo de Acci\u00f3n Exterior. Dicho informe deber\u00e1 ponerse a disposici\u00f3n del Consejo, de la Comisi\u00f3n, del Alto Representante de la Uni\u00f3n para Asuntos Exteriores y Pol\u00edtica de Seguridad y de la Comisi\u00f3n Europea. RepresentanteRepresentante<\/span> Persona f\u00edsica o jur\u00eddica establecida en la Uni\u00f3n designada expl\u00edcitamente para actuar en nombre de un proveedor de servicios DNS, un registro de nombres TLD, una entidad que preste servicios de registro de nombres de dominio, un proveedor de servicios de computaci\u00f3n en nube, un proveedor de servicios de centros de datos, un proveedor de redes de suministro de contenidos, un proveedor de servicios gestionados, un proveedor de servicios de seguridad gestionados o un proveedor de un mercado en l\u00ednea, de un motor de b\u00fasqueda en l\u00ednea o de una plataforma de servicios de redes sociales que no est\u00e9 establecido en la Uni\u00f3n, a la que pueda dirigirse una autoridad competente o un CSIRT en lugar de la propia entidad en lo que respecta a las obligaciones que incumben a dicha entidad en virtud de la presente Directiva.\r\r- Definici\u00f3n seg\u00fan el art\u00edculo 6 de la Directiva (UE) 2022\/2555 (Directiva NIS2)<\/a><\/span><\/span><\/span> de la Uni\u00f3n para Asuntos Exteriores y Pol\u00edtica de Seguridad y la red de CSIRTs.<\/p>\n\n\n\n

(36) El apoyo de la ENISA a las investigaciones t\u00e9cnicas ex post de incidentes que tengan un impacto significativo o sustancial emprendidas a petici\u00f3n de los Estados miembros afectados debe centrarse en la prevenci\u00f3n de futuros incidentes. Los Estados miembros afectados deben facilitar la informaci\u00f3n y la asistencia necesarias para que la ENISA pueda apoyar eficazmente la investigaci\u00f3n t\u00e9cnica ex post.<\/p>\n\n\n\n

(37) Los Estados miembros podr\u00e1n invitar a las empresas afectadas por el incidente a cooperar facilitando la informaci\u00f3n y asistencia necesarias a la ENISA, sin perjuicio de su derecho a proteger la informaci\u00f3n sensible a efectos comerciales y la informaci\u00f3n pertinente para la seguridad p\u00fablica.<\/p>\n\n\n\n

(38) Para comprender mejor los retos en el \u00e1mbito de la ciberseguridad, y con vistas a prestar asesoramiento estrat\u00e9gico a largo plazo a los Estados miembros y a las instituciones, \u00f3rganos y organismos de la Uni\u00f3n, la ENISA debe analizar los riesgos actuales y emergentes en materia de ciberseguridad. A tal fin, la ENISA, en cooperaci\u00f3n con los Estados miembros y, en su caso, con los organismos estad\u00edsticos y otros organismos, debe recopilar la informaci\u00f3n pertinente disponible p\u00fablicamente o compartida voluntariamente y realizar an\u00e1lisis de las tecnolog\u00edas emergentes y proporcionar evaluaciones tem\u00e1ticas espec\u00edficas sobre el impacto social, jur\u00eddico, econ\u00f3mico y reglamentario previsto de las innovaciones tecnol\u00f3gicas en la seguridad de las redes y de la informaci\u00f3n, en particular la ciberseguridad. Adem\u00e1s, la ENISA debe apoyar a los Estados miembros y a las instituciones, \u00f3rganos y organismos de la Uni\u00f3n en la identificaci\u00f3n de los riesgos emergentes en materia de ciberseguridad y en la prevenci\u00f3n de incidentes, mediante la realizaci\u00f3n de an\u00e1lisis de las ciberamenazas, vulnerabilidades e incidentes.<\/p>\n\n\n\n

(39) A fin de aumentar la resiliencia de la Uni\u00f3n, la ENISA debe desarrollar conocimientos especializados en el \u00e1mbito de la ciberseguridad de las infraestructuras, en particular para apoyar a los sectores enumerados en el anexo II de la Directiva (UE) 2016\/1148 y a los utilizados por los proveedores de los servicios digitales enumerados en el anexo III de dicha Directiva, proporcionando asesoramiento, publicando directrices e intercambiando las mejores pr\u00e1cticas. Con vistas a garantizar un acceso m\u00e1s f\u00e1cil a una informaci\u00f3n mejor estructurada sobre los riesgos de ciberseguridad y las posibles soluciones, la ENISA debe desarrollar y mantener el \"centro de informaci\u00f3n\" de la Uni\u00f3n, un portal de ventanilla \u00fanica que proporcione al p\u00fablico informaci\u00f3n sobre ciberseguridad procedente de las instituciones, \u00f3rganos, oficinas y agencias de la Uni\u00f3n y nacionales. Facilitar el acceso a una informaci\u00f3n mejor estructurada sobre los riesgos de ciberseguridad y las posibles soluciones tambi\u00e9n podr\u00eda ayudar a los Estados miembros a reforzar sus capacidades y alinear sus pr\u00e1cticas, aumentando as\u00ed su resistencia general a los ciberataques.<\/p>\n\n\n\n

(40) La ENISA debe contribuir a sensibilizar a la poblaci\u00f3n sobre los riesgos para la ciberseguridad, en particular mediante una campa\u00f1a de sensibilizaci\u00f3n a escala de la UE, promoviendo la educaci\u00f3n y facilitando orientaciones sobre buenas pr\u00e1cticas para los usuarios individuales dirigidas a los ciudadanos, las organizaciones y las empresas. La ENISA tambi\u00e9n deber\u00eda contribuir a promover las mejores pr\u00e1cticas y soluciones, incluidas la ciberhigiene y la ciberalfabetizaci\u00f3n a nivel de los ciudadanos, las organizaciones y las empresas, recopilando y analizando la informaci\u00f3n disponible p\u00fablicamente sobre incidentes significativos, y compilando y publicando informes y orientaciones para los ciudadanos, las organizaciones y las empresas, con el fin de mejorar su nivel general de preparaci\u00f3n y resistencia. La ENISA tambi\u00e9n debe esforzarse por proporcionar a los consumidores informaci\u00f3n pertinente sobre los reg\u00edmenes de certificaci\u00f3n aplicables, por ejemplo facilitando directrices y recomendaciones. Adem\u00e1s, ENISA debe organizar, en consonancia con el Plan de Acci\u00f3n de Educaci\u00f3n Digital establecido en la Comunicaci\u00f3n de la Comisi\u00f3n de 17 de enero de 2018 y en cooperaci\u00f3n con los Estados miembros y las instituciones, \u00f3rganos, oficinas y agencias de la Uni\u00f3n, campa\u00f1as peri\u00f3dicas de divulgaci\u00f3n y educaci\u00f3n p\u00fablica dirigidas a los usuarios finales, para promover un comportamiento en l\u00ednea m\u00e1s seguro por parte de las personas y la alfabetizaci\u00f3n digital, sensibilizar sobre las posibles amenazas cibern\u00e9ticas, incluidas las actividades delictivas en l\u00ednea, como los ataques de suplantaci\u00f3n de identidad, las redes de bots, el fraude financiero y bancario, los incidentes de fraude de datos, y promover la autenticaci\u00f3n multifactor b\u00e1sica, la aplicaci\u00f3n de parches, el cifrado, la anonimizaci\u00f3n y el asesoramiento en materia de protecci\u00f3n de datos.<\/p>\n\n\n\n

(41) La ENISA debe desempe\u00f1ar un papel central en la aceleraci\u00f3n de la concienciaci\u00f3n de los usuarios finales sobre la seguridad de los dispositivos y el uso seguro de los servicios, y debe promover la seguridad desde el dise\u00f1o y la privacidad desde el dise\u00f1o a escala de la Uni\u00f3n. En la consecuci\u00f3n de este objetivo, la ENISA debe hacer uso de las mejores pr\u00e1cticas y la experiencia disponibles, especialmente las mejores pr\u00e1cticas y la experiencia de las instituciones acad\u00e9micas y de los investigadores en seguridad inform\u00e1tica.<\/p>\n\n\n\n

(42) Con el fin de apoyar a las empresas que operan en el sector de la ciberseguridad, as\u00ed como a los usuarios de soluciones de ciberseguridad, ENISA debe desarrollar y mantener un \"observatorio del mercado\" mediante la realizaci\u00f3n de an\u00e1lisis peri\u00f3dicos y la difusi\u00f3n de informaci\u00f3n sobre las principales tendencias del mercado de la ciberseguridad, tanto del lado de la demanda como de la oferta.<\/p>\n\n\n\n

(43) La ENISA debe contribuir a los esfuerzos de la Uni\u00f3n por cooperar con las organizaciones internacionales, as\u00ed como en los marcos de cooperaci\u00f3n internacional pertinentes en el \u00e1mbito de la ciberseguridad. En particular, la ENISA debe contribuir, cuando proceda, a la cooperaci\u00f3n con organizaciones como la OCDE, la OSCE y la OTAN. Dicha cooperaci\u00f3n podr\u00eda incluir ejercicios conjuntos de ciberseguridad y la coordinaci\u00f3n conjunta de la respuesta a incidentes. Estas actividades se llevar\u00e1n a cabo respetando plenamente los principios de inclusi\u00f3n, reciprocidad y autonom\u00eda decisoria de la Uni\u00f3n, sin perjuicio del car\u00e1cter espec\u00edfico de la pol\u00edtica de seguridad y defensa de cualquier Estado miembro.<\/p>\n\n\n\n

(44) A fin de garantizar la plena consecuci\u00f3n de sus objetivos, la ENISA debe actuar de enlace con las autoridades de supervisi\u00f3n pertinentes de la Uni\u00f3n y con otras autoridades competentes de la Uni\u00f3n, instituciones, \u00f3rganos y organismos de la Uni\u00f3n, incluidos CERT-UE, EC3, la Agencia Europea de Defensa (AED), la Agencia Europea de Sistemas Globales de Navegaci\u00f3n por Sat\u00e9lite (Agencia del GNSS Europeo), el Organismo de Reguladores Europeos de las Comunicaciones Electr\u00f3nicas (ORECE), la Agencia Europea para la Gesti\u00f3n Operativa de Sistemas Inform\u00e1ticos de Gran Magnitud en el Espacio de Libertad, Seguridad y Justicia (eu-LISA), el Banco Central Europeo (BCE), la Autoridad Bancaria Europea (ABE), el Consejo Europeo de Protecci\u00f3n de Datos, la Agencia de Cooperaci\u00f3n de los Reguladores de la Energ\u00eda (ACER), la Agencia Europea de Seguridad A\u00e9rea (AESA) y cualquier otra agencia de la Uni\u00f3n implicada en la ciberseguridad. La ENISA tambi\u00e9n debe mantener contactos con las autoridades que se ocupan de la protecci\u00f3n de datos con el fin de intercambiar conocimientos y mejores pr\u00e1cticas, y debe proporcionar asesoramiento sobre cuestiones de ciberseguridad que puedan tener un impacto en su trabajo. Los representantes de las autoridades nacionales y de la Uni\u00f3n encargadas de la aplicaci\u00f3n de la ley y de la protecci\u00f3n de datos deben poder estar representados en el Grupo Consultivo de la ENISA. En sus contactos con las autoridades policiales y judiciales en relaci\u00f3n con cuestiones de seguridad de las redes y de la informaci\u00f3n que puedan repercutir en su trabajo, la ENISA debe respetar los canales de informaci\u00f3n existentes y las redes establecidas.<\/p>\n\n\n\n

(45) Podr\u00edan establecerse asociaciones con instituciones acad\u00e9micas que tengan iniciativas de investigaci\u00f3n en los campos pertinentes, y deber\u00eda haber canales adecuados para las aportaciones de las organizaciones de consumidores y otras organizaciones, que deber\u00edan tenerse en cuenta.<\/p>\n\n\n\n

(46) La ENISA, en su funci\u00f3n de secretar\u00eda de la red de CSIRT, debe apoyar a los CSIRT de los Estados miembros y al CERT-UE en la cooperaci\u00f3n operativa en relaci\u00f3n con las tareas pertinentes de la red de CSIRT, seg\u00fan lo dispuesto en la Directiva (UE) 2016\/1148. Adem\u00e1s, la ENISA debe promover y apoyar la cooperaci\u00f3n entre los CSIRT pertinentes en caso de incidentes, ataques o perturbaciones de las redes o infraestructuras gestionadas o protegidas por los CSIRT y que impliquen o puedan implicar al menos a dos CSIRT, teniendo debidamente en cuenta al mismo tiempo la Est\u00e1ndarEst\u00e1ndar<\/span> Especificaci\u00f3n t\u00e9cnica, adoptada por un organismo de normalizaci\u00f3n reconocido, de aplicaci\u00f3n repetida o continua, cuyo cumplimiento no es obligatorio y que es una de las siguientes\r(a) \"norma internacional\": norma adoptada por un organismo internacional de normalizaci\u00f3n; b) \"norma europea\": norma adoptada por un organismo europeo de normalizaci\u00f3n; c) \"norma armonizada\": norma europea adoptada sobre la base de una solicitud formulada por la Comisi\u00f3n para la aplicaci\u00f3n de la legislaci\u00f3n de armonizaci\u00f3n de la Uni\u00f3n; d) \"norma nacional\": norma adoptada por un organismo nacional de normalizaci\u00f3n - Definici\u00f3n seg\u00fan el art\u00edculo 2, punto 1, delReglamento (UE) n\u00ba 1025\/2012 del Parlamento Europeo y del Consejo.<\/span><\/span><\/span> Procedimientos operativos de la red de CSIRTs.<\/p>\n\n\n\n

(47) Con vistas a aumentar la preparaci\u00f3n de la Uni\u00f3n para responder a incidentes, la ENISA debe organizar peri\u00f3dicamente ejercicios de ciberseguridad a escala de la Uni\u00f3n y, a petici\u00f3n de estos, apoyar a los Estados miembros y a las instituciones, \u00f3rganos y organismos de la Uni\u00f3n en la organizaci\u00f3n de tales ejercicios. Cada dos a\u00f1os deber\u00edan organizarse ejercicios globales a gran escala que incluyan elementos t\u00e9cnicos, operativos o estrat\u00e9gicos. Adem\u00e1s, la ENISA deber\u00eda poder organizar peri\u00f3dicamente ejercicios menos exhaustivos con el mismo objetivo de aumentar la preparaci\u00f3n de la Uni\u00f3n para responder a incidentes.<\/p>\n\n\n\n

(48) La ENISA debe seguir desarrollando y manteniendo sus conocimientos especializados en materia de certificaci\u00f3n de la ciberseguridad con vistas a apoyar la pol\u00edtica de la Uni\u00f3n en ese \u00e1mbito. La ENISA debe basarse en las mejores pr\u00e1cticas existentes y promover la adopci\u00f3n de la certificaci\u00f3n de la ciberseguridad en la Uni\u00f3n, en particular contribuyendo al establecimiento y mantenimiento de un marco de certificaci\u00f3n de la ciberseguridad a nivel de la Uni\u00f3n (marco europeo de certificaci\u00f3n de la ciberseguridad) con vistas a aumentar la transparencia de la garant\u00eda de la ciberseguridad de los productos de las TIC, los servicios de las TIC y los procesos de las TIC, reforzando as\u00ed la confianza en el mercado interior digital y su competitividad.<\/p>\n\n\n\n

(49) Las pol\u00edticas de ciberseguridad eficientes deben basarse en m\u00e9todos de evaluaci\u00f3n de riesgos bien desarrollados, tanto en el sector p\u00fablico como en el privado. Los m\u00e9todos de evaluaci\u00f3n de riesgos se utilizan a distintos niveles, sin que exista una pr\u00e1ctica com\u00fan sobre c\u00f3mo aplicarlos de manera eficiente. La promoci\u00f3n y el desarrollo de las mejores pr\u00e1cticas de evaluaci\u00f3n de riesgos y de soluciones interoperables de gesti\u00f3n de riesgos en las organizaciones de los sectores p\u00fablico y privado aumentar\u00e1n el nivel de ciberseguridad en la Uni\u00f3n. A tal fin, la ENISA debe apoyar la cooperaci\u00f3n entre las partes interesadas a nivel de la Uni\u00f3n y facilitar sus esfuerzos en relaci\u00f3n con el establecimiento y la adopci\u00f3n de normas europeas e internacionales para la gesti\u00f3n de riesgos y para la seguridad mensurable de los productos, sistemas, redes y servicios electr\u00f3nicos que, junto con los programas inform\u00e1ticos, componen la red y los sistemas de informaci\u00f3n.<\/p>\n\n\n\n

(50) La ENISA debe animar a los Estados miembros, fabricantes o proveedores de productos de TIC, servicios de TIC o procesos de TIC a elevar sus normas generales de seguridad para que todos los usuarios de Internet puedan tomar las medidas necesarias para garantizar su propia ciberseguridad personal y debe ofrecer incentivos para hacerlo. En particular, los fabricantes y proveedores de productos de TIC, servicios de TIC o procesos de TIC deben proporcionar las actualizaciones necesarias y deben recuperar, retirar o reciclar los productos de TIC, servicios de TIC o procesos de TIC que no cumplan las normas de ciberseguridad, mientras que los importadores y distribuidores deben asegurarse de que los productos de TIC, servicios de TIC y procesos de TIC que introducen en el mercado de la Uni\u00f3n cumplen los requisitos aplicables y no presentan un riesgo para los consumidores de la Uni\u00f3n.<\/p>\n\n\n\n

(51) En cooperaci\u00f3n con las autoridades competentes, la ENISA debe poder difundir informaci\u00f3n relativa al nivel de ciberseguridad de los productos de TIC, servicios de TIC y procesos de TIC ofrecidos en el mercado interior, y debe emitir advertencias dirigidas a los fabricantes o proveedores de productos de TIC, servicios de TIC o procesos de TIC y exigirles que mejoren la seguridad de sus productos de TIC, servicios de TIC y procesos de TIC, incluida la ciberseguridad.<\/p>\n\n\n\n

(52) La ENISA debe tener plenamente en cuenta las actividades de investigaci\u00f3n, desarrollo y evaluaci\u00f3n tecnol\u00f3gica en curso, en particular las llevadas a cabo por las diversas iniciativas de investigaci\u00f3n de la Uni\u00f3n para asesorar a las instituciones, \u00f3rganos y organismos de la Uni\u00f3n y, en su caso, a los Estados miembros que lo soliciten, sobre las necesidades y prioridades de investigaci\u00f3n en el \u00e1mbito de la ciberseguridad. Para determinar las necesidades y prioridades en materia de investigaci\u00f3n, la ENISA deber\u00eda consultar tambi\u00e9n a los grupos de usuarios pertinentes. M\u00e1s concretamente, podr\u00eda establecerse una cooperaci\u00f3n con el Consejo Europeo de Investigaci\u00f3n, el Instituto Europeo de Innovaci\u00f3n y Tecnolog\u00eda y el Instituto de Estudios de Seguridad de la Uni\u00f3n Europea.<\/p>\n\n\n\n

(53) La ENISA debe consultar peri\u00f3dicamente a las organizaciones de normalizaci\u00f3n, en particular a las organizaciones europeas de normalizaci\u00f3n, a la hora de preparar los reg\u00edmenes europeos de certificaci\u00f3n de la ciberseguridad.<\/p>\n\n\n\n

(54) Las ciberamenazas son un problema mundial. Es necesaria una cooperaci\u00f3n internacional m\u00e1s estrecha para mejorar las normas de ciberseguridad, incluida la necesidad de definir normas comunes de comportamiento, adoptar c\u00f3digos de conducta, utilizar normas internacionales e intercambiar informaci\u00f3n, fomentando una colaboraci\u00f3n internacional m\u00e1s r\u00e1pida en respuesta a los problemas de seguridad de las redes y de la informaci\u00f3n y promoviendo un enfoque mundial com\u00fan de tales problemas. A tal fin, la ENISA debe apoyar una mayor participaci\u00f3n y cooperaci\u00f3n de la Uni\u00f3n con terceros pa\u00edses y organizaciones internacionales, aportando los conocimientos y an\u00e1lisis necesarios a las instituciones, \u00f3rganos, oficinas y agencias pertinentes de la Uni\u00f3n, cuando proceda.<\/p>\n\n\n\n

(55) La ENISA debe poder responder a las solicitudes ad hoc de asesoramiento y asistencia de los Estados miembros y de las instituciones, \u00f3rganos y organismos de la Uni\u00f3n sobre cuestiones que entren en el \u00e1mbito de competencias de la ENISA.<\/p>\n\n\n\n

(56) Es sensato y recomendable aplicar determinados principios relativos a la gobernanza de la ENISA a fin de cumplir la Declaraci\u00f3n Conjunta y el Enfoque Com\u00fan acordados en julio de 2012 por el Grupo de Trabajo Interinstitucional sobre las agencias descentralizadas de la UE, cuyo objetivo es racionalizar las actividades de las agencias descentralizadas y mejorar su rendimiento. Las recomendaciones de la Declaraci\u00f3n Conjunta y el Enfoque Com\u00fan tambi\u00e9n deben reflejarse, seg\u00fan proceda, en los programas de trabajo de la ENISA, las evaluaciones de la ENISA y la pr\u00e1ctica administrativa y de presentaci\u00f3n de informes de la ENISA.<\/p>\n\n\n\n

(57) El Consejo de Administraci\u00f3n, compuesto por los representantes de los Estados miembros y de la Comisi\u00f3n, debe establecer la direcci\u00f3n general de las operaciones de la ENISA y velar por que \u00e9sta lleve a cabo sus tareas de conformidad con el presente Reglamento. Deben confiarse al Consejo de Administraci\u00f3n las competencias necesarias para establecer el presupuesto, verificar la ejecuci\u00f3n del presupuesto, adoptar las normas financieras apropiadas, establecer procedimientos de trabajo transparentes para la toma de decisiones por parte de la ENISA, adoptar el documento \u00fanico de programaci\u00f3n de la ENISA, adoptar su propio reglamento interno, nombrar al Director Ejecutivo y decidir sobre la pr\u00f3rroga y el cese del mandato del Director Ejecutivo.<\/p>\n\n\n\n

(58) Para que la ENISA funcione adecuada y eficazmente, la Comisi\u00f3n y los Estados miembros deben velar por que las personas que se nombren para el Consejo de Administraci\u00f3n tengan los conocimientos y la experiencia profesionales adecuados. La Comisi\u00f3n y los Estados miembros tambi\u00e9n deben esforzarse por limitar la rotaci\u00f3n de sus respectivos representantes en el Consejo de Administraci\u00f3n a fin de garantizar la continuidad de su labor.<\/p>\n\n\n\n

(59) El buen funcionamiento de la ENISA requiere que su Director Ejecutivo sea nombrado en funci\u00f3n de sus m\u00e9ritos y de sus capacidades administrativas y de gesti\u00f3n documentadas, as\u00ed como de su competencia y experiencia en materia de ciberseguridad. Las funciones del Director Ejecutivo deben desempe\u00f1arse con total independencia. El Director Ejecutivo debe preparar una propuesta de programa de trabajo anual de la ENISA, previa consulta con la Comisi\u00f3n, y debe tomar todas las medidas necesarias para garantizar la correcta ejecuci\u00f3n de dicho programa de trabajo. El Director Ejecutivo debe preparar un informe anual, que presentar\u00e1 al Consejo de Administraci\u00f3n, sobre la ejecuci\u00f3n del programa de trabajo anual de la ENISA, elaborar un proyecto de estado de previsi\u00f3n de ingresos y gastos de la ENISA y ejecutar el presupuesto. Adem\u00e1s, el Director Ejecutivo debe tener la opci\u00f3n de crear grupos de trabajo ad hoc para tratar asuntos espec\u00edficos, en particular asuntos de naturaleza cient\u00edfica, t\u00e9cnica, jur\u00eddica o socioecon\u00f3mica. En particular, en relaci\u00f3n con la preparaci\u00f3n de un sistema europeo candidato espec\u00edfico de certificaci\u00f3n de la ciberseguridad (\"sistema candidato\"), se considera necesaria la creaci\u00f3n de un grupo de trabajo ad hoc. El Director Ejecutivo debe velar por que los miembros de los grupos de trabajo ad hoc se seleccionen con arreglo a los m\u00e1s altos niveles de especializaci\u00f3n, procurando garantizar el equilibrio entre hombres y mujeres y un equilibrio adecuado, en funci\u00f3n de las cuestiones espec\u00edficas de que se trate, entre las administraciones p\u00fablicas de los Estados miembros, las instituciones, \u00f3rganos y organismos de la Uni\u00f3n y el sector privado, incluidos la industria, los usuarios y los expertos acad\u00e9micos en seguridad de las redes y de la informaci\u00f3n.<\/p>\n\n\n\n

(60) El Comit\u00e9 Ejecutivo debe contribuir al funcionamiento eficaz del Consejo de Administraci\u00f3n. Como parte de su trabajo preparatorio relacionado con las decisiones del Consejo de Administraci\u00f3n, el Consejo Ejecutivo debe examinar detalladamente la informaci\u00f3n pertinente, explorar las opciones disponibles y ofrecer asesoramiento y soluciones para preparar las decisiones del Consejo de Administraci\u00f3n.<\/p>\n\n\n\n

(61) La ENISA debe contar con un Grupo Consultivo de la ENISA como \u00f3rgano consultivo para garantizar un di\u00e1logo regular con el sector privado, las organizaciones de consumidores y otras partes interesadas pertinentes. El Grupo Consultivo de ENISA, creado por el Consejo de Administraci\u00f3n a propuesta del Director Ejecutivo, debe centrarse en las cuestiones pertinentes para las partes interesadas y ponerlas en conocimiento de ENISA. El Grupo Consultivo de la ENISA debe ser consultado, en particular, en relaci\u00f3n con el proyecto de programa de trabajo anual de la ENISA. La composici\u00f3n del Grupo Consultivo de la ENISA y las tareas que se le asignen deben garantizar una representaci\u00f3n suficiente de las partes interesadas en el trabajo de la ENISA.<\/p>\n\n\n\n

(62) Debe crearse el Grupo de Certificaci\u00f3n de la Ciberseguridad de las Partes Interesadas para ayudar a ENISA y a la Comisi\u00f3n a facilitar la consulta de las partes interesadas pertinentes. El Grupo de partes interesadas en la certificaci\u00f3n de la ciberseguridad debe estar compuesto por miembros que representen a la industria en proporciones equilibradas, tanto del lado de la demanda como del lado de la oferta de productos y servicios de TIC, y que incluyan, en particular, a las PYME, los proveedores de servicios digitales, los organismos europeos e internacionales de normalizaci\u00f3n, los organismos nacionales de acreditaci\u00f3n, las autoridades de control de la protecci\u00f3n de datos y los organismos de evaluaci\u00f3n de la conformidad con arreglo al Reglamento (CE) n\u00ba 765\/2008 del Parlamento Europeo y del Consejo (16), y el mundo acad\u00e9mico, as\u00ed como las organizaciones de consumidores.<\/p>\n\n\n\n

(63) ENISA debe disponer de normas relativas a la prevenci\u00f3n y gesti\u00f3n de conflictos de intereses. ENISA tambi\u00e9n debe aplicar las disposiciones pertinentes de la Uni\u00f3n relativas al acceso del p\u00fablico a los documentos, tal como se establece en el Reglamento (CE) n.\u00ba 1049\/2001 del Parlamento Europeo y del Consejo (17). El tratamiento de datos personales por ENISA debe estar sujeto al Reglamento (UE) 2018\/1725 del Parlamento Europeo y del Consejo (18). La ENISA debe cumplir las disposiciones aplicables a las instituciones, \u00f3rganos y organismos de la Uni\u00f3n, as\u00ed como la legislaci\u00f3n nacional relativa al tratamiento de la informaci\u00f3n, en particular la informaci\u00f3n sensible no clasificada y la informaci\u00f3n clasificada de la Uni\u00f3n Europea (ICUE).<\/p>\n\n\n\n

(64) Con el fin de garantizar la plena autonom\u00eda e independencia de la ENISA y permitirle realizar tareas adicionales, incluidas tareas de emergencia imprevistas, debe concederse a la ENISA un presupuesto suficiente y aut\u00f3nomo cuyos ingresos procedan principalmente de una contribuci\u00f3n de la Uni\u00f3n y de contribuciones de terceros pa\u00edses que participen en los trabajos de la ENISA. Un presupuesto adecuado es primordial para garantizar que la ENISA tenga capacidad suficiente para llevar a cabo todas sus crecientes tareas y alcanzar sus objetivos. La mayor parte del personal de la ENISA debe dedicarse directamente a la ejecuci\u00f3n operativa del mandato de la ENISA. Debe permitirse al Estado miembro de acogida, y a cualquier otro Estado miembro, realizar contribuciones voluntarias al presupuesto de la ENISA. El procedimiento presupuestario de la Uni\u00f3n debe seguir siendo aplicable en lo que respecta a las subvenciones imputables al presupuesto general de la Uni\u00f3n. Adem\u00e1s, el Tribunal de Cuentas deber\u00eda auditar las cuentas de ENISA para garantizar la transparencia y la rendici\u00f3n de cuentas.<\/p>\n\n\n\n

(65) La certificaci\u00f3n de la ciberseguridad desempe\u00f1a un papel importante en el aumento de la confianza y la seguridad en los productos, servicios y procesos de las TIC. El mercado \u00fanico digital, y en particular la econom\u00eda de los datos y la IO, solo pueden prosperar si existe una confianza p\u00fablica general en que tales productos, servicios y procesos ofrecen un determinado nivel de ciberseguridad. Los autom\u00f3viles conectados y automatizados, los dispositivos m\u00e9dicos electr\u00f3nicos, los sistemas de control de automatizaci\u00f3n industrial y las redes inteligentes son solo algunos ejemplos de sectores en los que la certificaci\u00f3n ya se utiliza ampliamente o es probable que se utilice en un futuro pr\u00f3ximo. Los sectores regulados por la Directiva (UE) 2016\/1148 tambi\u00e9n son sectores en los que la certificaci\u00f3n de la ciberseguridad es fundamental.<\/p>\n\n\n\n

(66) En la Comunicaci\u00f3n de 2016 \"Reforzar el sistema de ciberresiliencia de Europa y fomentar una industria de la ciberseguridad competitiva e innovadora\", la Comisi\u00f3n expuso la necesidad de disponer de productos y soluciones de ciberseguridad de alta calidad, asequibles e interoperables. La oferta de productos, servicios y procesos de TIC en el mercado \u00fanico sigue estando muy fragmentada geogr\u00e1ficamente. Esto se debe a que la industria de la ciberseguridad en Europa se ha desarrollado en gran medida sobre la base de la demanda gubernamental nacional. Adem\u00e1s, la falta de soluciones interoperables (normas t\u00e9cnicas), de pr\u00e1cticas y de mecanismos de certificaci\u00f3n a escala de la Uni\u00f3n son otras de las lagunas que afectan al mercado \u00fanico en el \u00e1mbito de la ciberseguridad. Esto dificulta la competencia de las empresas europeas a escala nacional, de la Uni\u00f3n y mundial. Tambi\u00e9n reduce la oferta de tecnolog\u00edas de ciberseguridad viables y utilizables a las que tienen acceso los particulares y las empresas. Del mismo modo, en la Comunicaci\u00f3n de 2017 sobre la revisi\u00f3n intermedia de la aplicaci\u00f3n de la Estrategia para el Mercado \u00danico Digital - Un mercado \u00fanico digital conectado para todos, la Comisi\u00f3n destac\u00f3 la necesidad de productos y sistemas conectados seguros, e indic\u00f3 que la creaci\u00f3n de un marco europeo de seguridad de las TIC que establezca normas sobre c\u00f3mo organizar la certificaci\u00f3n de la seguridad de las TIC en la Uni\u00f3n podr\u00eda tanto preservar la confianza en internet como abordar la fragmentaci\u00f3n actual del mercado interior.<\/p>\n\n\n\n

(67) En la actualidad, la certificaci\u00f3n de la ciberseguridad de los productos, servicios y procesos de las TIC se utiliza solo de forma limitada. Cuando existe, se produce sobre todo a nivel de los Estados miembros o en el marco de reg\u00edmenes impulsados por la industria. En ese contexto, un certificado expedido por una autoridad nacional de certificaci\u00f3n de la ciberseguridad no se reconoce, en principio, en otros Estados miembros. As\u00ed pues, las empresas pueden verse obligadas a certificar sus productos, servicios y procesos de TIC en varios Estados miembros en los que operan, por ejemplo, con vistas a participar en procedimientos nacionales de contrataci\u00f3n p\u00fablica, lo que incrementa sus costes. Adem\u00e1s, aunque est\u00e1n surgiendo nuevos reg\u00edmenes, no parece haber un enfoque coherente y hol\u00edstico de las cuestiones horizontales de ciberseguridad, por ejemplo en el \u00e1mbito de la IO. Los reg\u00edmenes existentes presentan importantes deficiencias y diferencias en cuanto a la cobertura de los productos, los niveles de garant\u00eda, los criterios sustantivos y el uso real, lo que obstaculiza los mecanismos de reconocimiento mutuo dentro de la Uni\u00f3n.<\/p>\n\n\n\n

(68) Se han realizado algunos esfuerzos para garantizar el reconocimiento mutuo de los certificados dentro de la Uni\u00f3n. Sin embargo, s\u00f3lo han tenido \u00e9xito en parte. El ejemplo m\u00e1s importante a este respecto es el Acuerdo de Reconocimiento Mutuo (ARM) del Grupo de Altos Funcionarios - Seguridad de los Sistemas de Informaci\u00f3n (SOG-IS). Aunque representa el modelo m\u00e1s importante de cooperaci\u00f3n y reconocimiento mutuo en el \u00e1mbito de la certificaci\u00f3n de seguridad, SOG-IS s\u00f3lo incluye a algunos de los Estados miembros. Este hecho ha limitado la eficacia del ARM SOG-IS desde el punto de vista del mercado interior.<\/p>\n\n\n\n

(69) Por consiguiente, es necesario adoptar un enfoque com\u00fan y establecer un marco europeo de certificaci\u00f3n de la ciberseguridad que fije los principales requisitos horizontales para que se desarrollen reg\u00edmenes europeos de certificaci\u00f3n de la ciberseguridad y permita que los certificados europeos de ciberseguridad y las declaraciones de conformidad de la UE para productos de TIC, servicios de TIC o procesos de TIC sean reconocidos y utilizados en todos los Estados miembros. Para ello, es esencial basarse en los reg\u00edmenes nacionales e internacionales existentes, as\u00ed como en los sistemas de reconocimiento mutuo, en particular SOG-IS, y hacer posible una transici\u00f3n fluida de los reg\u00edmenes existentes en virtud de dichos sistemas a los reg\u00edmenes del nuevo marco europeo de certificaci\u00f3n de la ciberseguridad. El marco europeo de certificaci\u00f3n de la ciberseguridad deber\u00eda tener un doble objetivo. En primer lugar, debe contribuir a aumentar la confianza en los productos, servicios y procesos de las TIC que hayan sido certificados con arreglo a sistemas europeos de certificaci\u00f3n de la ciberseguridad. En segundo lugar, debe contribuir a evitar la multiplicaci\u00f3n de reg\u00edmenes nacionales de certificaci\u00f3n de la ciberseguridad que entren en conflicto o se solapen, reduciendo as\u00ed los costes para las empresas que operan en el mercado \u00fanico digital. Los reg\u00edmenes europeos de certificaci\u00f3n de la ciberseguridad deben ser no discriminatorios y basarse en normas europeas o internacionales, a menos que dichas normas sean ineficaces o inadecuadas para cumplir los objetivos leg\u00edtimos de la Uni\u00f3n a este respecto.<\/p>\n\n\n\n

(70) El marco europeo de certificaci\u00f3n de la ciberseguridad debe establecerse de manera uniforme en todos los Estados miembros para evitar el \"certification shopping\" basado en diferentes niveles de exigencia en los distintos Estados miembros.<\/p>\n\n\n\n

(71) Los sistemas europeos de certificaci\u00f3n de la ciberseguridad deben basarse en lo que ya existe a nivel internacional y nacional y, si es necesario, en las especificaciones t\u00e9cnicas de foros y consorcios, aprendiendo de los puntos fuertes actuales y evaluando y corrigiendo los puntos d\u00e9biles.<\/p>\n\n\n\n

(72) Las soluciones flexibles de ciberseguridad son necesarias para que el sector se mantenga por delante de las ciberamenazas, por lo que cualquier sistema de certificaci\u00f3n debe dise\u00f1arse de forma que evite el riesgo de quedar obsoleto r\u00e1pidamente.<\/p>\n\n\n\n

(73) La Comisi\u00f3n debe estar facultada para adoptar reg\u00edmenes europeos de certificaci\u00f3n de la ciberseguridad relativos a grupos espec\u00edficos de productos de TIC, servicios de TIC y procesos de TIC. Dichos reg\u00edmenes deben ser aplicados y supervisados por las autoridades nacionales de certificaci\u00f3n de la ciberseguridad, y los certificados expedidos con arreglo a los mismos deben ser v\u00e1lidos y reconocidos en toda la Uni\u00f3n. Los reg\u00edmenes de certificaci\u00f3n gestionados por la industria o por otras organizaciones privadas deben quedar fuera del \u00e1mbito de aplicaci\u00f3n del presente Reglamento. No obstante, los organismos que gestionen tales reg\u00edmenes deben poder proponer a la Comisi\u00f3n que considere dichos reg\u00edmenes como base para aprobarlos como reg\u00edmenes europeos de certificaci\u00f3n de la ciberseguridad.<\/p>\n\n\n\n

(74) Las disposiciones del presente Reglamento deben entenderse sin perjuicio del Derecho de la Uni\u00f3n que establece normas espec\u00edficas sobre la certificaci\u00f3n de productos de TIC, servicios de TIC y procesos de TIC. En particular, el Reglamento (UE) 2016\/679 establece disposiciones para la creaci\u00f3n de mecanismos de certificaci\u00f3n y de sellos y marcas de protecci\u00f3n de datos, con el fin de demostrar la conformidad de las operaciones de tratamiento por parte de los responsables y encargados con dicho Reglamento. Dichos mecanismos de certificaci\u00f3n y sellos y marcas de protecci\u00f3n de datos deben permitir a los interesados evaluar r\u00e1pidamente el nivel de protecci\u00f3n de datos de los correspondientes productos de TIC, servicios de TIC y procesos de TIC. El presente Reglamento se entiende sin perjuicio de la certificaci\u00f3n de las operaciones de tratamiento de datos con arreglo al Reglamento (UE) 2016\/679, incluso cuando dichas operaciones est\u00e9n integradas en productos de TIC, servicios de TIC y procesos de TIC.<\/p>\n\n\n\n

(75) La finalidad de los reg\u00edmenes europeos de certificaci\u00f3n de la ciberseguridad debe ser garantizar que los productos de las TIC, los servicios de las TIC y los procesos de las TIC certificados con arreglo a dichos reg\u00edmenes cumplan los requisitos especificados destinados a proteger la disponibilidad, autenticidad, integridad y confidencialidad de los datos almacenados, transmitidos o procesados o de las funciones o servicios relacionados ofrecidos por dichos productos, servicios y procesos, o accesibles a trav\u00e9s de ellos, durante todo su ciclo de vida. No es posible exponer detalladamente en el presente Reglamento los requisitos de ciberseguridad relativos a todos los productos de TIC, servicios de TIC y procesos de TIC. Los productos TIC, los servicios TIC y los procesos TIC, as\u00ed como las necesidades de ciberseguridad relacionadas con dichos productos, servicios y procesos, son tan diversos que resulta muy dif\u00edcil elaborar requisitos generales de ciberseguridad que sean v\u00e1lidos en todas las circunstancias. Por lo tanto, es necesario adoptar una noci\u00f3n amplia y general de ciberseguridad a efectos de certificaci\u00f3n, que debe complementarse con un conjunto de objetivos espec\u00edficos de ciberseguridad que deben tenerse en cuenta al dise\u00f1ar los reg\u00edmenes europeos de certificaci\u00f3n de la ciberseguridad. Las modalidades mediante las cuales deben alcanzarse dichos objetivos en productos, servicios y procesos de TIC espec\u00edficos deben especificarse con mayor detalle en el nivel del r\u00e9gimen de certificaci\u00f3n individual adoptado por la Comisi\u00f3n, por ejemplo mediante referencia a normas o especificaciones t\u00e9cnicas si no se dispone de normas adecuadas.<\/p>\n\n\n\n

(76) Las especificaciones t\u00e9cnicas que se utilicen en los reg\u00edmenes europeos de certificaci\u00f3n de la ciberseguridad deben respetar los requisitos establecidos en el anexo II del Reglamento (UE) n\u00ba 1025\/2012 del Parlamento Europeo y del Consejo (19). No obstante, podr\u00edan considerarse necesarias algunas desviaciones de dichos requisitos en casos debidamente justificados cuando dichas especificaciones t\u00e9cnicas vayan a utilizarse en un sistema europeo de certificaci\u00f3n de la ciberseguridad que se refiera a un nivel de garant\u00eda \"alto\". Los motivos de tales desviaciones deben hacerse p\u00fablicos.<\/p>\n\n\n\n

(77) Una evaluaci\u00f3n de la conformidad es un procedimiento para evaluar si se cumplen los requisitos especificados relativos a un producto de TIC, un servicio de TIC o un proceso de TIC. Dicho procedimiento lo lleva a cabo un tercero independiente que no es el fabricante o proveedor de los productos, servicios o procesos de TIC que se eval\u00faan. Debe expedirse un certificado europeo de ciberseguridad tras la evaluaci\u00f3n satisfactoria de un producto de TIC, servicio de TIC o proceso de TIC. Un certificado europeo de ciberseguridad debe considerarse una confirmaci\u00f3n de que la evaluaci\u00f3n se ha llevado a cabo correctamente. En funci\u00f3n del nivel de garant\u00eda, el sistema europeo de certificaci\u00f3n de la ciberseguridad debe indicar si el certificado europeo de ciberseguridad debe ser expedido por un organismo privado o p\u00fablico. La evaluaci\u00f3n de la conformidad y la certificaci\u00f3n no pueden garantizar per se que los productos de TIC, los servicios de TIC y los procesos de TIC certificados sean ciberseguros. Son, en cambio, procedimientos y metodolog\u00edas t\u00e9cnicas para certificar que los productos, servicios y procesos de TIC han sido probados y que cumplen determinados requisitos de ciberseguridad establecidos en otros lugares, por ejemplo en normas t\u00e9cnicas.<\/p>\n\n\n\n

(78) La elecci\u00f3n de la certificaci\u00f3n adecuada y de los requisitos de seguridad asociados por parte de los usuarios de los certificados europeos de ciberseguridad debe basarse en un an\u00e1lisis de los riesgos asociados al uso de los productos, servicios o procesos de TIC. En consecuencia, el nivel de garant\u00eda debe ser proporcional al nivel de riesgo asociado al uso previsto de un producto de TIC, servicio de TIC o proceso de TIC.<\/p>\n\n\n\n

(79) Los reg\u00edmenes europeos de certificaci\u00f3n de la ciberseguridad podr\u00edan prever la realizaci\u00f3n de una evaluaci\u00f3n de la conformidad bajo la responsabilidad exclusiva del fabricante o proveedor de productos de TIC, servicios de TIC o procesos de TIC (\"autoevaluaci\u00f3n de la conformidad\"). En tales casos, deber\u00eda bastar con que el propio fabricante o proveedor de productos, servicios o procesos de TIC lleve a cabo todos los controles para garantizar que los productos, servicios o procesos de TIC son conformes con el sistema europeo de certificaci\u00f3n de la ciberseguridad. La autoevaluaci\u00f3n de la conformidad debe considerarse adecuada para los productos de TIC, servicios de TIC o procesos de TIC de baja complejidad que presenten un bajo riesgo para el p\u00fablico, como los mecanismos de dise\u00f1o y producci\u00f3n sencillos. Adem\u00e1s, la autoevaluaci\u00f3n de la conformidad debe permitirse para los productos de TIC, servicios de TIC o procesos de TIC \u00fanicamente cuando correspondan al nivel de garant\u00eda \"b\u00e1sico\".<\/p>\n\n\n\n

(80) Los reg\u00edmenes europeos de certificaci\u00f3n de la ciberseguridad podr\u00edan permitir tanto las autoevaluaciones de conformidad como las certificaciones de productos de TIC, servicios de TIC o procesos de TIC. En tal caso, el sistema deber\u00eda prever medios claros y comprensibles para que los consumidores u otros usuarios puedan diferenciar entre los productos, servicios o procesos de TIC respecto de los cuales el fabricante o proveedor de productos, servicios o procesos de TIC es responsable de la evaluaci\u00f3n, y los productos, servicios o procesos de TIC certificados por un tercero.<\/p>\n\n\n\n

(81) El fabricante o proveedor de productos de TIC, servicios de TIC o procesos de TIC que lleve a cabo una autoevaluaci\u00f3n de la conformidad debe poder expedir y firmar la declaraci\u00f3n UE de conformidad como parte del procedimiento de evaluaci\u00f3n de la conformidad. Una declaraci\u00f3n UE de conformidad es un documento que establece que un producto, servicio o proceso TIC espec\u00edfico cumple los requisitos del sistema europeo de certificaci\u00f3n de la ciberseguridad. Al emitir y firmar la declaraci\u00f3n UE de conformidad, el fabricante o proveedor de productos TIC, servicios TIC o procesos TIC asume la responsabilidad de la conformidad del producto TIC, servicio TIC o proceso TIC con los requisitos legales del sistema europeo de certificaci\u00f3n de la ciberseguridad. Deber\u00e1 presentarse una copia de la declaraci\u00f3n UE de conformidad a la autoridad nacional de certificaci\u00f3n de ciberseguridad y a ENISA.<\/p>\n\n\n\n

(82) Los fabricantes o proveedores de productos de TIC, servicios de TIC o procesos de TIC deben poner a disposici\u00f3n de la autoridad nacional de certificaci\u00f3n de la ciberseguridad competente la declaraci\u00f3n UE de conformidad, la documentaci\u00f3n t\u00e9cnica y toda la dem\u00e1s informaci\u00f3n pertinente relativa a la conformidad de los productos de TIC, servicios de TIC o procesos de TIC con un sistema europeo de certificaci\u00f3n de la ciberseguridad durante el per\u00edodo previsto en el sistema europeo de certificaci\u00f3n de la ciberseguridad pertinente. La documentaci\u00f3n t\u00e9cnica deber\u00e1 especificar los requisitos aplicables en virtud del r\u00e9gimen y abarcar el dise\u00f1o, la fabricaci\u00f3n y el funcionamiento del producto de TIC, el servicio de TIC o el proceso de TIC en la medida en que sea pertinente para la autoevaluaci\u00f3n de la conformidad. La documentaci\u00f3n t\u00e9cnica debe compilarse de manera que permita evaluar si un producto o servicio de TIC cumple los requisitos aplicables en virtud de dicho r\u00e9gimen.<\/p>\n\n\n\n

(83) La gobernanza del marco europeo de certificaci\u00f3n de la ciberseguridad tiene en cuenta la participaci\u00f3n de los Estados miembros, as\u00ed como la adecuada participaci\u00f3n de las partes interesadas, y establece el papel de la Comisi\u00f3n durante la planificaci\u00f3n y la propuesta, solicitud, preparaci\u00f3n, adopci\u00f3n y revisi\u00f3n de los reg\u00edmenes europeos de certificaci\u00f3n de la ciberseguridad.<\/p>\n\n\n\n

(84) La Comisi\u00f3n debe preparar, con el apoyo del Grupo Europeo de Certificaci\u00f3n de la Ciberseguridad (el \"ECCG\") y del Grupo de Certificaci\u00f3n de la Ciberseguridad de las Partes Interesadas, y tras una consulta abierta y amplia, un programa de trabajo renovable de la Uni\u00f3n para los reg\u00edmenes europeos de certificaci\u00f3n de la ciberseguridad, y debe publicarlo en forma de instrumento no vinculante. El programa de trabajo renovable de la Uni\u00f3n debe ser un documento estrat\u00e9gico que permita a la industria, a las autoridades nacionales y a los organismos de normalizaci\u00f3n, en particular, prepararse con antelaci\u00f3n para los futuros reg\u00edmenes europeos de certificaci\u00f3n de la ciberseguridad. El programa de trabajo renovable de la Uni\u00f3n debe incluir una visi\u00f3n plurianual de las solicitudes de reg\u00edmenes candidatos que la Comisi\u00f3n tiene la intenci\u00f3n de presentar a la ENISA para su preparaci\u00f3n sobre la base de motivos espec\u00edficos. La Comisi\u00f3n debe tener en cuenta el programa de trabajo renovable de la Uni\u00f3n al preparar su plan renovable de normalizaci\u00f3n de las TIC y las solicitudes de normalizaci\u00f3n a las organizaciones europeas de normalizaci\u00f3n. A la luz de la r\u00e1pida introducci\u00f3n y adopci\u00f3n de nuevas tecnolog\u00edas, la aparici\u00f3n de riesgos de ciberseguridad previamente desconocidos y la evoluci\u00f3n de la legislaci\u00f3n y el mercado, la Comisi\u00f3n o el ECCG deben estar facultados para solicitar a ENISA que prepare sistemas candidatos que no se hayan incluido en el programa de trabajo renovable de la Uni\u00f3n. En tales casos, la Comisi\u00f3n y el ECCG tambi\u00e9n deben evaluar la necesidad de dicha solicitud, teniendo en cuenta los fines y objetivos generales del presente Reglamento y la necesidad de garantizar la continuidad en lo que respecta a la planificaci\u00f3n y el uso de los recursos por parte de la ENISA.<\/p>\n\n\n\n

A ra\u00edz de dicha solicitud, ENISA debe preparar sin demora indebida los reg\u00edmenes candidatos para productos espec\u00edficos de TIC, servicios de TIC y procesos de TIC. La Comisi\u00f3n debe evaluar el impacto positivo y negativo de su solicitud en el mercado espec\u00edfico en cuesti\u00f3n, especialmente su impacto en las PYME, en la innovaci\u00f3n, en los obst\u00e1culos a la entrada en ese mercado y en los costes para los usuarios finales. La Comisi\u00f3n, sobre la base del sistema candidato preparado por la ENISA, debe estar facultada para adoptar el sistema europeo de certificaci\u00f3n de la ciberseguridad mediante actos de ejecuci\u00f3n. Teniendo en cuenta la finalidad general y los objetivos de seguridad establecidos en el presente Reglamento, los reg\u00edmenes europeos de certificaci\u00f3n de la ciberseguridad adoptados por la Comisi\u00f3n deben especificar un conjunto m\u00ednimo de elementos relativos al objeto, \u00e1mbito de aplicaci\u00f3n y funcionamiento del r\u00e9gimen individual. Estos elementos deben incluir, entre otras cosas, el alcance y el objeto de la certificaci\u00f3n de ciberseguridad, incluidas las categor\u00edas de productos de TIC, servicios de TIC y procesos de TIC cubiertos, la especificaci\u00f3n detallada de los requisitos de ciberseguridad, por ejemplo mediante referencia a normas o especificaciones t\u00e9cnicas, los criterios espec\u00edficos de evaluaci\u00f3n y los m\u00e9todos de evaluaci\u00f3n, as\u00ed como el nivel de garant\u00eda previsto (\"b\u00e1sico\", \"sustancial\" o \"alto\") y los niveles de evaluaci\u00f3n, en su caso. ENISA debe poder rechazar una solicitud del GECC. Tales decisiones deber\u00e1n ser adoptadas por el Consejo de Administraci\u00f3n y estar debidamente motivadas.<\/p>\n\n\n\n

(85) La ENISA debe mantener un sitio web que proporcione informaci\u00f3n sobre los reg\u00edmenes europeos de certificaci\u00f3n de la ciberseguridad y los d\u00e9 a conocer, que debe incluir, entre otras cosas, las solicitudes de preparaci\u00f3n de un r\u00e9gimen candidato, as\u00ed como las reacciones recibidas en el proceso de consulta llevado a cabo por la ENISA en la fase de preparaci\u00f3n. El sitio web tambi\u00e9n debe proporcionar informaci\u00f3n sobre los certificados europeos de ciberseguridad y las declaraciones UE de conformidad expedidos en virtud del presente Reglamento, incluida la informaci\u00f3n relativa a la retirada y expiraci\u00f3n de dichos certificados europeos de ciberseguridad y declaraciones UE de conformidad. El sitio web tambi\u00e9n debe indicar los sistemas nacionales de certificaci\u00f3n de la ciberseguridad que han sido sustituidos por un sistema europeo de certificaci\u00f3n de la ciberseguridad.<\/p>\n\n\n\n

(86) El nivel de garant\u00eda de un r\u00e9gimen europeo de certificaci\u00f3n es una base para confiar en que un producto de TIC, un servicio de TIC o un proceso de TIC cumple los requisitos de seguridad de un r\u00e9gimen europeo de certificaci\u00f3n de la ciberseguridad espec\u00edfico. Para garantizar la coherencia del marco europeo de certificaci\u00f3n de la ciberseguridad, un sistema europeo de certificaci\u00f3n de la ciberseguridad debe poder especificar niveles de garant\u00eda para los certificados europeos de ciberseguridad y las declaraciones UE de conformidad expedidos en virtud de dicho sistema. Cada certificado europeo de ciberseguridad podr\u00eda referirse a uno de los niveles de garant\u00eda: \"b\u00e1sico\", \"sustancial\" o \"alto\", mientras que la declaraci\u00f3n UE de conformidad podr\u00eda referirse \u00fanicamente al nivel de garant\u00eda \"b\u00e1sico\". Los niveles de garant\u00eda proporcionar\u00edan el rigor y la profundidad correspondientes de la evaluaci\u00f3n del producto de TIC, el servicio de TIC o el proceso de TIC y se caracterizar\u00edan por la referencia a las especificaciones t\u00e9cnicas, las normas y los procedimientos relacionados con ellos, incluidos los controles t\u00e9cnicos, cuya finalidad es mitigar o prevenir los incidentes. Cada nivel de garant\u00eda debe ser coherente entre los distintos \u00e1mbitos sectoriales en los que se aplique la certificaci\u00f3n.<\/p>\n\n\n\n

(87) Un sistema europeo de certificaci\u00f3n de la ciberseguridad podr\u00eda especificar varios niveles de evaluaci\u00f3n en funci\u00f3n del rigor y la profundidad de la metodolog\u00eda de evaluaci\u00f3n utilizada. Los niveles de evaluaci\u00f3n deben corresponder a uno de los niveles de garant\u00eda y deben asociarse a una combinaci\u00f3n adecuada de componentes de garant\u00eda. Para todos los niveles de garant\u00eda, el producto de TIC, el servicio de TIC o el proceso de TIC debe contener una serie de funciones seguras, seg\u00fan especifique el sistema, que pueden incluir: una configuraci\u00f3n \"lista para usar\" segura, un c\u00f3digo firmado, una actualizaci\u00f3n segura y mitigaciones de exploits y protecciones completas de la pila o de la memoria de mont\u00f3n. Estas funciones deben haberse desarrollado, y mantenerse, utilizando enfoques de desarrollo centrados en la seguridad y herramientas asociadas para garantizar que se incorporan de forma fiable mecanismos eficaces de software y hardware.<\/p>\n\n\n\n

(88) Para el nivel de garant\u00eda \"b\u00e1sico\", la evaluaci\u00f3n debe guiarse al menos por los siguientes componentes de garant\u00eda: la evaluaci\u00f3n debe incluir al menos una revisi\u00f3n de la documentaci\u00f3n t\u00e9cnica del producto de TIC, servicio de TIC o proceso de TIC por parte del organismo de evaluaci\u00f3n de la conformidad. Cuando la certificaci\u00f3n incluya procesos de TIC, el proceso utilizado para dise\u00f1ar, desarrollar y mantener un producto o servicio de TIC tambi\u00e9n debe estar sujeto a la revisi\u00f3n t\u00e9cnica. Cuando un sistema europeo de certificaci\u00f3n de la ciberseguridad prevea una autoevaluaci\u00f3n de la conformidad, deber\u00eda bastar con que el fabricante o proveedor de productos de TIC, servicios de TIC o procesos de TIC haya llevado a cabo una autoevaluaci\u00f3n de la conformidad del producto de TIC, servicio de TIC o proceso de TIC con el sistema de certificaci\u00f3n.<\/p>\n\n\n\n

(89) Para el nivel de garant\u00eda \"sustancial\", la evaluaci\u00f3n, adem\u00e1s de los requisitos para el nivel de garant\u00eda \"b\u00e1sico\", debe guiarse al menos por la verificaci\u00f3n de la conformidad de las funcionalidades de seguridad del producto de TIC, servicio de TIC o proceso de TIC con su documentaci\u00f3n t\u00e9cnica.<\/p>\n\n\n\n

(90) Para el nivel de garant\u00eda \"alto\", la evaluaci\u00f3n, adem\u00e1s de los requisitos para el nivel de garant\u00eda \"sustancial\", debe guiarse al menos por una prueba de eficiencia que eval\u00fae la resistencia de las funcionalidades de seguridad del producto de TIC, servicio de TIC o proceso de TIC frente a ciberataques elaborados realizados por personas que dispongan de competencias y recursos significativos.<\/p>\n\n\n\n

(91) El recurso a la certificaci\u00f3n europea de ciberseguridad y a las declaraciones de conformidad de la UE debe seguir siendo voluntario, salvo disposici\u00f3n en contrario del Derecho de la Uni\u00f3n o del Derecho de los Estados miembros adoptado de conformidad con el Derecho de la Uni\u00f3n. A falta de Derecho de la Uni\u00f3n armonizado, los Estados miembros pueden adoptar reglamentos t\u00e9cnicos nacionales que prevean la certificaci\u00f3n obligatoria con arreglo a un sistema europeo de certificaci\u00f3n de la ciberseguridad, de conformidad con la Directiva (UE) 2015\/1535 del Parlamento Europeo y del Consejo (20). Los Estados miembros tambi\u00e9n pueden recurrir a la certificaci\u00f3n europea de ciberseguridad en el contexto de la contrataci\u00f3n p\u00fablica y de la Directiva 2014\/24\/UE del Parlamento Europeo y del Consejo (21).<\/p>\n\n\n\n

(92) En algunos \u00e1mbitos, podr\u00eda ser necesario en el futuro imponer requisitos espec\u00edficos de ciberseguridad y hacer obligatoria su certificaci\u00f3n para determinados productos de TIC, servicios de TIC o procesos de TIC, con el fin de mejorar el nivel de ciberseguridad en la Uni\u00f3n. La Comisi\u00f3n debe supervisar peri\u00f3dicamente el impacto de los reg\u00edmenes europeos de certificaci\u00f3n de la ciberseguridad adoptados sobre la disponibilidad de productos de TIC, servicios de TIC y procesos de TIC seguros en el mercado interior y debe evaluar peri\u00f3dicamente el nivel de utilizaci\u00f3n de los reg\u00edmenes de certificaci\u00f3n por parte de los fabricantes o proveedores de productos de TIC, servicios de TIC o procesos de TIC en la Uni\u00f3n. La eficiencia de los reg\u00edmenes europeos de certificaci\u00f3n de la ciberseguridad y la conveniencia de hacer obligatorios reg\u00edmenes espec\u00edficos deben evaluarse a la luz de la legislaci\u00f3n de la Uni\u00f3n relacionada con la ciberseguridad, en particular la Directiva (UE) 2016\/1148, teniendo en cuenta la seguridad de la red y los sistemas de informaci\u00f3n utilizados por los operadores de servicios esenciales.<\/p>\n\n\n\n

(93) Los certificados europeos de ciberseguridad y las declaraciones UE de conformidad deben ayudar a los usuarios finales a elegir con conocimiento de causa. Por consiguiente, los productos de las TIC, los servicios de las TIC y los procesos de las TIC que hayan sido certificados o para los que se haya expedido una declaraci\u00f3n UE de conformidad deben ir acompa\u00f1ados de informaci\u00f3n estructurada que se adapte al nivel t\u00e9cnico esperado del usuario final previsto. Toda esta informaci\u00f3n debe estar disponible en l\u00ednea y, cuando proceda, en formato f\u00edsico. El usuario final debe tener acceso a la informaci\u00f3n relativa al n\u00famero de referencia del sistema de certificaci\u00f3n, el nivel de garant\u00eda, la descripci\u00f3n de los riesgos de ciberseguridad asociados al producto de TIC, servicio de TIC o proceso de TIC, y la autoridad u organismo emisor, o debe poder obtener una copia del certificado europeo de ciberseguridad. Adem\u00e1s, el usuario final debe ser informado de la pol\u00edtica de apoyo a la ciberseguridad, es decir, durante cu\u00e1nto tiempo puede esperar recibir actualizaciones o parches de ciberseguridad, del fabricante o proveedor de los productos de TIC, servicios de TIC o procesos de TIC. Cuando proceda, deben facilitarse orientaciones sobre las medidas o ajustes que el usuario final puede aplicar para mantener o aumentar la ciberseguridad del producto o servicio de TIC y la informaci\u00f3n de contacto de un \u00fanico punto de contacto para informar y recibir apoyo en caso de ciberataques (adem\u00e1s de la notificaci\u00f3n autom\u00e1tica). Esta informaci\u00f3n debe actualizarse peri\u00f3dicamente y estar disponible en un sitio web que ofrezca informaci\u00f3n sobre los reg\u00edmenes europeos de certificaci\u00f3n de la ciberseguridad.<\/p>\n\n\n\n

(94) Con vistas a alcanzar los objetivos del presente Reglamento y evitar la fragmentaci\u00f3n del mercado interior, los reg\u00edmenes o procedimientos nacionales de certificaci\u00f3n de la ciberseguridad para productos de TIC, servicios de TIC o procesos de TIC cubiertos por un r\u00e9gimen europeo de certificaci\u00f3n de la ciberseguridad deben dejar de ser efectivos a partir de una fecha establecida por la Comisi\u00f3n mediante actos de ejecuci\u00f3n. Adem\u00e1s, los Estados miembros no deben introducir nuevos reg\u00edmenes nacionales de certificaci\u00f3n de la ciberseguridad para productos de TIC, servicios de TIC o procesos de TIC ya cubiertos por un r\u00e9gimen europeo de certificaci\u00f3n de la ciberseguridad existente. Sin embargo, no debe impedirse que los Estados miembros adopten o mantengan reg\u00edmenes nacionales de certificaci\u00f3n de la ciberseguridad con fines de seguridad nacional. Los Estados miembros deben informar a la Comisi\u00f3n y al ECCG de cualquier intenci\u00f3n de elaborar nuevos reg\u00edmenes nacionales de certificaci\u00f3n de la ciberseguridad. La Comisi\u00f3n y el ECCG deben evaluar el impacto de los nuevos esquemas nacionales de certificaci\u00f3n de ciberseguridad en el correcto funcionamiento del mercado interior y a la luz de cualquier inter\u00e9s estrat\u00e9gico en solicitar un esquema europeo de certificaci\u00f3n de ciberseguridad en su lugar.<\/p>\n\n\n\n

(95) Los sistemas europeos de certificaci\u00f3n de la ciberseguridad tienen por objeto contribuir a armonizar las pr\u00e1cticas de ciberseguridad en la Uni\u00f3n. Deben contribuir a aumentar el nivel de ciberseguridad en la Uni\u00f3n. El dise\u00f1o de los sistemas europeos de certificaci\u00f3n de la ciberseguridad debe tener en cuenta y permitir el desarrollo de innovaciones en el \u00e1mbito de la ciberseguridad.<\/p>\n\n\n\n

(96) Los reg\u00edmenes europeos de certificaci\u00f3n de la ciberseguridad deben tener en cuenta los m\u00e9todos actuales de desarrollo de software y hardware y, en particular, el impacto de las frecuentes actualizaciones de software o firmware en los certificados europeos de ciberseguridad individuales. Los reg\u00edmenes europeos de certificaci\u00f3n de la ciberseguridad deben especificar las condiciones en las que una actualizaci\u00f3n puede requerir que un producto de TIC, un servicio de TIC o un proceso de TIC se recertifique o que se reduzca el alcance de un certificado europeo de ciberseguridad espec\u00edfico, teniendo en cuenta cualquier posible efecto adverso de la actualizaci\u00f3n sobre el cumplimiento de los requisitos de seguridad de dicho certificado.<\/p>\n\n\n\n

(97) Una vez adoptado un sistema europeo de certificaci\u00f3n de la ciberseguridad, los fabricantes o proveedores de productos de TIC, servicios de TIC o procesos de TIC deben poder presentar solicitudes de certificaci\u00f3n de sus productos de TIC o servicios de TIC al organismo de evaluaci\u00f3n de la conformidad de su elecci\u00f3n en cualquier lugar de la Uni\u00f3n. Los organismos de evaluaci\u00f3n de la conformidad deben ser acreditados por un organismo nacional de acreditaci\u00f3n si cumplen determinados requisitos espec\u00edficos establecidos en el presente Reglamento. La acreditaci\u00f3n debe concederse por un m\u00e1ximo de cinco a\u00f1os y debe ser renovable en las mismas condiciones, siempre que el organismo de evaluaci\u00f3n de la conformidad siga cumpliendo los requisitos. Los organismos nacionales de acreditaci\u00f3n deben restringir, suspender o revocar la acreditaci\u00f3n de un organismo de evaluaci\u00f3n de la conformidad cuando las condiciones para la acreditaci\u00f3n no se hayan cumplido o hayan dejado de cumplirse, o cuando el organismo de evaluaci\u00f3n de la conformidad infrinja el presente Reglamento.<\/p>\n\n\n\n

(98) Las referencias en la legislaci\u00f3n nacional a normas nacionales que han dejado de ser efectivas debido a la entrada en vigor de un sistema europeo de certificaci\u00f3n de la ciberseguridad pueden ser fuente de confusi\u00f3n. Por lo tanto, los Estados miembros deben reflejar la adopci\u00f3n de un sistema europeo de certificaci\u00f3n de la ciberseguridad en su legislaci\u00f3n nacional.<\/p>\n\n\n\n

(99) Para lograr normas equivalentes en toda la Uni\u00f3n, facilitar el reconocimiento mutuo y promover la aceptaci\u00f3n general de los certificados europeos de ciberseguridad y las declaraciones UE de conformidad, es necesario establecer un sistema de revisi\u00f3n inter pares entre las autoridades nacionales de certificaci\u00f3n de la ciberseguridad. La revisi\u00f3n inter pares debe abarcar procedimientos para supervisar la conformidad de los productos de TIC, los servicios de TIC y los procesos de TIC con los certificados europeos de ciberseguridad, para supervisar las obligaciones de los fabricantes o proveedores de productos de TIC, servicios de TIC o procesos de TIC que llevan a cabo la autoevaluaci\u00f3n de la conformidad, para supervisar los organismos de evaluaci\u00f3n de la conformidad, as\u00ed como la adecuaci\u00f3n de los conocimientos t\u00e9cnicos del personal de los organismos que expiden certificados para el nivel de garant\u00eda \"alto\". La Comisi\u00f3n debe poder establecer, mediante actos de ejecuci\u00f3n, al menos un plan quinquenal para las revisiones inter pares, as\u00ed como criterios y metodolog\u00edas para el funcionamiento del sistema de revisi\u00f3n inter pares.<\/p>\n\n\n\n

(100) Sin perjuicio del sistema general de evaluaci\u00f3n inter pares que debe implantarse en todas las autoridades nacionales de certificaci\u00f3n de la ciberseguridad dentro del marco europeo de certificaci\u00f3n de la ciberseguridad, determinados reg\u00edmenes europeos de certificaci\u00f3n de la ciberseguridad podr\u00e1n incluir un mecanismo de evaluaci\u00f3n inter pares para los organismos que expidan certificados europeos de ciberseguridad para productos de TIC, servicios de TIC y procesos de TIC con un nivel de garant\u00eda \"alto\" con arreglo a dichos reg\u00edmenes. El ECCG debe apoyar la aplicaci\u00f3n de tales mecanismos de evaluaci\u00f3n inter pares. Las evaluaciones inter pares deben valorar, en particular, si los organismos en cuesti\u00f3n llevan a cabo sus tareas de forma armonizada, y pueden incluir mecanismos de recurso. Los resultados de las evaluaciones inter pares deben ponerse a disposici\u00f3n del p\u00fablico. Los organismos afectados podr\u00e1n adoptar las medidas oportunas para adaptar sus pr\u00e1cticas y conocimientos en consecuencia.<\/p>\n\n\n\n

(101) Los Estados miembros deben designar una o varias autoridades nacionales de certificaci\u00f3n de la ciberseguridad para supervisar el cumplimiento de las obligaciones derivadas del presente Reglamento. Una autoridad nacional de certificaci\u00f3n de la ciberseguridad puede ser una autoridad existente o nueva. Un Estado miembro tambi\u00e9n debe poder designar, previo acuerdo con otro Estado miembro, una o varias autoridades nacionales de certificaci\u00f3n de la ciberseguridad en el territorio de ese otro Estado miembro.<\/p>\n\n\n\n

(102) Las autoridades nacionales de certificaci\u00f3n de la ciberseguridad deben, en particular, supervisar y hacer cumplir las obligaciones de los fabricantes o proveedores de productos de TIC, servicios de TIC o procesos de TIC establecidos en su territorio respectivo en relaci\u00f3n con la declaraci\u00f3n UE de conformidad, deben asistir a los organismos nacionales de acreditaci\u00f3n en el seguimiento y la supervisi\u00f3n de las actividades de los organismos de evaluaci\u00f3n de la conformidad proporcion\u00e1ndoles conocimientos t\u00e9cnicos e informaci\u00f3n pertinente, deben autorizar a los organismos de evaluaci\u00f3n de la conformidad a desempe\u00f1ar sus tareas cuando dichos organismos cumplan los requisitos adicionales establecidos en un sistema europeo de certificaci\u00f3n de la ciberseguridad, y deben seguir la evoluci\u00f3n pertinente en el \u00e1mbito de la certificaci\u00f3n de la ciberseguridad. Las autoridades nacionales de certificaci\u00f3n de la ciberseguridad tambi\u00e9n deben tramitar las reclamaciones presentadas por personas f\u00edsicas o jur\u00eddicas en relaci\u00f3n con los certificados europeos de ciberseguridad expedidos por dichas autoridades o en relaci\u00f3n con los certificados europeos de ciberseguridad expedidos por organismos de evaluaci\u00f3n de la conformidad, cuando dichos certificados indiquen un nivel de garant\u00eda \"alto\", deben investigar, en la medida en que proceda, el objeto de la reclamaci\u00f3n e informar al reclamante de los progresos y el resultado de la investigaci\u00f3n en un plazo razonable. Adem\u00e1s, las autoridades nacionales de certificaci\u00f3n de la ciberseguridad deben cooperar con otras autoridades nacionales de certificaci\u00f3n de la ciberseguridad u otras autoridades p\u00fablicas, incluso compartiendo informaci\u00f3n sobre la posible no conformidad de los productos de TIC, los servicios de TIC y los procesos de TIC con los requisitos del presente Reglamento o con reg\u00edmenes europeos espec\u00edficos de certificaci\u00f3n de la ciberseguridad. La Comisi\u00f3n debe facilitar ese intercambio de informaci\u00f3n poniendo a disposici\u00f3n un sistema electr\u00f3nico general de apoyo a la informaci\u00f3n, por ejemplo el Sistema de Informaci\u00f3n y Comunicaci\u00f3n sobre Vigilancia del Mercado (ICSMS) y el Sistema de Alerta R\u00e1pida para Productos No Alimentarios Peligrosos (RAPEX), ya utilizados por las autoridades de vigilancia del mercado en virtud del Reglamento (CE) n\u00ba 765\/2008.<\/p>\n\n\n\n

(103) Con vistas a garantizar la aplicaci\u00f3n coherente del marco europeo de certificaci\u00f3n de la ciberseguridad, debe crearse un GECC compuesto por representantes de las autoridades nacionales de certificaci\u00f3n de la ciberseguridad u otras autoridades nacionales pertinentes. Las principales tareas del GECC deben consistir en asesorar y asistir a la Comisi\u00f3n en su labor encaminada a garantizar la ejecuci\u00f3n y aplicaci\u00f3n coherentes del marco europeo de certificaci\u00f3n de la ciberseguridad, asistir y cooperar estrechamente con la ENISA en la preparaci\u00f3n de los reg\u00edmenes de certificaci\u00f3n de la ciberseguridad candidatos, solicitar a la ENISA, en casos debidamente justificados, que prepare un r\u00e9gimen candidato, adoptar dict\u00e1menes dirigidos a la ENISA sobre los reg\u00edmenes candidatos y adoptar dict\u00e1menes dirigidos a la Comisi\u00f3n sobre el mantenimiento y la revisi\u00f3n de los reg\u00edmenes europeos de certificaci\u00f3n de la ciberseguridad existentes. El GECC debe facilitar el intercambio de buenas pr\u00e1cticas y conocimientos t\u00e9cnicos entre las distintas autoridades nacionales de certificaci\u00f3n de la ciberseguridad responsables de la autorizaci\u00f3n de los organismos de evaluaci\u00f3n de la conformidad y de la expedici\u00f3n de los certificados europeos de ciberseguridad.<\/p>\n\n\n\n

(104) Para aumentar la sensibilizaci\u00f3n y facilitar la aceptaci\u00f3n de los futuros reg\u00edmenes europeos de certificaci\u00f3n de la ciberseguridad, la Comisi\u00f3n podr\u00e1 publicar directrices generales o sectoriales en materia de ciberseguridad, por ejemplo sobre buenas pr\u00e1cticas de ciberseguridad o comportamientos responsables en materia de ciberseguridad que pongan de relieve el efecto positivo del uso de productos de TIC, servicios de TIC y procesos de TIC certificados.<\/p>\n\n\n\n

(105) Para facilitar a\u00fan m\u00e1s el comercio, y reconociendo que las cadenas de suministro de las TIC son mundiales, la Uni\u00f3n podr\u00e1 celebrar acuerdos de reconocimiento mutuo relativos a los certificados europeos de ciberseguridad, de conformidad con el art\u00edculo 218 del Tratado de Funcionamiento de la Uni\u00f3n Europea (TFUE). La Comisi\u00f3n, teniendo en cuenta el asesoramiento de la ENISA y del Grupo Europeo de Certificaci\u00f3n de la Ciberseguridad, podr\u00e1 recomendar la apertura de las negociaciones pertinentes. Cada sistema europeo de certificaci\u00f3n de la ciberseguridad deber\u00e1 prever condiciones espec\u00edficas para tales acuerdos de reconocimiento mutuo con terceros pa\u00edses.<\/p>\n\n\n\n

(106) A fin de garantizar condiciones uniformes de ejecuci\u00f3n del presente Reglamento, deben conferirse a la Comisi\u00f3n competencias de ejecuci\u00f3n. Dichas competencias deben ejercerse de conformidad con el Reglamento (UE) n\u00ba 182\/2011 del Parlamento Europeo y del Consejo (22).<\/p>\n\n\n\n

(107) El procedimiento de examen debe utilizarse para la adopci\u00f3n de actos de ejecuci\u00f3n sobre los reg\u00edmenes europeos de certificaci\u00f3n de la ciberseguridad para los productos de las TIC, los servicios de las TIC o los procesos de las TIC, para la adopci\u00f3n de actos de ejecuci\u00f3n sobre las disposiciones para la realizaci\u00f3n de investigaciones por la ENISA, para la adopci\u00f3n de actos de ejecuci\u00f3n sobre un plan para la revisi\u00f3n inter pares de las autoridades nacionales de certificaci\u00f3n de la ciberseguridad, as\u00ed como para la adopci\u00f3n de actos de ejecuci\u00f3n sobre las circunstancias, los formatos y los procedimientos de las notificaciones de los organismos de evaluaci\u00f3n de la conformidad acreditados por las autoridades nacionales de certificaci\u00f3n de la ciberseguridad a la Comisi\u00f3n.<\/p>\n\n\n\n

(108) Las operaciones de la ENISA deben someterse a una evaluaci\u00f3n peri\u00f3dica e independiente. Dicha evaluaci\u00f3n debe tener en cuenta los objetivos de la ENISA, sus pr\u00e1cticas de trabajo y la pertinencia de sus tareas, en particular las relacionadas con la cooperaci\u00f3n operativa a escala de la Uni\u00f3n. Dicha evaluaci\u00f3n debe valorar asimismo el impacto, la eficacia y la eficiencia del marco europeo de certificaci\u00f3n de la ciberseguridad. En caso de revisi\u00f3n, la Comisi\u00f3n debe evaluar c\u00f3mo puede reforzarse el papel de la ENISA como punto de referencia para el asesoramiento y los conocimientos t\u00e9cnicos y debe evaluar tambi\u00e9n la posibilidad de que la ENISA desempe\u00f1e un papel de apoyo a la evaluaci\u00f3n de los productos de TIC, servicios de TIC y procesos de TIC de terceros pa\u00edses que no cumplan las normas de la Uni\u00f3n, cuando dichos productos, servicios y procesos entren en la Uni\u00f3n.<\/p>\n\n\n\n

(109) Dado que los objetivos del presente Reglamento no pueden ser alcanzados de manera suficiente por los Estados miembros, sino que, debido a su dimensi\u00f3n y efectos, pueden lograrse mejor a escala de la Uni\u00f3n, \u00e9sta puede adoptar medidas, de acuerdo con el principio de subsidiariedad consagrado en el art\u00edculo 5 del Tratado de la Uni\u00f3n Europea (TUE). De conformidad con el principio de proporcionalidad enunciado en dicho art\u00edculo, el presente Reglamento no excede de lo necesario para alcanzar estos objetivos.<\/p>\n\n\n\n

(110) Debe derogarse el Reglamento (UE) n\u00ba 526\/2013,<\/p>\n\n\n\n

HAN ADOPTADO ESTE REGLAMENTO:<\/p>\n\n\n\n

<\/p>","protected":false},"excerpt":{"rendered":"

EL PARLAMENTO EUROPEO Y EL CONSEJO DE LA UNI\u00d3N EUROPEA,Visto el Tratado de Funcionamiento de la Uni\u00f3n Europea y, en particular, su art\u00edculo 114,Vista la propuesta de la Comisi\u00f3n Europea,Previa transmisi\u00f3n del proyecto de acto legislativo a los parlamentos nacionales,Visto el dictamen del Comit\u00e9 Econ\u00f3mico y Social Europeo [...].<\/p>","protected":false},"author":1,"featured_media":0,"parent":1145,"menu_order":0,"comment_status":"closed","ping_status":"closed","template":"","meta":{"_gspb_post_css":".gspb_container-id-gsbp-b565ac4{flex-direction:column;box-sizing:border-box}#gspb_container-id-gsbp-b565ac4.gspb_container>p:last-of-type{margin-bottom:0}.gspb_container{position:relative}#gspb_container-id-gsbp-b565ac4.gspb_container{display:flex;flex-direction:column;align-items:center;margin-bottom:40px}@media (max-width:991.98px){#gspb_container-id-gsbp-b565ac4.gspb_container{margin-bottom:40px}}#gspb_heading-id-gsbp-d1b4c76{font-size:30px}@media (max-width:991.98px){#gspb_heading-id-gsbp-d1b4c76{font-size:30px}}@media (max-width:575.98px){#gspb_heading-id-gsbp-d1b4c76{font-size:25px}}#gspb_heading-id-gsbp-d1b4c76,#gspb_heading-id-gsbp-d1b4c76 .gsap-g-line{text-align:center!important}#gspb_heading-id-gsbp-d1b4c76{margin-top:0;margin-bottom:10px}","footnotes":""},"class_list":["post-1146","page","type-page","status-publish","hentry"],"blocksy_meta":{"has_hero_section":"enabled","styles_descriptor":{"styles":{"desktop":"[data-prefix=\"single_page\"] .entry-header .page-title {--theme-font-size:30px;} [data-prefix=\"single_page\"] .entry-header .entry-meta {--theme-font-weight:600;--theme-text-transform:uppercase;--theme-font-size:12px;--theme-line-height:1.3;}","tablet":"","mobile":""},"google_fonts":[],"version":6},"vertical_spacing_source":"custom","content_area_spacing":"none","page_structure_type":"type-2","hero_elements":[{"id":"custom_title","enabled":true,"heading_tag":"h1","title":"Home","__id":"zUAv84-iCqwWhwHz_7eMU"},{"id":"custom_description","enabled":false,"description_visibility":{"desktop":true,"tablet":true,"mobile":false},"__id":"q0z81OBwVS1eiBNwQJZ31"},{"id":"custom_meta","enabled":false,"meta_elements":[{"id":"author","enabled":true,"label":"By","has_author_avatar":"yes","avatar_size":25},{"id":"post_date","enabled":true,"label":"On","date_format_source":"default","date_format":"M j, Y"},{"id":"updated_date","enabled":false,"label":"On","date_format_source":"default","date_format":"M j, Y"},{"id":"categories","enabled":false,"label":"In","style":"simple"},{"id":"comments","enabled":true}],"page_meta_elements":{"joined":true,"articles_count":true,"comments":true},"__id":"908KnW1IQtQMH2CkUzVag"},{"id":"breadcrumbs","enabled":true,"__id":"gyh2MB_UdPumL0ReCyfHv"},{"id":"content-block","enabled":false,"__id":"RhhTfxRztIm-fh5C63-qH"}]},"rankMath":{"parentDomain":"nis2resources.eu","noFollowDomains":[],"noFollowExcludeDomains":[],"noFollowExternalLinks":false,"featuredImageNotice":"La imagen destacada debe tener al menos 200 por 200 p\u00edxeles para que Facebook y otros sitios de redes sociales puedan escogerla.","pluginReviewed":false,"postSettings":{"linkSuggestions":true,"useFocusKeyword":false},"frontEndScore":false,"postName":"preamble","permalinkFormat":"https:\/\/nis2resources.eu\/es\/%pagename%\/","showLockModifiedDate":true,"assessor":{"focusKeywordLink":"https:\/\/nis2resources.eu\/wp-admin\/edit.php?focus_keyword=%focus_keyword%&post_type=%post_type%","hasTOCPlugin":false,"primaryTaxonomy":false,"serpData":{"title":"","description":"","focusKeywords":"","pillarContent":false,"canonicalUrl":"","breadcrumbTitle":"","advancedRobots":{"max-snippet":"-1","max-video-preview":"-1","max-image-preview":"large"},"facebookTitle":"","facebookDescription":"","facebookImage":"","facebookImageID":"","facebookHasOverlay":false,"facebookImageOverlay":"","facebookAuthor":"","twitterCardType":"","twitterUseFacebook":true,"twitterTitle":"","twitterDescription":"","twitterImage":"","twitterImageID":"","twitterHasOverlay":false,"twitterImageOverlay":"","twitterPlayerUrl":"","twitterPlayerSize":"","twitterPlayerStream":"","twitterPlayerStreamCtype":"","twitterAppDescription":"","twitterAppIphoneName":"","twitterAppIphoneID":"","twitterAppIphoneUrl":"","twitterAppIpadName":"","twitterAppIpadID":"","twitterAppIpadUrl":"","twitterAppGoogleplayName":"","twitterAppGoogleplayID":"","twitterAppGoogleplayUrl":"","twitterAppCountry":"","robots":{"index":true},"twitterAuthor":"nombre de usuario","primaryTerm":0,"authorName":"admin","titleTemplate":"%title% %sep% %sitename%","descriptionTemplate":"%excerpt%","showScoreFrontend":true,"lockModifiedDate":false},"powerWords":["incre\u00edble","asombroso","maravilloso","\u00fanico","hermoso","felicidad","brillante","cautivador","carism\u00e1tico","impactante","claro","completamente","confidencial","confianza","significativo","creativo","definitivamente","delicioso","demostrar","apres\u00farate","decidido","digno","din\u00e1mico","impresionante","esencial","inspirador","innovador","intenso","eficaz","m\u00e1gico","magn\u00edfico","hist\u00f3rico","importante","incre\u00edble","indispensable","inolvidable","irresistible","legendario","luminoso","lujo","m\u00e1gico","magn\u00edfico","majestuoso","memorable","maravilloso","milagroso","motivador","necesario","nuevo","oficial","perfecto","apasionado","persuasivo","fenomenal","placer","popular","poder","prestigioso","prodigioso","profundo","pr\u00f3spero","poderoso","calidad","radiante","r\u00e1pido","exitoso","revolucionario","satisfecho","seguridad","sensacional","sereno","suntuoso","espl\u00e9ndido","sublime","sorprendente","talentoso","terror\u00edfico","\u00fanico","valor","vibrante","victorioso","vivo","verdaderamente","celoso","aut\u00e9ntico","aventurero","espectacular","exclusivo","garantizado","extraordinario","fabuloso","fascinante","formidable","genial","grandioso","gratuito","h\u00e1bil","ilimitado","impecable","infalible","infinitamente","influyente","ingenioso","inolvidable","irremplazable","l\u00edder","maestro","notable","novedoso","pionero","poderoso","reconocido","revolucionario","sorprendente","superior","triunfante","ultra","valiente","valioso","vanguardista","vigoroso","visionario","voluntad","vital","triunfo","glorioso","imparable","inigualable","inteligente","invencible","libertad","orgullo","paz","progreso","renovado","sabidur\u00eda","satisfacci\u00f3n","seguro","serenidad","superaci\u00f3n","talento","transcendente","transformador","valent\u00eda","victoria"],"diacritics":{"A":"[\\u0041\\u24B6\\uFF21\\u00C0\\u00C1\\u00C2\\u1EA6\\u1EA4\\u1EAA\\u1EA8\\u00C3\\u0100\\u0102\\u1EB0\\u1EAE\\u1EB4\\u1EB2\\u0226\\u01E0\\u00C4\\u01DE\\u1EA2\\u00C5\\u01FA\\u01CD\\u0200\\u0202\\u1EA0\\u1EAC\\u1EB6\\u1E00\\u0104\\u023A\\u2C6F]","AA":"[\\uA732]","AE":"[\\u00C6\\u01FC\\u01E2]","AO":"[\\uA734]","AU":"[\\uA736]","AV":"[\\uA738\\uA73A]","AY":"[\\uA73C]","B":"[\\u0042\\u24B7\\uFF22\\u1E02\\u1E04\\u1E06\\u0243\\u0182\\u0181]","C":"[\\u0043\\u24B8\\uFF23\\u0106\\u0108\\u010A\\u010C\\u00C7\\u1E08\\u0187\\u023B\\uA73E]","D":"[\\u0044\\u24B9\\uFF24\\u1E0A\\u010E\\u1E0C\\u1E10\\u1E12\\u1E0E\\u0110\\u018B\\u018A\\u0189\\uA779]","DZ":"[\\u01F1\\u01C4]","Dz":"[\\u01F2\\u01C5]","E":"[\\u0045\\u24BA\\uFF25\\u00C8\\u00C9\\u00CA\\u1EC0\\u1EBE\\u1EC4\\u1EC2\\u1EBC\\u0112\\u1E14\\u1E16\\u0114\\u0116\\u00CB\\u1EBA\\u011A\\u0204\\u0206\\u1EB8\\u1EC6\\u0228\\u1E1C\\u0118\\u1E18\\u1E1A\\u0190\\u018E]","F":"[\\u0046\\u24BB\\uFF26\\u1E1E\\u0191\\uA77B]","G":"[\\u0047\\u24BC\\uFF27\\u01F4\\u011C\\u1E20\\u011E\\u0120\\u01E6\\u0122\\u01E4\\u0193\\uA7A0\\uA77D\\uA77E]","H":"[\\u0048\\u24BD\\uFF28\\u0124\\u1E22\\u1E26\\u021E\\u1E24\\u1E28\\u1E2A\\u0126\\u2C67\\u2C75\\uA78D]","I":"[\\u0049\\u24BE\\uFF29\\u00CC\\u00CD\\u00CE\\u0128\\u012A\\u012C\\u0130\\u00CF\\u1E2E\\u1EC8\\u01CF\\u0208\\u020A\\u1ECA\\u012E\\u1E2C\\u0197]","J":"[\\u004A\\u24BF\\uFF2A\\u0134\\u0248]","K":"[\\u004B\\u24C0\\uFF2B\\u1E30\\u01E8\\u1E32\\u0136\\u1E34\\u0198\\u2C69\\uA740\\uA742\\uA744\\uA7A2]","L":"[\\u004C\\u24C1\\uFF2C\\u013F\\u0139\\u013D\\u1E36\\u1E38\\u013B\\u1E3C\\u1E3A\\u0141\\u023D\\u2C62\\u2C60\\uA748\\uA746\\uA780]","LJ":"[\\u01C7]","Lj":"[\\u01C8]","M":"[\\u004D\\u24C2\\uFF2D\\u1E3E\\u1E40\\u1E42\\u2C6E\\u019C]","N":"[\\u004E\\u24C3\\uFF2E\\u01F8\\u0143\\u00D1\\u1E44\\u0147\\u1E46\\u0145\\u1E4A\\u1E48\\u0220\\u019D\\uA790\\uA7A4]","NJ":"[\\u01CA]","Nj":"[\\u01CB]","O":"[\\u004F\\u24C4\\uFF2F\\u00D2\\u00D3\\u00D4\\u1ED2\\u1ED0\\u1ED6\\u1ED4\\u00D5\\u1E4C\\u022C\\u1E4E\\u014C\\u1E50\\u1E52\\u014E\\u022E\\u0230\\u00D6\\u022A\\u1ECE\\u0150\\u01D1\\u020C\\u020E\\u01A0\\u1EDC\\u1EDA\\u1EE0\\u1EDE\\u1EE2\\u1ECC\\u1ED8\\u01EA\\u01EC\\u00D8\\u01FE\\u0186\\u019F\\uA74A\\uA74C]","OI":"[\\u01A2]","OO":"[\\uA74E]","OU":"[\\u0222]","P":"[\\u0050\\u24C5\\uFF30\\u1E54\\u1E56\\u01A4\\u2C63\\uA750\\uA752\\uA754]","Q":"[\\u0051\\u24C6\\uFF31\\uA756\\uA758\\u024A]","R":"[\\u0052\\u24C7\\uFF32\\u0154\\u1E58\\u0158\\u0210\\u0212\\u1E5A\\u1E5C\\u0156\\u1E5E\\u024C\\u2C64\\uA75A\\uA7A6\\uA782]","S":"[\\u0053\\u24C8\\uFF33\\u1E9E\\u015A\\u1E64\\u015C\\u1E60\\u0160\\u1E66\\u1E62\\u1E68\\u0218\\u015E\\u2C7E\\uA7A8\\uA784]","T":"[\\u0054\\u24C9\\uFF34\\u1E6A\\u0164\\u1E6C\\u021A\\u0162\\u1E70\\u1E6E\\u0166\\u01AC\\u01AE\\u023E\\uA786]","TZ":"[\\uA728]","U":"[\\u0055\\u24CA\\uFF35\\u00D9\\u00DA\\u00DB\\u0168\\u1E78\\u016A\\u1E7A\\u016C\\u00DC\\u01DB\\u01D7\\u01D5\\u01D9\\u1EE6\\u016E\\u0170\\u01D3\\u0214\\u0216\\u01AF\\u1EEA\\u1EE8\\u1EEE\\u1EEC\\u1EF0\\u1EE4\\u1E72\\u0172\\u1E76\\u1E74\\u0244]","V":"[\\u0056\\u24CB\\uFF36\\u1E7C\\u1E7E\\u01B2\\uA75E\\u0245]","VY":"[\\uA760]","W":"[\\u0057\\u24CC\\uFF37\\u1E80\\u1E82\\u0174\\u1E86\\u1E84\\u1E88\\u2C72]","X":"[\\u0058\\u24CD\\uFF38\\u1E8A\\u1E8C]","Y":"[\\u0059\\u24CE\\uFF39\\u1EF2\\u00DD\\u0176\\u1EF8\\u0232\\u1E8E\\u0178\\u1EF6\\u1EF4\\u01B3\\u024E\\u1EFE]","Z":"[\\u005A\\u24CF\\uFF3A\\u0179\\u1E90\\u017B\\u017D\\u1E92\\u1E94\\u01B5\\u0224\\u2C7F\\u2C6B\\uA762]","a":"[\\u0061\\u24D0\\uFF41\\u1E9A\\u00E0\\u00E1\\u00E2\\u1EA7\\u1EA5\\u1EAB\\u1EA9\\u00E3\\u0101\\u0103\\u1EB1\\u1EAF\\u1EB5\\u1EB3\\u0227\\u01E1\\u00E4\\u01DF\\u1EA3\\u00E5\\u01FB\\u01CE\\u0201\\u0203\\u1EA1\\u1EAD\\u1EB7\\u1E01\\u0105\\u2C65\\u0250]","aa":"[\\uA733]","ae":"[\\u00E6\\u01FD\\u01E3]","ao":"[\\uA735]","au":"[\\uA737]","av":"[\\uA739\\uA73B]","ay":"[\\uA73D]","b":"[\\u0062\\u24D1\\uFF42\\u1E03\\u1E05\\u1E07\\u0180\\u0183\\u0253]","c":"[\\u0063\\u24D2\\uFF43\\u0107\\u0109\\u010B\\u010D\\u00E7\\u1E09\\u0188\\u023C\\uA73F\\u2184]","d":"[\\u0064\\u24D3\\uFF44\\u1E0B\\u010F\\u1E0D\\u1E11\\u1E13\\u1E0F\\u0111\\u018C\\u0256\\u0257\\uA77A]","dz":"[\\u01F3\\u01C6]","e":"[\\u0065\\u24D4\\uFF45\\u00E8\\u00E9\\u00EA\\u1EC1\\u1EBF\\u1EC5\\u1EC3\\u1EBD\\u0113\\u1E15\\u1E17\\u0115\\u0117\\u00EB\\u1EBB\\u011B\\u0205\\u0207\\u1EB9\\u1EC7\\u0229\\u1E1D\\u0119\\u1E19\\u1E1B\\u0247\\u025B\\u01DD]","f":"[\\u0066\\u24D5\\uFF46\\u1E1F\\u0192\\uA77C]","g":"[\\u0067\\u24D6\\uFF47\\u01F5\\u011D\\u1E21\\u011F\\u0121\\u01E7\\u0123\\u01E5\\u0260\\uA7A1\\u1D79\\uA77F]","h":"[\\u0068\\u24D7\\uFF48\\u0125\\u1E23\\u1E27\\u021F\\u1E25\\u1E29\\u1E2B\\u1E96\\u0127\\u2C68\\u2C76\\u0265]","hv":"[\\u0195]","i":"[\\u0069\\u24D8\\uFF49\\u00EC\\u00ED\\u00EE\\u0129\\u012B\\u012D\\u00EF\\u1E2F\\u1EC9\\u01D0\\u0209\\u020B\\u1ECB\\u012F\\u1E2D\\u0268\\u0131]","j":"[\\u006A\\u24D9\\uFF4A\\u0135\\u01F0\\u0249]","k":"[\\u006B\\u24DA\\uFF4B\\u1E31\\u01E9\\u1E33\\u0137\\u1E35\\u0199\\u2C6A\\uA741\\uA743\\uA745\\uA7A3]","l":"[\\u006C\\u24DB\\uFF4C\\u0140\\u013A\\u013E\\u1E37\\u1E39\\u013C\\u1E3D\\u1E3B\\u017F\\u0142\\u019A\\u026B\\u2C61\\uA749\\uA781\\uA747]","lj":"[\\u01C9]","m":"[\\u006D\\u24DC\\uFF4D\\u1E3F\\u1E41\\u1E43\\u0271\\u026F]","n":"[\\u006E\\u24DD\\uFF4E\\u01F9\\u0144\\u00F1\\u1E45\\u0148\\u1E47\\u0146\\u1E4B\\u1E49\\u019E\\u0272\\u0149\\uA791\\uA7A5]","nj":"[\\u01CC]","o":"[\\u006F\\u24DE\\uFF4F\\u00F2\\u00F3\\u00F4\\u1ED3\\u1ED1\\u1ED7\\u1ED5\\u00F5\\u1E4D\\u022D\\u1E4F\\u014D\\u1E51\\u1E53\\u014F\\u022F\\u0231\\u00F6\\u022B\\u1ECF\\u0151\\u01D2\\u020D\\u020F\\u01A1\\u1EDD\\u1EDB\\u1EE1\\u1EDF\\u1EE3\\u1ECD\\u1ED9\\u01EB\\u01ED\\u00F8\\u01FF\\u0254\\uA74B\\uA74D\\u0275]","oi":"[\\u01A3]","ou":"[\\u0223]","oo":"[\\uA74F]","p":"[\\u0070\\u24DF\\uFF50\\u1E55\\u1E57\\u01A5\\u1D7D\\uA751\\uA753\\uA755]","q":"[\\u0071\\u24E0\\uFF51\\u024B\\uA757\\uA759]","r":"[\\u0072\\u24E1\\uFF52\\u0155\\u1E59\\u0159\\u0211\\u0213\\u1E5B\\u1E5D\\u0157\\u1E5F\\u024D\\u027D\\uA75B\\uA7A7\\uA783]","s":"[\\u0073\\u24E2\\uFF53\\u015B\\u1E65\\u015D\\u1E61\\u0161\\u1E67\\u1E63\\u1E69\\u0219\\u015F\\u023F\\uA7A9\\uA785\\u1E9B]","ss":"[\\u00DF]","t":"[\\u0074\\u24E3\\uFF54\\u1E6B\\u1E97\\u0165\\u1E6D\\u021B\\u0163\\u1E71\\u1E6F\\u0167\\u01AD\\u0288\\u2C66\\uA787]","tz":"[\\uA729]","u":"[\\u0075\\u24E4\\uFF55\\u00F9\\u00FA\\u00FB\\u0169\\u1E79\\u016B\\u1E7B\\u016D\\u00FC\\u01DC\\u01D8\\u01D6\\u01DA\\u1EE7\\u016F\\u0171\\u01D4\\u0215\\u0217\\u01B0\\u1EEB\\u1EE9\\u1EEF\\u1EED\\u1EF1\\u1EE5\\u1E73\\u0173\\u1E77\\u1E75\\u0289]","v":"[\\u0076\\u24E5\\uFF56\\u1E7D\\u1E7F\\u028B\\uA75F\\u028C]","vy":"[\\uA761]","w":"[\\u0077\\u24E6\\uFF57\\u1E81\\u1E83\\u0175\\u1E87\\u1E85\\u1E98\\u1E89\\u2C73]","x":"[\\u0078\\u24E7\\uFF58\\u1E8B\\u1E8D]","y":"[\\u0079\\u24E8\\uFF59\\u1EF3\\u00FD\\u0177\\u1EF9\\u0233\\u1E8F\\u00FF\\u1EF7\\u1E99\\u1EF5\\u01B4\\u024F\\u1EFF]","z":"[\\u007A\\u24E9\\uFF5A\\u017A\\u1E91\\u017C\\u017E\\u1E93\\u1E95\\u01B6\\u0225\\u0240\\u2C6C\\uA763]"},"researchesTests":["contentHasTOC","contentHasShortParagraphs","contentHasAssets","keywordInTitle","keywordInMetaDescription","keywordInPermalink","keywordIn10Percent","keywordInContent","keywordInSubheadings","keywordInImageAlt","keywordDensity","keywordNotUsed","lengthContent","lengthPermalink","linksHasInternal","linksHasExternals","linksNotAllExternals","titleStartWithKeyword","titleSentiment","titleHasPowerWords","titleHasNumber","hasContentAI"],"hasRedirection":true,"hasBreadcrumb":true},"homeUrl":"https:\/\/nis2resources.eu\/es","objectID":1146,"objectType":"post","locale":"es","localeFull":"es_ES","overlayImages":{"play":{"name":"Icono de reproducci\u00f3n","url":"https:\/\/nis2resources.eu\/wp-content\/plugins\/seo-by-rank-math\/assets\/admin\/img\/icon-play.png","path":"\/var\/www\/vhosts\/nis2resources.eu\/httpdocs\/wp-content\/plugins\/seo-by-rank-math\/assets\/admin\/img\/icon-play.png","position":"middle_center"},"gif":{"name":"Icono GIF","url":"https:\/\/nis2resources.eu\/wp-content\/plugins\/seo-by-rank-math\/assets\/admin\/img\/icon-gif.png","path":"\/var\/www\/vhosts\/nis2resources.eu\/httpdocs\/wp-content\/plugins\/seo-by-rank-math\/assets\/admin\/img\/icon-gif.png","position":"middle_center"}},"defautOgImage":"https:\/\/nis2resources.eu\/wp-content\/plugins\/seo-by-rank-math\/assets\/admin\/img\/social-placeholder.jpg","customPermalinks":true,"isUserRegistered":true,"autoSuggestKeywords":true,"connectSiteUrl":"https:\/\/rankmath.com\/auth?site=https%3A%2F%2Fnis2resources.eu%2Fes&r=https%3A%2F%2Fnis2resources.eu%2Fes%2Fwp-json%2Fwp%2Fv2%2Fpages%2F1146%2F%3Fnonce%3D7c2ab2316e&pro=1","maxTags":100,"trendsIcon":"<\/svg>","showScore":true,"siteFavIcon":"https:\/\/nis2resources.eu\/wp-content\/uploads\/2024\/08\/cropped-nis2resources-icon-32x32.png","canUser":{"general":false,"advanced":false,"snippet":false,"social":false,"analysis":false,"analytics":false,"content_ai":false},"showKeywordIntent":true,"isPro":true,"is_front_page":false,"trendsUpgradeLink":"https:\/\/rankmath.com\/pricing\/?utm_source=Plugin&utm_medium=CE%20General%20Tab%20Trends&utm_campaign=WP","trendsUpgradeLabel":"Actualizar","trendsPreviewImage":"https:\/\/nis2resources.eu\/wp-content\/plugins\/seo-by-rank-math\/assets\/admin\/img\/trends-preview.jpg","currentEditor":false,"homepageData":{"assessor":{"powerWords":["incre\u00edble","asombroso","maravilloso","\u00fanico","hermoso","felicidad","brillante","cautivador","carism\u00e1tico","impactante","claro","completamente","confidencial","confianza","significativo","creativo","definitivamente","delicioso","demostrar","apres\u00farate","decidido","digno","din\u00e1mico","impresionante","esencial","inspirador","innovador","intenso","eficaz","m\u00e1gico","magn\u00edfico","hist\u00f3rico","importante","incre\u00edble","indispensable","inolvidable","irresistible","legendario","luminoso","lujo","m\u00e1gico","magn\u00edfico","majestuoso","memorable","maravilloso","milagroso","motivador","necesario","nuevo","oficial","perfecto","apasionado","persuasivo","fenomenal","placer","popular","poder","prestigioso","prodigioso","profundo","pr\u00f3spero","poderoso","calidad","radiante","r\u00e1pido","exitoso","revolucionario","satisfecho","seguridad","sensacional","sereno","suntuoso","espl\u00e9ndido","sublime","sorprendente","talentoso","terror\u00edfico","\u00fanico","valor","vibrante","victorioso","vivo","verdaderamente","celoso","aut\u00e9ntico","aventurero","espectacular","exclusivo","garantizado","extraordinario","fabuloso","fascinante","formidable","genial","grandioso","gratuito","h\u00e1bil","ilimitado","impecable","infalible","infinitamente","influyente","ingenioso","inolvidable","irremplazable","l\u00edder","maestro","notable","novedoso","pionero","poderoso","reconocido","revolucionario","sorprendente","superior","triunfante","ultra","valiente","valioso","vanguardista","vigoroso","visionario","voluntad","vital","triunfo","glorioso","imparable","inigualable","inteligente","invencible","libertad","orgullo","paz","progreso","renovado","sabidur\u00eda","satisfacci\u00f3n","seguro","serenidad","superaci\u00f3n","talento","transcendente","transformador","valent\u00eda","victoria"],"diacritics":true,"researchesTests":["contentHasTOC","contentHasShortParagraphs","contentHasAssets","keywordInTitle","keywordInMetaDescription","keywordInPermalink","keywordIn10Percent","keywordInContent","keywordInSubheadings","keywordInImageAlt","keywordDensity","keywordNotUsed","lengthContent","lengthPermalink","linksHasInternal","linksHasExternals","linksNotAllExternals","titleStartWithKeyword","titleSentiment","titleHasPowerWords","titleHasNumber","hasContentAI"],"hasBreadcrumb":true,"serpData":{"title":"%sitename% %page% %sep% %sitedesc%","description":"","titleTemplate":"%sitename% %page% %sep% %sitedesc%","descriptionTemplate":"","focusKeywords":"","breadcrumbTitle":"Home","robots":{"index":true},"advancedRobots":{"max-snippet":"-1","max-video-preview":"-1","max-image-preview":"large"},"facebookTitle":"","facebookDescription":"","facebookImage":"","facebookImageID":""}}},"searchIntents":[],"isAnalyticsConnected":false,"tocTitle":"Table of Contents","tocExcludeHeadings":[],"listStyle":"ul"},"_links":{"self":[{"href":"https:\/\/nis2resources.eu\/es\/wp-json\/wp\/v2\/pages\/1146","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/nis2resources.eu\/es\/wp-json\/wp\/v2\/pages"}],"about":[{"href":"https:\/\/nis2resources.eu\/es\/wp-json\/wp\/v2\/types\/page"}],"author":[{"embeddable":true,"href":"https:\/\/nis2resources.eu\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/nis2resources.eu\/es\/wp-json\/wp\/v2\/comments?post=1146"}],"version-history":[{"count":0,"href":"https:\/\/nis2resources.eu\/es\/wp-json\/wp\/v2\/pages\/1146\/revisions"}],"up":[{"embeddable":true,"href":"https:\/\/nis2resources.eu\/es\/wp-json\/wp\/v2\/pages\/1145"}],"wp:attachment":[{"href":"https:\/\/nis2resources.eu\/es\/wp-json\/wp\/v2\/media?parent=1146"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}