{"id":584,"date":"2024-01-29T16:47:57","date_gmt":"2024-01-29T16:47:57","guid":{"rendered":"https:\/\/nis2resources.eu\/?page_id=584"},"modified":"2024-08-09T05:19:15","modified_gmt":"2024-08-09T05:19:15","slug":"preambulo","status":"publish","type":"page","link":"https:\/\/nis2resources.eu\/es\/directiva-2022-2555-nis2\/preambulo\/","title":{"rendered":"Pre\u00e1mbulo"},"content":{"rendered":"
\n

EL PARLAMENTO EUROPEO Y EL CONSEJO DE LA UNI\u00d3N EUROPEA,<\/h2>\n\n\n\n
Visto el Tratado de Funcionamiento de la Uni\u00f3n Europea y, en particular, su art\u00edculo 114,
Vista la propuesta de la Comisi\u00f3n Europea,
Tras la transmisi\u00f3n del proyecto de acto legislativo a los parlamentos nacionales,
Visto el dictamen del Banco Central Europeo,
Visto el dictamen del Comit\u00e9 Econ\u00f3mico y Social Europeo,
Previa consulta al Comit\u00e9 de las Regiones,
Actuar de acuerdo con el procedimiento legislativo ordinario,<\/div>\n<\/div>\n\n\n\n

Considerando que:<\/p>\n\n\n\n

(1) La Directiva (UE) 2016\/1148 del Parlamento Europeo y del Consejo (4) ten\u00eda por objeto construir ciberseguridadCiberseguridad<\/span> \"ciberseguridad\": la ciberseguridad definida en el art\u00edculo 2, punto 1, del Reglamento (UE) 2019\/881; - Definici\u00f3n seg\u00fan el art\u00edculo 6 de la Directiva (UE) 2022\/2555 (Directiva NIS2)<\/a>\r\r\"ciberseguridad\": las actividades necesarias para proteger las redes y los sistemas de informaci\u00f3n, a los usuarios de dichos sistemas y a otras personas afectadas por las ciberamenazas; - Definici\u00f3n seg\u00fan el art\u00edculo 2, punto (1), del Reglamento (UE) 2019\/881;<\/span><\/span><\/span> capacidades en toda la Uni\u00f3n, mitigar las amenazas a los sistemas de red e informaci\u00f3n utilizados para prestar servicios esenciales en sectores clave y garantizar la continuidad de dichos servicios cuando se enfrenten a incidentes, contribuyendo as\u00ed a la seguridad de la Uni\u00f3n y al funcionamiento eficaz de su econom\u00eda y su sociedad.<\/p>\n\n\n\n

(2) Desde la entrada en vigor de la Directiva (UE) 2016\/1148, se han logrado avances significativos en el aumento del nivel de ciberresiliencia de la Uni\u00f3n. La revisi\u00f3n de dicha Directiva ha puesto de manifiesto que ha servido de catalizador para el enfoque institucional y normativo de la ciberseguridad en la Uni\u00f3n, allanando el camino para un importante cambio de mentalidad.<\/p>\n\n\n\n

Dicha Directiva ha garantizado la finalizaci\u00f3n de los marcos nacionales sobre la seguridad de la red y de los sistemas de informaci\u00f3nSeguridad de redes y sistemas de informaci\u00f3n<\/span> la capacidad de los sistemas de red y de informaci\u00f3n de resistir, con un determinado nivel de confianza, cualquier evento que pueda comprometer la disponibilidad, autenticidad, integridad o confidencialidad de los datos almacenados, transmitidos o procesados o de los servicios ofrecidos por dichos sistemas de red y de informaci\u00f3n o accesibles a trav\u00e9s de ellos Definici\u00f3n seg\u00fan el art\u00edculo 6 de la Directiva (UE) 2022\/2555 (Directiva NIS2)<\/a><\/span><\/span><\/span> estableciendo estrategias nacionales sobre la seguridad de las redes y los sistemas de informaci\u00f3n y creando capacidades nacionales, y aplicando medidas reglamentarias que cubran las infraestructuras y entidades esenciales identificadas por cada Estado miembro.<\/p>\n\n\n\n

La Directiva (UE) 2016\/1148 tambi\u00e9n ha contribuido a la cooperaci\u00f3n a escala de la Uni\u00f3n mediante la creaci\u00f3n del Grupo de Cooperaci\u00f3n y la red de seguridad inform\u00e1tica nacional incidenteIncidente<\/span> Se refiere a un suceso que compromete la disponibilidad, autenticidad, integridad o confidencialidad de los datos almacenados, transmitidos o procesados, o de los servicios ofrecidos por los sistemas de red y de informaci\u00f3n o accesibles a trav\u00e9s de ellos\". Definici\u00f3n seg\u00fan el art\u00edculo 6 de la Directiva (UE) 2022\/2555 (Directiva NIS2)<\/a><\/span><\/span><\/span> equipos de respuesta. A pesar de estos logros, la revisi\u00f3n de la Directiva (UE) 2016\/1148 ha puesto de manifiesto deficiencias inherentes que le impiden abordar eficazmente los retos actuales y emergentes en materia de ciberseguridad.<\/p>\n\n\n\n

(3) Las redes y los sistemas de informaci\u00f3n se han convertido en un elemento central de la vida cotidiana con la r\u00e1pida transformaci\u00f3n digital y la interconexi\u00f3n de la sociedad, incluidos los intercambios transfronterizos. Esta evoluci\u00f3n ha dado lugar a una expansi\u00f3n de la amenaza cibern\u00e9ticaCiberamenazas<\/span> significa cualquier circunstancia, evento o acci\u00f3n potencial que pueda da\u00f1ar, interrumpir o afectar negativamente de otro modo a los sistemas de red y de informaci\u00f3n, a los usuarios de dichos sistemas y a otras personas - Definici\u00f3n seg\u00fan el art\u00edculo 2, punto (8), Reglamento (UE) 2019\/881<\/span><\/span><\/span> que plantean nuevos retos que requieren respuestas adaptadas, coordinadas e innovadoras en todos los Estados miembros.<\/p>\n\n\n\n

El n\u00famero, la magnitud, la sofisticaci\u00f3n, la frecuencia y el impacto de los incidentes van en aumento y representan una amenaza importante para el funcionamiento de las redes y los sistemas de informaci\u00f3n. Como consecuencia, los incidentes pueden obstaculizar el desarrollo de las actividades econ\u00f3micas en el mercado interior, generar p\u00e9rdidas financieras, socavar la confianza de los usuarios y causar da\u00f1os importantes a la econom\u00eda y la sociedad de la Uni\u00f3n.<\/p>\n\n\n\n

Por lo tanto, la preparaci\u00f3n y la eficacia de la ciberseguridad son ahora m\u00e1s esenciales que nunca para el correcto funcionamiento del mercado interior. Adem\u00e1s, la ciberseguridad es un factor clave para que muchos sectores cr\u00edticos adopten con \u00e9xito la transformaci\u00f3n digital y aprovechen plenamente los beneficios econ\u00f3micos, sociales y sostenibles de la digitalizaci\u00f3n.<\/p>\n\n\n\n

(4) La base jur\u00eddica de la Directiva (UE) 2016\/1148 era el art\u00edculo 114 del Tratado de Funcionamiento de la Uni\u00f3n Europea (TFUE), cuyo objetivo es el establecimiento y el funcionamiento del mercado interior mediante la intensificaci\u00f3n de las medidas de aproximaci\u00f3n de las legislaciones nacionales. Los requisitos de ciberseguridad impuestos a las entidades que prestan servicios o realizan actividades econ\u00f3micamente significativas var\u00edan considerablemente entre los Estados miembros en cuanto al tipo de requisito, su nivel de detalle y el m\u00e9todo de supervisi\u00f3n. Estas disparidades suponen costes adicionales y crean dificultades para las entidades que ofrecen bienes o servicios transfronterizos.<\/p>\n\n\n\n

Los requisitos impuestos por un Estado miembro que sean diferentes de los impuestos por otro Estado miembro, o que incluso entren en conflicto con ellos, pueden afectar sustancialmente a dichas actividades transfronterizas. Adem\u00e1s, es probable que la posibilidad de un dise\u00f1o o aplicaci\u00f3n inadecuados de los requisitos de ciberseguridad en un Estado miembro repercuta en el nivel de ciberseguridad de otros Estados miembros, en particular dada la intensidad de los intercambios transfronterizos.<\/p>\n\n\n\n

El examen de la Directiva (UE) 2016\/1148 ha puesto de manifiesto una gran divergencia en su aplicaci\u00f3n por los Estados miembros, incluso en relaci\u00f3n con su \u00e1mbito de aplicaci\u00f3n, cuya delimitaci\u00f3n se dej\u00f3 en gran medida a la discreci\u00f3n de los Estados miembros. La Directiva (UE) 2016\/1148 tambi\u00e9n otorg\u00f3 a los Estados miembros una discrecionalidad muy amplia en lo que respecta a la aplicaci\u00f3n de las obligaciones de seguridad y de notificaci\u00f3n de incidentes establecidas en ella. Por lo tanto, dichas obligaciones se aplicaron de maneras significativamente diferentes a nivel nacional. Existen divergencias similares en la aplicaci\u00f3n de las disposiciones de la Directiva (UE) 2016\/1148 en materia de supervisi\u00f3n y ejecuci\u00f3n.<\/p>\n\n\n\n

(5) Todas esas divergencias suponen una fragmentaci\u00f3n del mercado interior y pueden tener un efecto perjudicial en su funcionamiento, afectando en particular a la prestaci\u00f3n transfronteriza de servicios y al nivel de ciberresiliencia debido a la aplicaci\u00f3n de diversas medidas. En \u00faltima instancia, esas divergencias podr\u00edan dar lugar a un mayor vulnerabilidadVulnerabilidad<\/span> Se refiere a una debilidad, susceptibilidad o defecto de los productos o servicios de las TIC que puede ser explotado por una ciberamenaza -. Definici\u00f3n seg\u00fan el art\u00edculo 6 de la Directiva (UE) 2022\/2555 (Directiva NIS2)<\/a><\/span><\/span><\/span> de algunos Estados miembros a las ciberamenazas, con posibles efectos indirectos en toda la Uni\u00f3n.<\/p>\n\n\n\n

La presente Directiva tiene por objeto eliminar esas grandes divergencias entre los Estados miembros, en particular mediante el establecimiento de normas m\u00ednimas relativas al funcionamiento de un marco regulador coordinado, el establecimiento de mecanismos para una cooperaci\u00f3n eficaz entre las autoridades responsables de cada Estado miembro, la actualizaci\u00f3n de la lista de sectores y actividades sujetos a obligaciones en materia de ciberseguridad y el establecimiento de recursos efectivos y medidas coercitivas que son fundamentales para el cumplimiento efectivo de dichas obligaciones. Por consiguiente, la Directiva (UE) 2016\/1148 debe derogarse y sustituirse por la presente Directiva.<\/p>\n\n\n\n

(6) Con la derogaci\u00f3n de la Directiva (UE) 2016\/1148, el \u00e1mbito de aplicaci\u00f3n por sectores debe ampliarse a una mayor parte de la econom\u00eda para proporcionar una cobertura completa de los sectores y servicios de vital importancia para las actividades sociales y econ\u00f3micas clave en el mercado interior. En particular, la presente Directiva pretende superar las deficiencias de la diferenciaci\u00f3n entre operadores de servicios esenciales y servicio digitalServicio digital<\/span> todo servicio de la sociedad de la informaci\u00f3n, es decir, todo servicio prestado normalmente a cambio de una remuneraci\u00f3n, a distancia, por v\u00eda electr\u00f3nica y a petici\u00f3n individual de un destinatario de servicios.\r\rA efectos de esta definici\u00f3n: (i) \"a distancia\" significa que el servicio se presta sin que las partes est\u00e9n presentes simult\u00e1neamente; (ii) \"por v\u00eda electr\u00f3nica\" significa que el servicio se env\u00eda inicialmente y se recibe en su destino mediante equipos electr\u00f3nicos de tratamiento (incluida la compresi\u00f3n digital) y almacenamiento de datos, y se transmite, conduce y recibe \u00edntegramente por cable, radio, medios \u00f3pticos u otros medios electromagn\u00e9ticos; (iii) \"a petici\u00f3n individual de un destinatario de servicios\" significa que el servicio se presta mediante la transmisi\u00f3n de datos a petici\u00f3n individual.\r\r- Definici\u00f3n con arreglo al art\u00edculo 1, apartado 1, letra b), de la Directiva (UE) 2015\/1535 del Parlamento Europeo y del Consejo.<\/span><\/span><\/span> proveedores, que se ha demostrado obsoleta, ya que no refleja la importancia de los sectores o servicios para las actividades sociales y econ\u00f3micas en el mercado interior.<\/p>\n\n\n\n

(7) En virtud de la Directiva (UE) 2016\/1148, los Estados miembros eran responsables de determinar las entidades que cumpl\u00edan los criterios para ser consideradas operadores de servicios esenciales. Con el fin de eliminar las grandes divergencias entre los Estados miembros a este respecto y garantizar la seguridad jur\u00eddica en lo que respecta a la ciberseguridad riesgoRiesgo<\/span> Se refiere al potencial de p\u00e9rdida o perturbaci\u00f3n causado por un incidente y debe expresarse como una combinaci\u00f3n de la magnitud de dicha p\u00e9rdida o perturbaci\u00f3n y la probabilidad de que se produzca el incidente. Definici\u00f3n seg\u00fan el art\u00edculo 6 de la Directiva (UE) 2022\/2555 (Directiva NIS2)<\/a><\/span><\/span><\/span>-medidas de gesti\u00f3n y obligaciones de informaci\u00f3n para todas las entidades pertinentes, debe establecerse un criterio uniforme que determine las entidades que entran en el \u00e1mbito de aplicaci\u00f3n de la presente Directiva.<\/p>\n\n\n\n

Dicho criterio debe consistir en la aplicaci\u00f3n de una norma de limitaci\u00f3n del tama\u00f1o, en virtud de la cual entren en su \u00e1mbito de aplicaci\u00f3n todas las entidades que re\u00fanan las condiciones para ser consideradas medianas empresas con arreglo al art\u00edculo 2 del anexo de la Recomendaci\u00f3n 2003\/361\/CE de la Comisi\u00f3n, o superen los l\u00edmites m\u00e1ximos para las medianas empresas previstos en el apartado 1 de dicho art\u00edculo, y que operen en los sectores y presten los tipos de servicios o realicen las actividades a que se refiere la presente Directiva. Los Estados miembros tambi\u00e9n deben prever que determinadas peque\u00f1as empresas y microempresas, tal como se definen en los apartados 2 y 3 del art\u00edculo 2 de dicho anexo, que cumplan criterios espec\u00edficos que indiquen un papel clave para la sociedad, la econom\u00eda o para determinados sectores o tipos de servicios, entren en el \u00e1mbito de aplicaci\u00f3n de la presente Directiva.<\/p>\n\n\n\n

(8) La exclusi\u00f3n de las entidades de la administraci\u00f3n p\u00fablica del \u00e1mbito de aplicaci\u00f3n de la presente Directiva debe aplicarse a las entidades cuyas actividades se desarrollen predominantemente en los \u00e1mbitos de la seguridad nacional, la seguridad p\u00fablica, la defensa o la aplicaci\u00f3n de la ley, incluidas la prevenci\u00f3n, investigaci\u00f3n, detecci\u00f3n y enjuiciamiento de delitos. Sin embargo, las entidades de la administraci\u00f3n p\u00fablica cuyas actividades est\u00e9n s\u00f3lo marginalmente relacionadas con esos \u00e1mbitos no deben quedar excluidas del \u00e1mbito de aplicaci\u00f3n de la presente Directiva.<\/p>\n\n\n\n

A efectos de la presente Directiva, no se considera que las entidades con competencias reguladoras lleven a cabo actividades en el \u00e1mbito de la aplicaci\u00f3n de la ley y, por lo tanto, no quedan excluidas por ese motivo del \u00e1mbito de aplicaci\u00f3n de la presente Directiva. Las entidades de la administraci\u00f3n p\u00fablica establecidas conjuntamente con un tercer pa\u00eds en virtud de un acuerdo internacional quedan excluidas del \u00e1mbito de aplicaci\u00f3n de la presente Directiva. La presente Directiva no se aplica a las misiones diplom\u00e1ticas y consulares de los Estados miembros en terceros pa\u00edses ni a sus redes y sistemas de informaci\u00f3n, en la medida en que dichos sistemas est\u00e9n situados en los locales de la misi\u00f3n o sean explotados para usuarios en un tercer pa\u00eds.<\/p>\n\n\n\n

(9) Los Estados miembros deben poder adoptar las medidas necesarias para garantizar la protecci\u00f3n de los intereses esenciales de la seguridad nacional, salvaguardar el orden p\u00fablico y la seguridad p\u00fablica y permitir la prevenci\u00f3n, investigaci\u00f3n, detecci\u00f3n y enjuiciamiento de delitos.<\/p>\n\n\n\n

A tal fin, los Estados miembros deben poder eximir a entidades espec\u00edficas que lleven a cabo actividades en los \u00e1mbitos de la seguridad nacional, la seguridad p\u00fablica, la defensa o la aplicaci\u00f3n de la ley, incluidas la prevenci\u00f3n, la investigaci\u00f3n, la detecci\u00f3n y el enjuiciamiento de delitos, de determinadas obligaciones establecidas en la presente Directiva en relaci\u00f3n con dichas actividades.<\/p>\n\n\n\n

Cuando un entidadEntidad<\/span> Persona f\u00edsica o jur\u00eddica creada y reconocida como tal en virtud de la legislaci\u00f3n nacional de su lugar de establecimiento, que puede, actuando en nombre propio, ejercer derechos y estar sujeta a obligaciones -. Definici\u00f3n seg\u00fan el art\u00edculo 6 de la Directiva (UE) 2022\/2555 (Directiva NIS2)<\/a><\/span><\/span><\/span> presta servicios exclusivamente a un entidad de la administraci\u00f3n p\u00fablicaEntidad de la Administraci\u00f3n P\u00fablica<\/span> Se trata de una entidad reconocida como tal en un Estado miembro de conformidad con la legislaci\u00f3n nacional, sin incluir el poder judicial, los parlamentos ni los bancos centrales, que cumple los siguientes criterios\r(a) se crea para satisfacer necesidades de inter\u00e9s general y no tiene car\u00e1cter industrial o comercial; (b) tiene personalidad jur\u00eddica o est\u00e1 facultada por ley para actuar en nombre de otra entidad con personalidad jur\u00eddica;\r(c) est\u00e1 financiada mayoritariamente por el Estado, los entes territoriales u otros organismos de Derecho p\u00fablico, est\u00e1 sometida a un control de gesti\u00f3n por parte de dichos entes u organismos, o dispone de un consejo de administraci\u00f3n, de direcci\u00f3n o de vigilancia, m\u00e1s de la mitad de cuyos miembros son nombrados por el Estado, los entes territoriales u otros organismos de Derecho p\u00fablico; (d) est\u00e1 facultada para dirigir a personas f\u00edsicas o jur\u00eddicas decisiones administrativas o reglamentarias que afecten a sus derechos en materia de circulaci\u00f3n transfronteriza de personas, bienes, servicios o capitales.\r- Definici\u00f3n seg\u00fan el art\u00edculo 6 de la Directiva (UE) 2022\/2555 (Directiva NIS2)<\/a><\/span><\/span><\/span> que est\u00e9 excluida del \u00e1mbito de aplicaci\u00f3n de la presente Directiva, los Estados miembros deben poder eximir a dicha entidad de determinadas obligaciones establecidas en la presente Directiva en relaci\u00f3n con dichos servicios. Adem\u00e1s, no debe exigirse a ning\u00fan Estado miembro que facilite informaci\u00f3n cuya divulgaci\u00f3n sea contraria a los intereses esenciales de su seguridad nacional, seguridad p\u00fablica o defensa.<\/p>\n\n\n\n

En este contexto, deber\u00e1n tenerse en cuenta las normas nacionales o de la Uni\u00f3n para la protecci\u00f3n de la informaci\u00f3n clasificada, los acuerdos de no divulgaci\u00f3n y los acuerdos informales de no divulgaci\u00f3n, como el protocolo del sem\u00e1foro. El protocolo del sem\u00e1foro debe entenderse como un medio para proporcionar informaci\u00f3n sobre cualquier limitaci\u00f3n con respecto a la difusi\u00f3n ulterior de la informaci\u00f3n. Se utiliza en casi todos los equipos de respuesta a incidentes de seguridad inform\u00e1tica (CSIRT) y en algunos centros de an\u00e1lisis e intercambio de informaci\u00f3n.<\/p>\n\n\n\n

(10) Aunque la presente Directiva se aplica a las entidades que realizan actividades de producci\u00f3n de electricidad a partir de centrales nucleares, algunas de esas actividades pueden estar relacionadas con la seguridad nacional. En tal caso, un Estado miembro debe poder ejercer su responsabilidad de salvaguardar la seguridad nacional con respecto a dichas actividades, incluidas las actividades dentro de la cadena de valor nuclear, de conformidad con los Tratados.<\/p>\n\n\n\n

(11) Algunas entidades llevan a cabo actividades en los \u00e1mbitos de la seguridad nacional, la seguridad p\u00fablica, la defensa o la aplicaci\u00f3n de la ley, incluidas la prevenci\u00f3n, investigaci\u00f3n, detecci\u00f3n y persecuci\u00f3n de delitos penales, al tiempo que prestan servicios de confianza. Servicio de confianzaServicio de confianza<\/span> Significa un servicio electr\u00f3nico prestado normalmente a cambio de una remuneraci\u00f3n que consiste en: a) la creaci\u00f3n, verificaci\u00f3n y validaci\u00f3n de firmas electr\u00f3nicas, sellos electr\u00f3nicos o sellos de tiempo electr\u00f3nicos, servicios de entrega electr\u00f3nica certificada y certificados relacionados con dichos servicios, o b) la creaci\u00f3n, verificaci\u00f3n y validaci\u00f3n de certificados para la autenticaci\u00f3n de sitios web, o c) la conservaci\u00f3n de firmas electr\u00f3nicas, sellos o certificados relacionados con dichos servicios - Definici\u00f3n seg\u00fan el art\u00edculo 3, punto (16), del Reglamento (UE) n\u00ba 910\/2014.<\/span><\/span><\/span> que entran en el \u00e1mbito de aplicaci\u00f3n del Reglamento (UE) n.\u00ba 910\/2014 del Parlamento Europeo y del Consejo (6) deben entrar en el \u00e1mbito de aplicaci\u00f3n de la presente Directiva a fin de garantizar el mismo nivel de requisitos de seguridad y supervisi\u00f3n que el establecido anteriormente en dicho Reglamento con respecto a los proveedores de servicios de confianza. En consonancia con la exclusi\u00f3n de determinados servicios espec\u00edficos del Reglamento (UE) no 910\/2014, la presente Directiva no debe aplicarse a la prestaci\u00f3n de servicios de confianza que se utilicen exclusivamente dentro de sistemas cerrados resultantes de la legislaci\u00f3n nacional o de acuerdos entre un conjunto definido de participantes.<\/p>\n\n\n\n

(12) Los proveedores de servicios postales, tal como se definen en la Directiva 97\/67\/CE del Parlamento Europeo y del Consejo, incluidos los proveedores de servicios de mensajer\u00eda, deben estar sujetos a la presente Directiva si prestan al menos uno de los pasos de la cadena de distribuci\u00f3n postal, en particular la recogida, clasificaci\u00f3n, transporte o distribuci\u00f3n de env\u00edos postales, incluidos los servicios de recogida, teniendo en cuenta su grado de dependencia de los sistemas de redes y de informaci\u00f3n. Los servicios de transporte que no se realicen en relaci\u00f3n con una de esas fases deben excluirse del \u00e1mbito de los servicios postales.<\/p>\n\n\n\n

(13) Habida cuenta de la intensificaci\u00f3n y la creciente sofisticaci\u00f3n de las ciberamenazas, los Estados miembros deben esforzarse por garantizar que las entidades excluidas del \u00e1mbito de aplicaci\u00f3n de la presente Directiva alcancen un elevado nivel de ciberseguridad y por apoyar la aplicaci\u00f3n de medidas equivalentes de gesti\u00f3n de los riesgos de ciberseguridad que reflejen el car\u00e1cter sensible de dichas entidades.<\/p>\n\n\n\n

(14) El Derecho de la Uni\u00f3n en materia de protecci\u00f3n de datos y el Derecho de la Uni\u00f3n en materia de privacidad se aplican a todo tratamiento de datos personales con arreglo a la presente Directiva. En particular, la presente Directiva se entiende sin perjuicio del Reglamento (UE) 2016\/679 del Parlamento Europeo y del Consejo y de la Directiva 2002\/58\/CE del Parlamento Europeo y del Consejo. Por consiguiente, la presente Directiva no debe afectar, entre otras cosas, a las funciones y competencias de las autoridades competentes para supervisar el cumplimiento del Derecho de la Uni\u00f3n aplicable en materia de protecci\u00f3n de datos y del Derecho de la Uni\u00f3n aplicable en materia de privacidad.<\/p>\n\n\n\n

(15) Las entidades incluidas en el \u00e1mbito de aplicaci\u00f3n de la presente Directiva a efectos del cumplimiento de las medidas de gesti\u00f3n de riesgos en materia de ciberseguridad y de las obligaciones de informaci\u00f3n deben clasificarse en dos categor\u00edas, entidades esenciales y entidades importantes, que reflejen el grado en que son cr\u00edticas en relaci\u00f3n con su sector o el tipo de servicio que prestan, as\u00ed como su tama\u00f1o. A este respecto, deben tenerse debidamente en cuenta las evaluaciones de riesgos sectoriales pertinentes o las orientaciones de las autoridades competentes, en su caso. Los reg\u00edmenes de supervisi\u00f3n y ejecuci\u00f3n para esas dos categor\u00edas de entidades deben diferenciarse para garantizar un equilibrio justo entre los requisitos y obligaciones basados en el riesgo, por una parte, y la carga administrativa derivada de la supervisi\u00f3n del cumplimiento, por otra.<\/p>\n\n\n\n

(16) Para evitar que las entidades que tienen empresas asociadas o vinculadas sean consideradas entidades esenciales o importantes cuando ello resulte desproporcionado, los Estados miembros pueden tener en cuenta el grado de independencia de una entidad con respecto a sus empresas asociadas o vinculadas al aplicar el art\u00edculo 6, apartado 2, del anexo de la Recomendaci\u00f3n 2003\/361\/CE. En particular, los Estados miembros pueden tener en cuenta el hecho de que una entidad sea independiente de sus empresas asociadas o vinculadas por lo que respecta a la red y los sistemas de informaci\u00f3n que dicha entidad utiliza en la prestaci\u00f3n de sus servicios y por lo que respecta a los servicios que la entidad presta.<\/p>\n\n\n\n

Sobre esta base, cuando proceda, los Estados miembros pueden considerar que tal entidad no re\u00fane las condiciones para ser considerada mediana empresa con arreglo al art\u00edculo 2 del anexo de la Recomendaci\u00f3n 2003\/361\/CE, o no supera los l\u00edmites m\u00e1ximos para una mediana empresa previstos en el apartado 1 de dicho art\u00edculo, si, tras tener en cuenta el grado de independencia de dicha entidad, se hubiera considerado que \u00e9sta no re\u00fane las condiciones para ser considerada mediana empresa o no supera dichos l\u00edmites m\u00e1ximos en caso de que s\u00f3lo se hubieran tenido en cuenta sus propios datos. Ello no afecta a las obligaciones establecidas en la presente Directiva de las empresas asociadas y vinculadas que entren en el \u00e1mbito de aplicaci\u00f3n de la presente Directiva.<\/p>\n\n\n\n

(17) Los Estados miembros deben poder decidir que las entidades identificadas antes de la entrada en vigor de la presente Directiva como operadores de servicios esenciales de conformidad con la Directiva (UE) 2016\/1148 sean consideradas entidades esenciales.<\/p>\n\n\n\n

(18) A fin de garantizar una visi\u00f3n clara de las entidades que entran en el \u00e1mbito de aplicaci\u00f3n de la presente Directiva, los Estados miembros deben establecer una lista de entidades esenciales e importantes, as\u00ed como de entidades que presten servicios de registro de nombres de dominio. A tal fin, los Estados miembros deben exigir a las entidades que presenten como m\u00ednimo la siguiente informaci\u00f3n a las autoridades competentes, a saber, el nombre, la direcci\u00f3n y los datos de contacto actualizados, incluidas las direcciones de correo electr\u00f3nico, los rangos IP y los n\u00fameros de tel\u00e9fono de la entidad, y, en su caso, el sector y subsector pertinentes a que se refieren los anexos, as\u00ed como, en su caso, una lista de los Estados miembros en los que prestan servicios que entran en el \u00e1mbito de aplicaci\u00f3n de la presente Directiva.<\/p>\n\n\n\n

A tal fin, la Comisi\u00f3n, con la asistencia de la Agencia de Ciberseguridad de la Uni\u00f3n Europea (ENISA), debe proporcionar, sin demora injustificada, directrices y plantillas relativas a la obligaci\u00f3n de presentar informaci\u00f3n. Para facilitar el establecimiento y la actualizaci\u00f3n de la lista de entidades esenciales e importantes, as\u00ed como de las entidades que prestan servicios de registro de nombres de dominio, los Estados miembros deben poder establecer mecanismos nacionales para que las entidades se registren. Cuando existan registros a nivel nacional, los Estados miembros podr\u00e1n decidir los mecanismos adecuados que permitan la identificaci\u00f3n de las entidades incluidas en el \u00e1mbito de aplicaci\u00f3n de la presente Directiva.<\/p>\n\n\n\n

(19) Los Estados miembros deben encargarse de presentar a la Comisi\u00f3n al menos el n\u00famero de entidades esenciales e importantes para cada sector y subsector a que se refieren los anexos, as\u00ed como la informaci\u00f3n pertinente sobre el n\u00famero de entidades identificadas y la disposici\u00f3n, de entre las establecidas en la presente Directiva, sobre cuya base fueron identificadas, y el tipo de servicio que prestan. Se anima a los Estados miembros a intercambiar con la Comisi\u00f3n informaci\u00f3n sobre las entidades esenciales e importantes y, en el caso de un incidente de ciberseguridad a gran escalaIncidente de ciberseguridad a gran escala<\/span> Incidente que causa un nivel de perturbaci\u00f3n que supera la capacidad de respuesta de un Estado miembro o que tiene un impacto significativo en al menos dos Estados miembros. Definici\u00f3n seg\u00fan el art\u00edculo 6 de la Directiva (UE) 2022\/2555 (Directiva NIS2)<\/a><\/span><\/span><\/span>informaci\u00f3n pertinente, como el nombre de la entidad en cuesti\u00f3n.<\/p>\n\n\n\n

(20) La Comisi\u00f3n, en cooperaci\u00f3n con el Grupo de cooperaci\u00f3n y previa consulta a las partes interesadas pertinentes, debe proporcionar directrices sobre la aplicaci\u00f3n de los criterios aplicables a las microempresas y las peque\u00f1as empresas para evaluar si entran en el \u00e1mbito de aplicaci\u00f3n de la presente Directiva. La Comisi\u00f3n tambi\u00e9n debe velar por que se ofrezca una orientaci\u00f3n adecuada a las microempresas y peque\u00f1as empresas que entren en el \u00e1mbito de aplicaci\u00f3n de la presente Directiva. La Comisi\u00f3n, con la asistencia de los Estados miembros, debe poner a disposici\u00f3n de las microempresas y las peque\u00f1as empresas informaci\u00f3n a este respecto.<\/p>\n\n\n\n

(21) La Comisi\u00f3n podr\u00eda proporcionar orientaciones para ayudar a los Estados miembros a aplicar las disposiciones de la presente Directiva sobre el \u00e1mbito de aplicaci\u00f3n y a evaluar la proporcionalidad de las medidas que deben adoptarse en virtud de la presente Directiva, en particular en lo que respecta a las entidades con modelos empresariales o entornos operativos complejos, en los que una entidad puede cumplir simult\u00e1neamente los criterios asignados tanto a las entidades esenciales como a las importantes o puede llevar a cabo simult\u00e1neamente actividades, algunas de las cuales entran en el \u00e1mbito de aplicaci\u00f3n de la presente Directiva y otras quedan excluidas de \u00e9l.<\/p>\n\n\n\n

(22) La presente Directiva establece la base para las medidas de gesti\u00f3n de riesgos en materia de ciberseguridad y las obligaciones de informaci\u00f3n en todos los sectores incluidos en su \u00e1mbito de aplicaci\u00f3n. A fin de evitar la fragmentaci\u00f3n de las disposiciones sobre ciberseguridad de los actos jur\u00eddicos de la Uni\u00f3n, cuando se considere necesario adoptar otros actos jur\u00eddicos sectoriales espec\u00edficos de la Uni\u00f3n relativos a las medidas de gesti\u00f3n de riesgos en materia de ciberseguridad y a las obligaciones de informaci\u00f3n para garantizar un elevado nivel de ciberseguridad en toda la Uni\u00f3n, la Comisi\u00f3n debe evaluar si tales disposiciones adicionales podr\u00edan estipularse en un acto de ejecuci\u00f3n en virtud de la presente Directiva.<\/p>\n\n\n\n

En caso de que dicho acto de ejecuci\u00f3n no fuera adecuado a tal efecto, los actos jur\u00eddicos sectoriales de la Uni\u00f3n podr\u00edan contribuir a garantizar un alto nivel de ciberseguridad en toda la Uni\u00f3n, teniendo plenamente en cuenta las especificidades y complejidades de los sectores afectados. A tal fin, la presente Directiva no excluye la adopci\u00f3n de otros actos jur\u00eddicos sectoriales de la Uni\u00f3n que aborden medidas de gesti\u00f3n de los riesgos de ciberseguridad y obligaciones de informaci\u00f3n que tengan debidamente en cuenta la necesidad de un marco de ciberseguridad global y coherente. La presente Directiva se entiende sin perjuicio de las competencias de ejecuci\u00f3n existentes que se han conferido a la Comisi\u00f3n en una serie de sectores, incluidos el transporte y la energ\u00eda.<\/p>\n\n\n\n

(23) Cuando un acto jur\u00eddico sectorial de la Uni\u00f3n contenga disposiciones que obliguen a las entidades esenciales o importantes a adoptar medidas de gesti\u00f3n de riesgos en materia de ciberseguridad o a notificar incidentes significativos, y cuando dichos requisitos sean al menos de efecto equivalente a las obligaciones establecidas en la presente Directiva, dichas disposiciones, incluidas las relativas a la supervisi\u00f3n y la ejecuci\u00f3n, deben aplicarse a dichas entidades. Si un acto jur\u00eddico sectorial de la Uni\u00f3n no abarca a todas las entidades de un sector espec\u00edfico incluidas en el \u00e1mbito de aplicaci\u00f3n de la presente Directiva, las disposiciones pertinentes de la presente Directiva deben seguir aplic\u00e1ndose a las entidades no cubiertas por dicho acto.<\/p>\n\n\n\n

(24) Cuando las disposiciones de un acto jur\u00eddico sectorial de la Uni\u00f3n exijan a las entidades esenciales o importantes el cumplimiento de obligaciones de notificaci\u00f3n de efectos al menos equivalentes a las obligaciones de notificaci\u00f3n establecidas en la presente Directiva, debe garantizarse la coherencia y la eficacia de la gesti\u00f3n de las notificaciones de incidentes. A tal fin, las disposiciones relativas a las notificaciones de incidentes del acto jur\u00eddico sectorial de la Uni\u00f3n deben proporcionar a los CSIRT, las autoridades competentes o los puntos de contacto \u00fanicos en materia de ciberseguridad (puntos de contacto \u00fanicos) con arreglo a la presente Directiva un acceso inmediato a las notificaciones de incidentes presentadas de conformidad con el acto jur\u00eddico sectorial de la Uni\u00f3n.<\/p>\n\n\n\n

En particular, dicho acceso inmediato puede garantizarse si las notificaciones de incidentes se remiten sin demora injustificada al CSIRT, a la autoridad competente o al punto de contacto \u00fanico con arreglo a la presente Directiva. Cuando proceda, los Estados miembros deben establecer un mecanismo de notificaci\u00f3n autom\u00e1tica y directa que garantice el intercambio sistem\u00e1tico e inmediato de informaci\u00f3n con los CSIRT, las autoridades competentes o los puntos de contacto \u00fanicos en relaci\u00f3n con la tramitaci\u00f3n de dichas notificaciones de incidentes. Con el fin de simplificar la notificaci\u00f3n y de aplicar el mecanismo de notificaci\u00f3n autom\u00e1tica y directa, los Estados miembros podr\u00edan, de conformidad con el acto jur\u00eddico sectorial espec\u00edfico de la Uni\u00f3n, utilizar un punto de entrada \u00fanico.<\/p>\n\n\n\n

(25) Los actos jur\u00eddicos sectoriales de la Uni\u00f3n que prevean medidas de gesti\u00f3n de riesgos en materia de ciberseguridad u obligaciones de informaci\u00f3n de efecto al menos equivalente a las establecidas en la presente Directiva podr\u00edan disponer que las autoridades competentes en virtud de dichos actos ejerzan sus facultades de supervisi\u00f3n y ejecuci\u00f3n en relaci\u00f3n con tales medidas u obligaciones con la asistencia de las autoridades competentes en virtud de la presente Directiva.<\/p>\n\n\n\n

Las autoridades competentes afectadas podr\u00edan establecer acuerdos de cooperaci\u00f3n a tal efecto. Dichos acuerdos de cooperaci\u00f3n podr\u00edan especificar, entre otras cosas, los procedimientos relativos a la coordinaci\u00f3n de las actividades de supervisi\u00f3n, incluidos los procedimientos de investigaci\u00f3n y las inspecciones in situ de conformidad con la legislaci\u00f3n nacional, y un mecanismo para el intercambio de informaci\u00f3n pertinente sobre supervisi\u00f3n y ejecuci\u00f3n entre las autoridades competentes, incluido el acceso a la informaci\u00f3n relacionada con la ciberdelincuencia solicitada por las autoridades competentes en virtud de la presente Directiva.<\/p>\n\n\n\n

(26) Cuando los actos jur\u00eddicos sectoriales espec\u00edficos de la Uni\u00f3n exijan o incentiven a las entidades a notificar las ciberamenazas significativas, los Estados miembros tambi\u00e9n deben fomentar la puesta en com\u00fan de las ciberamenazas significativas con los CSIRT, las autoridades competentes o las ventanillas \u00fanicas con arreglo a la presente Directiva, a fin de garantizar un mayor nivel de conocimiento de dichos organismos sobre el panorama de las ciberamenazas y permitirles responder de manera eficaz y oportuna en caso de que se materialicen las ciberamenazas significativas.<\/p>\n\n\n\n

(27) Los futuros actos jur\u00eddicos sectoriales de la Uni\u00f3n deben tener debidamente en cuenta las definiciones y el marco de supervisi\u00f3n y ejecuci\u00f3n establecidos en la presente Directiva.<\/p>\n\n\n\n

(28) El Reglamento (UE) 2022\/2554 del Parlamento Europeo y del Consejo (10) debe considerarse un acto jur\u00eddico sectorial espec\u00edfico de la Uni\u00f3n en relaci\u00f3n con la presente Directiva por lo que respecta a las entidades financieras. Las disposiciones del Reglamento (UE) 2022\/2554 relativas a la gesti\u00f3n de riesgos en el \u00e1mbito de las tecnolog\u00edas de la informaci\u00f3n y la comunicaci\u00f3n (TIC), la gesti\u00f3n de incidentes relacionados con las TIC y, en particular, la notificaci\u00f3n de incidentes graves relacionados con las TIC, as\u00ed como sobre las pruebas de resistencia operativa digital, los acuerdos de intercambio de informaci\u00f3n y el riesgo de terceros en el \u00e1mbito de las TIC deben aplicarse en lugar de las previstas en la presente Directiva. Por consiguiente, los Estados miembros no deben aplicar las disposiciones de la presente Directiva sobre gesti\u00f3n de riesgos de ciberseguridad y obligaciones de informaci\u00f3n, supervisi\u00f3n y ejecuci\u00f3n a las entidades financieras cubiertas por el Reglamento (UE) 2022\/2554. Al mismo tiempo, es importante mantener una relaci\u00f3n s\u00f3lida y el intercambio de informaci\u00f3n con el sector financiero en virtud de la presente Directiva.<\/p>\n\n\n\n

A tal fin, el Reglamento (UE) 2022\/2554 permite a las Autoridades Europeas de Supervisi\u00f3n (AES) y a las autoridades competentes en virtud de dicho Reglamento participar en las actividades del Grupo de Cooperaci\u00f3n e intercambiar informaci\u00f3n y cooperar con los puntos de contacto \u00fanicos, as\u00ed como con los CSIRT y las autoridades competentes en virtud de la presente Directiva. Las autoridades competentes con arreglo al Reglamento (UE) 2022\/2554 tambi\u00e9n deben transmitir detalles de los incidentes importantes relacionados con las TIC y, en su caso, de las ciberamenazas significativas a los CSIRT, las autoridades competentes o los puntos de contacto \u00fanicos con arreglo a la presente Directiva. Esto puede lograrse proporcionando acceso inmediato a las notificaciones de incidentes y transmiti\u00e9ndolas directamente o a trav\u00e9s de un punto de entrada \u00fanico. Adem\u00e1s, los Estados miembros deben seguir incluyendo al sector financiero en sus estrategias de ciberseguridad y los CSIRT pueden incluir al sector financiero en sus actividades.<\/p>\n\n\n\n

(29) A fin de evitar lagunas o duplicaciones en las obligaciones de ciberseguridad impuestas a las entidades del sector de la aviaci\u00f3n, las autoridades nacionales en virtud de los Reglamentos (CE) n\u00ba 300\/2008 y (UE) 2018\/1139 del Parlamento Europeo y del Consejo y las autoridades competentes en virtud de la presente Directiva deben cooperar en relaci\u00f3n con la aplicaci\u00f3n de medidas de gesti\u00f3n de riesgos en materia de ciberseguridad y la supervisi\u00f3n del cumplimiento de dichas medidas a nivel nacional. Las autoridades competentes en virtud de la presente Directiva podr\u00edan considerar que el cumplimiento por parte de una entidad de los requisitos de seguridad establecidos en los Reglamentos (CE) n.\u00ba 300\/2008 y (UE) 2018\/1139 y en los actos delegados y de ejecuci\u00f3n pertinentes adoptados de conformidad con dichos Reglamentos constituye el cumplimiento de los requisitos correspondientes establecidos en la presente Directiva.<\/p>\n\n\n\n

(30) Habida cuenta de las interrelaciones entre la ciberseguridad y la seguridad f\u00edsica de las entidades, debe garantizarse un enfoque coherente entre la Directiva (UE) 2022\/2557 del Parlamento Europeo y del Consejo y la presente Directiva. Para ello, las entidades identificadas como entidades cr\u00edticas con arreglo a la Directiva (UE) 2022\/2557 deben considerarse entidades esenciales con arreglo a la presente Directiva.<\/p>\n\n\n\n

Adem\u00e1s, cada Estado miembro debe garantizar que su estrategia nacional de ciberseguridadEstrategia Nacional de Ciberseguridad<\/span> Se refiere a un marco coherente de un Estado miembro que establece objetivos y prioridades estrat\u00e9gicos en el \u00e1mbito de la ciberseguridad y la gobernanza para alcanzarlos en dicho Estado miembro. Definici\u00f3n seg\u00fan el art\u00edculo 6 de la Directiva (UE) 2022\/2555 (Directiva NIS2)<\/a><\/span><\/span><\/span> establezca un marco pol\u00edtico para mejorar la coordinaci\u00f3n dentro de ese Estado miembro entre sus autoridades competentes con arreglo a la presente Directiva y a la Directiva (UE) 2022\/2557, en el contexto del intercambio de informaci\u00f3n sobre riesgos, amenazas cibern\u00e9ticas e incidentes, as\u00ed como sobre riesgos, amenazas e incidentes no cibern\u00e9ticos, y del ejercicio de las tareas de supervisi\u00f3n. Las autoridades competentes en virtud de la presente Directiva y de la Directiva (UE) 2022\/2557 deben cooperar e intercambiar informaci\u00f3n sin demoras indebidas, en particular en relaci\u00f3n con la identificaci\u00f3n de entidades cr\u00edticas, riesgos, ciberamenazas e incidentes, as\u00ed como en relaci\u00f3n con riesgos, amenazas e incidentes no cibern\u00e9ticos que afecten a entidades cr\u00edticas, incluidas las medidas f\u00edsicas y de ciberseguridad adoptadas por las entidades cr\u00edticas, as\u00ed como los resultados de las actividades de supervisi\u00f3n llevadas a cabo en relaci\u00f3n con dichas entidades.<\/p>\n\n\n\n

Adem\u00e1s, con el fin de racionalizar las actividades de supervisi\u00f3n entre las autoridades competentes en virtud de la presente Directiva y las de la Directiva (UE) 2022\/2557 y de minimizar la carga administrativa para las entidades afectadas, dichas autoridades competentes deben esforzarse por armonizar los modelos de notificaci\u00f3n de incidentes y los procesos de supervisi\u00f3n. Cuando proceda, las autoridades competentes con arreglo a la Directiva (UE) 2022\/2557 deben poder solicitar a las autoridades competentes con arreglo a la presente Directiva que ejerzan sus facultades de supervisi\u00f3n y ejecuci\u00f3n en relaci\u00f3n con una entidad identificada como entidad cr\u00edtica con arreglo a la Directiva (UE) 2022\/2557. Las autoridades competentes en virtud de la presente Directiva y las autoridades competentes en virtud de la Directiva (UE) 2022\/2557 deben, siempre que sea posible en tiempo real, cooperar e intercambiar informaci\u00f3n a tal efecto.<\/p>\n\n\n\n

(31) Las entidades pertenecientes al sector de las infraestructuras digitales se basan esencialmente en sistemas de red y de informaci\u00f3n y, por lo tanto, las obligaciones impuestas a dichas entidades en virtud de la presente Directiva deben abordar de manera exhaustiva la seguridad f\u00edsica de tales sistemas como parte de sus medidas de gesti\u00f3n de riesgos en materia de ciberseguridad y de sus obligaciones de informaci\u00f3n. Dado que estas cuestiones est\u00e1n cubiertas por la presente Directiva, las obligaciones establecidas en los cap\u00edtulos III, IV y VI de la Directiva (UE) 2022\/2557 no se aplican a dichas entidades.

<\/p>\n\n\n\n

(32) Mantener y preservar un sistema de nombres de dominio (DNS) fiable, resistente y seguro son factores clave para mantener la integridad de Internet y resultan esenciales para su funcionamiento continuo y estable, del que dependen la econom\u00eda y la sociedad digitales. Por consiguiente, la presente Directiva debe aplicarse a los registros de nombres de dominio de primer nivel (TLD) y a los proveedores de servicios de DNS, entendidos como entidades que prestan servicios de resoluci\u00f3n recursiva de nombres de dominio a disposici\u00f3n del p\u00fablico para los usuarios finales de Internet o servicios de resoluci\u00f3n autoritativa de nombres de dominio para uso de terceros. La presente Directiva no debe aplicarse a los servidores de nombres ra\u00edz.

<\/p>\n\n\n\n

(33) Los servicios de computaci\u00f3n en nube deben abarcar los servicios digitales que permiten la administraci\u00f3n a petici\u00f3n y un amplio acceso a distancia a un conjunto escalable y el\u00e1stico de recursos inform\u00e1ticos compartibles, incluso cuando dichos recursos est\u00e9n distribuidos en varias ubicaciones. Los recursos inform\u00e1ticos incluyen recursos como redes, servidores u otras infraestructuras, sistemas operativos, software, almacenamiento, aplicaciones y servicios. Los modelos de servicio de la computaci\u00f3n en nube incluyen, entre otros, la Infraestructura como Servicio (IaaS), la Plataforma como Servicio (PaaS), el Software como Servicio (SaaS) y la Red como Servicio (NaaS).
<\/p>\n\n\n\n

Los modelos de despliegue de la computaci\u00f3n en nube deben incluir la nube privada, comunitaria, p\u00fablica e h\u00edbrida. El sitio servicio de computaci\u00f3n en nubeServicio de computaci\u00f3n en nube<\/span> Se refiere a un servicio digital que permite la administraci\u00f3n bajo demanda y un amplio acceso remoto a un conjunto escalable y el\u00e1stico de recursos inform\u00e1ticos compartibles, incluso cuando dichos recursos est\u00e1n distribuidos en varias ubicaciones -. Definici\u00f3n seg\u00fan el art\u00edculo 6 de la Directiva (UE) 2022\/2555 (Directiva NIS2)<\/a><\/span><\/span><\/span> y modelos de despliegue tienen el mismo significado que los t\u00e9rminos de servicio y modelos de despliegue definidos en la norma ISO\/IEC 17788:2014 est\u00e1ndarEst\u00e1ndar<\/span> Especificaci\u00f3n t\u00e9cnica, adoptada por un organismo de normalizaci\u00f3n reconocido, de aplicaci\u00f3n repetida o continua, cuyo cumplimiento no es obligatorio y que es una de las siguientes\r(a) \"norma internacional\": norma adoptada por un organismo internacional de normalizaci\u00f3n; b) \"norma europea\": norma adoptada por un organismo europeo de normalizaci\u00f3n; c) \"norma armonizada\": norma europea adoptada sobre la base de una solicitud formulada por la Comisi\u00f3n para la aplicaci\u00f3n de la legislaci\u00f3n de armonizaci\u00f3n de la Uni\u00f3n; d) \"norma nacional\": norma adoptada por un organismo nacional de normalizaci\u00f3n - Definici\u00f3n seg\u00fan el art\u00edculo 2, punto 1, delReglamento (UE) n\u00ba 1025\/2012 del Parlamento Europeo y del Consejo.<\/span><\/span><\/span>. La capacidad del usuario de computaci\u00f3n en nube para autoproveerse unilateralmente de capacidades inform\u00e1ticas, como tiempo de servidor o almacenamiento en red, sin ninguna interacci\u00f3n humana por parte del proveedor de servicios de computaci\u00f3n en nube podr\u00eda describirse como administraci\u00f3n bajo demanda.
<\/p>\n\n\n\n

El t\u00e9rmino \"acceso remoto amplio\" se utiliza para describir que las capacidades de la nube se proporcionan a trav\u00e9s de la red y se accede a ellas mediante mecanismos que promueven el uso de plataformas heterog\u00e9neas de clientes ligeros o gruesos, incluidos tel\u00e9fonos m\u00f3viles, tabletas, ordenadores port\u00e1tiles y estaciones de trabajo. El t\u00e9rmino \"escalable\" se refiere a los recursos inform\u00e1ticos asignados de forma flexible por el proveedor de servicios en nube, con independencia de la ubicaci\u00f3n geogr\u00e1fica de los recursos, para hacer frente a las fluctuaciones de la demanda.
<\/p>\n\n\n\n

El t\u00e9rmino \"pool el\u00e1stico\" se utiliza para describir los recursos inform\u00e1ticos que se proporcionan y liberan en funci\u00f3n de la demanda con el fin de aumentar y disminuir r\u00e1pidamente los recursos disponibles en funci\u00f3n de la carga de trabajo. El t\u00e9rmino \"compartible\" se utiliza para describir los recursos inform\u00e1ticos que se proporcionan a m\u00faltiples usuarios que comparten un acceso com\u00fan al servicio, pero en los que el procesamiento se lleva a cabo por separado para cada usuario, aunque el servicio se preste desde el mismo equipo electr\u00f3nico. El t\u00e9rmino \"distribuido\" se utiliza para describir los recursos inform\u00e1ticos que se encuentran en diferentes ordenadores o dispositivos conectados en red y que se comunican y coordinan entre s\u00ed mediante el paso de mensajes.

<\/p>\n\n\n\n

(34) Dada la aparici\u00f3n de tecnolog\u00edas innovadoras y nuevos modelos empresariales, se espera que aparezcan en el mercado interior nuevos modelos de servicios y despliegue de computaci\u00f3n en nube en respuesta a la evoluci\u00f3n de las necesidades de los clientes. En ese contexto, los servicios de computaci\u00f3n en nube pueden prestarse de forma muy distribuida, incluso m\u00e1s cerca del lugar donde se generan o recogen los datos, pasando as\u00ed del modelo tradicional a otro muy distribuido (computaci\u00f3n de borde).

<\/p>\n\n\n\n

(35) Servicios ofrecidos por servicio de centro de datosServicio de centro de datos<\/span> <\/b>designa un servicio que engloba estructuras, o grupos de estructuras, dedicadas al alojamiento centralizado, la interconexi\u00f3n y el funcionamiento de equipos inform\u00e1ticos y de red que prestan servicios de almacenamiento, tratamiento y transporte de datos, junto con todas las instalaciones e infraestructuras de distribuci\u00f3n de energ\u00eda y control ambiental -. Definici\u00f3n seg\u00fan el art\u00edculo 6 de la Directiva (UE) 2022\/2555 (Directiva NIS2)<\/a><\/span><\/span><\/span> no siempre se prestan en forma de servicios de computaci\u00f3n en nube. Por consiguiente, los centros de datos no siempre pueden formar parte de la infraestructura de computaci\u00f3n en nube. A fin de gestionar todos los riesgos que se plantean para la seguridad de las redes y los sistemas de informaci\u00f3n, la presente Directiva debe abarcar, por tanto, a los proveedores de servicios de centros de datos que no sean servicios de computaci\u00f3n en nube.
<\/p>\n\n\n\n

A efectos de la presente Directiva, el t\u00e9rmino \"servicio de centro de datos\" debe abarcar la prestaci\u00f3n de un servicio que comprenda estructuras, o grupos de estructuras, dedicadas al alojamiento centralizado, la interconexi\u00f3n y el funcionamiento de equipos de tecnolog\u00eda de la informaci\u00f3n (TI) y de red que presten servicios de almacenamiento, tratamiento y transporte de datos, junto con todas las instalaciones e infraestructuras de distribuci\u00f3n de energ\u00eda y control medioambiental. El t\u00e9rmino \"servicio de centro de datos\" no debe aplicarse a los centros de datos corporativos internos propiedad de la entidad en cuesti\u00f3n y explotados por ella, para sus propios fines.

<\/p>\n\n\n\n

(36) Las actividades de investigaci\u00f3n desempe\u00f1an un papel fundamental en el desarrollo de nuevos productos y procesos. Muchas de esas actividades son llevadas a cabo por entidades que comparten, difunden o explotan los resultados de su investigaci\u00f3n con fines comerciales. Estas entidades pueden ser, por tanto, actores importantes en las cadenas de valor, lo que hace que la seguridad de sus redes y sistemas de informaci\u00f3n forme parte integrante de la ciberseguridad general del mercado interior.
<\/p>\n\n\n\n

Debe entenderse por organismos de investigaci\u00f3n las entidades que centran la parte esencial de sus actividades en la realizaci\u00f3n de investigaci\u00f3n aplicada o desarrollo experimental, en el sentido del Manual de Frascati 2015 de la Organizaci\u00f3n de Cooperaci\u00f3n y Desarrollo Econ\u00f3micos: Directrices para la recogida y comunicaci\u00f3n de datos sobre investigaci\u00f3n y desarrollo experimental, con vistas a explotar sus resultados con fines comerciales, como la fabricaci\u00f3n o el desarrollo de un producto o proceso, la prestaci\u00f3n de un servicio o la comercializaci\u00f3n del mismo.

<\/p>\n\n\n\n

(37) Las crecientes interdependencias son el resultado de una red cada vez m\u00e1s transfronteriza e interdependiente de prestaci\u00f3n de servicios que utiliza infraestructuras clave en toda la Uni\u00f3n en sectores como la energ\u00eda, el transporte, las infraestructuras digitales, el agua potable y las aguas residuales, la sanidad, determinados aspectos de la administraci\u00f3n p\u00fablica, as\u00ed como el espacio en la medida en que se refiere a la prestaci\u00f3n de determinados servicios que dependen de infraestructuras terrestres que son propiedad de los Estados miembros o de partes privadas, o que son gestionadas y explotadas por ellos, por lo que no incluye las infraestructuras que son propiedad de la Uni\u00f3n o son gestionadas o explotadas por ella o en su nombre como parte de su programa espacial.
<\/p>\n\n\n\n

Estas interdependencias significan que cualquier perturbaci\u00f3n, aunque inicialmente se limite a una entidad o un sector, puede tener efectos en cascada m\u00e1s amplios, lo que puede provocar repercusiones negativas de gran alcance y duraderas en la prestaci\u00f3n de servicios en todo el mercado interior. La intensificaci\u00f3n de los ciberataques durante la pandemia COVID-19 ha puesto de manifiesto la vulnerabilidad de unas sociedades cada vez m\u00e1s interdependientes frente a riesgos de baja probabilidad.

<\/p>\n\n\n\n

(38) Habida cuenta de las diferencias en las estructuras nacionales de gobernanza y con el fin de salvaguardar los acuerdos sectoriales ya existentes o los organismos de supervisi\u00f3n y regulaci\u00f3n de la Uni\u00f3n, los Estados miembros deben poder designar o establecer una o varias autoridades competentes responsables de la ciberseguridad y de las tareas de supervisi\u00f3n previstas en la presente Directiva.

<\/p>\n\n\n\n

(39) Para facilitar la cooperaci\u00f3n y la comunicaci\u00f3n transfronterizas entre las autoridades y permitir una aplicaci\u00f3n eficaz de la presente Directiva, es necesario que cada Estado miembro designe un punto de contacto \u00fanico responsable de coordinar las cuestiones relacionadas con la seguridad de las redes y sistemas de informaci\u00f3n y la cooperaci\u00f3n transfronteriza a escala de la Uni\u00f3n.

<\/p>\n\n\n\n

(40) Los puntos de contacto \u00fanicos deben garantizar una cooperaci\u00f3n transfronteriza eficaz con las autoridades pertinentes de otros Estados miembros y, en su caso, con la Comisi\u00f3n y la ENISA. Por consiguiente, los puntos de contacto \u00fanicos deben encargarse de transmitir las notificaciones de incidentes significativos con repercusi\u00f3n transfronteriza a los puntos de contacto \u00fanicos de otros Estados miembros afectados a petici\u00f3n del CSIRT o de la autoridad competente. A escala nacional, los puntos de contacto \u00fanicos deben permitir una cooperaci\u00f3n intersectorial fluida con otras autoridades competentes. Los puntos de contacto \u00fanicos tambi\u00e9n podr\u00edan ser los destinatarios de la informaci\u00f3n pertinente sobre incidentes relativos a entidades financieras procedente de las autoridades competentes en virtud del Reglamento (UE) 2022\/2554 , que deber\u00edan poder transmitir, seg\u00fan proceda, a los CSIRT o a las autoridades competentes en virtud de la presente Directiva.
<\/p>\n\n\n\n

(41) Los Estados miembros deben estar adecuadamente equipados, tanto en t\u00e9rminos de capacidades t\u00e9cnicas como organizativas, para prevenir, detectar, responder y mitigar incidentes y riesgos. Por consiguiente, los Estados miembros deben crear o designar uno o varios CSIRT con arreglo a la presente Directiva y velar por que dispongan de los recursos y capacidades t\u00e9cnicas adecuados. Los CSIRT deben cumplir los requisitos establecidos en la presente Directiva a fin de garantizar unas capacidades eficaces y compatibles para hacer frente a incidentes y riesgos y asegurar una cooperaci\u00f3n eficaz a escala de la Uni\u00f3n.<\/p>\n\n\n\n

Los Estados miembros deben poder designar como CSIRT a los equipos de respuesta a emergencias inform\u00e1ticas (CERT) existentes. Con el fin de reforzar la relaci\u00f3n de confianza entre las entidades y los CSIRT, cuando un CSIRT forme parte de una autoridad competente, los Estados miembros deben poder considerar la separaci\u00f3n funcional entre las tareas operativas proporcionadas por los CSIRT, en particular en relaci\u00f3n con el intercambio de informaci\u00f3n y la asistencia proporcionada a las entidades, y las actividades de supervisi\u00f3n de las autoridades competentes.<\/p>\n\n\n\n

(42) Los CSIRT tienen la misi\u00f3n de gesti\u00f3n de incidentesGesti\u00f3n de incidentes<\/span> Se refiere a todas las acciones y procedimientos destinados a prevenir, detectar, analizar y contener un incidente, o a responder a \u00e9l y recuperarse de \u00e9l. Definici\u00f3n seg\u00fan el art\u00edculo 6 de la Directiva (UE) 2022\/2555 (Directiva NIS2)<\/a><\/span><\/span><\/span>. Esto incluye el tratamiento de grandes vol\u00famenes de datos, a veces sensibles. Los Estados miembros deben velar por que los CSIRT dispongan de una infraestructura de intercambio y tratamiento de la informaci\u00f3n, as\u00ed como de personal bien equipado, que garantice la confidencialidad y fiabilidad de sus operaciones. Los CSIRT tambi\u00e9n podr\u00edan adoptar c\u00f3digos de conducta al respecto.<\/p>\n\n\n\n

(43) Por lo que respecta a los datos personales, los CSIRT deben poder proporcionar, de conformidad con el Reglamento (UE) 2016\/679, a petici\u00f3n de una entidad esencial o importante, un escaneado proactivo de la red y de los sistemas de informaci\u00f3n utilizados para la prestaci\u00f3n de los servicios de la entidad. Cuando proceda, los Estados miembros deben tratar de garantizar un mismo nivel de capacidades t\u00e9cnicas para todos los CSIRT sectoriales. Los Estados miembros deben poder solicitar la asistencia de la ENISA para desarrollar sus CSIRT.<\/p>\n\n\n\n

(44) Los CSIRT deben tener la capacidad, a petici\u00f3n de una entidad esencial o importante, de supervisar los activos de la entidad conectados a Internet, tanto dentro como fuera de las instalaciones, con el fin de identificar, comprender y gestionar los riesgos organizativos generales de la entidad en lo que respecta a los compromisos o vulnerabilidades cr\u00edticas recientemente identificados en la cadena de suministro. Debe animarse a la entidad a que comunique al CSIRT si utiliza una interfaz de gesti\u00f3n privilegiada, ya que esto podr\u00eda afectar a la rapidez de la adopci\u00f3n de medidas de mitigaci\u00f3n.<\/p>\n\n\n\n

(45) Dada la importancia de la cooperaci\u00f3n internacional en materia de ciberseguridad, los CSIRT deben poder participar en redes de cooperaci\u00f3n internacional, adem\u00e1s de en la red de CSIRT establecida por la presente Directiva. Por consiguiente, a efectos del desempe\u00f1o de sus funciones, los CSIRT y las autoridades competentes deben poder intercambiar informaci\u00f3n, incluidos datos personales, con los equipos nacionales de respuesta a incidentes de seguridad inform\u00e1tica o las autoridades competentes de terceros pa\u00edses, siempre que se cumplan las condiciones previstas en el Derecho de la Uni\u00f3n en materia de protecci\u00f3n de datos para las transferencias de datos personales a terceros pa\u00edses, entre otras las del art\u00edculo 49 del Reglamento (UE) 2016\/679.<\/p>\n\n\n\n

(46) Es esencial garantizar los recursos adecuados para cumplir los objetivos de la presente Directiva y permitir que las autoridades competentes y los CSIRT lleven a cabo las tareas que en ella se establecen. Los Estados miembros pueden introducir a nivel nacional un mecanismo de financiaci\u00f3n para cubrir los gastos necesarios en relaci\u00f3n con la realizaci\u00f3n de las tareas de las entidades p\u00fablicas responsables de la ciberseguridad en el Estado miembro con arreglo a la presente Directiva. Dicho mecanismo debe ajustarse al Derecho de la Uni\u00f3n, ser proporcionado y no discriminatorio y tener en cuenta los distintos enfoques de la prestaci\u00f3n de servicios seguros.<\/p>\n\n\n\n

(47) La red de CSIRT debe seguir contribuyendo a reforzar la confianza y promover una cooperaci\u00f3n operativa r\u00e1pida y eficaz entre los Estados miembros. Con el fin de reforzar la cooperaci\u00f3n operativa a escala de la Uni\u00f3n, la red de CSIRT debe considerar la posibilidad de invitar a participar en sus trabajos a los organismos y agencias de la Uni\u00f3n que intervienen en la pol\u00edtica de ciberseguridad, como Europol.<\/p>\n\n\n\n

(48) Con el fin de alcanzar y mantener un alto nivel de ciberseguridad, las estrategias nacionales de ciberseguridad exigidas en virtud de la presente Directiva deben consistir en marcos coherentes que proporcionen objetivos y prioridades estrat\u00e9gicos en el \u00e1mbito de la ciberseguridad y la gobernanza para alcanzarlos. Dichas estrategias pueden estar compuestas por uno o varios instrumentos legislativos o no legislativos.<\/p>\n\n\n\n

(49) Las pol\u00edticas de ciberhigiene sientan las bases para proteger red y sistema de informaci\u00f3nRedes y sistemas de informaci\u00f3n<\/span> (a) una red de comunicaciones electr\u00f3nicas, tal como se define en el art\u00edculo 2, punto 1, de la Directiva (UE) 2018\/1972; b) cualquier dispositivo o grupo de dispositivos interconectados o relacionados entre s\u00ed, uno o varios de los cuales, con arreglo a un programa, lleven a cabo un tratamiento autom\u00e1tico de datos digitales; o c) datos digitales almacenados, tratados, recuperados o transmitidos por elementos contemplados en las letras a) y b) a efectos de su funcionamiento, uso, protecci\u00f3n y mantenimiento; - Definici\u00f3n seg\u00fan el art\u00edculo 6 de la Directiva (UE) 2022\/2555 (Directiva NIS2)<\/a><\/span><\/span><\/span> las infraestructuras, el hardware, el software y la seguridad de las aplicaciones en l\u00ednea, as\u00ed como los datos de las empresas o de los usuarios finales de los que dependen las entidades. Las pol\u00edticas de ciberhigiene, que comprenden un conjunto b\u00e1sico com\u00fan de pr\u00e1cticas, incluidas las actualizaciones de software y hardware, los cambios de contrase\u00f1a, la gesti\u00f3n de nuevas instalaciones, la limitaci\u00f3n de las cuentas de acceso a nivel de administrador y la realizaci\u00f3n de copias de seguridad de los datos, permiten un marco proactivo de preparaci\u00f3n y seguridad general en caso de incidentes o ciberamenazas. La ENISA deber\u00eda supervisar y analizar las pol\u00edticas de ciberhigiene de los Estados miembros.<\/p>\n\n\n\n

(50) La concienciaci\u00f3n sobre la ciberseguridad y la ciberhigiene son esenciales para mejorar el nivel de ciberseguridad en la Uni\u00f3n, en particular a la luz del creciente n\u00famero de dispositivos conectados que se utilizan cada vez m\u00e1s en los ciberataques. Deben realizarse esfuerzos para aumentar la concienciaci\u00f3n general sobre los riesgos relacionados con dichos dispositivos, mientras que las evaluaciones a nivel de la Uni\u00f3n podr\u00edan ayudar a garantizar una comprensi\u00f3n com\u00fan de tales riesgos en el mercado interior.<\/p>\n\n\n\n

(51) Los Estados miembros deben fomentar el uso de cualquier tecnolog\u00eda innovadora, incluida la inteligencia artificial, cuyo uso pueda mejorar la detecci\u00f3n y prevenci\u00f3n de ciberataques, permitiendo desviar recursos hacia los ciberataques de manera m\u00e1s eficaz. Por consiguiente, los Estados miembros deben fomentar en su estrategia nacional de ciberseguridad actividades de investigaci\u00f3n y desarrollo para facilitar el uso de dichas tecnolog\u00edas, en particular las relativas a herramientas automatizadas o semiautomatizadas de ciberseguridad, y, en su caso, el intercambio de los datos necesarios para formar a los usuarios de dicha tecnolog\u00eda y para mejorarla.<\/p>\n\n\n\n

El uso de cualquier tecnolog\u00eda innovadora, incluida la inteligencia artificial, debe cumplir el Derecho de la Uni\u00f3n en materia de protecci\u00f3n de datos, incluidos los principios de protecci\u00f3n de datos de exactitud de los datos, minimizaci\u00f3n de los datos, imparcialidad y transparencia, y seguridad de los datos, como el cifrado de \u00faltima generaci\u00f3n. Deben aprovecharse plenamente los requisitos de protecci\u00f3n de datos desde el dise\u00f1o y por defecto establecidos en el Reglamento (UE) 2016\/679.<\/p>\n\n\n\n

(52) Las herramientas y aplicaciones de ciberseguridad de c\u00f3digo abierto pueden contribuir a un mayor grado de apertura y repercutir positivamente en la eficiencia de la innovaci\u00f3n industrial. Las normas abiertas facilitan la interoperabilidad entre las herramientas de seguridad, lo que beneficia a la seguridad de las partes interesadas del sector industrial. Las herramientas y aplicaciones de ciberseguridad de c\u00f3digo abierto pueden aprovechar una comunidad de desarrolladores m\u00e1s amplia, permitiendo la diversificaci\u00f3n de los proveedores. El c\u00f3digo abierto puede conducir a un proceso de verificaci\u00f3n m\u00e1s transparente de las herramientas relacionadas con la ciberseguridad y a un proceso de descubrimiento de vulnerabilidades impulsado por la comunidad.<\/p>\n\n\n\n

Por lo tanto, los Estados miembros deber\u00edan poder promover el uso de programas inform\u00e1ticos de c\u00f3digo abierto y de normas abiertas aplicando pol\u00edticas relativas al uso de datos abiertos y de c\u00f3digo abierto como parte de la seguridad a trav\u00e9s de la transparencia. Las pol\u00edticas que promueven la introducci\u00f3n y el uso sostenible de herramientas de ciberseguridad de c\u00f3digo abierto son de especial importancia para las peque\u00f1as y medianas empresas que se enfrentan a costes significativos de implementaci\u00f3n, que podr\u00edan minimizarse reduciendo la necesidad de aplicaciones o herramientas espec\u00edficas.<\/p>\n\n\n\n

(53) Los servicios p\u00fablicos est\u00e1n cada vez m\u00e1s conectados a las redes digitales en las ciudades, con el fin de mejorar las redes de transporte urbano, modernizar las instalaciones de suministro de agua y eliminaci\u00f3n de residuos y aumentar la eficiencia de la iluminaci\u00f3n y la calefacci\u00f3n de los edificios. Estos servicios p\u00fablicos digitalizados son vulnerables a los ciberataques y corren el riesgo, en caso de ciberataque con \u00e9xito, de perjudicar a los ciudadanos a gran escala debido a su interconexi\u00f3n. Los Estados miembros deben desarrollar una pol\u00edtica que aborde el desarrollo de estas ciudades conectadas o inteligentes, y sus posibles efectos en la sociedad, como parte de su estrategia nacional de ciberseguridad.<\/p>\n\n\n\n

(54) En los \u00faltimos a\u00f1os, la Uni\u00f3n se ha enfrentado a un aumento exponencial de los ataques de ransomware, en los que los programas maliciosos cifran datos y sistemas y exigen el pago de un rescate para liberarlos. La creciente frecuencia y gravedad de los ataques de ransomware puede deberse a varios factores, como los diferentes patrones de ataque, los modelos de negocio delictivos en torno al \"ransomware como servicio\" y las criptomonedas, las peticiones de rescate y el aumento de los ataques a la cadena de suministro. Los Estados miembros deben desarrollar una pol\u00edtica que aborde el aumento de los ataques de ransomware como parte de su estrategia nacional de ciberseguridad.<\/p>\n\n\n\n

(55) Las asociaciones p\u00fablico-privadas (APP) en el \u00e1mbito de la ciberseguridad pueden proporcionar un marco adecuado para el intercambio de conocimientos, la puesta en com\u00fan de las mejores pr\u00e1cticas y el establecimiento de un nivel com\u00fan de entendimiento entre las partes interesadas. Los Estados miembros deben promover pol\u00edticas que respalden el establecimiento de APP espec\u00edficas en materia de ciberseguridad.<\/p>\n\n\n\n

Dichas pol\u00edticas deben aclarar, entre otras cosas, el alcance y las partes interesadas, el modelo de gobernanza, las opciones de financiaci\u00f3n disponibles y la interacci\u00f3n entre las partes interesadas participantes con respecto a las APP. Las APP pueden aprovechar la experiencia de las entidades del sector privado para ayudar a las autoridades competentes a desarrollar servicios y procesos de vanguardia, como el intercambio de informaci\u00f3n, las alertas tempranas, los ejercicios sobre ciberamenazas e incidentes, la gesti\u00f3n de crisis y la planificaci\u00f3n de la resiliencia.<\/p>\n\n\n\n

(56) Los Estados miembros deben abordar, en sus estrategias nacionales de ciberseguridad, las necesidades espec\u00edficas de ciberseguridad de las peque\u00f1as y medianas empresas. Las peque\u00f1as y medianas empresas representan, en toda la Uni\u00f3n, un gran porcentaje del mercado industrial y empresarial y a menudo luchan por adaptarse a las nuevas pr\u00e1cticas empresariales en un mundo m\u00e1s conectado y al entorno digital, con empleados que trabajan desde casa y negocios que se realizan cada vez m\u00e1s en l\u00ednea.<\/p>\n\n\n\n

Algunas peque\u00f1as y medianas empresas se enfrentan a retos espec\u00edficos en materia de ciberseguridad, como una escasa concienciaci\u00f3n cibern\u00e9tica, la falta de seguridad inform\u00e1tica a distancia, el elevado coste de las soluciones de ciberseguridad y un mayor nivel de amenazas, como el ransomware, para las que deben recibir orientaci\u00f3n y asistencia. Las peque\u00f1as y medianas empresas se est\u00e1n convirtiendo cada vez m\u00e1s en el blanco de los ataques a la cadena de suministro debido a que sus medidas de gesti\u00f3n de riesgos de ciberseguridad y de gesti\u00f3n de ataques son menos rigurosas, y a que disponen de recursos de seguridad limitados.<\/p>\n\n\n\n

Estos ataques a la cadena de suministro no solo repercuten en las peque\u00f1as y medianas empresas y en sus operaciones de forma aislada, sino que tambi\u00e9n pueden tener un efecto en cascada de ataques de mayor envergadura contra las entidades a las que suministran productos. Los Estados miembros deben, a trav\u00e9s de sus estrategias nacionales de ciberseguridad, ayudar a las peque\u00f1as y medianas empresas a hacer frente a los retos que se plantean en sus cadenas de suministro.<\/p>\n\n\n\n

Los Estados miembros deben contar con un punto de contacto para las peque\u00f1as y medianas empresas a nivel nacional o regional, que proporcione orientaci\u00f3n y asistencia a las peque\u00f1as y medianas empresas o las dirija a los organismos adecuados para que reciban orientaci\u00f3n y asistencia en relaci\u00f3n con cuestiones relacionadas con la ciberseguridad. Tambi\u00e9n se anima a los Estados miembros a ofrecer servicios como la configuraci\u00f3n de sitios web y la habilitaci\u00f3n de registros a las microempresas y peque\u00f1as empresas que carezcan de esas capacidades.<\/p>\n\n\n\n

(57) Como parte de sus estrategias nacionales de ciberseguridad, los Estados miembros deben adoptar pol\u00edticas de fomento de la ciberprotecci\u00f3n activa como parte de una estrategia defensiva m\u00e1s amplia. En lugar de responder de forma reactiva, la ciberprotecci\u00f3n activa consiste en la prevenci\u00f3n, detecci\u00f3n, supervisi\u00f3n, an\u00e1lisis y mitigaci\u00f3n de las violaciones de la seguridad de la red de forma activa, combinada con el uso de capacidades desplegadas dentro y fuera de la red v\u00edctima.<\/p>\n\n\n\n

Esto podr\u00eda incluir que los Estados miembros ofrecieran servicios o herramientas gratuitos a determinadas entidades, incluidas comprobaciones de autoservicio, herramientas de detecci\u00f3n y servicios de retirada. La capacidad de compartir y comprender de forma r\u00e1pida y autom\u00e1tica informaci\u00f3n y an\u00e1lisis sobre amenazas, alertas de ciberactividad y medidas de respuesta es fundamental para permitir una unidad de esfuerzos a la hora de prevenir, detectar, abordar y bloquear con \u00e9xito los ataques contra los sistemas de red y de informaci\u00f3n. La ciberprotecci\u00f3n activa se basa en una estrategia defensiva que excluye las medidas ofensivas.<\/p>\n\n\n\n

(58) Dado que la explotaci\u00f3n de vulnerabilidades en los sistemas de red y de informaci\u00f3n puede causar perturbaciones y da\u00f1os significativos, la r\u00e1pida identificaci\u00f3n y subsanaci\u00f3n de dichas vulnerabilidades es un factor importante para reducir el riesgo. Las entidades que desarrollan o administran redes y sistemas de informaci\u00f3n deben, por tanto, establecer procedimientos adecuados para tratar las vulnerabilidades cuando se descubran. Dado que las vulnerabilidades suelen ser descubiertas y divulgadas por terceros, el fabricante o proveedor de productos o servicios de TIC tambi\u00e9n debe establecer los procedimientos necesarios para recibir informaci\u00f3n sobre vulnerabilidades de terceros.<\/p>\n\n\n\n

A este respecto, las normas internacionales ISO\/IEC 30111 e ISO\/IEC 29147 proporcionan orientaciones sobre el tratamiento y la divulgaci\u00f3n de vulnerabilidades. Reforzar la coordinaci\u00f3n entre las personas f\u00edsicas y jur\u00eddicas declarantes y los fabricantes o proveedores de productos o servicios de TIC es especialmente importante para facilitar el marco voluntario de divulgaci\u00f3n de vulnerabilidades.<\/p>\n\n\n\n

La divulgaci\u00f3n coordinada de vulnerabilidades especifica un proceso estructurado mediante el cual las vulnerabilidades se notifican al fabricante o proveedor de los productos o servicios de TIC potencialmente vulnerables de manera que pueda diagnosticar y remediar la vulnerabilidad antes de que se divulgue informaci\u00f3n detallada sobre la vulnerabilidad a terceros o al p\u00fablico. La divulgaci\u00f3n coordinada de vulnerabilidades tambi\u00e9n debe incluir la coordinaci\u00f3n entre la persona f\u00edsica o jur\u00eddica informadora y el fabricante o proveedor de los productos o servicios de TIC potencialmente vulnerables en lo que respecta al calendario de reparaci\u00f3n y publicaci\u00f3n de vulnerabilidades.<\/p>\n\n\n\n

(59) La Comisi\u00f3n, la ENISA y los Estados miembros deben seguir fomentando la armonizaci\u00f3n con las normas internacionales y las mejores pr\u00e1cticas existentes en el sector en el \u00e1mbito de la gesti\u00f3n de riesgos de ciberseguridad, por ejemplo en materia de evaluaci\u00f3n de la seguridad de la cadena de suministro, intercambio de informaci\u00f3n y divulgaci\u00f3n de vulnerabilidades.<\/p>\n\n\n\n

(60) Los Estados miembros, en cooperaci\u00f3n con la ENISA, deben tomar medidas para facilitar la divulgaci\u00f3n coordinada de vulnerabilidades mediante el establecimiento de una pol\u00edtica nacional pertinente. Como parte de su pol\u00edtica nacional, los Estados miembros deben tratar de abordar, en la medida de lo posible, los retos a los que se enfrentan los investigadores de vulnerabilidades, incluida su posible exposici\u00f3n a la responsabilidad penal, de conformidad con la legislaci\u00f3n nacional. Dado que las personas f\u00edsicas y jur\u00eddicas que investigan vulnerabilidades podr\u00edan estar expuestas en algunos Estados miembros a responsabilidad penal y civil, se anima a los Estados miembros a adoptar directrices relativas a la no persecuci\u00f3n de los investigadores de la seguridad de la informaci\u00f3n y a la exenci\u00f3n de responsabilidad civil por sus actividades.<\/p>\n\n\n\n

(61) Los Estados miembros deben designar a uno de sus CSIRT como coordinador, que act\u00fae como intermediario de confianza entre las personas f\u00edsicas o jur\u00eddicas declarantes y los fabricantes o proveedores de productos o servicios de TIC que puedan verse afectados por la vulnerabilidad, cuando sea necesario.<\/p>\n\n\n\n

Las tareas del CSIRT designado como coordinador deber\u00e1n incluir la identificaci\u00f3n y el contacto con las entidades afectadas, la asistencia a las personas f\u00edsicas o jur\u00eddicas que notifiquen una vulnerabilidad, la negociaci\u00f3n de los plazos de divulgaci\u00f3n y la gesti\u00f3n de las vulnerabilidades que afecten a varias entidades (divulgaci\u00f3n coordinada de vulnerabilidades por varias partes). Cuando la vulnerabilidad notificada pueda tener un impacto significativo en entidades de m\u00e1s de un Estado miembro, los CSIRT designados como coordinadores deber\u00e1n cooperar dentro de la red de CSIRT, cuando proceda.<\/p>\n\n\n\n

(62) El acceso a informaci\u00f3n correcta y oportuna sobre las vulnerabilidades que afectan a los productos y servicios de TIC contribuye a mejorar la gesti\u00f3n de los riesgos de ciberseguridad. Las fuentes de informaci\u00f3n p\u00fablicamente disponibles sobre vulnerabilidades son una herramienta importante para las entidades y para los usuarios de sus servicios, pero tambi\u00e9n para las autoridades competentes y los CSIRT. Por este motivo, la ENISA debe crear una base de datos europea sobre vulnerabilidades en la que las entidades, independientemente de que entren o no en el \u00e1mbito de aplicaci\u00f3n de la presente Directiva, y sus proveedores de sistemas de redes y de informaci\u00f3n, as\u00ed como las autoridades competentes y los CSIRT, puedan divulgar y registrar, con car\u00e1cter voluntario, las vulnerabilidades de conocimiento p\u00fablico con el fin de que los usuarios puedan adoptar las medidas paliativas adecuadas.<\/p>\n\n\n\n

El objetivo de dicha base de datos es abordar los retos \u00fanicos que plantean los riesgos para las entidades de la Uni\u00f3n. Adem\u00e1s, la ENISA debe establecer un procedimiento adecuado en relaci\u00f3n con el proceso de publicaci\u00f3n a fin de dar tiempo a las entidades para que adopten medidas paliativas en lo que respecta a sus vulnerabilidades y empleen medidas de gesti\u00f3n de riesgos de ciberseguridad de \u00faltima generaci\u00f3n, as\u00ed como conjuntos de datos legibles por m\u00e1quina e interfaces correspondientes. Para fomentar una cultura de divulgaci\u00f3n de vulnerabilidades, la divulgaci\u00f3n no debe tener efectos perjudiciales para la persona f\u00edsica o jur\u00eddica informante.<\/p>\n\n\n\n

(63) Aunque existen registros o bases de datos de vulnerabilidades similares, est\u00e1n alojados y mantenidos por entidades que no est\u00e1n establecidas en la Uni\u00f3n. Una base de datos europea sobre vulnerabilidades mantenida por ENISA proporcionar\u00eda una mayor transparencia en relaci\u00f3n con el proceso de publicaci\u00f3n antes de que la vulnerabilidad se divulgue p\u00fablicamente, as\u00ed como capacidad de recuperaci\u00f3n en caso de perturbaci\u00f3n o interrupci\u00f3n de la prestaci\u00f3n de servicios similares.<\/p>\n\n\n\n

Para evitar, en la medida de lo posible, la duplicaci\u00f3n de esfuerzos y buscar la complementariedad, ENISA deber\u00eda explorar la posibilidad de celebrar acuerdos de cooperaci\u00f3n estructurados con registros o bases de datos similares que est\u00e9n bajo la jurisdicci\u00f3n de terceros pa\u00edses. En particular, ENISA deber\u00eda explorar la posibilidad de cooperar estrechamente con los operadores del sistema Common Vulnerabilities and Exposures (CVE).<\/p>\n\n\n\n

(64) El Grupo de Cooperaci\u00f3n debe apoyar y facilitar la cooperaci\u00f3n estrat\u00e9gica y el intercambio de informaci\u00f3n, as\u00ed como reforzar la confianza entre los Estados miembros. El Grupo de Cooperaci\u00f3n debe establecer un programa de trabajo cada dos a\u00f1os. El programa de trabajo deber\u00e1 incluir las acciones que deber\u00e1 emprender el Grupo de Cooperaci\u00f3n para llevar a cabo sus objetivos y tareas. El calendario para el establecimiento del primer programa de trabajo en virtud de la presente Directiva debe ajustarse al calendario del \u00faltimo programa de trabajo establecido en virtud de la Directiva (UE) 2016\/1148, a fin de evitar posibles interrupciones en la labor del Grupo de cooperaci\u00f3n.<\/p>\n\n\n\n

(65) Cuando elabore documentos de orientaci\u00f3n, el Grupo de cooperaci\u00f3n deber\u00eda cartografiar sistem\u00e1ticamente las soluciones y experiencias nacionales, evaluar el impacto de los resultados del Grupo de cooperaci\u00f3n en los enfoques nacionales, debatir los problemas de aplicaci\u00f3n y formular recomendaciones espec\u00edficas, en particular en lo que se refiere a facilitar la armonizaci\u00f3n de la transposici\u00f3n de la presente Directiva entre los Estados miembros, que deber\u00e1 abordarse mediante una mejor aplicaci\u00f3n de las normas existentes. El Grupo de Cooperaci\u00f3n tambi\u00e9n podr\u00eda cartografiar las soluciones nacionales con el fin de promover la compatibilidad de las soluciones de ciberseguridad aplicadas a cada sector espec\u00edfico en toda la Uni\u00f3n. Esto es especialmente pertinente para los sectores que tienen un car\u00e1cter internacional o transfronterizo.<\/p>\n\n\n\n

(66) El Grupo de Cooperaci\u00f3n debe seguir siendo un foro flexible y capaz de reaccionar ante los cambios y los nuevos retos y prioridades pol\u00edticas, teniendo en cuenta al mismo tiempo la disponibilidad de recursos. Podr\u00eda organizar reuniones conjuntas peri\u00f3dicas con las partes interesadas del sector privado de toda la Uni\u00f3n para debatir las actividades llevadas a cabo por el Grupo de Cooperaci\u00f3n y recabar datos y aportaciones sobre los nuevos retos pol\u00edticos. Adem\u00e1s, el Grupo de Cooperaci\u00f3n deber\u00eda llevar a cabo una evaluaci\u00f3n peri\u00f3dica de la situaci\u00f3n de las amenazas o incidentes cibern\u00e9ticos, como el ransomware.<\/p>\n\n\n\n

Con el fin de mejorar la cooperaci\u00f3n a escala de la Uni\u00f3n, el Grupo de Cooperaci\u00f3n debe considerar la posibilidad de invitar a participar en sus trabajos a las instituciones, \u00f3rganos, oficinas y agencias pertinentes de la Uni\u00f3n que participan en la pol\u00edtica de ciberseguridad, como el Parlamento Europeo, Europol, el Consejo Europeo de Protecci\u00f3n de Datos, la Agencia de Seguridad A\u00e9rea de la Uni\u00f3n Europea, creada por el Reglamento (UE) 2018\/1139, y la Agencia de la Uni\u00f3n Europea para el Programa Espacial, creada por el Reglamento (UE) 2021\/696 del Parlamento Europeo y del Consejo (14).<\/p>\n\n\n\n

(67) Las autoridades competentes y los CSIRT deben poder participar en reg\u00edmenes de intercambio de funcionarios de otros Estados miembros, dentro de un marco espec\u00edfico y, en su caso, con sujeci\u00f3n a la habilitaci\u00f3n de seguridad exigida a los funcionarios que participen en dichos reg\u00edmenes de intercambio, a fin de mejorar la cooperaci\u00f3n y reforzar la confianza entre los Estados miembros. Las autoridades competentes deber\u00e1n adoptar las medidas necesarias para que los funcionarios de otros Estados miembros puedan desempe\u00f1ar un papel efectivo en las actividades de la autoridad competente o del CSIRT de acogida.<\/p>\n\n\n\n

(68) Los Estados miembros deben contribuir al establecimiento del Marco de Respuesta a las Crisis de Ciberseguridad de la UE, tal como se establece en la Recomendaci\u00f3n (UE) 2017\/1584 (15) de la Comisi\u00f3n, a trav\u00e9s de las redes de cooperaci\u00f3n existentes, en particular la red de organizaciones europeas de enlace en situaciones de cibercrisis (EU-CyCLONe), la red de CSIRT y el Grupo de Cooperaci\u00f3n. EU-CyCLONe y la red de CSIRT deben cooperar sobre la base de acuerdos de procedimiento que especifiquen los detalles de dicha cooperaci\u00f3n y eviten la duplicaci\u00f3n de tareas.<\/p>\n\n\n\n

El reglamento interno de EU-CyCLONe debe especificar con m\u00e1s detalle los acuerdos a trav\u00e9s de los cuales debe funcionar dicha red, incluidas las funciones de la red, los medios de cooperaci\u00f3n, las interacciones con otros actores pertinentes y las plantillas para el intercambio de informaci\u00f3n, as\u00ed como los medios de comunicaci\u00f3n. Para la gesti\u00f3n de crisis a escala de la Uni\u00f3n, las partes pertinentes deben basarse en las disposiciones de la UE en materia de Respuesta Pol\u00edtica Integrada a las Crisis con arreglo a la Decisi\u00f3n de Ejecuci\u00f3n (UE) 2018\/1993 (16) del Consejo (disposiciones IPCR). La Comisi\u00f3n debe utilizar a tal efecto el proceso de coordinaci\u00f3n intersectorial de crisis de alto nivel ARGUS. Si la crisis implica una dimensi\u00f3n exterior importante o de Pol\u00edtica Com\u00fan de Seguridad y Defensa, deber\u00e1 activarse el Mecanismo de Respuesta a las Crisis del Servicio Europeo de Acci\u00f3n Exterior.<\/p>\n\n\n\n

(69) De conformidad con el anexo de la Recomendaci\u00f3n (UE) 2017\/1584, por incidente de ciberseguridad a gran escala debe entenderse un incidente que cause un nivel de perturbaci\u00f3n que supere la capacidad de un Estado miembro para responder a \u00e9l o que tenga un impacto significativo en al menos dos Estados miembros. Dependiendo de su causa e impacto, los incidentes de ciberseguridad a gran escala pueden escalar y convertirse en crisis en toda regla que no permitan el correcto funcionamiento del mercado interior o planteen graves riesgos para la seguridad p\u00fablica y la seguridad de las entidades o los ciudadanos de varios Estados miembros o de la Uni\u00f3n en su conjunto.<\/p>\n\n\n\n

Dado el amplio alcance y, en la mayor\u00eda de los casos, el car\u00e1cter transfronterizo de estos incidentes, los Estados miembros y las instituciones, \u00f3rganos y organismos pertinentes de la Uni\u00f3n deben cooperar a nivel t\u00e9cnico, operativo y pol\u00edtico para coordinar adecuadamente la respuesta en toda la Uni\u00f3n.<\/p>\n\n\n\n

(70) Los incidentes y crisis de ciberseguridad a gran escala a escala de la Uni\u00f3n requieren una acci\u00f3n coordinada para garantizar una respuesta r\u00e1pida y eficaz debido al alto grado de interdependencia entre sectores y Estados miembros. La disponibilidad de redes y sistemas de informaci\u00f3n ciberresistentes y la disponibilidad, confidencialidad e integridad de los datos son vitales para la seguridad de la Uni\u00f3n y para la protecci\u00f3n de sus ciudadanos, empresas e instituciones frente a incidentes y ciberamenazas, as\u00ed como para reforzar la confianza de las personas y organizaciones en la capacidad de la Uni\u00f3n para promover y proteger un ciberespacio global, abierto, libre, estable y seguro, basado en los derechos humanos, las libertades fundamentales, la democracia y el Estado de Derecho.<\/p>\n\n\n\n

(71) El EU-CyCLONe debe trabajar como intermediario entre el nivel t\u00e9cnico y el pol\u00edtico durante los incidentes y crisis de ciberseguridad a gran escala y debe mejorar la cooperaci\u00f3n a nivel operativo y apoyar la toma de decisiones a nivel pol\u00edtico. En cooperaci\u00f3n con la Comisi\u00f3n, teniendo en cuenta la competencia de la Comisi\u00f3n en el \u00e1mbito de la gesti\u00f3n de crisis, el EU-CyCLONe deber\u00eda basarse en los resultados de la red de CSIRT y utilizar sus propias capacidades para crear an\u00e1lisis de impacto de los incidentes y crisis de ciberseguridad a gran escala.<\/p>\n\n\n\n

(72) Los ciberataques son de naturaleza transfronteriza, y un incidente significativo puede perturbar y da\u00f1ar infraestructuras de informaci\u00f3n cr\u00edticas de las que depende el buen funcionamiento del mercado interior. La Recomendaci\u00f3n (UE) 2017\/1584 aborda el papel de todos los agentes pertinentes. Adem\u00e1s, la Comisi\u00f3n es responsable, en el marco del Mecanismo de Protecci\u00f3n Civil de la Uni\u00f3n, establecido por la Decisi\u00f3n n.\u00ba 1313\/2013\/UE del Parlamento Europeo y del Consejo, de las acciones generales de preparaci\u00f3n, incluida la gesti\u00f3n del Centro de Coordinaci\u00f3n de la Respuesta a Emergencias y del Sistema Com\u00fan de Comunicaci\u00f3n e Informaci\u00f3n de Emergencia, el mantenimiento y ulterior desarrollo de la capacidad de conocimiento y an\u00e1lisis de la situaci\u00f3n, y el establecimiento y la gesti\u00f3n de la capacidad de movilizaci\u00f3n y env\u00edo de equipos de expertos en caso de solicitud de ayuda de un Estado miembro o de un tercer pa\u00eds.<\/p>\n\n\n\n

La Comisi\u00f3n tambi\u00e9n es responsable de proporcionar informes anal\u00edticos para los acuerdos IPCR en virtud de la Decisi\u00f3n de Ejecuci\u00f3n (UE) 2018\/1993, incluso en relaci\u00f3n con el conocimiento de la situaci\u00f3n y la preparaci\u00f3n en materia de ciberseguridad, as\u00ed como para el conocimiento de la situaci\u00f3n y la respuesta a las crisis en los \u00e1mbitos de la agricultura, las condiciones meteorol\u00f3gicas adversas, la cartograf\u00eda y las previsiones de conflictos, los sistemas de alerta temprana de desastres naturales, las emergencias sanitarias, la vigilancia de las enfermedades infecciosas, la fitosanidad, los incidentes qu\u00edmicos, la seguridad de los alimentos y los piensos, la sanidad animal, la migraci\u00f3n, las aduanas, las emergencias nucleares y radiol\u00f3gicas y la energ\u00eda.<\/p>\n\n\n\n

(73) La Uni\u00f3n puede, en su caso, celebrar acuerdos internacionales, de conformidad con el art\u00edculo 218 del TFUE, con terceros pa\u00edses u organizaciones internacionales, que permitan y organicen su participaci\u00f3n en actividades concretas del Grupo de Cooperaci\u00f3n, la red de CSIRT y EU-CyCLONe. Tales acuerdos deben garantizar los intereses de la Uni\u00f3n y la adecuada protecci\u00f3n de los datos. Esto no debe excluir el derecho de los Estados miembros a cooperar con terceros pa\u00edses en la gesti\u00f3n de vulnerabilidades y la gesti\u00f3n de riesgos de ciberseguridad, facilitando la presentaci\u00f3n de informes y el intercambio general de informaci\u00f3n de conformidad con el Derecho de la Uni\u00f3n.<\/p>\n\n\n\n

(74) Para facilitar la aplicaci\u00f3n efectiva de la presente Directiva en lo que respecta, entre otras cosas, a la gesti\u00f3n de vulnerabilidades, las medidas de gesti\u00f3n de riesgos en materia de ciberseguridad, las obligaciones de notificaci\u00f3n y los acuerdos de intercambio de informaci\u00f3n sobre ciberseguridad, los Estados miembros pueden cooperar con terceros pa\u00edses y emprender las actividades que se consideren adecuadas a tal fin, incluido el intercambio de informaci\u00f3n sobre ciberamenazas, incidentes, vulnerabilidades, herramientas y m\u00e9todos, t\u00e1cticas, t\u00e9cnicas y procedimientos, preparaci\u00f3n y ejercicios de gesti\u00f3n de crisis de ciberseguridad, formaci\u00f3n, creaci\u00f3n de confianza y acuerdos estructurados de intercambio de informaci\u00f3n.<\/p>\n\n\n\n

(75) Deben introducirse las evaluaciones inter pares para ayudar a aprender de las experiencias compartidas, reforzar la confianza mutua y alcanzar un alto nivel com\u00fan de ciberseguridad. Las revisiones inter pares pueden dar lugar a valiosas percepciones y recomendaciones que refuercen las capacidades generales de ciberseguridad, creando otra v\u00eda funcional para el intercambio de mejores pr\u00e1cticas entre los Estados miembros y contribuyendo a mejorar los niveles de madurez de los Estados miembros en materia de ciberseguridad. Adem\u00e1s, las revisiones inter pares deben tener en cuenta los resultados de mecanismos similares, como el sistema de revisi\u00f3n inter pares de la red de CSIRT, y deben aportar valor a\u00f1adido y evitar la duplicaci\u00f3n. La aplicaci\u00f3n de las revisiones inter pares debe entenderse sin perjuicio del Derecho de la Uni\u00f3n o nacional en materia de protecci\u00f3n de la informaci\u00f3n confidencial o clasificada.<\/p>\n\n\n\n

(76) El Grupo de cooperaci\u00f3n debe establecer una metodolog\u00eda de autoevaluaci\u00f3n para los Estados miembros, con el objetivo de cubrir factores tales como el nivel de aplicaci\u00f3n de las medidas de gesti\u00f3n de riesgos en materia de ciberseguridad y las obligaciones de informaci\u00f3n, el nivel de capacidades y la eficacia del ejercicio de las funciones de las autoridades competentes, las capacidades operativas de los CSIRT, el nivel de aplicaci\u00f3n de la asistencia mutua, el nivel de aplicaci\u00f3n de los acuerdos de intercambio de informaci\u00f3n sobre ciberseguridad, o cuestiones espec\u00edficas de car\u00e1cter transfronterizo o intersectorial. Debe animarse a los Estados miembros a que realicen autoevaluaciones peri\u00f3dicas y a que presenten y debatan los resultados de sus autoevaluaciones en el seno del Grupo de Cooperaci\u00f3n.<\/p>\n\n\n\n

(77) La responsabilidad de garantizar la seguridad de la red y del sistema de informaci\u00f3n recae, en gran medida, en las entidades esenciales e importantes. Debe fomentarse y desarrollarse una cultura de gesti\u00f3n de riesgos que incluya evaluaciones de riesgos y la aplicaci\u00f3n de medidas de gesti\u00f3n de riesgos de ciberseguridad adecuadas a los riesgos afrontados.<\/p>\n\n\n\n

(78) Las medidas de gesti\u00f3n de riesgos en materia de ciberseguridad deben tener en cuenta el grado de dependencia de la entidad esencial o importante de los sistemas de red y de informaci\u00f3n e incluir medidas para identificar cualquier riesgo de incidente, prevenir, detectar, responder y recuperarse de los incidentes y mitigar su impacto. La seguridad de las redes y sistemas de informaci\u00f3n debe incluir la seguridad de los datos almacenados, transmitidos y procesados. Las medidas de gesti\u00f3n de los riesgos de ciberseguridad deben prever un an\u00e1lisis sist\u00e9mico, teniendo en cuenta el factor humano, con el fin de tener una visi\u00f3n completa de la seguridad de la red y del sistema de informaci\u00f3n.<\/p>\n\n\n\n

(79) Dado que las amenazas a la seguridad de las redes y los sistemas de informaci\u00f3n pueden tener distintos or\u00edgenes, las medidas de gesti\u00f3n de riesgos en materia de ciberseguridad deben basarse en un enfoque que tenga en cuenta todos los peligros y cuyo objetivo sea proteger las redes y los sistemas de informaci\u00f3n, as\u00ed como el entorno f\u00edsico de dichos sistemas, frente a sucesos como robos, incendios, inundaciones, fallos en las telecomunicaciones o en el suministro el\u00e9ctrico, o el acceso f\u00edsico no autorizado y los da\u00f1os e interferencias en las instalaciones de informaci\u00f3n y procesamiento de la informaci\u00f3n de una entidad esencial o importante, que podr\u00edan comprometer la disponibilidad, autenticidad, integridad o confidencialidad de los datos almacenados, transmitidos o procesados o de los servicios ofrecidos por los sistemas de red e informaci\u00f3n o accesibles a trav\u00e9s de ellos.<\/p>\n\n\n\n

Por lo tanto, las medidas de gesti\u00f3n de riesgos de ciberseguridad tambi\u00e9n deben abordar la seguridad f\u00edsica y medioambiental de los sistemas de red y de informaci\u00f3n, incluyendo medidas para proteger dichos sistemas de fallos del sistema, errores humanos, actos malintencionados o fen\u00f3menos naturales, en consonancia con las normas europeas e internacionales, como las incluidas en la serie ISO\/IEC 27000. A este respecto, las entidades esenciales e importantes deben, como parte de sus medidas de gesti\u00f3n de riesgos de ciberseguridad, abordar tambi\u00e9n la seguridad de los recursos humanos y disponer de pol\u00edticas adecuadas de control de acceso. Estas medidas deben ser coherentes con la Directiva (UE) 2022\/2557.<\/p>\n\n\n\n

(80) Con el fin de demostrar el cumplimiento de las medidas de gesti\u00f3n de riesgos en materia de ciberseguridad y en ausencia de reg\u00edmenes europeos de certificaci\u00f3n de la ciberseguridad adecuados adoptados de conformidad con el Reglamento (UE) 2019\/881 del Parlamento Europeo y del Consejo (18), los Estados miembros deben, en consulta con el Grupo de Cooperaci\u00f3n y el Grupo Europeo de Certificaci\u00f3n de la Ciberseguridad, promover el uso de las normas europeas e internacionales pertinentes por parte de las entidades esenciales e importantes o pueden exigir a las entidades que utilicen productos de TIC, servicios de TIC y procesos de TIC certificados.<\/p>\n\n\n\n

\n\n\n\n

(81) Con el fin de evitar imponer una carga financiera y administrativa desproporcionada a las entidades esenciales e importantes, las medidas de gesti\u00f3n de los riesgos de ciberseguridad deben ser proporcionales a los riesgos planteados para la red y el sistema de informaci\u00f3n de que se trate, teniendo en cuenta el estado de la t\u00e9cnica de dichas medidas y, en su caso, las normas europeas e internacionales pertinentes, as\u00ed como el coste de su aplicaci\u00f3n.<\/p>\n\n\n\n

(82) Las medidas de gesti\u00f3n de riesgos en materia de ciberseguridad deben ser proporcionales al grado de exposici\u00f3n de la entidad esencial o importante a los riesgos y al impacto social y econ\u00f3mico que tendr\u00eda un incidente. Al establecer medidas de gesti\u00f3n de los riesgos de ciberseguridad adaptadas a las entidades esenciales e importantes, deben tenerse debidamente en cuenta las divergencias en la exposici\u00f3n al riesgo de las entidades esenciales e importantes, como el car\u00e1cter cr\u00edtico de la entidad, los riesgos, incluidos los riesgos sociales, a los que est\u00e1 expuesta, el tama\u00f1o de la entidad y la probabilidad de que se produzcan incidentes y su gravedad, incluido su impacto social y econ\u00f3mico.<\/p>\n\n\n\n

(83) Las entidades esenciales e importantes deben garantizar la seguridad de la red y de los sistemas de informaci\u00f3n que utilizan en sus actividades. Estos sistemas son principalmente redes y sistemas de informaci\u00f3n privados gestionados por el personal inform\u00e1tico interno de las entidades esenciales e importantes o cuya seguridad se ha externalizado. Las medidas de gesti\u00f3n de riesgos en materia de ciberseguridad y las obligaciones de informaci\u00f3n establecidas en la presente Directiva deben aplicarse a las entidades esenciales e importantes pertinentes con independencia de que dichas entidades mantengan sus redes y sistemas de informaci\u00f3n internamente o externalicen su mantenimiento.<\/p>\n\n\n\n

(84) Teniendo en cuenta su car\u00e1cter transfronterizo, proveedores de servicios DNS, registros de nombres TLD, proveedores de servicios de computaci\u00f3n en nube, proveedores de servicios de centros de datos, red de distribuci\u00f3n de contenidosRed de distribuci\u00f3n de contenidos<\/span> Se refiere a una red de servidores distribuidos geogr\u00e1ficamente con el fin de garantizar una alta disponibilidad, accesibilidad o entrega r\u00e1pida de contenidos y servicios digitales a los usuarios de Internet en nombre de los proveedores de contenidos y servicios -. Definici\u00f3n seg\u00fan el art\u00edculo 6 de la Directiva (UE) 2022\/2555 (Directiva NIS2)<\/a><\/span><\/span><\/span> los proveedores, los proveedores de servicios gestionados, los proveedores de servicios de seguridad gestionados, los proveedores de mercados en l\u00ednea, de motores de b\u00fasqueda en l\u00ednea y de plataformas de servicios de redes sociales, y los proveedores de servicios de confianza deben estar sujetos a un alto grado de armonizaci\u00f3n a escala de la Uni\u00f3n. Por consiguiente, un acto de ejecuci\u00f3n debe facilitar la aplicaci\u00f3n de medidas de gesti\u00f3n de riesgos en materia de ciberseguridad en relaci\u00f3n con dichas entidades.<\/p>\n\n\n\n

(85) Abordar los riesgos derivados de la cadena de suministro de una entidad y su relaci\u00f3n con sus proveedores, como los proveedores de servicios de almacenamiento y procesamiento de datos o los proveedores de servicios de seguridad gestionados y los editores de programas inform\u00e1ticos, es especialmente importante dada la prevalencia de incidentes en los que las entidades han sido v\u00edctimas de ciberataques y en los que autores malintencionados han podido comprometer la seguridad de la red y los sistemas de informaci\u00f3n de una entidad aprovechando vulnerabilidades que afectaban a productos y servicios de terceros.<\/p>\n\n\n\n

Por consiguiente, las entidades esenciales e importantes deben evaluar y tener en cuenta la calidad y resistencia generales de los productos y servicios, las medidas de gesti\u00f3n de los riesgos de ciberseguridad integradas en ellos y las pr\u00e1cticas de ciberseguridad de sus proveedores y prestadores de servicios, incluidos sus procedimientos de desarrollo seguro. En particular, deber\u00eda animarse a las entidades esenciales e importantes a incorporar medidas de gesti\u00f3n de riesgos de ciberseguridad en los acuerdos contractuales con sus proveedores directos y prestadores de servicios. Dichas entidades podr\u00edan considerar los riesgos derivados de otros niveles de proveedores y prestadores de servicios.<\/p>\n\n\n\n

(86) Entre los proveedores de servicios, los proveedores de servicios de seguridad gestionada en \u00e1mbitos como la respuesta a incidentes, las pruebas de penetraci\u00f3n, las auditor\u00edas de seguridad y la consultor\u00eda desempe\u00f1an un papel especialmente importante a la hora de ayudar a las entidades en sus esfuerzos por prevenir, detectar, responder o recuperarse de incidentes. Sin embargo, los proveedores de servicios de seguridad gestionados tambi\u00e9n han sido objeto de ciberataques y, debido a su estrecha integraci\u00f3n en las operaciones de las entidades, plantean un riesgo particular. Por lo tanto, las entidades esenciales e importantes deben actuar con mayor diligencia a la hora de seleccionar un proveedor de servicios de seguridad gestionada. proveedor de servicios de seguridad gestionadosProveedor de servicios de seguridad gestionados<\/span> Se refiere a un proveedor de servicios gestionados que lleva a cabo o proporciona asistencia para actividades relacionadas con la gesti\u00f3n de riesgos de ciberseguridad -. Definici\u00f3n seg\u00fan el art\u00edculo 6 de la Directiva (UE) 2022\/2555 (Directiva NIS2)<\/a><\/span><\/span><\/span>.<\/p>\n\n\n\n

(87) Las autoridades competentes, en el contexto de sus tareas de supervisi\u00f3n, tambi\u00e9n pueden beneficiarse de servicios de ciberseguridad tales como auditor\u00edas de seguridad, pruebas de penetraci\u00f3n o respuesta a incidentes.<\/p>\n\n\n\n

(88) Las entidades esenciales e importantes tambi\u00e9n deben abordar los riesgos derivados de sus interacciones y relaciones con otras partes interesadas dentro de un ecosistema m\u00e1s amplio, incluso con respecto a la lucha contra el espionaje industrial y la protecci\u00f3n de los secretos comerciales.<\/p>\n\n\n\n

En particular, dichas entidades deben adoptar las medidas adecuadas para garantizar que su cooperaci\u00f3n con las instituciones acad\u00e9micas y de investigaci\u00f3n se lleve a cabo en consonancia con sus pol\u00edticas de ciberseguridad y siga las buenas pr\u00e1cticas en materia de acceso y difusi\u00f3n seguros de la informaci\u00f3n en general y de protecci\u00f3n de la propiedad intelectual en particular. Del mismo modo, dada la importancia y el valor de los datos para las actividades de las entidades esenciales e importantes, cuando conf\u00eden en los servicios de transformaci\u00f3n y an\u00e1lisis de datos de terceros, dichas entidades deben adoptar todas las medidas adecuadas de gesti\u00f3n de riesgos de ciberseguridad.<\/p>\n\n\n\n

(89) Las entidades esenciales e importantes deben adoptar una amplia gama de pr\u00e1cticas b\u00e1sicas de ciberhigiene, como los principios de confianza cero, las actualizaciones de software, la configuraci\u00f3n de dispositivos, la segmentaci\u00f3n de redes, la gesti\u00f3n de identidades y accesos o la concienciaci\u00f3n de los usuarios, organizar la formaci\u00f3n de su personal y concienciarlo sobre las ciberamenazas, el phishing o las t\u00e9cnicas de ingenier\u00eda social. Adem\u00e1s, esas entidades deben evaluar sus propias capacidades de ciberseguridad y, cuando proceda, procurar la integraci\u00f3n de tecnolog\u00edas que mejoren la ciberseguridad, como la inteligencia artificial o los sistemas de aprendizaje autom\u00e1tico, para mejorar sus capacidades y la seguridad de los sistemas de red y de informaci\u00f3n.<\/p>\n\n\n\n

(90) Para seguir abordando los riesgos clave de la cadena de suministro y ayudar a las entidades esenciales e importantes que operan en los sectores regulados por la presente Directiva a gestionar adecuadamente los riesgos relacionados con la cadena de suministro y los proveedores, el Grupo de Cooperaci\u00f3n, en cooperaci\u00f3n con la Comisi\u00f3n y la ENISA, y, cuando proceda, previa consulta a las partes interesadas pertinentes, incluidas las de la industria, debe llevar a cabo evaluaciones coordinadas de los riesgos de seguridad de las cadenas de suministro cr\u00edticas, como las realizadas para las redes 5G siguiendo la Recomendaci\u00f3n (UE) 2019\/534 de la Comisi\u00f3n, con el objetivo de identificar, por sector, los servicios de TIC cr\u00edticos, los sistemas de TIC o los productos de TIC, las amenazas y vulnerabilidades pertinentes.<\/p>\n\n\n\n

Estas evaluaciones coordinadas de los riesgos para la seguridad deben identificar medidas, planes de mitigaci\u00f3n y mejores pr\u00e1cticas para contrarrestar las dependencias cr\u00edticas, los posibles puntos \u00fanicos de fallo, las amenazas, las vulnerabilidades y otros riesgos asociados a la cadena de suministro, y deben explorar formas de seguir fomentando su adopci\u00f3n m\u00e1s amplia por parte de entidades esenciales e importantes. Los posibles factores de riesgo no t\u00e9cnicos, como la influencia indebida de un tercer pa\u00eds en los proveedores y prestadores de servicios, en particular en el caso de modelos alternativos de gobernanza, incluyen vulnerabilidades ocultas o puertas traseras y posibles interrupciones sist\u00e9micas del suministro, en particular en el caso de bloqueo tecnol\u00f3gico o dependencia del proveedor.<\/p>\n\n\n\n

(91) Las evaluaciones coordinadas de riesgos para la seguridad de las cadenas de suministro cr\u00edticas, a la luz de las caracter\u00edsticas del sector de que se trate, deben tener en cuenta tanto los factores t\u00e9cnicos como, en su caso, los no t\u00e9cnicos, incluidos los definidos en la Recomendaci\u00f3n (UE) 2019\/534, en la evaluaci\u00f3n coordinada de riesgos de la UE sobre la ciberseguridad de las redes 5G y en la caja de herramientas de la UE sobre ciberseguridad 5G acordada por el Grupo de Cooperaci\u00f3n.<\/p>\n\n\n\n

Para determinar las cadenas de suministro que deben someterse a una evaluaci\u00f3n coordinada de los riesgos para la seguridad, deben tenerse en cuenta los siguientes criterios:<\/p>\n\n\n\n

(i) la medida en que las entidades esenciales e importantes utilizan y dependen de servicios de TIC, sistemas de TIC o productos de TIC cr\u00edticos espec\u00edficos;<\/p>\n\n\n\n

(ii) la pertinencia de servicios de TIC cr\u00edticos espec\u00edficos, sistemas de TIC o productos de TIC para el desempe\u00f1o de funciones cr\u00edticas o sensibles, incluido el tratamiento de datos personales;<\/p>\n\n\n\n

(iii) la disponibilidad de servicios TIC, sistemas TIC o productos TIC alternativos;<\/p>\n\n\n\n

(iv) la resistencia de la cadena global de suministro de servicios de TIC, sistemas de TIC o productos de TIC a lo largo de su ciclo de vida frente a acontecimientos perturbadores; y<\/p>\n\n\n\n

(v) en el caso de servicios TIC, sistemas TIC o productos TIC emergentes, su potencial importancia futura para las actividades de las entidades.<\/p>\n\n\n\n

Adem\u00e1s, debe hacerse especial hincapi\u00e9 en los servicios de TIC, los sistemas de TIC o los productos de TIC sujetos a requisitos espec\u00edficos procedentes de terceros pa\u00edses.<\/p>\n\n\n\n

(92) Con el fin de racionalizar las obligaciones impuestas a los proveedores de redes p\u00fablicas de comunicaciones electr\u00f3nicas o de servicios de comunicaciones electr\u00f3nicas disponibles al p\u00fablico, y a los proveedores de servicios de confianza, en relaci\u00f3n con la seguridad de su red y de sus sistemas de informaci\u00f3n, as\u00ed como para permitir que dichas entidades y las autoridades competentes en virtud de la Directiva (UE) 2018\/1972 del Parlamento Europeo y del Consejo y del Reglamento (UE) n.\u00ba 910\/2014, respectivamente, se beneficien del marco jur\u00eddico establecido por la presente Directiva, incluida la designaci\u00f3n de un CSIRT responsable de la gesti\u00f3n de incidentes, la participaci\u00f3n de las autoridades competentes afectadas en las actividades del Grupo de Cooperaci\u00f3n y la red de CSIRT, dichas entidades deben entrar en el \u00e1mbito de aplicaci\u00f3n de la presente Directiva.<\/p>\n\n\n\n

Por consiguiente, deben suprimirse las disposiciones correspondientes establecidas en el Reglamento (UE) n.o 910\/2014 y en la Directiva (UE) 2018\/1972 relativas a la imposici\u00f3n de requisitos de seguridad y notificaci\u00f3n a esos tipos de entidades. Las normas sobre obligaciones de notificaci\u00f3n establecidas en la presente Directiva deben entenderse sin perjuicio del Reglamento (UE) 2016\/679 y de la Directiva 2002\/58\/CE.<\/p>\n\n\n\n

(93) Las obligaciones en materia de ciberseguridad establecidas en la presente Directiva deben considerarse complementarias de los requisitos impuestos a los proveedores de servicios de confianza en virtud del Reglamento (UE) n.\u00ba 910\/2014. Debe exigirse a los proveedores de servicios de confianza que adopten todas las medidas adecuadas y proporcionadas para gestionar los riesgos que plantean sus servicios, incluso en relaci\u00f3n con los clientes y los terceros que conf\u00edan, y que notifiquen los incidentes con arreglo a la presente Directiva. Dichas obligaciones de ciberseguridad y notificaci\u00f3n deben referirse tambi\u00e9n a la protecci\u00f3n f\u00edsica de los servicios prestados. Los requisitos de servicio fiduciario cualificadoServicio de fideicomiso cualificado<\/span> Definici\u00f3n seg\u00fan el art\u00edculo 3, punto 17, del Reglamento (UE) n\u00ba 910\/2014.<\/span><\/span><\/span> proveedores establecidos en el art\u00edculo 24 del Reglamento (UE) n\u00ba 910\/2014 siguen siendo de aplicaci\u00f3n.<\/p>\n\n\n\n

(94) Los Estados miembros pueden asignar la funci\u00f3n de autoridades competentes en materia de servicios de confianza a los organismos de supervisi\u00f3n previstos en el Reglamento (UE) n.\u00ba 910\/2014, a fin de garantizar la continuidad de las pr\u00e1cticas actuales y aprovechar los conocimientos y la experiencia adquiridos en la aplicaci\u00f3n de dicho Reglamento. En tal caso, las autoridades competentes en virtud de la presente Directiva deben cooperar estrecha y oportunamente con dichos organismos de supervisi\u00f3n mediante el intercambio de informaci\u00f3n pertinente a fin de garantizar la supervisi\u00f3n efectiva y el cumplimiento por parte de los proveedores de servicios de confianza de los requisitos establecidos en la presente Directiva y en el Reglamento (UE) n.\u00ba 910\/2014.<\/p>\n\n\n\n

Cuando proceda, el CSIRT o la autoridad competente con arreglo a la presente Directiva deben informar inmediatamente al organismo de supervisi\u00f3n con arreglo al Reglamento (UE) n.\u00ba 910\/2014 sobre cualquier notificaci\u00f3n de importante amenaza cibern\u00e9ticaCiberamenazas significativas<\/span> Se trata de una ciberamenaza que, en funci\u00f3n de sus caracter\u00edsticas t\u00e9cnicas, cabe suponer que puede tener un impacto grave en la red y los sistemas de informaci\u00f3n de una entidad o en los usuarios de los servicios de la entidad, causando da\u00f1os materiales o inmateriales considerables. Definici\u00f3n seg\u00fan el art\u00edculo 6 de la Directiva (UE) 2022\/2555 (Directiva NIS2)<\/a><\/span><\/span><\/span> o incidente que afecte a los servicios de confianza, as\u00ed como sobre cualquier infracci\u00f3n cometida por un proveedor de servicios fiduciariosProveedor de servicios de confianza<\/span> Persona f\u00edsica o jur\u00eddica que presta uno o varios servicios fiduciarios, ya sea como prestador de servicios fiduciarios cualificado o no cualificado - Definici\u00f3n seg\u00fan el art\u00edculo 3, punto 19, del Reglamento (UE) n\u00ba 910\/2014.<\/span><\/span><\/span> de la presente Directiva. A efectos de notificaci\u00f3n, los Estados miembros pueden utilizar, en su caso, el punto de entrada \u00fanico establecido para lograr una notificaci\u00f3n com\u00fan y autom\u00e1tica de incidentes tanto al organismo de supervisi\u00f3n con arreglo al Reglamento (UE) n.\u00ba 910\/2014 como al CSIRT o a la autoridad competente con arreglo a la presente Directiva.<\/p>\n\n\n\n

(95) Cuando proceda y con el fin de evitar perturbaciones innecesarias, las directrices nacionales existentes adoptadas para la transposici\u00f3n de las normas relativas a las medidas de seguridad establecidas en los art\u00edculos 40 y 41 de la Directiva (UE) 2018\/1972 deben tenerse en cuenta en la transposici\u00f3n de la presente Directiva, aprovechando as\u00ed los conocimientos y competencias ya adquiridos en virtud de la Directiva (UE) 2018\/1972 en relaci\u00f3n con las medidas de seguridad y las notificaciones de incidentes.<\/p>\n\n\n\n

La ENISA tambi\u00e9n puede elaborar orientaciones sobre los requisitos de seguridad y sobre las obligaciones de notificaci\u00f3n para los proveedores de redes p\u00fablicas de comunicaciones electr\u00f3nicas o de servicios de comunicaciones electr\u00f3nicas disponibles para el p\u00fablico, a fin de facilitar la armonizaci\u00f3n y la transici\u00f3n y minimizar las perturbaciones. Los Estados miembros pueden asignar el papel de las autoridades competentes en materia de comunicaciones electr\u00f3nicas a las autoridades nacionales de reglamentaci\u00f3n en virtud de la Directiva (UE) 2018\/1972 para garantizar la continuaci\u00f3n de las pr\u00e1cticas actuales y aprovechar los conocimientos y la experiencia adquiridos como resultado de la aplicaci\u00f3n de dicha Directiva.<\/p>\n\n\n\n

(96) Dada la creciente importancia de los servicios de comunicaciones interpersonales independientes del n\u00famero, tal como se definen en la Directiva (UE) 2018\/1972, es necesario garantizar que dichos servicios tambi\u00e9n est\u00e9n sujetos a requisitos de seguridad adecuados en vista de su naturaleza espec\u00edfica y su importancia econ\u00f3mica. A medida que la superficie de ataque sigue ampli\u00e1ndose, los servicios de comunicaciones interpersonales independientes del n\u00famero, como los servicios de mensajer\u00eda, se est\u00e1n convirtiendo en vectores de ataque generalizados.<\/p>\n\n\n\n

Los autores malintencionados utilizan las plataformas para comunicarse y atraer a las v\u00edctimas para que abran p\u00e1ginas web comprometidas, aumentando as\u00ed la probabilidad de incidentes que impliquen la explotaci\u00f3n de datos personales y, por extensi\u00f3n, la seguridad de los sistemas de red y de informaci\u00f3n. Los proveedores de servicios de comunicaciones interpersonales independientes del n\u00famero deben garantizar un nivel de seguridad de la red y de los sistemas de informaci\u00f3n adecuado a los riesgos planteados.<\/p>\n\n\n\n

Dado que los proveedores de servicios de comunicaciones interpersonales independientes del n\u00famero normalmente no ejercen un control real sobre la transmisi\u00f3n de se\u00f1ales a trav\u00e9s de las redes, el grado de riesgo que plantean dichos servicios puede considerarse, en algunos aspectos, inferior al de los servicios de comunicaciones electr\u00f3nicas tradicionales. Lo mismo se aplica a los servicios de comunicaciones interpersonales definidos en la Directiva (UE) 2018\/1972 que hacen uso de n\u00fameros y que no ejercen un control real sobre la transmisi\u00f3n de se\u00f1ales.<\/p>\n\n\n\n

(97) El mercado interior depende m\u00e1s que nunca del funcionamiento de internet. Los servicios de casi todas las entidades esenciales e importantes dependen de los servicios prestados a trav\u00e9s de Internet. Con el fin de garantizar la prestaci\u00f3n sin problemas de los servicios prestados por entidades esenciales e importantes, es importante que todos los proveedores de redes p\u00fablicas de comunicaciones electr\u00f3nicas dispongan de medidas adecuadas de gesti\u00f3n de riesgos en materia de ciberseguridad y notifiquen los incidentes significativos en relaci\u00f3n con las mismas.<\/p>\n\n\n\n

Los Estados miembros deben garantizar el mantenimiento de la seguridad de las redes p\u00fablicas de comunicaciones electr\u00f3nicas y la protecci\u00f3n de sus intereses vitales en materia de seguridad frente al sabotaje y el espionaje. Dado que la conectividad internacional mejora y acelera la digitalizaci\u00f3n competitiva de la Uni\u00f3n y su econom\u00eda, los incidentes que afecten a los cables de comunicaciones submarinos deben notificarse al CSIRT o, en su caso, a la autoridad competente. La estrategia nacional de ciberseguridad debe tener en cuenta, cuando proceda, la ciberseguridad de los cables de comunicaciones submarinos e incluir una cartograf\u00eda de los posibles riesgos de ciberseguridad y medidas de mitigaci\u00f3n para garantizar el m\u00e1ximo nivel de protecci\u00f3n de los mismos.<\/p>\n\n\n\n

(98) Para salvaguardar la seguridad de las redes p\u00fablicas de comunicaciones electr\u00f3nicas y de los servicios de comunicaciones electr\u00f3nicas disponibles para el p\u00fablico, debe fomentarse el uso de tecnolog\u00edas de cifrado, en particular el cifrado de extremo a extremo, as\u00ed como conceptos de seguridad centrados en los datos, como la cartograf\u00eda, la segmentaci\u00f3n, el etiquetado, la pol\u00edtica de acceso y la gesti\u00f3n del acceso, y las decisiones de acceso automatizadas. Cuando sea necesario, el uso del cifrado, en particular el cifrado de extremo a extremo, debe ser obligatorio para los proveedores de redes p\u00fablicas de comunicaciones electr\u00f3nicas o de servicios de comunicaciones electr\u00f3nicas disponibles al p\u00fablico, de conformidad con los principios de seguridad y privacidad por defecto y desde el dise\u00f1o a efectos de la presente Directiva.<\/p>\n\n\n\n

El uso del cifrado de extremo a extremo debe conciliarse con las competencias de los Estados miembros para garantizar la protecci\u00f3n de sus intereses esenciales de seguridad y la seguridad p\u00fablica, y permitir la prevenci\u00f3n, investigaci\u00f3n, detecci\u00f3n y enjuiciamiento de delitos penales de conformidad con el Derecho de la Uni\u00f3n. Sin embargo, esto no debe debilitar el cifrado de extremo a extremo, que es una tecnolog\u00eda fundamental para la protecci\u00f3n efectiva de los datos y la intimidad y la seguridad de las comunicaciones.<\/p>\n\n\n\n

(99) Con el fin de salvaguardar la seguridad de las redes p\u00fablicas de comunicaciones electr\u00f3nicas y de los servicios de comunicaciones electr\u00f3nicas disponibles para el p\u00fablico, y de evitar su abuso y manipulaci\u00f3n, debe fomentarse el uso de normas de encaminamiento seguro para garantizar la integridad y solidez de las funciones de encaminamiento en todo el ecosistema de proveedores de servicios de acceso a Internet.<\/p>\n\n\n\n

(100) Para salvaguardar la funcionalidad e integridad de Internet y promover la seguridad y resistencia del DNS, debe alentarse a las partes interesadas pertinentes, incluidas las entidades del sector privado de la Uni\u00f3n, los proveedores de servicios de comunicaciones electr\u00f3nicas disponibles al p\u00fablico, en particular los proveedores de servicios de acceso a Internet, y los proveedores de motores de b\u00fasqueda en l\u00ednea, a adoptar una estrategia de diversificaci\u00f3n de la resoluci\u00f3n del DNS. Adem\u00e1s, los Estados miembros deber\u00edan fomentar el desarrollo y la utilizaci\u00f3n de un servicio de resoluci\u00f3n de DNS europeo p\u00fablico y seguro.<\/p>\n\n\n\n

(101) La presente Directiva establece un planteamiento en varias etapas para la notificaci\u00f3n de incidentes significativos con el fin de lograr el equilibrio adecuado entre, por una parte, una notificaci\u00f3n r\u00e1pida que ayude a mitigar la posible propagaci\u00f3n de incidentes significativos y permita a las entidades esenciales e importantes solicitar asistencia y, por otra, una notificaci\u00f3n en profundidad que extraiga ense\u00f1anzas valiosas de incidentes concretos y mejore con el tiempo la resistencia cibern\u00e9tica de entidades concretas y sectores enteros.<\/p>\n\n\n\n

A este respecto, la presente Directiva debe incluir la notificaci\u00f3n de incidentes que, sobre la base de una evaluaci\u00f3n inicial realizada por la entidad de que se trate, puedan causar graves perturbaciones operativas de los servicios o p\u00e9rdidas financieras para dicha entidad o afectar a otras personas f\u00edsicas o jur\u00eddicas caus\u00e1ndoles considerables da\u00f1os materiales o inmateriales.<\/p>\n\n\n\n

Esta evaluaci\u00f3n inicial debe tener en cuenta, entre otras cosas, la red y los sistemas de informaci\u00f3n afectados, en particular su importancia en la prestaci\u00f3n de los servicios de la entidad, la gravedad y las caracter\u00edsticas t\u00e9cnicas de una amenaza cibern\u00e9tica y cualquier vulnerabilidad subyacente que est\u00e9 siendo explotada, as\u00ed como la experiencia de la entidad con incidentes similares. Indicadores como el grado en que se ve afectado el funcionamiento del servicio, la duraci\u00f3n de un incidente o el n\u00famero de destinatarios de servicios afectados podr\u00edan desempe\u00f1ar un papel importante a la hora de identificar si la interrupci\u00f3n operativa del servicio es grave.<\/p>\n\n\n\n

(102) Cuando las entidades esenciales o importantes tengan conocimiento de un incidente significativo, deben estar obligadas a presentar una alerta r\u00e1pida sin demora indebida y, en cualquier caso, en un plazo de 24 horas. Esta alerta r\u00e1pida debe ir seguida de una notificaci\u00f3n del incidente. Las entidades afectadas deben presentar una notificaci\u00f3n de incidente sin demora indebida y, en cualquier caso, en el plazo de 72 horas a partir del momento en que tengan conocimiento del incidente significativo, con el objetivo, en particular, de actualizar la informaci\u00f3n presentada a trav\u00e9s de la alerta r\u00e1pida y de indicar una evaluaci\u00f3n inicial del incidente significativo, incluida su gravedad e impacto, as\u00ed como los indicadores de compromiso, cuando se disponga de ellos.<\/p>\n\n\n\n

Debe presentarse un informe final a m\u00e1s tardar un mes despu\u00e9s de la notificaci\u00f3n del incidente. La alerta temprana s\u00f3lo debe incluir la informaci\u00f3n necesaria para que el CSIRT, o en su caso la autoridad competente, tenga conocimiento del incidente significativo y permita a la entidad afectada solicitar asistencia, en caso necesario. Dicha alerta temprana, en su caso, deber\u00e1 indicar si se sospecha que el incidente significativo ha sido causado por actos il\u00edcitos o malintencionados, y si es probable que tenga un impacto transfronterizo.<\/p>\n\n\n\n

Los Estados miembros deben velar por que la obligaci\u00f3n de presentar esa alerta r\u00e1pida, o la posterior notificaci\u00f3n del incidente, no desv\u00ede los recursos de la entidad notificante de las actividades relacionadas con la gesti\u00f3n de incidentes a las que deber\u00eda darse prioridad, a fin de evitar que las obligaciones de notificaci\u00f3n de incidentes desv\u00eden recursos de la gesti\u00f3n de la respuesta a incidentes significativos o comprometan de otro modo los esfuerzos de la entidad a ese respecto. En caso de que haya un incidente en curso en el momento de la presentaci\u00f3n del informe final, los Estados miembros deben velar por que las entidades afectadas presenten un informe de situaci\u00f3n en ese momento, y un informe final en el plazo de un mes desde su gesti\u00f3n del incidente significativo.<\/p>\n\n\n\n

(103) Cuando proceda, las entidades esenciales e importantes deben comunicar, sin demora injustificada, a sus destinatarios de servicios las medidas o soluciones que puedan adoptar para mitigar los riesgos resultantes de una ciberamenaza significativa. Dichas entidades deben, cuando proceda y en particular cuando sea probable que la ciberamenaza significativa se materialice, informar tambi\u00e9n a sus destinatarios de servicios de la propia amenaza.<\/p>\n\n\n\n

El requisito de informar a dichos destinatarios de las ciberamenazas significativas debe cumplirse en la medida de lo posible, pero no debe eximir a dichas entidades de la obligaci\u00f3n de adoptar, a sus expensas, medidas adecuadas e inmediatas para prevenir o remediar tales amenazas y restablecer el nivel normal de seguridad del servicio. El suministro de dicha informaci\u00f3n sobre ciberamenazas significativas a los destinatarios del servicio debe ser gratuito y estar redactado en un lenguaje f\u00e1cilmente comprensible.<\/p>\n\n\n\n

(104) Los proveedores de redes p\u00fablicas de comunicaciones electr\u00f3nicas o de servicios de comunicaciones electr\u00f3nicas disponibles al p\u00fablico deben aplicar la seguridad desde el dise\u00f1o y por defecto, e informar a los destinatarios de sus servicios de las ciberamenazas significativas y de las medidas que pueden adoptar para proteger la seguridad de sus dispositivos y comunicaciones, por ejemplo utilizando tipos espec\u00edficos de software o tecnolog\u00edas de cifrado.<\/p>\n\n\n\n

(105) Un enfoque proactivo de las ciberamenazas es un componente vital de la gesti\u00f3n de riesgos de ciberseguridad que debe permitir a las autoridades competentes evitar eficazmente que las ciberamenazas se materialicen en incidentes que puedan causar da\u00f1os materiales o inmateriales considerables. A tal efecto, la notificaci\u00f3n de las ciberamenazas reviste una importancia fundamental. A tal fin, se anima a las entidades a notificar de forma voluntaria las ciberamenazas.<\/p>\n\n\n\n

(106) Con el fin de simplificar la comunicaci\u00f3n de la informaci\u00f3n exigida en virtud de la presente Directiva, as\u00ed como de reducir la carga administrativa de las entidades, los Estados miembros deben proporcionar medios t\u00e9cnicos, como una ventanilla \u00fanica, sistemas automatizados, formularios en l\u00ednea, interfaces de f\u00e1cil uso, plantillas y plataformas especializadas, que puedan utilizar las entidades, independientemente de que entren o no en el \u00e1mbito de aplicaci\u00f3n de la presente Directiva, para presentar la informaci\u00f3n pertinente que deba comunicarse.<\/p>\n\n\n\n

La financiaci\u00f3n de la Uni\u00f3n en apoyo de la aplicaci\u00f3n de la presente Directiva, en particular en el marco del programa Europa Digital, establecido por el Reglamento (UE) 2021\/694 del Parlamento Europeo y del Consejo (21), podr\u00eda incluir el apoyo a las ventanillas \u00fanicas. Adem\u00e1s, las entidades se encuentran a menudo en una situaci\u00f3n en la que un incidente concreto, por sus caracter\u00edsticas, debe notificarse a varias autoridades como consecuencia de las obligaciones de notificaci\u00f3n incluidas en diversos instrumentos jur\u00eddicos. Estos casos generan una carga administrativa adicional y tambi\u00e9n podr\u00edan dar lugar a incertidumbres en cuanto al formato y los procedimientos de dichas notificaciones.<\/p>\n\n\n\n

Cuando se establezca un punto de entrada \u00fanico, se anima a los Estados miembros a utilizar tambi\u00e9n dicho punto de entrada \u00fanico para las notificaciones de incidentes de seguridad exigidas en virtud de otra legislaci\u00f3n de la Uni\u00f3n, como el Reglamento (UE) 2016\/679 y la Directiva 2002\/58\/CE. El uso de dicho punto de entrada \u00fanico para la notificaci\u00f3n de incidentes de seguridad en virtud del Reglamento (UE) 2016\/679 y de la Directiva 2002\/58\/CE no debe afectar a la aplicaci\u00f3n de las disposiciones del Reglamento (UE) 2016\/679 y de la Directiva 2002\/58\/CE, en particular las relativas a la independencia de las autoridades contempladas en ellos. La ENISA, en cooperaci\u00f3n con el Grupo de Cooperaci\u00f3n, debe elaborar plantillas comunes de notificaci\u00f3n mediante directrices para simplificar y racionalizar la informaci\u00f3n que debe notificarse con arreglo al Derecho de la Uni\u00f3n y disminuir la carga administrativa de las entidades notificantes.<\/p>\n\n\n\n

(107) Cuando se sospeche que un incidente est\u00e1 relacionado con actividades delictivas graves con arreglo al Derecho de la Uni\u00f3n o nacional, los Estados miembros deben alentar a las entidades esenciales e importantes, sobre la base de las normas de procedimiento penal aplicables de conformidad con el Derecho de la Uni\u00f3n, a que notifiquen los incidentes de presunta naturaleza delictiva grave a las autoridades policiales pertinentes. Cuando proceda, y sin perjuicio de las normas de protecci\u00f3n de datos personales aplicables a Europol, es deseable que el Centro Europeo de Ciberdelincuencia (EC3) y la ENISA faciliten la coordinaci\u00f3n entre las autoridades competentes y las autoridades policiales de los distintos Estados miembros.<\/p>\n\n\n\n

(108) En muchos casos, los datos personales se ven comprometidos como consecuencia de incidentes. En ese contexto, las autoridades competentes deben cooperar e intercambiar informaci\u00f3n sobre todos los asuntos pertinentes con las autoridades a que se refieren el Reglamento (UE) 2016\/679 y la Directiva 2002\/58\/CE.<\/p>\n\n\n\n

(109) El mantenimiento de bases de datos exactas y completas de los datos de registro de nombres de dominio (datos WHOIS) y la facilitaci\u00f3n de un acceso l\u00edcito a dichos datos son esenciales para garantizar la seguridad, estabilidad y resistencia del DNS, lo que a su vez contribuye a un elevado nivel com\u00fan de ciberseguridad en toda la Uni\u00f3n. Con ese fin espec\u00edfico, debe exigirse a los registros de nombres de dominio de primer nivel y a las entidades que prestan servicios de registro de nombres de dominio que traten determinados datos necesarios para alcanzar ese fin.<\/p>\n\n\n\n

Dicho tratamiento debe constituir una obligaci\u00f3n legal en el sentido del art\u00edculo 6, apartado 1, letra c), del Reglamento (UE) 2016\/679. Dicha obligaci\u00f3n se entiende sin perjuicio de la posibilidad de recopilar datos de registro de nombres de dominio para otros fines, por ejemplo sobre la base de acuerdos contractuales o requisitos legales establecidos en otro Derecho de la Uni\u00f3n o nacional. Dicha obligaci\u00f3n tiene por objeto lograr un conjunto completo y preciso de datos de registro y no debe dar lugar a que se recojan los mismos datos varias veces. Los registros de nombres de dominio de primer nivel y las entidades que prestan servicios de registro de nombres de dominio deben cooperar entre s\u00ed para evitar la duplicaci\u00f3n de esa tarea.<\/p>\n\n\n\n

(110) La disponibilidad y accesibilidad oportuna de los datos de registro de nombres de dominio para los solicitantes leg\u00edtimos de acceso es esencial para prevenir y combatir el uso indebido del DNS, as\u00ed como para prevenir y detectar incidentes y responder a ellos. Por \"leg\u00edtimo solicitante de acceso\" debe entenderse cualquier persona f\u00edsica o jur\u00eddica que presente una solicitud de conformidad con el Derecho de la Uni\u00f3n o nacional.<\/p>\n\n\n\n

Entre ellas pueden figurar las autoridades competentes en virtud de la presente Directiva y las competentes en virtud del Derecho de la Uni\u00f3n o nacional para la prevenci\u00f3n, investigaci\u00f3n, detecci\u00f3n o enjuiciamiento de delitos, y los CERT o CSIRT. Debe exigirse a los registros de nombres de dominio de primer nivel y a las entidades que prestan servicios de registro de nombres de dominio que permitan el acceso leg\u00edtimo de los solicitantes leg\u00edtimos de acceso a los datos espec\u00edficos de registro de nombres de dominio que sean necesarios a efectos de la solicitud de acceso, de conformidad con el Derecho de la Uni\u00f3n y nacional. La solicitud de los leg\u00edtimos solicitantes de acceso debe ir acompa\u00f1ada de una exposici\u00f3n de motivos que permita evaluar la necesidad de acceder a los datos.<\/p>\n\n\n\n

(111) A fin de garantizar la disponibilidad de datos exactos y completos sobre el registro de nombres de dominio, los registros de nombres de dominio de primer nivel y las entidades que prestan servicios de registro de nombres de dominio deben recopilar y garantizar la integridad y disponibilidad de los datos de registro de nombres de dominio. En particular, los registros de nombres de dominio de primer nivel y las entidades que prestan servicios de registro de nombres de dominio deben establecer pol\u00edticas y procedimientos para recopilar y mantener datos de registro de nombres de dominio exactos y completos, as\u00ed como para prevenir y corregir los datos de registro inexactos, de conformidad con la legislaci\u00f3n de la Uni\u00f3n en materia de protecci\u00f3n de datos.<\/p>\n\n\n\n

Dichas pol\u00edticas y procedimientos deben tener en cuenta, en la medida de lo posible, las normas elaboradas por las estructuras de gobernanza multilateral a nivel internacional. Los registros de nombres de TLD y las entidades que prestan servicios de registro de nombres de dominio deben adoptar y aplicar procedimientos proporcionados para verificar los datos de registro de nombres de dominio.<\/p>\n\n\n\n

Dichos procedimientos deben reflejar las mejores pr\u00e1cticas utilizadas en el sector y, en la medida de lo posible, los progresos realizados en el \u00e1mbito de la identificaci\u00f3n electr\u00f3nica. Como ejemplos de procedimientos de verificaci\u00f3n pueden citarse los controles ex ante efectuados en el momento del registro y los controles ex post efectuados despu\u00e9s del registro. Los registros de nombres TLD y las entidades que prestan servicios de registro de nombres de dominio deben, en particular, verificar al menos un medio de contacto del solicitante de registro.<\/p>\n\n\n\n

(112) Debe exigirse a los registros de nombres de dominio de primer nivel y a las entidades que prestan servicios de registro de nombres de dominio que pongan a disposici\u00f3n del p\u00fablico los datos de registro de nombres de dominio que queden fuera del \u00e1mbito de aplicaci\u00f3n del Derecho de la Uni\u00f3n en materia de protecci\u00f3n de datos, como los datos relativos a las personas jur\u00eddicas, en consonancia con el pre\u00e1mbulo del Reglamento (UE) 2016\/679. En el caso de las personas jur\u00eddicas, los registros de nombres de dominio de primer nivel y las entidades que prestan servicios de registro de nombres de dominio deben poner a disposici\u00f3n del p\u00fablico al menos el nombre del solicitante de registro y el n\u00famero de tel\u00e9fono de contacto.<\/p>\n\n\n\n

Tambi\u00e9n debe publicarse la direcci\u00f3n de correo electr\u00f3nico de contacto, siempre que no contenga datos personales, como en el caso de alias de correo electr\u00f3nico o cuentas funcionales. Los registros de nombres de dominio de primer nivel y las entidades que prestan servicios de registro de nombres de dominio tambi\u00e9n deben permitir el acceso legal a los datos espec\u00edficos de registro de nombres de dominio relativos a personas f\u00edsicas a los leg\u00edtimos solicitantes de acceso, de conformidad con la legislaci\u00f3n de la Uni\u00f3n en materia de protecci\u00f3n de datos. Los Estados miembros deben exigir a los registros de nombres de dominio de primer nivel y a las entidades que prestan servicios de registro de nombres de dominio que respondan sin demora injustificada a las solicitudes de divulgaci\u00f3n de datos de registro de nombres de dominio presentadas por solicitantes de acceso leg\u00edtimos.<\/p>\n\n\n\n

Los registros de nombres TLD y las entidades que prestan servicios de registro de nombres de dominio deben establecer pol\u00edticas y procedimientos para la publicaci\u00f3n y divulgaci\u00f3n de los datos de registro, incluidos los acuerdos de nivel de servicio para atender las solicitudes de acceso de los solicitantes leg\u00edtimos. Dichas pol\u00edticas y procedimientos deber\u00edan tener en cuenta, en la medida de lo posible, cualquier orientaci\u00f3n y las normas desarrolladas por las estructuras de gobernanza de m\u00faltiples partes interesadas a nivel internacional. El procedimiento de acceso podr\u00eda incluir el uso de una interfaz, un portal u otra herramienta t\u00e9cnica para proporcionar un sistema eficaz de solicitud y acceso a los datos de registro.<\/p>\n\n\n\n

Con vistas a promover pr\u00e1cticas armonizadas en todo el mercado interior, la Comisi\u00f3n puede, sin perjuicio de las competencias del Consejo Europeo de Protecci\u00f3n de Datos, proporcionar directrices en relaci\u00f3n con dichos procedimientos, que tengan en cuenta, en la medida de lo posible, las normas elaboradas por las estructuras de gobernanza multilateral a escala internacional. Los Estados miembros deben garantizar la gratuidad de todos los tipos de acceso a los datos personales y no personales de registro de nombres de dominio.<\/p>\n\n\n\n

(113) Las entidades incluidas en el \u00e1mbito de aplicaci\u00f3n de la presente Directiva deben considerarse sometidas a la jurisdicci\u00f3n del Estado miembro en el que est\u00e9n establecidas. No obstante, debe considerarse que los proveedores de redes p\u00fablicas de comunicaciones electr\u00f3nicas o los proveedores de servicios de comunicaciones electr\u00f3nicas disponibles al p\u00fablico est\u00e1n sometidos a la jurisdicci\u00f3n del Estado miembro en el que prestan sus servicios.<\/p>\n\n\n\n

Los proveedores de servicios DNS, los registros de nombres TLD, las entidades que prestan servicios de registro de nombres de dominio, los proveedores de servicios de computaci\u00f3n en nube, los proveedores de servicios de centros de datos, los proveedores de redes de distribuci\u00f3n de contenidos, los proveedores de servicios gestionados, los proveedores de servicios de seguridad gestionados, as\u00ed como los proveedores de mercados en l\u00ednea, de motores de b\u00fasqueda en l\u00ednea y de plataformas de servicios de redes sociales deben considerarse sujetos a la jurisdicci\u00f3n del Estado miembro en el que tengan su establecimiento principal en la Uni\u00f3n.<\/p>\n\n\n\n

Las entidades de la administraci\u00f3n p\u00fablica deben estar bajo la jurisdicci\u00f3n del Estado miembro que las estableci\u00f3. Si la entidad presta servicios o est\u00e1 establecida en m\u00e1s de un Estado miembro, debe estar bajo la jurisdicci\u00f3n separada y concurrente de cada uno de esos Estados miembros. Las autoridades competentes de dichos Estados miembros deben cooperar, prestarse asistencia mutua y, en su caso, llevar a cabo acciones conjuntas de supervisi\u00f3n. Cuando los Estados miembros ejerzan su jurisdicci\u00f3n, no deben imponer medidas de ejecuci\u00f3n o sanciones m\u00e1s de una vez por la misma conducta, en consonancia con el principio de ne bis in idem.<\/p>\n\n\n\n

(114) A fin de tener en cuenta la naturaleza transfronteriza de los servicios y operaciones de los proveedores de servicios DNS, los registros de nombres TLD, las entidades que prestan servicios de registro de nombres de dominio, los proveedores de servicios de computaci\u00f3n en nube, los proveedores de servicios de centros de datos, los proveedores de redes de entrega de contenidos, los proveedores de servicios gestionados, los proveedores de servicios de seguridad gestionados, as\u00ed como los proveedores de mercados en l\u00ednea, de motores de b\u00fasqueda en l\u00ednea y de plataformas de servicios de redes sociales, solo un Estado miembro debe tener jurisdicci\u00f3n sobre dichas entidades. La competencia debe atribuirse al Estado miembro en el que la entidad de que se trate tenga su establecimiento principal en la Uni\u00f3n.<\/p>\n\n\n\n

El criterio de establecimiento a efectos de la presente Directiva implica el ejercicio efectivo de la actividad a trav\u00e9s de reg\u00edmenes estables. La forma jur\u00eddica de tales acuerdos, ya sea a trav\u00e9s de una sucursal o de una filial con personalidad jur\u00eddica, no es el factor determinante a este respecto. El cumplimiento de este criterio no debe depender de que la red y los sistemas de informaci\u00f3n est\u00e9n situados f\u00edsicamente en un lugar determinado; la presencia y la utilizaci\u00f3n de tales sistemas no constituyen, en s\u00ed mismas, ese establecimiento principal y, por lo tanto, no son criterios decisivos para determinar el establecimiento principal.<\/p>\n\n\n\n

Debe considerarse que el establecimiento principal se encuentra en el Estado miembro en el que se toman predominantemente las decisiones relacionadas con las medidas de gesti\u00f3n de riesgos en materia de ciberseguridad en la Uni\u00f3n. Esto corresponder\u00e1 normalmente al lugar de la administraci\u00f3n central de las entidades en la Uni\u00f3n. Si no puede determinarse dicho Estado miembro o si tales decisiones no se adoptan en la Uni\u00f3n, debe considerarse que el establecimiento principal se encuentra en el Estado miembro en el que se llevan a cabo las operaciones de ciberseguridad.<\/p>\n\n\n\n

Si no puede determinarse dicho Estado miembro, debe considerarse que el establecimiento principal se encuentra en el Estado miembro en el que la entidad tenga el establecimiento con el mayor n\u00famero de empleados de la Uni\u00f3n. Cuando los servicios sean prestados por un grupo de empresas, debe considerarse que el establecimiento principal de la empresa que ejerce el control es el establecimiento principal del grupo de empresas.<\/p>\n\n\n\n

(115) Cuando un proveedor de redes p\u00fablicas de comunicaciones electr\u00f3nicas o de servicios de comunicaciones electr\u00f3nicas disponibles al p\u00fablico preste un servicio de DNS recursivo disponible al p\u00fablico \u00fanicamente como parte del servicio de acceso a Internet, debe considerarse que la entidad est\u00e1 sujeta a la jurisdicci\u00f3n de todos los Estados miembros en los que preste sus servicios.<\/p>\n\n\n\n

(116) Cuando un Proveedor de servicios DNSProveedor de servicios DNS<\/span> <\/b>Se refiere a una entidad que proporciona: (a) servicios de resoluci\u00f3n de nombres de dominio recursivos disponibles p\u00fablicamente para los usuarios finales de Internet; o (b) servicios de resoluci\u00f3n de nombres de dominio autoritativos para uso de terceros, con la excepci\u00f3n de los servidores de nombres ra\u00edz -. Definici\u00f3n seg\u00fan el art\u00edculo 6 de la Directiva (UE) 2022\/2555 (Directiva NIS2)<\/a><\/span><\/span><\/span>un registro de nombres TLD, un entidad que presta servicios de registro de nombres de dominioEntidad que presta servicios de registro de nombres de dominio<\/span> Se refiere a un registrador o a un agente que act\u00faa en nombre de registradores, como un proveedor o revendedor de servicios de registro de privacidad o proxy. Definici\u00f3n seg\u00fan el art\u00edculo 6 de la Directiva (UE) 2022\/2555 (Directiva NIS2)<\/a><\/span><\/span><\/span>un proveedor de servicios de computaci\u00f3n en nube, un proveedor de servicios de centro de datos, un proveedor de red de entrega de contenidos, un proveedor de servicios gestionadosProveedor de servicios gestionados<\/span> Se refiere a una entidad que presta servicios relacionados con la instalaci\u00f3n, gesti\u00f3n, operaci\u00f3n o mantenimiento de productos TIC, redes, infraestructuras, aplicaciones o cualquier otra red y sistemas de informaci\u00f3n, mediante asistencia o administraci\u00f3n activa llevada a cabo en las instalaciones de los clientes o a distancia -. Definici\u00f3n seg\u00fan el art\u00edculo 6 de la Directiva (UE) 2022\/2555 (Directiva NIS2)<\/a><\/span><\/span><\/span>un proveedor de servicios de seguridad gestionados o un proveedor de un mercado en l\u00ednea, de un motor de b\u00fasqueda en l\u00edneaMotor de b\u00fasqueda en l\u00ednea<\/span> Significa un servicio digital que permite a los usuarios introducir consultas con el fin de realizar b\u00fasquedas de, en principio, todos los sitios web, o todos los sitios web en un idioma determinado, sobre la base de una consulta sobre cualquier tema en forma de palabra clave, solicitud de voz, frase u otra entrada, y devuelve resultados en cualquier formato en el que se pueda encontrar informaci\u00f3n relacionada con el contenido solicitado. - Definici\u00f3n seg\u00fan el art\u00edculo 2, punto (5), del Reglamento (UE) 2019\/1150 del Parlamento Europeo y del Consejo.<\/span><\/span><\/span> o de un plataforma de servicios de redes socialesPlataforma de servicios de redes sociales<\/span> Se refiere a una plataforma que permite a los usuarios finales conectarse, compartir, descubrir y comunicarse entre s\u00ed a trav\u00e9s de m\u00faltiples dispositivos, en particular mediante chats, publicaciones, v\u00eddeos y recomendaciones -. Definici\u00f3n seg\u00fan el art\u00edculo 6 de la Directiva (UE) 2022\/2555 (Directiva NIS2)<\/a><\/span><\/span><\/span>que no est\u00e1 establecida en la Uni\u00f3n, ofrece servicios dentro de la Uni\u00f3n, debe designar un representanteRepresentante<\/span> Persona f\u00edsica o jur\u00eddica establecida en la Uni\u00f3n designada expl\u00edcitamente para actuar en nombre de un proveedor de servicios DNS, un registro de nombres TLD, una entidad que preste servicios de registro de nombres de dominio, un proveedor de servicios de computaci\u00f3n en nube, un proveedor de servicios de centros de datos, un proveedor de redes de suministro de contenidos, un proveedor de servicios gestionados, un proveedor de servicios de seguridad gestionados o un proveedor de un mercado en l\u00ednea, de un motor de b\u00fasqueda en l\u00ednea o de una plataforma de servicios de redes sociales que no est\u00e9 establecido en la Uni\u00f3n, a la que pueda dirigirse una autoridad competente o un CSIRT en lugar de la propia entidad en lo que respecta a las obligaciones que incumben a dicha entidad en virtud de la presente Directiva.\r\r- Definici\u00f3n seg\u00fan el art\u00edculo 6 de la Directiva (UE) 2022\/2555 (Directiva NIS2)<\/a><\/span><\/span><\/span> en la Uni\u00f3n.<\/p>\n\n\n\n

Para determinar si una entidad de este tipo ofrece servicios en la Uni\u00f3n, debe comprobarse si la entidad tiene previsto ofrecer servicios a personas en uno o varios Estados miembros. La mera accesibilidad en la Uni\u00f3n del sitio web de la entidad o de un intermediario o de una direcci\u00f3n de correo electr\u00f3nico u otros datos de contacto, o el uso de una lengua de uso general en el tercer pa\u00eds en el que est\u00e9 establecida la entidad, deben considerarse insuficientes para determinar tal intenci\u00f3n.<\/p>\n\n\n\n

Sin embargo, factores como el uso de una lengua o una moneda de uso general en uno o varios Estados miembros, con la posibilidad de solicitar servicios en esa lengua, o la menci\u00f3n de clientes o usuarios que se encuentran en la Uni\u00f3n, podr\u00edan hacer evidente que la entidad tiene previsto ofrecer servicios dentro de la Uni\u00f3n. El representante debe actuar en nombre de la entidad y las autoridades competentes o los CSIRT deben poder dirigirse a \u00e9l. El representante debe ser designado expl\u00edcitamente mediante un mandato escrito de la entidad para actuar en nombre de esta \u00faltima en lo que respecta a las obligaciones de esta \u00faltima establecidas en la presente Directiva, incluida la notificaci\u00f3n de incidentes.<\/p>\n\n\n\n

(117) A fin de garantizar una visi\u00f3n clara de los proveedores de servicios DNS, los registros de nombres TLD, las entidades que prestan servicios de registro de nombres de dominio, los proveedores de servicios de computaci\u00f3n en nube, los proveedores de servicios de centros de datos, los proveedores de redes de entrega de contenidos, los proveedores de servicios gestionados, los proveedores de servicios de seguridad gestionados, as\u00ed como los proveedores de mercados en l\u00ednea, de motores de b\u00fasqueda en l\u00ednea y de plataformas de servicios de redes sociales, que prestan servicios en toda la Uni\u00f3n que entran en el \u00e1mbito de aplicaci\u00f3n de la presente Directiva, ENISA debe crear y mantener un registro de dichas entidades, basado en la informaci\u00f3n recibida por los Estados miembros, en su caso a trav\u00e9s de los mecanismos nacionales establecidos para que las entidades se registren.<\/p>\n\n\n\n

Las ventanillas \u00fanicas deber\u00e1n remitir a ENISA la informaci\u00f3n y cualquier modificaci\u00f3n de la misma. Con el fin de garantizar la exactitud y exhaustividad de la informaci\u00f3n que debe incluirse en dicho registro, los Estados miembros pueden remitir a la ENISA la informaci\u00f3n disponible en cualesquiera registros nacionales sobre dichas entidades. ENISA y los Estados miembros deben adoptar medidas para facilitar la interoperabilidad de dichos registros, garantizando al mismo tiempo la protecci\u00f3n de la informaci\u00f3n confidencial o clasificada. ENISA debe establecer protocolos adecuados de clasificaci\u00f3n y gesti\u00f3n de la informaci\u00f3n para garantizar la seguridad y confidencialidad de la informaci\u00f3n divulgada y restringir el acceso, almacenamiento y transmisi\u00f3n de dicha informaci\u00f3n a los usuarios previstos.<\/p>\n\n\n\n

(118) Cuando se intercambie, notifique o comparta de otro modo informaci\u00f3n clasificada de conformidad con el Derecho de la Uni\u00f3n o nacional con arreglo a la presente Directiva, deber\u00e1n aplicarse las normas correspondientes sobre el tratamiento de informaci\u00f3n clasificada. Adem\u00e1s, la ENISA debe disponer de la infraestructura, los procedimientos y las normas necesarios para tratar la informaci\u00f3n sensible y clasificada de conformidad con las normas de seguridad aplicables para proteger la informaci\u00f3n clasificada de la UE.<\/p>\n\n\n\n

(119) Dado que las ciberamenazas son cada vez m\u00e1s complejas y sofisticadas, su buena detecci\u00f3n y las medidas para prevenirlas dependen en gran medida de que las entidades compartan peri\u00f3dicamente informaci\u00f3n sobre amenazas y vulnerabilidades. El intercambio de informaci\u00f3n contribuye a una mayor concienciaci\u00f3n sobre las ciberamenazas, lo que, a su vez, mejora la capacidad de las entidades para evitar que dichas amenazas se materialicen en incidentes y permite a las entidades contener mejor los efectos de los incidentes y recuperarse con mayor eficacia. A falta de orientaciones a nivel de la Uni\u00f3n, varios factores parecen haber inhibido este intercambio de informaci\u00f3n, en particular la incertidumbre sobre la compatibilidad con las normas de competencia y responsabilidad.<\/p>\n\n\n\n

(120) Los Estados miembros deben alentar y ayudar a las entidades a aprovechar colectivamente sus conocimientos individuales y su experiencia pr\u00e1ctica a nivel estrat\u00e9gico, t\u00e1ctico y operativo con vistas a mejorar sus capacidades para prevenir, detectar, responder o recuperarse adecuadamente de los incidentes o mitigar su impacto. As\u00ed pues, es necesario permitir la aparici\u00f3n a escala de la Uni\u00f3n de acuerdos voluntarios de intercambio de informaci\u00f3n sobre ciberseguridad.<\/p>\n\n\n\n

A tal fin, los Estados miembros deben ayudar y alentar activamente a las entidades, como las que prestan servicios de ciberseguridad e investigaci\u00f3n, as\u00ed como a las entidades pertinentes no incluidas en el \u00e1mbito de aplicaci\u00f3n de la presente Directiva, a participar en dichos acuerdos de intercambio de informaci\u00f3n sobre ciberseguridad. Dichos acuerdos deben establecerse de conformidad con las normas de competencia de la Uni\u00f3n y el Derecho de la Uni\u00f3n en materia de protecci\u00f3n de datos.<\/p>\n\n\n\n

\n\n\n\n

(121) El tratamiento de datos personales, en la medida en que sea necesario y proporcionado a efectos de garantizar la seguridad de los sistemas de redes y de informaci\u00f3n por parte de entidades esenciales e importantes, podr\u00eda considerarse l\u00edcito sobre la base de que dicho tratamiento cumple una obligaci\u00f3n jur\u00eddica a la que est\u00e1 sujeto el responsable del tratamiento, de conformidad con los requisitos del art\u00edculo 6, apartado 1, letra c), y del art\u00edculo 6, apartado 3, del Reglamento (UE) 2016\/679.<\/p>\n\n\n\n

El tratamiento de datos personales tambi\u00e9n podr\u00eda ser necesario para los intereses leg\u00edtimos perseguidos por entidades esenciales e importantes, as\u00ed como por proveedores de tecnolog\u00edas y servicios de seguridad que act\u00faen en nombre de dichas entidades, de conformidad con el art\u00edculo 6, apartado 1, letra f), del Reglamento (UE) 2016\/679, incluso cuando dicho tratamiento sea necesario para acuerdos de intercambio de informaci\u00f3n sobre ciberseguridad o para la notificaci\u00f3n voluntaria de informaci\u00f3n pertinente de conformidad con la presente Directiva.<\/p>\n\n\n\n

Las medidas relacionadas con la prevenci\u00f3n, detecci\u00f3n, identificaci\u00f3n, contenci\u00f3n, an\u00e1lisis y respuesta a incidentes, las medidas de sensibilizaci\u00f3n en relaci\u00f3n con ciberamenazas espec\u00edficas, el intercambio de informaci\u00f3n en el contexto de la reparaci\u00f3n de vulnerabilidades y la divulgaci\u00f3n coordinada de vulnerabilidades, el intercambio voluntario de informaci\u00f3n sobre dichos incidentes, y ciberamenazas y vulnerabilidades, indicadores de compromiso, t\u00e1cticas, t\u00e9cnicas y procedimientos, alertas de ciberseguridad y herramientas de configuraci\u00f3n podr\u00edan requerir el tratamiento de determinadas categor\u00edas de datos personales, como direcciones IP, localizadores uniformes de recursos (URL), nombres de dominio, direcciones de correo electr\u00f3nico y, cuando revelen datos personales, marcas de tiempo.<\/p>\n\n\n\n

El tratamiento de datos personales por parte de las autoridades competentes, las ventanillas \u00fanicas y los CSIRT, podr\u00eda constituir una obligaci\u00f3n legal o considerarse necesario para el cumplimiento de una misi\u00f3n de inter\u00e9s p\u00fablico o en el ejercicio del poder p\u00fablico conferido al responsable del tratamiento de conformidad con el art\u00edculo 6, apartado 1, letras c) o e), y el art\u00edculo 6, apartado 3, del Reglamento (UE) 2016\/679, o para perseguir un inter\u00e9s leg\u00edtimo de las entidades esenciales e importantes, a que se refiere el art\u00edculo 6, apartado 1, letra f), de dicho Reglamento.<\/p>\n\n\n\n

Adem\u00e1s, el Derecho nacional podr\u00eda establecer normas que permitan a las autoridades competentes, las ventanillas \u00fanicas y los CSIRT, en la medida en que sea necesario y proporcionado a efectos de garantizar la seguridad de las redes y los sistemas de informaci\u00f3n de entidades esenciales e importantes, tratar categor\u00edas especiales de datos personales de conformidad con el art\u00edculo 9 del Reglamento (UE) 2016\/679, en particular estableciendo medidas adecuadas y espec\u00edficas para salvaguardar los derechos e intereses fundamentales de las personas f\u00edsicas, incluidas limitaciones t\u00e9cnicas a la reutilizaci\u00f3n de dichos datos y el uso de medidas de seguridad y de preservaci\u00f3n de la intimidad de \u00faltima generaci\u00f3n, como la seudonimizaci\u00f3n, o el cifrado cuando la anonimizaci\u00f3n pueda afectar significativamente a la finalidad perseguida.<\/p>\n\n\n\n

(122) A fin de reforzar las facultades y medidas de supervisi\u00f3n que contribuyan a garantizar un cumplimiento efectivo, la presente Directiva debe establecer una lista m\u00ednima de medidas y medios de supervisi\u00f3n a trav\u00e9s de los cuales las autoridades competentes puedan supervisar a las entidades esenciales e importantes. Adem\u00e1s, la presente Directiva debe establecer una diferenciaci\u00f3n del r\u00e9gimen de supervisi\u00f3n entre entidades esenciales e importantes con vistas a garantizar un justo equilibrio de las obligaciones de dichas entidades y de las autoridades competentes.<\/p>\n\n\n\n

Por lo tanto, las entidades esenciales deben estar sujetas a un r\u00e9gimen de supervisi\u00f3n ex ante y ex post exhaustivo, mientras que las entidades importantes deben estar sujetas a un r\u00e9gimen de supervisi\u00f3n ligero, \u00fanicamente ex post. Por lo tanto, no debe exigirse a las entidades importantes que documenten sistem\u00e1ticamente el cumplimiento de las medidas de gesti\u00f3n de riesgos en materia de ciberseguridad, mientras que las autoridades competentes deben aplicar un enfoque de supervisi\u00f3n ex post reactivo y, por lo tanto, no deben tener la obligaci\u00f3n general de supervisar a dichas entidades.<\/p>\n\n\n\n

La supervisi\u00f3n a posteriori de entidades importantes puede ser desencadenada por pruebas, indicios o informaci\u00f3n puestos en conocimiento de las autoridades competentes que dichas autoridades consideren que sugieren posibles infracciones de la presente Directiva. Por ejemplo, dichas pruebas, indicios o informaci\u00f3n podr\u00edan ser del tipo facilitado a las autoridades competentes por otras autoridades, entidades, ciudadanos, medios de comunicaci\u00f3n u otras fuentes o informaci\u00f3n p\u00fablicamente disponible, o podr\u00edan surgir de otras actividades llevadas a cabo por las autoridades competentes en el cumplimiento de sus funciones.<\/p>\n\n\n\n

(123) La ejecuci\u00f3n de las tareas de supervisi\u00f3n por parte de las autoridades competentes no debe obstaculizar innecesariamente las actividades empresariales de la entidad de que se trate. Cuando las autoridades competentes ejecuten sus tareas de supervisi\u00f3n en relaci\u00f3n con entidades esenciales, incluida la realizaci\u00f3n de inspecciones in situ y la supervisi\u00f3n a distancia, la investigaci\u00f3n de infracciones de la presente Directiva y la realizaci\u00f3n de auditor\u00edas o exploraciones de seguridad, deben minimizar el impacto en las actividades empresariales de la entidad de que se trate.<\/p>\n\n\n\n

(124) En el ejercicio de la supervisi\u00f3n ex ante, las autoridades competentes deben poder decidir sobre la priorizaci\u00f3n del uso de las medidas y medios de supervisi\u00f3n a su disposici\u00f3n de manera proporcionada. Esto implica que las autoridades competentes pueden decidir sobre dicha priorizaci\u00f3n bas\u00e1ndose en metodolog\u00edas de supervisi\u00f3n que deben seguir un enfoque basado en el riesgo.<\/p>\n\n\n\n

M\u00e1s concretamente, dichas metodolog\u00edas podr\u00edan incluir criterios o puntos de referencia para la clasificaci\u00f3n de las entidades esenciales en categor\u00edas de riesgo y las correspondientes medidas y medios de supervisi\u00f3n recomendados por categor\u00eda de riesgo, como el uso, la frecuencia o los tipos de inspecciones in situ, auditor\u00edas de seguridad espec\u00edficas o esc\u00e1neres de seguridad, el tipo de informaci\u00f3n que debe solicitarse y el nivel de detalle de dicha informaci\u00f3n. Estas metodolog\u00edas de supervisi\u00f3n tambi\u00e9n podr\u00edan ir acompa\u00f1adas de programas de trabajo y ser evaluadas y revisadas peri\u00f3dicamente, incluso en aspectos como la asignaci\u00f3n de recursos y las necesidades. En relaci\u00f3n con las entidades de la administraci\u00f3n p\u00fablica, las competencias de supervisi\u00f3n deber\u00edan ejercerse en consonancia con los marcos legislativos e institucionales nacionales.<\/p>\n\n\n\n

(125) Las autoridades competentes deben velar por que sus tareas de supervisi\u00f3n en relaci\u00f3n con las entidades esenciales e importantes sean llevadas a cabo por profesionales formados, que deben contar con las competencias necesarias para desempe\u00f1ar dichas tareas, en particular en lo que respecta a la realizaci\u00f3n de inspecciones in situ y a la supervisi\u00f3n a distancia, incluida la detecci\u00f3n de deficiencias en las bases de datos, el hardware, los cortafuegos, el cifrado y las redes. Esas inspecciones y esa supervisi\u00f3n deben realizarse de manera objetiva.<\/p>\n\n\n\n

(126) En casos debidamente justificados en los que tenga conocimiento de una ciberamenaza significativa o de un riesgo inminente, la autoridad competente debe poder adoptar decisiones coercitivas inmediatas con el fin de prevenir o responder a un incidente.<\/p>\n\n\n\n

(127) Para que la ejecuci\u00f3n sea efectiva, debe establecerse una lista m\u00ednima de competencias de ejecuci\u00f3n que puedan ejercerse por incumplimiento de las medidas de gesti\u00f3n de riesgos en materia de ciberseguridad y de las obligaciones de notificaci\u00f3n previstas en la presente Directiva, creando un marco claro y coherente para dicha ejecuci\u00f3n en toda la Uni\u00f3n. Deben tenerse debidamente en cuenta la naturaleza, gravedad y duraci\u00f3n de la infracci\u00f3n de la presente Directiva, el da\u00f1o material o moral causado, si la infracci\u00f3n ha sido intencionada o por negligencia, las medidas adoptadas para prevenir o mitigar el da\u00f1o material o moral, el grado de responsabilidad o cualquier infracci\u00f3n anterior pertinente, el grado de cooperaci\u00f3n con la autoridad competente y cualquier otro factor agravante o atenuante.<\/p>\n\n\n\n

Las medidas coercitivas, incluidas las multas administrativas, deben ser proporcionadas y su imposici\u00f3n debe estar sujeta a las garant\u00edas procesales adecuadas de conformidad con los principios generales del Derecho de la Uni\u00f3n y la Carta de los Derechos Fundamentales de la Uni\u00f3n Europea (la \"Carta\"), incluido el derecho a la tutela judicial efectiva y a un juez imparcial, la presunci\u00f3n de inocencia y los derechos de la defensa.<\/p>\n\n\n\n

(128) La presente Directiva no exige a los Estados miembros que establezcan la responsabilidad penal o civil de las personas f\u00edsicas responsables de garantizar que una entidad cumple la presente Directiva por los da\u00f1os sufridos por terceros como consecuencia de una infracci\u00f3n de la presente Directiva.<\/p>\n\n\n\n

(129) Para garantizar el cumplimiento efectivo de las obligaciones establecidas en la presente Directiva, cada autoridad competente debe estar facultada para imponer o solicitar la imposici\u00f3n de multas administrativas.<\/p>\n\n\n\n

(130) Cuando se imponga una multa administrativa a una entidad esencial o importante que sea una empresa, debe entenderse que se trata de una empresa de conformidad con los art\u00edculos 101 y 102 del TFUE a estos efectos. Cuando se imponga una multa administrativa a una persona que no sea una empresa, la autoridad competente debe tener en cuenta el nivel general de ingresos en el Estado miembro, as\u00ed como la situaci\u00f3n econ\u00f3mica de la persona, a la hora de considerar el importe adecuado de la multa. Debe corresponder a los Estados miembros determinar si las autoridades p\u00fablicas deben estar sujetas a multas administrativas y en qu\u00e9 medida. La imposici\u00f3n de una multa administrativa no afecta a la aplicaci\u00f3n de otros poderes de las autoridades competentes ni de otras sanciones establecidas en las normas nacionales de transposici\u00f3n de la presente Directiva.<\/p>","protected":false},"excerpt":{"rendered":"

Considerando lo siguiente: (1) La Directiva (UE) 2016\/1148 del Parlamento Europeo y del Consejo (4) ten\u00eda por objeto crear ciberseguridadCiberseguridad \"ciberseguridad\": la ciberseguridad definida en el art\u00edculo 2, punto (1), del Reglamento (UE) 2019\/881; - Definici\u00f3n seg\u00fan el art\u00edculo 6 Directiva (UE) 2022\/2555 (Directiva NIS2) \"ciberseguridad\": las actividades necesarias para proteger los sistemas de redes y de informaci\u00f3n, a los usuarios de [...]<\/p>","protected":false},"author":1,"featured_media":0,"parent":592,"menu_order":0,"comment_status":"closed","ping_status":"closed","template":"","meta":{"_gspb_post_css":".gspb_container-id-gsbp-b565ac4{flex-direction:column;box-sizing:border-box}#gspb_container-id-gsbp-b565ac4.gspb_container>p:last-of-type{margin-bottom:0}.gspb_container{position:relative}#gspb_container-id-gsbp-b565ac4.gspb_container{display:flex;flex-direction:column;align-items:center;margin-bottom:40px}@media (max-width:991.98px){#gspb_container-id-gsbp-b565ac4.gspb_container{margin-bottom:40px}}#gspb_heading-id-gsbp-d1b4c76{font-size:30px}@media (max-width:991.98px){#gspb_heading-id-gsbp-d1b4c76{font-size:30px}}@media (max-width:575.98px){#gspb_heading-id-gsbp-d1b4c76{font-size:25px}}#gspb_heading-id-gsbp-d1b4c76,#gspb_heading-id-gsbp-d1b4c76 .gsap-g-line,.gspb_text-id-gsbp-2c13756,.gspb_text-id-gsbp-2c13756 .gsap-g-line{text-align:center!important}#gspb_heading-id-gsbp-d1b4c76{margin-top:0;margin-bottom:10px}.gspb_text-id-gsbp-2c13756{max-width:800px}","footnotes":""},"class_list":["post-584","page","type-page","status-publish","hentry"],"blocksy_meta":{"has_hero_section":"enabled","styles_descriptor":{"styles":{"desktop":"[data-prefix=\"single_page\"] .entry-header .page-title {--theme-font-size:30px;} [data-prefix=\"single_page\"] .entry-header .entry-meta {--theme-font-weight:600;--theme-text-transform:uppercase;--theme-font-size:12px;--theme-line-height:1.3;}","tablet":"","mobile":""},"google_fonts":[],"version":6},"vertical_spacing_source":"custom","content_area_spacing":"none","page_structure_type":"type-2","hero_elements":[{"id":"custom_title","enabled":true,"heading_tag":"h1","title":"Home","__id":"zUAv84-iCqwWhwHz_7eMU"},{"id":"custom_description","enabled":false,"description_visibility":{"desktop":true,"tablet":true,"mobile":false},"__id":"q0z81OBwVS1eiBNwQJZ31"},{"id":"custom_meta","enabled":false,"meta_elements":[{"id":"author","enabled":true,"label":"By","has_author_avatar":"yes","avatar_size":25},{"id":"post_date","enabled":true,"label":"On","date_format_source":"default","date_format":"M j, Y"},{"id":"updated_date","enabled":false,"label":"On","date_format_source":"default","date_format":"M j, Y"},{"id":"categories","enabled":false,"label":"In","style":"simple"},{"id":"comments","enabled":true}],"page_meta_elements":{"joined":true,"articles_count":true,"comments":true},"__id":"908KnW1IQtQMH2CkUzVag"},{"id":"breadcrumbs","enabled":true,"__id":"gyh2MB_UdPumL0ReCyfHv"},{"id":"content-block","enabled":false,"__id":"RhhTfxRztIm-fh5C63-qH"}]},"rankMath":{"parentDomain":"nis2resources.eu","noFollowDomains":[],"noFollowExcludeDomains":[],"noFollowExternalLinks":false,"featuredImageNotice":"La imagen destacada debe tener al menos 200 por 200 p\u00edxeles para que Facebook y otros sitios de redes sociales puedan escogerla.","pluginReviewed":false,"postSettings":{"linkSuggestions":true,"useFocusKeyword":false},"frontEndScore":false,"postName":"preamble","permalinkFormat":"https:\/\/nis2resources.eu\/es\/%pagename%\/","showLockModifiedDate":true,"assessor":{"focusKeywordLink":"https:\/\/nis2resources.eu\/wp-admin\/edit.php?focus_keyword=%focus_keyword%&post_type=%post_type%","hasTOCPlugin":false,"primaryTaxonomy":false,"serpData":{"title":"","description":"","focusKeywords":"","pillarContent":false,"canonicalUrl":"","breadcrumbTitle":"","advancedRobots":{"max-snippet":"-1","max-video-preview":"-1","max-image-preview":"large"},"facebookTitle":"","facebookDescription":"","facebookImage":"","facebookImageID":"","facebookHasOverlay":false,"facebookImageOverlay":"","facebookAuthor":"","twitterCardType":"","twitterUseFacebook":true,"twitterTitle":"","twitterDescription":"","twitterImage":"","twitterImageID":"","twitterHasOverlay":false,"twitterImageOverlay":"","twitterPlayerUrl":"","twitterPlayerSize":"","twitterPlayerStream":"","twitterPlayerStreamCtype":"","twitterAppDescription":"","twitterAppIphoneName":"","twitterAppIphoneID":"","twitterAppIphoneUrl":"","twitterAppIpadName":"","twitterAppIpadID":"","twitterAppIpadUrl":"","twitterAppGoogleplayName":"","twitterAppGoogleplayID":"","twitterAppGoogleplayUrl":"","twitterAppCountry":"","robots":{"index":true},"twitterAuthor":"nombre de usuario","primaryTerm":0,"authorName":"admin","titleTemplate":"%title% %sep% %sitename%","descriptionTemplate":"%excerpt%","showScoreFrontend":true,"lockModifiedDate":false},"powerWords":["incre\u00edble","asombroso","maravilloso","\u00fanico","hermoso","felicidad","brillante","cautivador","carism\u00e1tico","impactante","claro","completamente","confidencial","confianza","significativo","creativo","definitivamente","delicioso","demostrar","apres\u00farate","decidido","digno","din\u00e1mico","impresionante","esencial","inspirador","innovador","intenso","eficaz","m\u00e1gico","magn\u00edfico","hist\u00f3rico","importante","incre\u00edble","indispensable","inolvidable","irresistible","legendario","luminoso","lujo","m\u00e1gico","magn\u00edfico","majestuoso","memorable","maravilloso","milagroso","motivador","necesario","nuevo","oficial","perfecto","apasionado","persuasivo","fenomenal","placer","popular","poder","prestigioso","prodigioso","profundo","pr\u00f3spero","poderoso","calidad","radiante","r\u00e1pido","exitoso","revolucionario","satisfecho","seguridad","sensacional","sereno","suntuoso","espl\u00e9ndido","sublime","sorprendente","talentoso","terror\u00edfico","\u00fanico","valor","vibrante","victorioso","vivo","verdaderamente","celoso","aut\u00e9ntico","aventurero","espectacular","exclusivo","garantizado","extraordinario","fabuloso","fascinante","formidable","genial","grandioso","gratuito","h\u00e1bil","ilimitado","impecable","infalible","infinitamente","influyente","ingenioso","inolvidable","irremplazable","l\u00edder","maestro","notable","novedoso","pionero","poderoso","reconocido","revolucionario","sorprendente","superior","triunfante","ultra","valiente","valioso","vanguardista","vigoroso","visionario","voluntad","vital","triunfo","glorioso","imparable","inigualable","inteligente","invencible","libertad","orgullo","paz","progreso","renovado","sabidur\u00eda","satisfacci\u00f3n","seguro","serenidad","superaci\u00f3n","talento","transcendente","transformador","valent\u00eda","victoria"],"diacritics":{"A":"[\\u0041\\u24B6\\uFF21\\u00C0\\u00C1\\u00C2\\u1EA6\\u1EA4\\u1EAA\\u1EA8\\u00C3\\u0100\\u0102\\u1EB0\\u1EAE\\u1EB4\\u1EB2\\u0226\\u01E0\\u00C4\\u01DE\\u1EA2\\u00C5\\u01FA\\u01CD\\u0200\\u0202\\u1EA0\\u1EAC\\u1EB6\\u1E00\\u0104\\u023A\\u2C6F]","AA":"[\\uA732]","AE":"[\\u00C6\\u01FC\\u01E2]","AO":"[\\uA734]","AU":"[\\uA736]","AV":"[\\uA738\\uA73A]","AY":"[\\uA73C]","B":"[\\u0042\\u24B7\\uFF22\\u1E02\\u1E04\\u1E06\\u0243\\u0182\\u0181]","C":"[\\u0043\\u24B8\\uFF23\\u0106\\u0108\\u010A\\u010C\\u00C7\\u1E08\\u0187\\u023B\\uA73E]","D":"[\\u0044\\u24B9\\uFF24\\u1E0A\\u010E\\u1E0C\\u1E10\\u1E12\\u1E0E\\u0110\\u018B\\u018A\\u0189\\uA779]","DZ":"[\\u01F1\\u01C4]","Dz":"[\\u01F2\\u01C5]","E":"[\\u0045\\u24BA\\uFF25\\u00C8\\u00C9\\u00CA\\u1EC0\\u1EBE\\u1EC4\\u1EC2\\u1EBC\\u0112\\u1E14\\u1E16\\u0114\\u0116\\u00CB\\u1EBA\\u011A\\u0204\\u0206\\u1EB8\\u1EC6\\u0228\\u1E1C\\u0118\\u1E18\\u1E1A\\u0190\\u018E]","F":"[\\u0046\\u24BB\\uFF26\\u1E1E\\u0191\\uA77B]","G":"[\\u0047\\u24BC\\uFF27\\u01F4\\u011C\\u1E20\\u011E\\u0120\\u01E6\\u0122\\u01E4\\u0193\\uA7A0\\uA77D\\uA77E]","H":"[\\u0048\\u24BD\\uFF28\\u0124\\u1E22\\u1E26\\u021E\\u1E24\\u1E28\\u1E2A\\u0126\\u2C67\\u2C75\\uA78D]","I":"[\\u0049\\u24BE\\uFF29\\u00CC\\u00CD\\u00CE\\u0128\\u012A\\u012C\\u0130\\u00CF\\u1E2E\\u1EC8\\u01CF\\u0208\\u020A\\u1ECA\\u012E\\u1E2C\\u0197]","J":"[\\u004A\\u24BF\\uFF2A\\u0134\\u0248]","K":"[\\u004B\\u24C0\\uFF2B\\u1E30\\u01E8\\u1E32\\u0136\\u1E34\\u0198\\u2C69\\uA740\\uA742\\uA744\\uA7A2]","L":"[\\u004C\\u24C1\\uFF2C\\u013F\\u0139\\u013D\\u1E36\\u1E38\\u013B\\u1E3C\\u1E3A\\u0141\\u023D\\u2C62\\u2C60\\uA748\\uA746\\uA780]","LJ":"[\\u01C7]","Lj":"[\\u01C8]","M":"[\\u004D\\u24C2\\uFF2D\\u1E3E\\u1E40\\u1E42\\u2C6E\\u019C]","N":"[\\u004E\\u24C3\\uFF2E\\u01F8\\u0143\\u00D1\\u1E44\\u0147\\u1E46\\u0145\\u1E4A\\u1E48\\u0220\\u019D\\uA790\\uA7A4]","NJ":"[\\u01CA]","Nj":"[\\u01CB]","O":"[\\u004F\\u24C4\\uFF2F\\u00D2\\u00D3\\u00D4\\u1ED2\\u1ED0\\u1ED6\\u1ED4\\u00D5\\u1E4C\\u022C\\u1E4E\\u014C\\u1E50\\u1E52\\u014E\\u022E\\u0230\\u00D6\\u022A\\u1ECE\\u0150\\u01D1\\u020C\\u020E\\u01A0\\u1EDC\\u1EDA\\u1EE0\\u1EDE\\u1EE2\\u1ECC\\u1ED8\\u01EA\\u01EC\\u00D8\\u01FE\\u0186\\u019F\\uA74A\\uA74C]","OI":"[\\u01A2]","OO":"[\\uA74E]","OU":"[\\u0222]","P":"[\\u0050\\u24C5\\uFF30\\u1E54\\u1E56\\u01A4\\u2C63\\uA750\\uA752\\uA754]","Q":"[\\u0051\\u24C6\\uFF31\\uA756\\uA758\\u024A]","R":"[\\u0052\\u24C7\\uFF32\\u0154\\u1E58\\u0158\\u0210\\u0212\\u1E5A\\u1E5C\\u0156\\u1E5E\\u024C\\u2C64\\uA75A\\uA7A6\\uA782]","S":"[\\u0053\\u24C8\\uFF33\\u1E9E\\u015A\\u1E64\\u015C\\u1E60\\u0160\\u1E66\\u1E62\\u1E68\\u0218\\u015E\\u2C7E\\uA7A8\\uA784]","T":"[\\u0054\\u24C9\\uFF34\\u1E6A\\u0164\\u1E6C\\u021A\\u0162\\u1E70\\u1E6E\\u0166\\u01AC\\u01AE\\u023E\\uA786]","TZ":"[\\uA728]","U":"[\\u0055\\u24CA\\uFF35\\u00D9\\u00DA\\u00DB\\u0168\\u1E78\\u016A\\u1E7A\\u016C\\u00DC\\u01DB\\u01D7\\u01D5\\u01D9\\u1EE6\\u016E\\u0170\\u01D3\\u0214\\u0216\\u01AF\\u1EEA\\u1EE8\\u1EEE\\u1EEC\\u1EF0\\u1EE4\\u1E72\\u0172\\u1E76\\u1E74\\u0244]","V":"[\\u0056\\u24CB\\uFF36\\u1E7C\\u1E7E\\u01B2\\uA75E\\u0245]","VY":"[\\uA760]","W":"[\\u0057\\u24CC\\uFF37\\u1E80\\u1E82\\u0174\\u1E86\\u1E84\\u1E88\\u2C72]","X":"[\\u0058\\u24CD\\uFF38\\u1E8A\\u1E8C]","Y":"[\\u0059\\u24CE\\uFF39\\u1EF2\\u00DD\\u0176\\u1EF8\\u0232\\u1E8E\\u0178\\u1EF6\\u1EF4\\u01B3\\u024E\\u1EFE]","Z":"[\\u005A\\u24CF\\uFF3A\\u0179\\u1E90\\u017B\\u017D\\u1E92\\u1E94\\u01B5\\u0224\\u2C7F\\u2C6B\\uA762]","a":"[\\u0061\\u24D0\\uFF41\\u1E9A\\u00E0\\u00E1\\u00E2\\u1EA7\\u1EA5\\u1EAB\\u1EA9\\u00E3\\u0101\\u0103\\u1EB1\\u1EAF\\u1EB5\\u1EB3\\u0227\\u01E1\\u00E4\\u01DF\\u1EA3\\u00E5\\u01FB\\u01CE\\u0201\\u0203\\u1EA1\\u1EAD\\u1EB7\\u1E01\\u0105\\u2C65\\u0250]","aa":"[\\uA733]","ae":"[\\u00E6\\u01FD\\u01E3]","ao":"[\\uA735]","au":"[\\uA737]","av":"[\\uA739\\uA73B]","ay":"[\\uA73D]","b":"[\\u0062\\u24D1\\uFF42\\u1E03\\u1E05\\u1E07\\u0180\\u0183\\u0253]","c":"[\\u0063\\u24D2\\uFF43\\u0107\\u0109\\u010B\\u010D\\u00E7\\u1E09\\u0188\\u023C\\uA73F\\u2184]","d":"[\\u0064\\u24D3\\uFF44\\u1E0B\\u010F\\u1E0D\\u1E11\\u1E13\\u1E0F\\u0111\\u018C\\u0256\\u0257\\uA77A]","dz":"[\\u01F3\\u01C6]","e":"[\\u0065\\u24D4\\uFF45\\u00E8\\u00E9\\u00EA\\u1EC1\\u1EBF\\u1EC5\\u1EC3\\u1EBD\\u0113\\u1E15\\u1E17\\u0115\\u0117\\u00EB\\u1EBB\\u011B\\u0205\\u0207\\u1EB9\\u1EC7\\u0229\\u1E1D\\u0119\\u1E19\\u1E1B\\u0247\\u025B\\u01DD]","f":"[\\u0066\\u24D5\\uFF46\\u1E1F\\u0192\\uA77C]","g":"[\\u0067\\u24D6\\uFF47\\u01F5\\u011D\\u1E21\\u011F\\u0121\\u01E7\\u0123\\u01E5\\u0260\\uA7A1\\u1D79\\uA77F]","h":"[\\u0068\\u24D7\\uFF48\\u0125\\u1E23\\u1E27\\u021F\\u1E25\\u1E29\\u1E2B\\u1E96\\u0127\\u2C68\\u2C76\\u0265]","hv":"[\\u0195]","i":"[\\u0069\\u24D8\\uFF49\\u00EC\\u00ED\\u00EE\\u0129\\u012B\\u012D\\u00EF\\u1E2F\\u1EC9\\u01D0\\u0209\\u020B\\u1ECB\\u012F\\u1E2D\\u0268\\u0131]","j":"[\\u006A\\u24D9\\uFF4A\\u0135\\u01F0\\u0249]","k":"[\\u006B\\u24DA\\uFF4B\\u1E31\\u01E9\\u1E33\\u0137\\u1E35\\u0199\\u2C6A\\uA741\\uA743\\uA745\\uA7A3]","l":"[\\u006C\\u24DB\\uFF4C\\u0140\\u013A\\u013E\\u1E37\\u1E39\\u013C\\u1E3D\\u1E3B\\u017F\\u0142\\u019A\\u026B\\u2C61\\uA749\\uA781\\uA747]","lj":"[\\u01C9]","m":"[\\u006D\\u24DC\\uFF4D\\u1E3F\\u1E41\\u1E43\\u0271\\u026F]","n":"[\\u006E\\u24DD\\uFF4E\\u01F9\\u0144\\u00F1\\u1E45\\u0148\\u1E47\\u0146\\u1E4B\\u1E49\\u019E\\u0272\\u0149\\uA791\\uA7A5]","nj":"[\\u01CC]","o":"[\\u006F\\u24DE\\uFF4F\\u00F2\\u00F3\\u00F4\\u1ED3\\u1ED1\\u1ED7\\u1ED5\\u00F5\\u1E4D\\u022D\\u1E4F\\u014D\\u1E51\\u1E53\\u014F\\u022F\\u0231\\u00F6\\u022B\\u1ECF\\u0151\\u01D2\\u020D\\u020F\\u01A1\\u1EDD\\u1EDB\\u1EE1\\u1EDF\\u1EE3\\u1ECD\\u1ED9\\u01EB\\u01ED\\u00F8\\u01FF\\u0254\\uA74B\\uA74D\\u0275]","oi":"[\\u01A3]","ou":"[\\u0223]","oo":"[\\uA74F]","p":"[\\u0070\\u24DF\\uFF50\\u1E55\\u1E57\\u01A5\\u1D7D\\uA751\\uA753\\uA755]","q":"[\\u0071\\u24E0\\uFF51\\u024B\\uA757\\uA759]","r":"[\\u0072\\u24E1\\uFF52\\u0155\\u1E59\\u0159\\u0211\\u0213\\u1E5B\\u1E5D\\u0157\\u1E5F\\u024D\\u027D\\uA75B\\uA7A7\\uA783]","s":"[\\u0073\\u24E2\\uFF53\\u015B\\u1E65\\u015D\\u1E61\\u0161\\u1E67\\u1E63\\u1E69\\u0219\\u015F\\u023F\\uA7A9\\uA785\\u1E9B]","ss":"[\\u00DF]","t":"[\\u0074\\u24E3\\uFF54\\u1E6B\\u1E97\\u0165\\u1E6D\\u021B\\u0163\\u1E71\\u1E6F\\u0167\\u01AD\\u0288\\u2C66\\uA787]","tz":"[\\uA729]","u":"[\\u0075\\u24E4\\uFF55\\u00F9\\u00FA\\u00FB\\u0169\\u1E79\\u016B\\u1E7B\\u016D\\u00FC\\u01DC\\u01D8\\u01D6\\u01DA\\u1EE7\\u016F\\u0171\\u01D4\\u0215\\u0217\\u01B0\\u1EEB\\u1EE9\\u1EEF\\u1EED\\u1EF1\\u1EE5\\u1E73\\u0173\\u1E77\\u1E75\\u0289]","v":"[\\u0076\\u24E5\\uFF56\\u1E7D\\u1E7F\\u028B\\uA75F\\u028C]","vy":"[\\uA761]","w":"[\\u0077\\u24E6\\uFF57\\u1E81\\u1E83\\u0175\\u1E87\\u1E85\\u1E98\\u1E89\\u2C73]","x":"[\\u0078\\u24E7\\uFF58\\u1E8B\\u1E8D]","y":"[\\u0079\\u24E8\\uFF59\\u1EF3\\u00FD\\u0177\\u1EF9\\u0233\\u1E8F\\u00FF\\u1EF7\\u1E99\\u1EF5\\u01B4\\u024F\\u1EFF]","z":"[\\u007A\\u24E9\\uFF5A\\u017A\\u1E91\\u017C\\u017E\\u1E93\\u1E95\\u01B6\\u0225\\u0240\\u2C6C\\uA763]"},"researchesTests":["contentHasTOC","contentHasShortParagraphs","contentHasAssets","keywordInTitle","keywordInMetaDescription","keywordInPermalink","keywordIn10Percent","keywordInContent","keywordInSubheadings","keywordInImageAlt","keywordDensity","keywordNotUsed","lengthContent","lengthPermalink","linksHasInternal","linksHasExternals","linksNotAllExternals","titleStartWithKeyword","titleSentiment","titleHasPowerWords","titleHasNumber","hasContentAI"],"hasRedirection":true,"hasBreadcrumb":true},"homeUrl":"https:\/\/nis2resources.eu\/es","objectID":584,"objectType":"post","locale":"es","localeFull":"es_ES","overlayImages":{"play":{"name":"Icono de reproducci\u00f3n","url":"https:\/\/nis2resources.eu\/wp-content\/plugins\/seo-by-rank-math\/assets\/admin\/img\/icon-play.png","path":"\/var\/www\/vhosts\/nis2resources.eu\/httpdocs\/wp-content\/plugins\/seo-by-rank-math\/assets\/admin\/img\/icon-play.png","position":"middle_center"},"gif":{"name":"Icono GIF","url":"https:\/\/nis2resources.eu\/wp-content\/plugins\/seo-by-rank-math\/assets\/admin\/img\/icon-gif.png","path":"\/var\/www\/vhosts\/nis2resources.eu\/httpdocs\/wp-content\/plugins\/seo-by-rank-math\/assets\/admin\/img\/icon-gif.png","position":"middle_center"}},"defautOgImage":"https:\/\/nis2resources.eu\/wp-content\/plugins\/seo-by-rank-math\/assets\/admin\/img\/social-placeholder.jpg","customPermalinks":true,"isUserRegistered":true,"autoSuggestKeywords":true,"connectSiteUrl":"https:\/\/rankmath.com\/auth?site=https%3A%2F%2Fnis2resources.eu%2Fes&r=https%3A%2F%2Fnis2resources.eu%2Fes%2Fwp-json%2Fwp%2Fv2%2Fpages%2F584%2F%3Fnonce%3D52fcbc9a46&pro=1","maxTags":100,"trendsIcon":"<\/svg>","showScore":true,"siteFavIcon":"https:\/\/nis2resources.eu\/wp-content\/uploads\/2024\/08\/cropped-nis2resources-icon-32x32.png","canUser":{"general":false,"advanced":false,"snippet":false,"social":false,"analysis":false,"analytics":false,"content_ai":false},"showKeywordIntent":true,"isPro":true,"is_front_page":false,"trendsUpgradeLink":"https:\/\/rankmath.com\/pricing\/?utm_source=Plugin&utm_medium=CE%20General%20Tab%20Trends&utm_campaign=WP","trendsUpgradeLabel":"Actualizar","trendsPreviewImage":"https:\/\/nis2resources.eu\/wp-content\/plugins\/seo-by-rank-math\/assets\/admin\/img\/trends-preview.jpg","currentEditor":false,"homepageData":{"assessor":{"powerWords":["incre\u00edble","asombroso","maravilloso","\u00fanico","hermoso","felicidad","brillante","cautivador","carism\u00e1tico","impactante","claro","completamente","confidencial","confianza","significativo","creativo","definitivamente","delicioso","demostrar","apres\u00farate","decidido","digno","din\u00e1mico","impresionante","esencial","inspirador","innovador","intenso","eficaz","m\u00e1gico","magn\u00edfico","hist\u00f3rico","importante","incre\u00edble","indispensable","inolvidable","irresistible","legendario","luminoso","lujo","m\u00e1gico","magn\u00edfico","majestuoso","memorable","maravilloso","milagroso","motivador","necesario","nuevo","oficial","perfecto","apasionado","persuasivo","fenomenal","placer","popular","poder","prestigioso","prodigioso","profundo","pr\u00f3spero","poderoso","calidad","radiante","r\u00e1pido","exitoso","revolucionario","satisfecho","seguridad","sensacional","sereno","suntuoso","espl\u00e9ndido","sublime","sorprendente","talentoso","terror\u00edfico","\u00fanico","valor","vibrante","victorioso","vivo","verdaderamente","celoso","aut\u00e9ntico","aventurero","espectacular","exclusivo","garantizado","extraordinario","fabuloso","fascinante","formidable","genial","grandioso","gratuito","h\u00e1bil","ilimitado","impecable","infalible","infinitamente","influyente","ingenioso","inolvidable","irremplazable","l\u00edder","maestro","notable","novedoso","pionero","poderoso","reconocido","revolucionario","sorprendente","superior","triunfante","ultra","valiente","valioso","vanguardista","vigoroso","visionario","voluntad","vital","triunfo","glorioso","imparable","inigualable","inteligente","invencible","libertad","orgullo","paz","progreso","renovado","sabidur\u00eda","satisfacci\u00f3n","seguro","serenidad","superaci\u00f3n","talento","transcendente","transformador","valent\u00eda","victoria"],"diacritics":true,"researchesTests":["contentHasTOC","contentHasShortParagraphs","contentHasAssets","keywordInTitle","keywordInMetaDescription","keywordInPermalink","keywordIn10Percent","keywordInContent","keywordInSubheadings","keywordInImageAlt","keywordDensity","keywordNotUsed","lengthContent","lengthPermalink","linksHasInternal","linksHasExternals","linksNotAllExternals","titleStartWithKeyword","titleSentiment","titleHasPowerWords","titleHasNumber","hasContentAI"],"hasBreadcrumb":true,"serpData":{"title":"%sitename% %page% %sep% %sitedesc%","description":"","titleTemplate":"%sitename% %page% %sep% %sitedesc%","descriptionTemplate":"","focusKeywords":"","breadcrumbTitle":"Home","robots":{"index":true},"advancedRobots":{"max-snippet":"-1","max-video-preview":"-1","max-image-preview":"large"},"facebookTitle":"","facebookDescription":"","facebookImage":"","facebookImageID":""}}},"searchIntents":[],"isAnalyticsConnected":false,"tocTitle":"Table of Contents","tocExcludeHeadings":[],"listStyle":"ul"},"_links":{"self":[{"href":"https:\/\/nis2resources.eu\/es\/wp-json\/wp\/v2\/pages\/584","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/nis2resources.eu\/es\/wp-json\/wp\/v2\/pages"}],"about":[{"href":"https:\/\/nis2resources.eu\/es\/wp-json\/wp\/v2\/types\/page"}],"author":[{"embeddable":true,"href":"https:\/\/nis2resources.eu\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/nis2resources.eu\/es\/wp-json\/wp\/v2\/comments?post=584"}],"version-history":[{"count":0,"href":"https:\/\/nis2resources.eu\/es\/wp-json\/wp\/v2\/pages\/584\/revisions"}],"up":[{"embeddable":true,"href":"https:\/\/nis2resources.eu\/es\/wp-json\/wp\/v2\/pages\/592"}],"wp:attachment":[{"href":"https:\/\/nis2resources.eu\/es\/wp-json\/wp\/v2\/media?parent=584"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}