Procedimiento : 2017/0225(COD)
Ciclo de vida en sesión
Ciclo relativo al documento : A8-0264/2018

Textos presentados :

A8-0264/2018

Debates :

PV 11/03/2019 - 19
CRE 11/03/2019 - 19

Votaciones :

PV 12/03/2019 - 9.17
Explicaciones de voto

Textos aprobados :

P8_TA(2019)0151

INFORME     ***I
PDF 1727kWORD 313k
30.7.2018
PE 619.373v03-00 A8-0264/2018

sobre la propuesta de Reglamento del Parlamento Europeo y del Consejo relativo a ENISA, la «Agencia de Ciberseguridad de la UE», y por el que se deroga el Reglamento (UE) n.º 526/2013, y relativo a la certificación de la ciberseguridad de las tecnologías de la información y la comunicación («Reglamento de Ciberseguridad»)

(COM(2017)0477 – C8-0310/2017 – 2017/0225(COD))

Comisión de Industria, Investigación y Energía

Ponente: Angelika Niebler

Ponente de opinión (*):

Nicola Danti, Comisión de Mercado Interior y Protección del Consumidor

(*) Comisión asociada – artículo 54 del Reglamento interno

ENMIENDAS
PROYECTO DE RESOLUCIÓN LEGISLATIVA DEL PARLAMENTO EUROPEO
 EXPOSICIÓN DE MOTIVOS
 OPINIÓN de la Comisión de Mercado Interior y Protección del Consumidor
 OPINIÓN de la Comisión de Presupuestos
 OPINIÓN de la Comisión de Libertades Civiles, Justicia y Asuntos de Interior
 PROCEDIMIENTO DE LA COMISIÓN COMPETENTE PARA EL FONDO
 VOTACIÓN FINAL NOMINALEN LA COMISIÓN COMPETENTE PARA EL FONDO

PROYECTO DE RESOLUCIÓN LEGISLATIVA DEL PARLAMENTO EUROPEO

sobre la propuesta de Reglamento del Parlamento Europeo y del Consejo relativo a ENISA, la «Agencia de Ciberseguridad de la UE», y por el que se deroga el Reglamento (UE) n.º 526/2013, y relativo a la certificación de la ciberseguridad de las tecnologías de la información y la comunicación («Reglamento de Ciberseguridad»)

(COM(2017)0477 – C8-0310/2017 – 2017/0225(COD))

(Procedimiento legislativo ordinario: primera lectura)

El Parlamento Europeo,

–  Vista la propuesta de la Comisión al Parlamento Europeo y al Consejo (COM(2017)0477),

–  Vistos el artículo 294, apartado 2, y el artículo 114 del Tratado de Funcionamiento de la Unión Europea, conforme a los cuales la Comisión le ha presentado su propuesta (C8-0310/2017),

–  Visto el artículo 294, apartado 3, del Tratado de Funcionamiento de la Unión Europea,

–  Visto el dictamen del Comité Económico y Social Europeo, de 14 de febrero de 2018(1),

–  Visto el artículo 59 de su Reglamento interno,

–   Visto el dictamen motivado presentado por el Senado francés, de conformidad con lo dispuesto en el Protocolo n.º 2 sobre la aplicación de los principios de subsidiariedad y proporcionalidad, en el que se afirma que el proyecto de acto legislativo no respeta el principio de subsidiariedad,

–  Vistos el informe de la Comisión de Industria, Investigación y Energía y las opiniones de la Comisión de Mercado Interior y Protección del Consumidor, de la Comisión de Presupuestos y de la Comisión de Libertades Civiles, Justicia y Asuntos de Interior (A8-0264/2018),

1.  Aprueba la Posición en primera lectura que figura a continuación;

2.  Pide a la Comisión que le consulte de nuevo si sustituye su propuesta, la modifica sustancialmente o se propone modificarla sustancialmente;

3.  Encarga a su presidente que transmita la Posición del Parlamento al Consejo y a la Comisión, así como a los Parlamentos nacionales.

Enmienda    1

Propuesta de Reglamento

Considerando 1

Texto de la Comisión

Enmienda

(1)  Las redes y los sistemas de información y las redes y servicios de telecomunicaciones desempeñan un papel vital para la sociedad y se han convertido en la espina dorsal del crecimiento económico. Las tecnologías de la información y la comunicación están en la base de los complejos sistemas que sustentan las actividades de la sociedad, garantizan el funcionamiento de nuestras economías en sectores clave como la salud, la energía, las finanzas y el transporte y, en particular, respaldan el funcionamiento del mercado interior.

(1)  Las redes y los sistemas de información y las redes y servicios de telecomunicaciones desempeñan un papel vital para la sociedad y se han convertido en la espina dorsal del crecimiento económico. Las tecnologías de la información y la comunicación (TIC) están en la base de los complejos sistemas que sustentan las actividades cotidianas de la sociedad, garantizan el funcionamiento de nuestras economías en sectores clave como la salud, la energía, las finanzas y el transporte y, en particular, respaldan el funcionamiento del mercado interior.

Enmienda    2

Propuesta de Reglamento

Considerando 2

Texto de la Comisión

Enmienda

(2)  La utilización de las redes y los sistemas de información por los ciudadanos, empresas y administraciones de toda la Unión está ya muy generalizada. La digitalización y la conectividad se convierten en elementos básicos en un número cada vez mayor de productos y servicios, y con la llegada de la internet de las cosas, se espera el despliegue en la UE de millones, si no miles de millones, de dispositivos digitales conectados durante la próxima década. Mientras aumenta el número de dispositivos conectados a internet, la seguridad y la resiliencia no se tienen suficientemente en cuenta desde el diseño, lo que provoca insuficiencias en la ciberseguridad. En este contexto, el uso limitado de la certificación priva a los usuarios individuales y las organizaciones de información suficiente sobre las características de ciberseguridad de los productos y servicios de TIC y socava la confianza en las soluciones digitales.

(2)  La utilización de las redes y los sistemas de información por los ciudadanos, empresas y administraciones de toda la Unión está ya muy generalizada. La digitalización y la conectividad se convierten en elementos básicos en un número cada vez mayor de productos y servicios, y con la llegada de la internet de las cosas, se espera el despliegue en la UE de millones, si no miles de millones, de dispositivos digitales conectados durante la próxima década. Mientras aumenta el número de dispositivos conectados a internet, la seguridad y la resiliencia no se tienen suficientemente en cuenta desde el diseño, lo que provoca insuficiencias en la ciberseguridad. En este contexto, el uso limitado de la certificación priva a los usuarios individuales y las organizaciones de información suficiente sobre las características de ciberseguridad de los productos, procesos y servicios de TIC y socava la confianza en las soluciones digitales. Esta aspiración es fundamental dentro del programa de reformas de la Comisión Europea encaminadas a alcanzar un mercado único digital, dado que las redes de TIC constituyen la columna vertebral de productos y servicios digitales que tienen el potencial de ayudarnos en todos los aspectos de nuestras vidas e impulsar el crecimiento económico de Europa. A fin de garantizar la plena consecución de los objetivos del mercado único digital, tienen que estar presentes los componentes tecnológicos fundamentales de los que dependen importantes sectores, como la sanidad electrónica, la internet de las cosas, la inteligencia artificial y la tecnología cuántica, así como los sistemas de transporte inteligentes y la fabricación avanzada.

Enmienda    3

Propuesta de Reglamento

Considerando 3

Texto de la Comisión

Enmienda

(3)  La intensificación de la digitalización y la conectividad dará lugar a un aumento de los riesgos en materia de ciberseguridad, con lo que la sociedad en general resultará más vulnerable a las ciberamenazas y se exacerbarán los peligros a que se enfrentan las personas, incluidas las personas vulnerables como los niños. A fin de atenuar este riesgo para la sociedad, es preciso adoptar las medidas necesarias para mejorar la ciberseguridad en la UE con vistas a proteger mejor de las ciberamenazas las redes y los sistemas de información, las redes de telecomunicaciones y los productos, servicios y dispositivos digitales utilizados por los ciudadanos, los gobiernos y las empresas, desde las pymes a los operadores de infraestructuras críticas.

(3)  La intensificación de la digitalización y la conectividad dará lugar a un aumento de los riesgos en materia de ciberseguridad, con lo que la sociedad en general resultará más vulnerable a las ciberamenazas y se exacerbarán los peligros a que se enfrentan las personas, incluidas las personas vulnerables como los niños. A fin de atenuar este riesgo para la sociedad, es preciso adoptar las medidas necesarias para mejorar la ciberseguridad en la UE con vistas a proteger mejor de las ciberamenazas las redes y los sistemas de información, las redes de telecomunicaciones y los productos, servicios y dispositivos digitales utilizados por los ciudadanos, los gobiernos y las empresas, desde las pymes a los operadores de infraestructuras críticas. A este respecto, el Plan de Acción de Educación Digital publicado por la Comisión Europea el 17 de enero de 2018 es un avance en la dirección correcta, en particular la campaña de sensibilización a nivel europeo orientada a los educadores, los padres y los alumnos para fomentar la seguridad en línea, la ciberhigiene y la alfabetización mediática, así como la iniciativa educativa de ciberseguridad basada en el Marco de Competencias Digitales para los Ciudadanos, con el fin de capacitar a la población para utilizar la tecnología con confianza y de manera responsable.

Enmienda    4

Propuesta de Reglamento

Considerando 3 bis (nuevo)

Texto de la Comisión

Enmienda

 

(3 bis)  Los objetivos y los cometidos de ENISA deben ajustarse en mayor medida a lo dispuesto en la Comunicación conjunta por lo que respecta a la promoción de la ciberhigiene y la ciberconcienciación. Para lograr la ciberresiliencia se han de aplicar los principios fundamentales de ciberhigiene.

Enmienda    5

Propuesta de Reglamento

Considerando 3 ter (nuevo)

Texto de la Comisión

Enmienda

 

(3 ter)  ENISA debe proporcionar un mayor apoyo práctico y basado en la información disponible a la industria de la ciberseguridad de la Unión, en especial a las pymes y las empresas emergentes, que son fuentes importantísimas de soluciones innovadoras en el ámbito de la ciberdefensa, y debe fomentar una cooperación más estrecha con las organizaciones universitarias de investigación y los actores relevantes, con miras a reducir la dependencia de los productos de ciberseguridad procedentes de fuentes externas y a crear una cadena de suministro estratégico dentro de la Unión.

Enmienda    6

Propuesta de Reglamento

Considerando 4

Texto de la Comisión

Enmienda

(4)  Los ciberataques van en aumento, y una economía y una sociedad conectadas, más vulnerables a las ciberamenazas y ciberataques, requieren unas defensas más sólidas. Sin embargo, mientras que los ciberataques a menudo son transfronterizos, las respuestas políticas de las autoridades de ciberseguridad y las competencias policiales son predominantemente nacionales. Los ciberincidentes a gran escala podrían perturbar la prestación de servicios esenciales en toda la UE. Esta situación requiere una respuesta y una gestión de crisis efectivas a nivel de la UE, basadas en políticas específicas y en instrumentos más amplios que propicien la solidaridad europea y la asistencia mutua. En consecuencia, también una evaluación periódica del estado de la ciberseguridad y la resiliencia en la Unión, basada en datos fiables, y una previsión sistemática de los futuros avances, retos y amenazas, tanto en la Unión como en el mundo, son importantes para los responsables políticos, la industria y los usuarios.

(4)  Los ciberataques van en aumento, y una economía y una sociedad conectadas, más vulnerables a las ciberamenazas y ciberataques, requieren unas defensas más sólidas y seguras. Sin embargo, mientras que los ciberataques a menudo son transfronterizos, las respuestas políticas de las autoridades de ciberseguridad y las competencias policiales son predominantemente nacionales. Los ciberincidentes a gran escala podrían perturbar la prestación de servicios esenciales en toda la UE. Esta situación requiere una respuesta y una gestión de crisis efectivas a nivel de la UE, basadas en políticas específicas y en instrumentos más amplios que propicien la solidaridad europea y la asistencia mutua. Las necesidades de formación en materia de ciberdefensa son considerables y van en aumento, y la manera más eficaz de satisfacerlas es cooperando a escala de la Unión. En consecuencia, también una evaluación periódica del estado de la ciberseguridad y la resiliencia en la Unión, basada en datos fiables, y una previsión sistemática de los futuros avances, retos y amenazas, tanto en la Unión como en el mundo, son importantes para los responsables políticos, la industria y los usuarios.

Enmienda    7

Propuesta de Reglamento

Considerando 5

Texto de la Comisión

Enmienda

(5)  A la luz de los crecientes retos que tiene planteados la Unión en materia de ciberseguridad, es necesario un conjunto completo de medidas que se apoye en actuaciones previas de la Unión y promueva objetivos que se refuercen mutuamente. Entre ellas se incluye la necesidad de aumentar las capacidades y la preparación de los Estados miembros y de las empresas, así como de mejorar la cooperación y la coordinación en los Estados miembros y las instituciones, órganos y organismos de la UE. Por otra parte, habida cuenta de la naturaleza transfronteriza de las ciberamenazas, es necesario aumentar las capacidades a nivel de la Unión que podrían complementar la acción de los Estados miembros, en particular en caso de ciberincidentes y crisis transfronterizas a gran escala. Son necesarios igualmente esfuerzos adicionales para aumentar la sensibilización de los ciudadanos y las empresas sobre las cuestiones de ciberseguridad. Además, debe reforzarse la confianza en el mercado único digital ofreciendo información transparente sobre el nivel de seguridad de los productos y servicios de TIC. Esto puede verse facilitado por una certificación a escala de la UE que aporte requisitos y criterios de evaluación de la ciberseguridad comunes en todos los mercados y sectores nacionales.

(5)  A la luz de los crecientes retos que tiene planteados la Unión en materia de ciberseguridad, es necesario un conjunto completo de medidas que se apoye en actuaciones previas de la Unión y promueva objetivos que se refuercen mutuamente. Entre ellas se incluye la necesidad de aumentar las capacidades y la preparación de los Estados miembros y de las empresas, así como de mejorar la cooperación, la coordinación y el intercambio de información entre los Estados miembros y las instituciones, órganos y organismos de la UE. Por otra parte, habida cuenta de la naturaleza transfronteriza de las ciberamenazas, es necesario aumentar las capacidades a nivel de la Unión que podrían complementar la acción de los Estados miembros, en particular en caso de ciberincidentes y crisis transfronterizas a gran escala, al tiempo que se ha de subrayar la importancia de mantener y seguir mejorando las capacidades nacionales para responder a ciberamenazas de todas las escalas. Son necesarios igualmente esfuerzos adicionales para dar una respuesta coordinada a escala de la Unión y aumentar la sensibilización de los ciudadanos y las empresas sobre las cuestiones de ciberseguridad. Además, dado que los ciberincidentes merman la confianza en los proveedores de servicios digitales y en el propio mercado único digital, en especial entre los consumidores, debe reforzarse la confianza ofreciendo información transparente sobre el nivel de seguridad de los productos, procesos y servicios de TIC, subrayando que incluso un elevado nivel de certificación de la ciberseguridad no puede garantizar que un producto o servicio de TIC sea completamente seguro. Esto puede verse facilitado por una certificación a escala de la Unión que aporte requisitos y criterios de evaluación de la ciberseguridad comunes en todos los mercados y sectores nacionales, así como por la promoción de la alfabetización cibernética. Además de la certificación a escala de la Unión y habida cuenta de la creciente disponibilidad de dispositivos de la internet de las cosas, existe una serie de medidas voluntarias que el sector privado debe adoptar para reforzar la confianza en la seguridad de los productos, procesos y servicios de TIC, como las tecnologías de cifrado y de cadena de bloques. Los retos a los que hay que hacer frente deben quedar reflejados proporcionalmente en el presupuesto asignado a la Agencia, con el fin de garantizar su óptimo funcionamiento en las circunstancias actuales.

Enmienda    8

Propuesta de Reglamento

Considerando 5 bis (nuevo)

Texto de la Comisión

Enmienda

 

(5 bis)  Con el fin de reforzar las estructuras europeas de seguridad y ciberdefensa, es importante mantener y desarrollar las capacidades de los Estados miembros para responder globalmente a las ciberamenazas, incluidos los incidentes transfronterizos, mientras que la coordinación ofrecida por la Agencia a escala de la Unión no debe mermar las capacidades o esfuerzos de los Estados miembros.

Enmienda    9

Propuesta de Reglamento

Considerando 5 ter (nuevo)

Texto de la Comisión

Enmienda

 

(5 ter)  Las empresas y los consumidores particulares deben recibir información precisa sobre el nivel de seguridad de sus productos de TIC, pero también es necesario que comprendan que ningún producto es ciberseguro y que hay que promover y priorizar normas básicas de ciberhigiene.

Enmienda    10

Propuesta de Reglamento

Considerando 7

Texto de la Comisión

Enmienda

(7)  La Unión ha adoptado ya medidas importantes para garantizar la ciberseguridad y aumentar la confianza en las tecnologías digitales. En 2013, se adoptó una Estrategia de ciberseguridad de la UE para orientar la respuesta política de la Unión a las amenazas y riesgos relacionados con la ciberseguridad. En su esfuerzo por proteger mejor a los europeos en línea, la Unión adoptó en 2016 el primer acto legislativo en el ámbito de la ciberseguridad, la Directiva (UE) 2016/1148 relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión (en lo sucesivo, «Directiva SRI»). La Directiva SRI instauró requisitos relativos a las capacidades nacionales en el ámbito de la ciberseguridad, estableció los primeros mecanismos para mejorar la cooperación estratégica y operativa entre los Estados miembros e introdujo obligaciones relativas a medidas de seguridad y notificaciones de incidentes en todos los sectores fundamentales para la economía y la sociedad, como la energía, los transportes, el agua, la banca, las infraestructuras de los mercados financieros, la sanidad, las infraestructuras digitales, así como los proveedores de servicios digitales clave (motores de búsqueda, servicios de computación en la nube y mercados en línea). Se atribuyó un papel clave a ENISA para respaldar la aplicación de esta Directiva. Además, una lucha eficaz contra la ciberdelincuencia constituye una prioridad importante de la Agenda Europea de Seguridad, contribuyendo al objetivo general de conseguir un elevado nivel de ciberseguridad.

(7)  La Unión ha adoptado ya medidas importantes para garantizar la ciberseguridad y aumentar la confianza en las tecnologías digitales. En 2013, se adoptó una Estrategia de ciberseguridad de la UE para orientar la respuesta política de la Unión a las amenazas y riesgos relacionados con la ciberseguridad. En su esfuerzo por proteger mejor a los europeos en línea, la Unión adoptó en 2016 el primer acto legislativo en el ámbito de la ciberseguridad, la Directiva (UE) 2016/1148 relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión (en lo sucesivo, «Directiva SRI»). La Directiva SRI, cuyo éxito depende en gran medida de su aplicación efectiva por los Estados miembros, lleva a la práctica la Estrategia para el Mercado Único Digital y, junto con otros instrumentos como la Directiva por la que se establece el Código Europeo de las Comunicaciones Electrónicas, el Reglamento (UE) 2016/679 y la Directiva 2002/58/CE, instauró requisitos relativos a las capacidades nacionales en el ámbito de la ciberseguridad, estableció los primeros mecanismos para mejorar la cooperación estratégica y operativa entre los Estados miembros e introdujo obligaciones relativas a medidas de seguridad y notificaciones de incidentes en todos los sectores fundamentales para la economía y la sociedad, como la energía, los transportes, el agua, la banca, las infraestructuras de los mercados financieros, la sanidad, las infraestructuras digitales, así como los proveedores de servicios digitales clave (motores de búsqueda, servicios de computación en la nube y mercados en línea). Se atribuyó un papel clave a ENISA para respaldar la aplicación de esta Directiva. Además, una lucha eficaz contra la ciberdelincuencia constituye una prioridad importante de la Agenda Europea de Seguridad, contribuyendo al objetivo general de conseguir un elevado nivel de ciberseguridad.

Enmienda    11

Propuesta de Reglamento

Considerando 8

Texto de la Comisión

Enmienda

(8)  Se reconoce que, desde la adopción de la Estrategia de ciberseguridad de la UE de 2013 y la última revisión del mandato de la Agencia, el contexto político general ha cambiado considerablemente, en particular en relación con un contexto mundial más incierto y menos seguro. En este contexto, y en el marco de la nueva política de ciberseguridad de la Unión, es necesario revisar el mandato de ENISA para definir su función en el ecosistema en mutación de la ciberseguridad y garantizar que contribuya eficazmente a configurar la respuesta de la Unión a los desafíos derivados de esta transformación radical del panorama de las amenazas, para lo cual no basta, como reconoció la evaluación de la Agencia, el actual mandato.

(8)  Se reconoce que, desde la adopción de la Estrategia de ciberseguridad de la UE de 2013 y la última revisión del mandato de la Agencia, el contexto político general ha cambiado considerablemente, en particular en relación con un contexto mundial más incierto y menos seguro. En este contexto y teniendo en cuenta la positiva contribución de la Agencia a lo largo de los años al intercambio de conocimientos técnicos, a la coordinación y al desarrollo de capacidades, y en el marco de la nueva política de ciberseguridad de la Unión, es necesario revisar el mandato de ENISA para definir su función en el ecosistema en mutación de la ciberseguridad y garantizar que contribuya eficazmente a configurar la respuesta de la Unión a los desafíos derivados de esta transformación radical del panorama de las amenazas, para lo cual no basta, como reconoció la evaluación de la Agencia, el actual mandato.

Enmienda    12

Propuesta de Reglamento

Considerando 11

Texto de la Comisión

Enmienda

(11)  En vista de los crecientes retos en materia de ciberseguridad a que se enfrenta la Unión, deben incrementarse los recursos financieros y humanos asignados a la Agencia, en consonancia con la ampliación de sus cometidos y tareas, así como su posición crítica en el ecosistema de organizaciones que defienden el ecosistema digital europeo.

(11)  En vista de los crecientes retos y amenazas en materia de ciberseguridad a que se enfrenta la Unión, deben incrementarse los recursos financieros y humanos asignados a la Agencia, en consonancia con la ampliación de sus cometidos y tareas, así como su posición crítica en el ecosistema de organizaciones que defienden el ecosistema digital europeo, a fin de permitir que ENISA pueda desempeñar eficazmente los cometidos que le encomienda el presente Reglamento.

Enmienda    13

Propuesta de Reglamento

Considerando 12

Texto de la Comisión

Enmienda

(12)  La Agencia debe desarrollar y mantener un elevado nivel de conocimientos técnicos y actuar como punto de referencia que genere confianza en el mercado único en virtud de su independencia, la calidad del asesoramiento prestado y la información difundida, la transparencia de sus procedimientos y métodos de funcionamiento y su diligencia en el desempeño de sus tareas. La Agencia debe contribuir proactivamente a los esfuerzos nacionales y de la Unión y desempeñar sus funciones cooperando plenamente con las instituciones, órganos y organismos de la Unión y los Estados miembros. Además, la Agencia debe apoyarse en las aportaciones del sector privado y en la cooperación con el mismo, así como con otras partes interesadas pertinentes. Debe existir un conjunto de funciones que establezca cómo debe alcanzar la Agencia sus objetivos, pero permita cierta flexibilidad en su funcionamiento.

(12)  La Agencia debe desarrollar y mantener un elevado nivel de conocimientos técnicos y actuar como punto de referencia que genere confianza en el mercado único en virtud de su independencia, la calidad del asesoramiento prestado y la información difundida, la transparencia de sus procedimientos y métodos de funcionamiento y su diligencia en el desempeño de sus tareas. La Agencia debe contribuir proactivamente a los esfuerzos nacionales y de la Unión y desempeñar sus funciones cooperando plenamente con las instituciones, órganos y organismos de la Unión y los Estados miembros, evitando la duplicación del trabajo y promoviendo las sinergias y la complementariedad para lograr de este modo una mayor coordinación y ahorros presupuestarios. Además, la Agencia debe apoyarse en las aportaciones de los sectores privado y público y en la cooperación con estos, así como con otras partes interesadas pertinentes. Debe definirse con claridad una agenda precisa y un conjunto de funciones y objetivos que establezcan cómo debe la Agencia alcanzar sus objetivos, prestando la debida atención a la flexibilidad de su funcionamiento. Siempre que sea posible, debe mantenerse el mayor grado de transparencia y de difusión de la información.

Enmienda    14

Propuesta de Reglamento

Considerando 12 bis (nuevo)

Texto de la Comisión

Enmienda

 

(12 bis)  El papel de la Agencia debe estar sujeto a una evaluación continua y a una revisión oportuna, en particular su función de coordinación frente a los Estados miembros y sus autoridades nacionales, así como la posibilidad de actuar como ventanilla única para los Estados miembros y los organismos e instituciones de la Unión. También debe evaluarse el papel de la Agencia a la hora de evitar la fragmentación del mercado interior y la posible introducción de regímenes obligatorios de certificación de la ciberseguridad, en caso de que la evolución futura requiera este cambio, así como su función en la evaluación de los productos de terceros países que entren en el mercado de la Unión y la posible elaboración de listas negras de empresas que no cumplan los criterios de la Unión.

Enmienda    15

Propuesta de Reglamento

Considerando 12 ter (nuevo)

Texto de la Comisión

Enmienda

 

(12 ter)  Para poder prestar un apoyo adecuado a la cooperación operativa con los Estados miembros, ENISA debe reforzar sus propias capacidades técnicas y conocimientos técnicos. Con este fin, la Agencia debe reforzar progresivamente el personal que dedica a esta labor con el fin de poder recoger y analizar de manera autónoma diferentes tipos de un amplio espectro de amenazas y programas maliciosos, realizar análisis forenses y ayudar a los Estados miembros en la respuesta a incidentes a gran escala. A fin de evitar toda duplicación de las capacidades existentes en los Estados miembros, ENISA debe aumentar sus conocimientos técnicos y sus capacidades sobre la base de los recursos que ya existen en los Estados miembros, en particular mediante la presencia en la Agencia de expertos nacionales en comisión de servicios, la creación de contingentes de expertos, los programas de intercambio de personal, etc. Al seleccionar al personal responsable de este ámbito, la Agencia debe garantizar progresivamente que dicho personal cumpla los criterios oportunos para prestar un apoyo adecuado.

Enmienda    16

Propuesta de Reglamento

Considerando 13

Texto de la Comisión

Enmienda

(13)  La Agencia debe prestar asistencia a la Comisión mediante asesoramiento, dictámenes y análisis en todos los asuntos de la Unión relacionados con la formulación de políticas y disposiciones legislativas, actualizaciones y revisiones en el ámbito de la ciberseguridad, con inclusión de la protección de infraestructuras críticas y la ciberresiliencia. La Agencia debe actuar como punto de referencia de asesoramiento y conocimientos para la política y las iniciativas legislativas sectoriales de la Unión, cuando intervengan cuestiones relacionadas con la ciberseguridad.

(13)  La Agencia debe prestar asistencia a la Comisión mediante asesoramiento, dictámenes y análisis en todos los asuntos de la Unión relacionados con la formulación de políticas y disposiciones legislativas, actualizaciones y revisiones en el ámbito de la ciberseguridad, con inclusión de la protección de infraestructuras críticas y la ciberresiliencia. La Agencia debe actuar como punto de referencia de asesoramiento y conocimientos para la política y las iniciativas legislativas sectoriales de la Unión, cuando intervengan cuestiones relacionadas con la ciberseguridad. Sus conocimientos técnicos resultarán especialmente necesarios durante la elaboración del programa de trabajo plurianual de la Unión para los regímenes europeos de certificación de la ciberseguridad. La Agencia debe facilitar periódicamente al Parlamento información actualizada, análisis y revisiones sobre la evolución de sus cometidos y sobre ciberseguridad.

Enmienda    17

Propuesta de Reglamento

Considerando 14

Texto de la Comisión

Enmienda

(14)  El cometido subyacente de la Agencia es promover la aplicación coherente del marco jurídico pertinente, en particular la aplicación efectiva de la Directiva SRI, que es esencial para aumentar la ciberresiliencia. Habida cuenta de la constante evolución de las amenazas para la ciberseguridad, es evidente que los Estados miembros deben estar respaldados por un enfoque más global y transversal en lo que se refiere a la creación de ciberresiliencia.

(14)  El cometido subyacente de la Agencia es promover la aplicación coherente del marco jurídico pertinente, en particular la aplicación efectiva de la Directiva SRI, la Directiva por la que se establece el Código Europeo de las Comunicaciones Electrónicas, el Reglamento (UE) 2016/679 y la Directiva 2002/58/CE, que son esenciales para aumentar la ciberresiliencia. Habida cuenta de la constante evolución de las amenazas para la ciberseguridad, es evidente que los Estados miembros deben estar respaldados por un enfoque más global y transversal en lo que se refiere a la creación de ciberresiliencia.

Enmienda    18

Propuesta de Reglamento

Considerando 15

Texto de la Comisión

Enmienda

(15)  La Agencia debe asistir a los Estados miembros y a las instituciones, órganos y organismos de la Unión en sus esfuerzos por conformar y mejorar su capacidad y preparación para prevenir, detectar y dar respuesta a los problemas e incidentes de ciberseguridad, así como en relación con la seguridad de las redes y los sistemas de información. En particular, la Agencia debe prestar apoyo al desarrollo y potenciación de los CSIRT nacionales, con vistas a que alcancen un elevado nivel común de madurez en la Unión. La Agencia debe también prestar asistencia en la elaboración y actualización de las estrategias de los Estados miembros y de la Unión en materia de seguridad de las redes y los sistemas de información, y en particular de ciberseguridad, promover su difusión y hacer un seguimiento de los avances en su aplicación. La Agencia debe ofrecer asimismo cursos y material de formación a los organismos públicos y, cuando proceda, «formar formadores» con el fin de ayudar a los Estados miembros a desarrollar sus propias capacidades de formación.

(15)  La Agencia debe asistir a los Estados miembros y a las instituciones, órganos y organismos de la Unión en sus esfuerzos por conformar y mejorar su capacidad y preparación para prevenir, detectar y dar respuesta a los problemas e incidentes de ciberseguridad, así como en relación con la seguridad de las redes y los sistemas de información. En particular, la Agencia debe prestar apoyo al desarrollo y potenciación de los CSIRT nacionales, con vistas a que alcancen un elevado nivel común de madurez en la Unión. La Agencia debe también prestar asistencia en la elaboración y actualización de las estrategias de los Estados miembros y de la Unión en materia de seguridad de las redes y los sistemas de información, y en particular de ciberseguridad, promover su difusión y hacer un seguimiento de los avances en su aplicación. Dado que los errores humanos son uno de los riesgos más importantes para la ciberseguridad, la Agencia debe ofrecer asimismo cursos y material de formación a los organismos públicos y, en la medida de lo posible, «formar formadores» con el fin de ayudar a los Estados miembros y a las instituciones y organismos de la Unión a desarrollar sus propias capacidades de formación. La Agencia también ha de servir de punto de contacto para los Estados miembros y las instituciones de la Unión, que deben poder solicitar su ayuda en el marco de las competencias y funciones que se le han encomendado.

Enmienda    19

Propuesta de Reglamento

Considerando 18

Texto de la Comisión

Enmienda

(18)  La Agencia debe agregar y analizar los informes nacionales de los CSIRT y el CERT-UE y establecer unas normas, un lenguaje y una terminología comunes para el intercambio de información. Debe también fomentar la participación del sector privado, en el marco de la Directiva SRI, que estableció las bases para el intercambio voluntario de información técnica a nivel operativo con la creación de la red de CSIRT.

(18)  La Agencia debe agregar y analizar los informes nacionales de los CSIRT y el CERT-UE y establecer unas normas, un lenguaje y una terminología comunes para el intercambio de información. Debe también fomentar la participación de los sectores privado y público, en el marco de la Directiva SRI, que estableció las bases para el intercambio voluntario de información técnica a nivel operativo con la creación de la red de CSIRT.

Enmienda    20

Propuesta de Reglamento

Considerando 19

Texto de la Comisión

Enmienda

(19)  La Agencia debe contribuir a aportar una respuesta a nivel de la UE en caso de incidentes y crisis de ciberseguridad transfronterizos a gran escala. Esta función debe incluir la recogida de información pertinente y el desempeño del papel de mediador entre la red de CSIRT y la comunidad técnica, así como los responsables políticos de gestionar la crisis. Por otra parte, la Agencia podría apoyar la gestión de incidentes desde una perspectiva técnica facilitando el intercambio de soluciones técnicas pertinentes entre los Estados miembros y aportando información a las comunicaciones públicas. La Agencia debe apoyar el proceso ensayando modalidades de esta cooperación a través de ejercicios anuales de ciberseguridad.

(19)  La Agencia debe contribuir a aportar una respuesta a nivel de la UE en caso de incidentes y crisis de ciberseguridad transfronterizos a gran escala. Esta función debe incluir la convocatoria de las autoridades de los Estados miembros y labores de asistencia a fin de coordinar su respuesta, la recogida de información pertinente y el desempeño del papel de mediador entre la red de CSIRT y la comunidad técnica, así como los responsables políticos de gestionar la crisis. Por otra parte, la Agencia podría apoyar la gestión de incidentes desde una perspectiva técnica facilitando, por ejemplo, el intercambio de soluciones técnicas pertinentes entre los Estados miembros y aportando información a las comunicaciones públicas. La Agencia debe apoyar el proceso ensayando modalidades de esta cooperación a través de ejercicios anuales de ciberseguridad. También debe respetar las competencias de los Estados miembros en materia de ciberseguridad, en particular las relacionadas con la seguridad pública, la defensa, la seguridad nacional y las actividades del Estado en ámbitos del Derecho penal.

Enmienda    21

Propuesta de Reglamento

Considerando 25

Texto de la Comisión

Enmienda

(25)  Los Estados miembros podrán invitar a las empresas afectadas por el incidente a colaborar facilitando a la Agencia toda la información y asistencia necesarias, sin perjuicio de su derecho a proteger la información sensible desde el punto de vista comercial.

(25)  Los Estados miembros podrán invitar a las empresas afectadas por el incidente a colaborar facilitando a la Agencia toda la información y asistencia necesarias, sin perjuicio de su derecho a proteger la información sensible desde el punto de vista comercial o que afecte a la seguridad pública.

Enmienda    22

Propuesta de Reglamento

Considerando 26

Texto de la Comisión

Enmienda

(26)  Para comprender mejor los retos en el campo de la ciberseguridad, y con el fin de facilitar asesoramiento estratégico a largo plazo a los Estados miembros y las instituciones de la Unión, la Agencia necesita analizar los riesgos actuales y emergentes. A tal efecto, la Agencia, en cooperación con los Estados miembros y, si procede, con los organismos estadísticos o de otro tipo, debe recopilar la información pertinente y llevar a cabo análisis de las tecnologías emergentes y proporcionar evaluaciones temáticas sobre los efectos jurídicos, económicos, sociales y reglamentarios que se esperan de las innovaciones tecnológicas sobre la seguridad de las redes y de la información, en particular la ciberseguridad. Además, la Agencia debe apoyar a los Estados miembros y a las instituciones, órganos y organismos de la Unión a la hora de detectar nuevas tendencias y prevenir los problemas relacionados con la ciberseguridad, mediante la realización de análisis de amenazas e incidentes.

(26)  Para comprender mejor los retos en el campo de la ciberseguridad, y con el fin de facilitar asesoramiento estratégico a largo plazo a los Estados miembros y las instituciones de la Unión, la Agencia necesita analizar los riesgos, incidentes, amenazas y vulnerabilidades actuales y emergentes. A tal efecto, la Agencia, en cooperación con los Estados miembros y, si procede, con los organismos estadísticos o de otro tipo, debe recopilar la información pertinente y llevar a cabo análisis de las tecnologías emergentes y proporcionar evaluaciones temáticas sobre los efectos jurídicos, económicos, sociales y reglamentarios que se esperan de las innovaciones tecnológicas sobre la seguridad de las redes y de la información, en particular la ciberseguridad. Además, la Agencia debe apoyar a los Estados miembros y a las instituciones, órganos y organismos de la Unión a la hora de detectar nuevas tendencias y prevenir los problemas relacionados con la ciberseguridad, mediante la realización de análisis de amenazas, incidentes y vulnerabilidades.

Enmienda    23

Propuesta de Reglamento

Considerando 27

Texto de la Comisión

Enmienda

(27)  Con el fin de aumentar la resiliencia de la Unión, la Agencia debe desarrollar la excelencia en el ámbito de la seguridad de la infraestructura de internet y de las infraestructuras críticas, ofreciendo asesoramiento, directrices y mejores prácticas. Con el fin de facilitar el acceso a una información mejor estructurada sobre los riesgos para la ciberseguridad y las posibles soluciones, la Agencia debe crear y mantener la «plataforma de información» de la Unión, un portal único con información sobre ciberseguridad para los ciudadanos procedente de las instituciones, órganos y organismos nacionales y de la UE.

(27)  Con el fin de aumentar la resiliencia de la Unión, la Agencia debe desarrollar la excelencia en el ámbito de la seguridad de la infraestructura de internet y de las infraestructuras críticas, ofreciendo asesoramiento, directrices y mejores prácticas. Con el fin de facilitar el acceso a una información mejor estructurada sobre los riesgos para la ciberseguridad y las posibles soluciones, la Agencia debe crear y mantener la «plataforma de información» de la Unión, un portal único con información sobre ciberseguridad para los ciudadanos procedente de las instituciones, órganos y organismos nacionales y de la UE. Facilitar el acceso a una información mejor estructurada sobre los riesgos para la ciberseguridad y las posibles soluciones deberá ayudar a los Estados miembros a consolidar sus capacidades, a alinear sus prácticas y, por ende, a mejorar su resiliencia general frente a los ciberataques.

Enmienda    24

Propuesta de Reglamento

Considerando 28

Texto de la Comisión

Enmienda

(28)  La Agencia debe contribuir a la sensibilización del público sobre los riesgos para la ciberseguridad y facilitar orientaciones sobre buenas prácticas para usuarios individuales dirigidas a ciudadanos y organizaciones. Debe contribuir asimismo a promover las mejores prácticas y soluciones a nivel de personas y organizaciones mediante la recogida y análisis de la información disponible públicamente relativa a incidentes significativos y la elaboración de informes con vistas a ofrecer orientaciones a empresas y ciudadanos y mejorar el nivel general de preparación y resiliencia. La Agencia debe además, en colaboración con los Estados miembros y las instituciones, órganos y organismos de la Unión, organizar campañas sistemáticas de comunicación y educación pública destinadas a los usuarios finales, con miras a promover comportamientos individuales en línea más seguros y a concienciar sobre las amenazas potenciales en el ciberespacio, incluyendo ciberdelitos como los ataques por suplantación de identidad (phishing), las redes infectadas (botnets) o los fraudes bancarios y financieros, así como dar consejos básicos en materia de autenticación y protección de datos. La Agencia debe desempeñar un papel central para acelerar la sensibilización de los usuarios finales con respecto a la seguridad de los dispositivos.

(28)  La Agencia debe contribuir a la sensibilización del público, también mediante la promoción de la educación, sobre los riesgos para la ciberseguridad y facilitar orientaciones sobre buenas prácticas para usuarios individuales dirigidas a ciudadanos, organizaciones y empresas. Debe contribuir asimismo a promover, en materia de ciberhigiene, las mejores prácticas, incluido un conjunto de prácticas que hayan de implementarse y llevarse a cabo con regularidad para proteger a los usuarios y las empresas en línea, y soluciones a nivel de personas, organizaciones y empresas mediante la recogida y análisis de la información disponible públicamente relativa a incidentes significativos y la elaboración y publicación de informes y guías con vistas a ofrecer orientaciones a empresas y ciudadanos y mejorar el nivel general de preparación y resiliencia. ENISA también debe trabajar para proporcionar a los consumidores información pertinente acerca de los regímenes de certificación aplicables, por ejemplo, ofreciendo orientaciones y recomendaciones a los mercados, tanto en línea como fuera de línea. La Agencia debe además, en consonancia con el Plan de Acción de Educación Digital y en colaboración con los Estados miembros y las instituciones, órganos y organismos de la Unión, organizar campañas sistemáticas de comunicación y educación pública destinadas a los usuarios finales, con miras a promover comportamientos individuales en línea más seguros y la alfabetización digital y a concienciar sobre las amenazas potenciales en el ciberespacio, incluyendo ciberdelitos como los ataques por suplantación de identidad (phishing), las redes infectadas (botnets) o los fraudes bancarios y financieros, así como dar consejos básicos en materia de autenticación multifactor, parches, cifrado, anonimización y protección de datos. La Agencia debe desempeñar un papel central para acelerar la sensibilización de los usuarios finales con respecto a la seguridad de los dispositivos y el uso seguro de los servicios, divulgando a nivel de la Unión la seguridad desde el diseño, la protección de la intimidad desde el diseño y los incidentes y sus soluciones. Para lograr este objetivo, la Agencia debe aprovechar al máximo las mejores prácticas y experiencias existentes, en especial las de las instituciones académicas y de los investigadores en materia de seguridad informática. Dado que los errores individuales y el desconocimiento de los riesgos para la ciberseguridad constituyen uno de los principales factores de incertidumbre por lo que respecta a la ciberseguridad, debe dotarse a la Agencia de los recursos adecuados para que desempeñe esta función en la mayor medida posible.

Enmienda    25

Propuesta de Reglamento

Considerando 28 bis (nuevo)

Texto de la Comisión

Enmienda

 

(28 bis)  La Agencia debe concienciar al público acerca de los riesgos de los incidentes de fraude y robo en materia de datos que puedan afectar gravemente a los derechos fundamentales de las personas, amenazar el Estado de Derecho y poner en riesgo la estabilidad de las sociedades democráticas, incluidos los procesos democráticos en los Estados miembros.

Enmienda    26

Propuesta de Reglamento

Considerando 30

Texto de la Comisión

Enmienda

(30)  Para asegurar que cumple plenamente sus objetivos, la Agencia debe permanecer en contacto con las instituciones, órganos y organismos pertinentes, incluidos el CERT-UE, el Centro Europeo de Ciberdelincuencia (EC3) de Europol, la Agencia Europea de Defensa (AED), la Agencia europea para la gestión operativa de los sistemas informáticos de gran magnitud (eu-LISA), la Agencia Europea de Seguridad Aérea (EASA) y cualquier otro órgano de la UE relacionado con la ciberseguridad. También debe mantener contactos con las autoridades encargadas de la protección de datos a fin de intercambiar conocimientos y mejores prácticas y facilitar asesoramiento sobre los aspectos de la ciberseguridad que podrían repercutir en su trabajo. Los representantes de las autoridades nacionales y de la Unión encargadas de hacer cumplir la ley y proteger los datos deben poder estar representados en el Grupo Permanente de Partes Interesadas de la Agencia. En sus relaciones con los organismos encargados de hacer cumplir la ley sobre aspectos relacionados con la seguridad de las redes y de la información que puedan tener repercusiones en el trabajo de dichos organismos, la Agencia debe respetar los canales de información y las redes existentes.

(30)  Para asegurar que cumple plenamente sus objetivos, la Agencia debe permanecer en contacto con las instituciones, las autoridades de supervisión y otras autoridades competentes de la Unión, los órganos y organismos pertinentes, incluidos el CERT-UE, el Centro Europeo de Ciberdelincuencia (EC3) de Europol, la Agencia Europea de Defensa (AED), la Agencia del GNSS Europeo (GSA), el Organismo de Reguladores Europeos de las Comunicaciones Electrónicas (ORECE), la Agencia europea para la gestión operativa de los sistemas informáticos de gran magnitud (eu-LISA), el Banco Central Europeo (BCE), la Autoridad Bancaria Europea (ABE), el Comité Europeo de Protección de Datos, la Agencia Europea de Seguridad Aérea (EASA) y cualquier otro órgano de la UE relacionado con la ciberseguridad. También debe mantener contactos con las organizaciones europeas de normalización, las partes interesadas pertinentes y las autoridades encargadas de la protección de datos, a fin de intercambiar conocimientos y mejores prácticas y facilitar asesoramiento sobre los aspectos de la ciberseguridad que podrían repercutir en su trabajo. Los representantes de las autoridades nacionales y de la Unión encargadas de hacer cumplir la ley y proteger los datos deben poder estar representados en el Grupo Consultivo de ENISA. En sus relaciones con los organismos encargados de hacer cumplir la ley sobre aspectos relacionados con la seguridad de las redes y de la información que puedan tener repercusiones en el trabajo de dichos organismos, la Agencia debe respetar los canales de información y las redes existentes. Deben establecerse asociaciones con instituciones académicas que desarrollen iniciativas de investigación en los ámbitos pertinentes, mientras que las aportaciones de las organizaciones de consumidores y otras organizaciones deben contar con cauces apropiados y analizarse en todos los casos.

Enmienda    27

Propuesta de Reglamento

Considerando 31

Texto de la Comisión

Enmienda

(31)  La Agencia, como miembro de la red de CSIRT que además se encarga de su secretaría, debe prestar apoyo a los CSIRT de los Estados miembros y al CERT-UE en la cooperación operativa relativa a todas las tareas pertinentes de la red de CSIRT, tal como se definen en la Directiva SRI. Además, la Agencia debe promover y apoyar la cooperación entre los CSIRT pertinentes en caso de incidentes, ataques o perturbaciones en las redes o infraestructuras gestionadas o protegidas por los CSIRT y que impliquen o puedan implicar al menos a dos CERT, teniendo siempre debidamente en cuenta los procedimientos operativos estándar de la red de CSIRT.

(31)  La Agencia, como miembro de la red de CSIRT que además se encarga de su secretaría, debe prestar apoyo a los CSIRT de los Estados miembros y al CERT-UE en la cooperación operativa relativa a todas las tareas pertinentes de la red de CSIRT, tal como se definen en la Directiva SRI. Además, la Agencia debe promover y apoyar la cooperación entre los CSIRT pertinentes en caso de incidentes, ataques o perturbaciones en las redes o infraestructuras gestionadas o protegidas por los CSIRT y que impliquen o puedan implicar al menos a dos CERT, teniendo siempre debidamente en cuenta los procedimientos operativos estándar de la red de CSIRT. La Agencia puede llevar a cabo, cuando así lo solicite la Comisión o un Estado miembro, auditorías periódicas de la seguridad informática de infraestructuras transfronterizas críticas al objeto de detectar posibles riesgos para la ciberseguridad y con vistas a elaborar recomendaciones para el refuerzo de su resiliencia.

Enmienda    28

Propuesta de Reglamento

Considerando 33

Texto de la Comisión

Enmienda

(33)  La Agencia debe desarrollar y mantener sus conocimientos técnicos en materia de certificación de la ciberseguridad con vistas a respaldar la política de la Unión en este ámbito. Debe igualmente promover la asimilación de la certificación de la ciberseguridad en la Unión, en particular contribuyendo a la creación y mantenimiento de un marco de certificación de la ciberseguridad a nivel de la Unión, con el fin de aumentar la transparencia de la garantía de ciberseguridad de los productos y servicios de TIC y reforzar así la confianza en el mercado interior digital.

(33)  La Agencia debe desarrollar y mantener sus conocimientos técnicos en materia de certificación de la ciberseguridad con vistas a respaldar la política de la Unión en este ámbito. Debe igualmente aprovechar las buenas prácticas existentes y promover la asimilación de la certificación de la ciberseguridad en la Unión, en particular contribuyendo a la creación y mantenimiento de un marco de certificación de la ciberseguridad a nivel de la Unión, con el fin de aumentar la transparencia de la garantía de ciberseguridad de los productos y servicios de TIC y reforzar así la confianza en el mercado interior digital.

Enmienda    29

Propuesta de Reglamento

Considerando 35

Texto de la Comisión

Enmienda

(35)  La Agencia debe alentar a los Estados miembros y a los proveedores de servicios a aumentar sus niveles generales de seguridad, a fin de que todos los usuarios de internet puedan tomar las medidas necesarias para garantizar su propia ciberseguridad personal. En particular, los prestadores de servicios y los fabricantes de productos deben retirar o reciclar los productos y servicios que no cumplan las normas de ciberseguridad. En cooperación con las autoridades competentes, ENISA podrá difundir información relativa al nivel de ciberseguridad de los productos y servicios ofrecidos en el mercado interior, y emitir advertencias dirigidas a los proveedores y los fabricantes solicitándoles que mejoren la seguridad, incluida la ciberseguridad, de sus productos y servicios.

(35)  La Agencia debe alentar a los Estados miembros, a los fabricantes y a los proveedores de servicios a aumentar los niveles generales de seguridad de sus productos, procesos, servicios y sistemas de TIC que deben cumplir las obligaciones básicas de seguridad en consonancia con el principio de seguridad desde el diseño y por defecto, en particular proporcionándoles la información actualizada necesaria, a fin de garantizar e incentivar que todos los usuarios de internet puedan tomar las medidas necesarias para garantizar su propia ciberseguridad personal. En particular, los proveedores de servicios y los fabricantes de productos deben recuperar, retirar o reciclar los productos y servicios que no cumplan las obligaciones básicas de ciberseguridad, mientras que los importadores y distribuidores deben asegurarse de que los productos, procesos, servicios y sistemas de TIC que introduzcan en el mercado de la Unión cumplen los requisitos aplicables y no suponen un riesgo para los consumidores europeos. En cooperación con las autoridades competentes, ENISA podrá difundir información relativa al nivel de ciberseguridad de los productos y servicios ofrecidos en el mercado interior, y emitir advertencias dirigidas a los proveedores y los fabricantes solicitándoles que mejoren la seguridad, incluida la ciberseguridad, de sus productos, procesos, servicios y sistemas. La Agencia debe trabajar en colaboración con las partes interesadas para desarrollar un enfoque de la Unión en relación con la divulgación responsable de vulnerabilidades y debe promover las mejores prácticas en este ámbito.

Enmienda    30

Propuesta de Reglamento

Considerando 36

Texto de la Comisión

Enmienda

(36)  La Agencia debe tener plenamente en cuenta las actividades en curso de investigación, desarrollo y evaluación tecnológica, en especial las llevadas a cabo por las distintas iniciativas de investigación de la Unión, para asesorar a las instituciones, órganos y organismos de la Unión y, cuando proceda, a los Estados miembros que lo soliciten sobre las necesidades de investigación en el ámbito de la seguridad de las redes y de la información, y en particular de la ciberseguridad.

(36)  La Agencia debe tener plenamente en cuenta las actividades en curso de investigación, desarrollo y evaluación tecnológica, en especial las llevadas a cabo por las distintas iniciativas de investigación de la Unión, para asesorar a las instituciones, órganos y organismos de la Unión y, cuando proceda, a los Estados miembros que lo soliciten sobre las necesidades de investigación en el ámbito de la seguridad de las redes y de la información, y en particular de la ciberseguridad. Más en concreto, debe establecerse una cooperación con el Consejo Europeo de Investigación (CEI) y el Instituto Europeo de Innovación y Tecnología (EIT), y la investigación en materia de seguridad ha de formar parte del Noveno Programa Marco de Investigación y de Horizonte 2020.

Enmienda    31

Propuesta de Reglamento

Considerando 36 bis (nuevo)

Texto de la Comisión

Enmienda

 

(36 bis)  La normalización es una herramienta voluntaria impulsada por el mercado que proporciona requisitos técnicos y orientaciones y es el resultado de un proceso abierto, transparente e integrador. La Agencia debe consultar de forma regular y cooperar estrechamente con las organizaciones de normalización, en particular a la hora de preparar los regímenes europeos de certificación de la ciberseguridad.

Enmienda    32

Propuesta de Reglamento

Considerando 37

Texto de la Comisión

Enmienda

(37)  Los problemas de ciberseguridad tienen un alcance mundial. Es necesaria una cooperación internacional más estrecha para mejorar las normas de seguridad, incluida la definición de normas de comportamiento comunes, y el intercambio de información, promoviendo una colaboración internacional que responda con mayor prontitud a los problemas de seguridad de las redes y de la información, así como un enfoque mundial común al respecto. A tal efecto, la Agencia debe respaldar una mayor relación y cooperación de la Unión con los terceros países y las organizaciones internacionales proporcionando, cuando proceda, los conocimientos y el análisis necesarios a las instituciones, órganos y organismos pertinentes de la Unión.

(37)  Los problemas de ciberseguridad tienen un alcance mundial. Es necesaria una cooperación internacional más estrecha para mejorar las normas de seguridad, incluida la definición de normas de comportamiento y códigos de conducta comunes, el uso de normas internacionales y el intercambio de información, promoviendo una colaboración internacional que responda con mayor prontitud a los problemas de seguridad de las redes y de la información, así como un enfoque mundial común al respecto. A tal efecto, la Agencia debe respaldar una mayor relación y cooperación de la Unión con los terceros países y las organizaciones internacionales proporcionando, cuando proceda, los conocimientos y el análisis necesarios a las instituciones, órganos y organismos pertinentes de la Unión.

Enmienda    33

Propuesta de Reglamento

Considerando 40

Texto de la Comisión

Enmienda

(40)  El Consejo de Administración, integrado por los Estados miembros y la Comisión, debe definir la orientación general del funcionamiento de la Agencia y garantizar que desempeña su cometido de conformidad con el presente Reglamento. El Consejo de Administración debe estar dotado de las facultades necesarias para establecer el presupuesto, supervisar su ejecución, aprobar el correspondiente reglamento financiero, establecer procedimientos de trabajo transparentes para la toma de decisiones por la Agencia, adoptar el documento único de programación de la Agencia, adoptar su propio reglamento interno, nombrar al director ejecutivo y decidir la prolongación del mandato del director ejecutivo o el cese de dicho mandato.

(40)  El Consejo de Administración, que representa a los Estados miembros y la Comisión, así como a las partes interesadas pertinentes para los objetivos de la Agencia, debe definir la orientación general del funcionamiento de la Agencia y garantizar que desempeña su cometido de conformidad con el presente Reglamento. El Consejo de Administración debe estar dotado de las facultades necesarias para establecer el presupuesto, supervisar su ejecución, aprobar el correspondiente reglamento financiero, establecer procedimientos de trabajo transparentes para la toma de decisiones por la Agencia, adoptar el documento único de programación de la Agencia, adoptar su propio reglamento interno, nombrar al director ejecutivo y decidir la prolongación del mandato del director ejecutivo o el cese de dicho mandato. En vista del carácter sumamente técnico y científico de los cometidos de la Agencia, los miembros del Consejo de Administración deben disponer un alto nivel de conocimientos técnicos en las cuestiones incluidas en el ámbito de competencias de la Agencia.

Enmienda    34

Propuesta de Reglamento

Considerando 41

Texto de la Comisión

Enmienda

(41)  Para que la Agencia funcione correcta y eficazmente, la Comisión y los Estados miembros deben garantizar que las personas que se nombren como miembros del Consejo de Administración dispongan de las competencias profesionales adecuadas y de experiencia en las áreas funcionales. La Comisión y los Estados miembros deben asimismo tratar de limitar la rotación de sus respectivos representantes en el Consejo de Administración, con el fin de garantizar la continuidad en su labor.

(41)  Para que la Agencia funcione correcta y eficazmente, la Comisión y los Estados miembros deben garantizar que las personas que se nombren como miembros del Consejo de Administración dispongan de las competencias profesionales adecuadas y de experiencia en las áreas funcionales. La Comisión y los Estados miembros deben asimismo tratar de limitar la rotación de sus respectivos representantes en el Consejo de Administración, con el fin de garantizar la continuidad en su labor. Debido al alto valor de mercado de las competencias requeridas para trabajar en la Agencia, es necesario garantizar que las condiciones sociales y los salarios ofrecidos a todo su personal sean competitivos y que los mejores profesionales puedan decidirse a trabajar en ella.

Justificación

Enmienda con objeto de contar con el nivel apropiado de conocimientos técnicos que ENISA necesita para ser un empleador competitivo en un mercado altamente competitivo.

Enmienda    35

Propuesta de Reglamento

Considerando 42

Texto de la Comisión

Enmienda

(42)  En aras del buen funcionamiento de la Agencia, es preciso que su director ejecutivo sea nombrado atendiendo a sus méritos y a su capacidad administrativa y de gestión debidamente acreditada, así como a su competencia y experiencia en relación con la ciberseguridad. También es necesario que desempeñe sus funciones con completa independencia. El director ejecutivo debe preparar una propuesta de programa de trabajo de la Agencia, previa consulta con la Comisión, y tomar todas las medidas necesarias para garantizar la correcta ejecución de dicho programa de trabajo. El director ejecutivo debe preparar un informe anual, que presentará al Consejo de Administración, redactar un proyecto de declaración de las previsiones de ingresos y gastos de la Agencia y ejecutar el presupuesto. Además, debe tener la posibilidad de crear grupos de trabajo ad hoc para que examinen asuntos concretos, en particular los de índole científica, técnica o jurídica o socioeconómica. El director ejecutivo debe garantizar que los miembros de los grupos de trabajo ad hoc sean seleccionados entre los expertos de mayor nivel, teniendo debidamente en cuenta la necesidad de lograr un equilibrio representativo, según proceda en función de las cuestiones específicas de que se trate, entre las administraciones públicas de los Estados miembros, las instituciones de la Unión, el sector privado, incluida la industria, los usuarios y los expertos académicos en seguridad de las redes y de la información.

(42)  En aras del buen funcionamiento de la Agencia, es preciso que su director ejecutivo sea nombrado atendiendo a sus méritos y a su capacidad administrativa y de gestión debidamente acreditada, así como a su competencia y experiencia en relación con la ciberseguridad. También es necesario que desempeñe sus funciones con completa independencia. El director ejecutivo debe preparar una propuesta de programa de trabajo de la Agencia, previa consulta con la Comisión, y tomar todas las medidas necesarias para garantizar la correcta ejecución de dicho programa de trabajo. El director ejecutivo debe preparar un informe anual, que presentará al Consejo de Administración, redactar un proyecto de declaración de las previsiones de ingresos y gastos de la Agencia y ejecutar el presupuesto. Además, debe tener la posibilidad de crear grupos de trabajo ad hoc para que examinen asuntos concretos, en particular los de índole científica, técnica o jurídica o socioeconómica. El director ejecutivo debe garantizar que los miembros de los grupos de trabajo ad hoc sean seleccionados entre los expertos de mayor nivel, teniendo debidamente en cuenta la necesidad de lograr un equilibrio representativo y de género, según proceda en función de las cuestiones específicas de que se trate, entre las administraciones públicas de los Estados miembros, las instituciones de la Unión, el sector privado, incluida la industria, los usuarios y los expertos académicos en seguridad de las redes y de la información.

Enmienda    36

Propuesta de Reglamento

Considerando 44

Texto de la Comisión

Enmienda

(44)  La Agencia debe contar con un Grupo Permanente de Partes Interesadas en calidad de organismo consultivo, a fin de garantizar un diálogo sistemático con el sector privado, las organizaciones de consumidores y otras partes interesadas pertinentes. El Grupo Permanente de Partes Interesadas, establecido por el Consejo de Administración a propuesta del director ejecutivo, debe centrarse en cuestiones que afecten a las partes interesadas y ponerlas en conocimiento de la Agencia. La composición del Grupo Permanente de Partes Interesadas y las tareas asignadas a este grupo, que debe ser consultado en particular en lo que se refiere al proyecto de programa de trabajo, deben garantizar una representación suficiente de las partes interesadas en los trabajos de la Agencia.

(44)  La Agencia debe contar con un Grupo Consultivo de ENISA en calidad de organismo consultivo, a fin de garantizar un diálogo sistemático con el sector privado, las organizaciones de consumidores, el mundo académico y otras partes interesadas pertinentes. El Grupo Consultivo de ENISA, establecido por el Consejo de Administración a propuesta del director ejecutivo, debe centrarse en cuestiones que afecten a las partes interesadas y ponerlas en conocimiento de la Agencia. La composición del Grupo Permanente de Partes Interesadas y las tareas asignadas a este grupo, que debe ser consultado en particular en lo que se refiere al proyecto de programa de trabajo, deben garantizar una representación suficiente de las partes interesadas en los trabajos de la Agencia. Dada la importancia de los requisitos de certificación para garantizar la confianza en la internet de las cosas, la Comisión estudiará específicamente aplicar medidas para garantizar la armonización en toda la Unión de las normas de seguridad para los dispositivos de la internet de las cosas.

Enmienda    37

Propuesta de Reglamento

Considerando 44 bis (nuevo)

Texto de la Comisión

Enmienda

 

(44 bis)  La Agencia debe contar con un Grupo de las Partes Interesadas sobre Certificación en calidad de organismo consultivo, a fin de garantizar un diálogo sistemático con el sector privado, las organizaciones de consumidores, el mundo académico y otras partes interesadas pertinentes. El Grupo de las Partes Interesadas sobre Certificación, establecido por el director ejecutivo, debe estar compuesto por un comité consultivo general, que dé su opinión sobre los productos y servicios de TIC que deben quedar cubiertos por los futuros regímenes europeos de certificación de la ciberseguridad, y comités ad hoc, que den su opinión sobre la presentación, el desarrollo y la adopción de las propuestas solicitadas de regímenes europeos de ciberseguridad.

Enmienda    38

Propuesta de Reglamento

Considerando 46

Texto de la Comisión

Enmienda

(46)  Con el fin de garantizar la plena autonomía e independencia de la Agencia y para que pueda desempeñar funciones adicionales y nuevas, incluidas tareas de emergencia imprevistas, se considera necesario concederle un presupuesto suficiente y autónomo cuyos ingresos procedan principalmente de una contribución de la Unión y de contribuciones de los terceros países que participen en los trabajos de la Agencia. La mayor parte del personal de la Agencia debe estar dedicado directamente a la aplicación operativa de su mandato. Debe permitirse que el Estado miembro que la acoge, o cualquier otro Estado miembro, efectúe aportaciones voluntarias a los ingresos de la Agencia. El procedimiento presupuestario de la Unión debe seguir siendo aplicable por lo que respecta a las subvenciones imputables al presupuesto general de la Unión. Además, el Tribunal de Cuentas Europeo debe realizar una auditoría de las cuentas de la Agencia para garantizar la transparencia y la responsabilidad.

(46)  Con el fin de garantizar la plena autonomía e independencia de la Agencia y para que pueda desempeñar funciones adicionales y nuevas, incluidas tareas de emergencia imprevistas, se considera necesario concederle un presupuesto suficiente y autónomo cuyos ingresos procedan principalmente de una contribución de la Unión y de contribuciones de los terceros países que participen en los trabajos de la Agencia. Es primordial que la Agencia disponga de un presupuesto adecuado de modo que disponga de la capacidad suficiente para cumplir todos sus cometidos y objetivos, que cada vez son mayores. La mayor parte del personal de la Agencia debe estar dedicado directamente a la aplicación operativa de su mandato. Debe permitirse que el Estado miembro que la acoge, o cualquier otro Estado miembro, efectúe aportaciones voluntarias a los ingresos de la Agencia. El procedimiento presupuestario de la Unión debe seguir siendo aplicable por lo que respecta a las subvenciones imputables al presupuesto general de la Unión. Además, el Tribunal de Cuentas Europeo debe realizar una auditoría de las cuentas de la Agencia para garantizar la transparencia, la responsabilidad y la eficiencia en el gasto.

Enmienda    39

Propuesta de Reglamento

Considerando 47

Texto de la Comisión

Enmienda

(47)  La evaluación de la conformidad es el proceso por el que se demuestra que se han cumplido los requisitos especificados para un producto, proceso, servicio, sistema, persona u organismo. A efectos del presente Reglamento, la certificación debe ser considerada un tipo de evaluación de la conformidad relativa a las características de ciberseguridad de un producto, proceso, servicio, sistema, o combinación de estos («productos y servicios de TIC») por un tercero independiente, distinto del fabricante del producto o del prestador de servicios. La certificación no puede garantizar por sí misma la ciberseguridad de los productos y servicios de TIC certificados. Se trata más bien de un procedimiento y una metodología técnica que garantizan que los productos y servicios de TIC han sido sometidos a ensayo y cumplen determinados requisitos de ciberseguridad establecidos en otro lugar, por ejemplo en las normas técnicas.

(47)  La evaluación de la conformidad es el proceso por el que se demuestra que se han cumplido los requisitos especificados para un producto, proceso, servicio, sistema, persona u organismo. A efectos del presente Reglamento, la certificación debe ser considerada un tipo de evaluación de la conformidad relativa a las características de ciberseguridad de un producto, proceso, servicio, sistema, o combinación de estos («productos, procesos y servicios de TIC») por un tercero independiente o cuando, esté permitido, mediante autoevaluación del fabricante del producto o del proveedor de servicios. La autoevaluación puede ser realizada por el fabricante del producto, la pyme o el proveedor de servicios que se especifica en el presente Reglamento y, en su caso, según lo establecido en el nuevo marco legislativo y de conformidad con este. Además, la autoevaluación puede ser realizada por el fabricante del producto u operador cuando no se considere elevada o sustancial la probabilidad de que se produzca un incidente de ciberseguridad o de que un incidente de este tipo cause un perjuicio considerable a la sociedad o a una gran parte de la misma, teniendo en cuenta el uso previsto del producto o servicio en cuestión por parte del fabricante o proveedor de servicios. La certificación no puede garantizar por sí misma la ciberseguridad de los productos, procesos y servicios de TIC cubiertos, circunstancia que debe ponerse en conocimiento de los consumidores y las empresas. Se trata más bien de un procedimiento y una metodología técnica que garantizan que los productos, procesos y servicios de TIC han sido sometidos a ensayo y cumplen determinados requisitos de ciberseguridad establecidos en otro lugar, por ejemplo en las normas técnicas. Esas normas técnicas deben indicar si el producto, proceso y servicio de TIC puede ejecutar sus funciones habituales sin conexión a internet.

Enmienda    40

Propuesta de Reglamento

Considerando 48

Texto de la Comisión

Enmienda

(48)  La certificación de la ciberseguridad desempeña un importante papel a la hora de aumentar la confianza y la seguridad en los productos y servicios de TIC. El mercado único digital, y en particular la economía de los datos y la internet de las cosas, solo pueden prosperar si el público en general confía en que dichos productos y servicios ofrecen un determinado nivel de garantía de ciberseguridad. Los vehículos conectados y automatizados, los dispositivos médicos electrónicos, los sistemas de control de la automatización industrial o las redes inteligentes son solo algunos ejemplos de sectores en los que la certificación se utiliza ya ampliamente o es probable que se utilice en un futuro próximo. También en los sectores regulados por la Directiva SRI resulta crítica la certificación de la ciberseguridad.

(48)  La certificación europea de la ciberseguridad desempeña un papel esencial a la hora de aumentar la confianza y la seguridad en los productos, procesos y servicios de TIC. El mercado único digital, y en particular la economía de los datos y la internet de las cosas, solo pueden prosperar si el público en general confía en que dichos productos y servicios ofrecen un elevado nivel de garantía de ciberseguridad. Los vehículos conectados y automatizados, los dispositivos médicos electrónicos, los sistemas de control de la automatización industrial o las redes inteligentes son solo algunos ejemplos de sectores en los que la certificación se utiliza ya ampliamente o es probable que se utilice en un futuro próximo. También en los sectores regulados por la Directiva SRI resulta crítica la certificación de la ciberseguridad.

Enmienda    41

Propuesta de Reglamento

Considerando 49

Texto de la Comisión

Enmienda

(49)  En la Comunicación de 2016 «Reforzar el sistema de ciberresiliencia de Europa y promover una industria de la ciberseguridad competitiva e innovadora», la Comisión indicó la necesidad de productos y soluciones de ciberseguridad de alta calidad, asequibles e interoperables. El suministro de los productos y servicios de TIC dentro del mercado único sigue estando muy fragmentado desde el punto de vista geográfico. Esto se debe a que la industria de la ciberseguridad en Europa se ha desarrollado en gran medida a partir de la demanda de los gobiernos nacionales. Además, la falta de soluciones interoperables (normas técnicas), prácticas y mecanismos de certificación a escala de la UE es otra de las carencias que padece el mercado único de la ciberseguridad. Por una parte, esto hace difícil que las empresas europeas compitan a nivel nacional, europeo y mundial; por otra, reduce las opciones de contar con tecnologías de ciberseguridad viables y utilizables a las que puedan acceder particulares y empresas. Del mismo modo, en la revisión intermedia de la aplicación de la Estrategia para el Mercado Único Digital, la Comisión destacó la necesidad de seguridad en los productos y sistemas conectados, indicando que la creación de un marco europeo de seguridad de las TIC que establezca pautas para organizar la certificación de seguridad de las TIC en la Unión podría tanto preservar la confianza en internet como combatir la actual fragmentación del mercado de la ciberseguridad.

(49)  En la Comunicación de 2016 «Reforzar el sistema de ciberresiliencia de Europa y promover una industria de la ciberseguridad competitiva e innovadora», la Comisión indicó la necesidad de productos y soluciones de ciberseguridad de alta calidad, asequibles e interoperables. El suministro de los productos, procesos y servicios de TIC dentro del mercado único sigue estando muy fragmentado desde el punto de vista geográfico. Esto se debe a que la industria de la ciberseguridad en Europa se ha desarrollado en gran medida a partir de la demanda de los gobiernos nacionales. Además, la falta de soluciones interoperables (normas técnicas), prácticas y mecanismos de certificación a escala de la UE es otra de las carencias que padece el mercado único de la ciberseguridad. Por una parte, esto hace difícil que las empresas europeas compitan a nivel nacional, europeo y mundial; por otra, reduce las opciones de contar con tecnologías de ciberseguridad viables y utilizables a las que puedan acceder particulares y empresas. Del mismo modo, en la revisión intermedia de la aplicación de la Estrategia para el Mercado Único Digital, la Comisión destacó la necesidad de seguridad en los productos y sistemas conectados, indicando que la creación de un marco europeo de seguridad de las TIC que establezca pautas para organizar la certificación de seguridad de las TIC en la Unión podría tanto preservar la confianza en internet como combatir la actual fragmentación del mercado de la ciberseguridad.

Enmienda    42

Propuesta de Reglamento

Considerando 50

Texto de la Comisión

Enmienda

(50)  En la actualidad, la certificación de la ciberseguridad de los productos y servicios de TIC se utiliza solo en medida limitada. Cuando existe, es principalmente a nivel de los Estados miembros o en el marco de regímenes impulsados por la industria. En este contexto, un certificado expedido por una autoridad nacional de ciberseguridad no se ve reconocido en principio por los demás Estados miembros. Así, las empresas pueden tener que certificar sus productos y servicios en los distintos Estados miembros en que operen, con vistas, por ejemplo, a tomar parte en procedimientos de contratación nacionales. Por otra parte, aun cuando están surgiendo nuevos regímenes, no parece haber un planteamiento coherente y holístico con respecto a las cuestiones horizontales relacionadas con la ciberseguridad, por ejemplo en el ámbito de la internet de las cosas. Los regímenes existentes presentan deficiencias significativas y diferencias en cuanto a cobertura de productos, niveles de garantía, criterios sustantivos y utilización real.

(50)  En la actualidad, la certificación de la ciberseguridad de los productos, procesos y servicios de TIC se utiliza solo en medida limitada. Cuando existe, es principalmente a nivel de los Estados miembros o en el marco de regímenes impulsados por la industria. En este contexto, un certificado expedido por una autoridad nacional de ciberseguridad no se ve reconocido en principio por los demás Estados miembros. Así, las empresas pueden tener que certificar sus productos, procesos y servicios en los distintos Estados miembros en que operen, con vistas, por ejemplo, a tomar parte en procedimientos de contratación nacionales, con el correspondiente aumento de sus costes. Por otra parte, aun cuando están surgiendo nuevos regímenes, no parece haber un planteamiento coherente y holístico con respecto a las cuestiones horizontales relacionadas con la ciberseguridad, por ejemplo en el ámbito de la internet de las cosas. Los regímenes existentes presentan deficiencias significativas y diferencias en cuanto a cobertura de productos, niveles de garantía basados en los riesgos, criterios sustantivos y utilización real. A este respecto, el reconocimiento mutuo y la confianza entre los Estados miembros es un elemento fundamental. ENISA tiene que desempeñar la importante función de ayudar a los Estados miembros a desarrollar una estructura institucional y conocimientos técnicos sólidos para la defensa frente a posibles ciberataques. Se requiere un enfoque individual para garantizar que los servicios, procesos y productos estén sujetos a regímenes de certificación adecuados. Además, es necesario un enfoque basado en el riesgo para identificar y mitigar eficazmente los riesgos, reconociendo que no es posible un régimen único para todos los casos.

Enmienda    43

Propuesta de Reglamento

Considerando 52

Texto de la Comisión

Enmienda

(52)  Por todo ello, es necesario establecer un marco europeo de certificación de la ciberseguridad que establezca los principales requisitos horizontales para desarrollar regímenes europeos de certificación de la ciberseguridad y permita que los certificados de productos y servicios de TIC sean reconocidos y usados en todos los Estados miembros. El marco europeo debe tener un doble objetivo: por una parte, contribuir a aumentar la confianza en los productos y servicios de TIC que hayan sido certificados con arreglo a tales regímenes; por otra, evitar la multiplicación de certificaciones nacionales de la ciberseguridad contradictorias o redundantes y, por ende, reducir los costes para las empresas que operan en el mercado único digital. Los regímenes deben ser no discriminatorios y basarse en normas internacionales o de la Unión, a menos que dichas normas resulten ineficaces o inadecuadas para alcanzar los objetivos legítimos de la UE al respecto.

(52)  Por todo ello, es necesario adoptar un enfoque común y establecer un marco europeo de certificación de la ciberseguridad que establezca los principales requisitos horizontales para desarrollar regímenes europeos de certificación de la ciberseguridad y permita que los certificados de productos, procesos y servicios de TIC sean reconocidos y usados en todos los Estados miembros. A este respecto, es esencial basarse en los regímenes nacionales e internacionales existentes, así como en los sistemas de reconocimiento mutuo, en particular el SOG-IS, y permitir una transición fluida de los regímenes existentes bajo dichos sistemas a los regímenes del nuevo marco europeo. El marco europeo debe tener un doble objetivo: por una parte, contribuir a aumentar la confianza en los productos, procesos y servicios de TIC que hayan sido certificados con arreglo a tales regímenes; por otra, evitar la multiplicación de certificaciones nacionales de la ciberseguridad contradictorias o redundantes y, por ende, reducir los costes para las empresas que operan en el mercado único digital. En los casos en que una certificación europea de ciberseguridad sustituya a un régimen nacional, los certificados expedidos con arreglo al régimen europeo deben considerarse válidos en los casos en que se requería una certificación con arreglo a un régimen nacional. Los regímenes deben guiarse por el principio de seguridad desde el diseño, así como por los principios contemplados en el Reglamento (UE) 2016/679. Asimismo, deben ser no discriminatorios y basarse en normas internacionales o de la Unión, a menos que dichas normas resulten ineficaces o inadecuadas para alcanzar los objetivos legítimos de la UE al respecto.

Enmienda    44

Propuesta de Reglamento

Considerando 52 bis (nuevo)

Texto de la Comisión

Enmienda

 

(52 bis)  El marco europeo de certificación de la ciberseguridad debe implantarse de forma uniforme en todos los Estados miembros, a fin de evitar la práctica de escoger entre ellos en función de las diferencias en el coste o en los niveles de exigencia.

Enmienda    45

Propuesta de Reglamento

Considerando 52 ter (nuevo)

Texto de la Comisión

Enmienda

 

(52 ter)  Los regímenes de certificación deben basarse en los ya existentes a nivel nacional e internacional, aprendiendo de los puntos fuertes actuales y evaluando y corrigiendo los puntos débiles.

Enmienda    46

Propuesta de Reglamento

Considerando 52 quater (nuevo)

Texto de la Comisión

Enmienda

 

(52 quater)  Se necesitan soluciones de ciberseguridad flexibles para que la industria vaya por delante de las amenazas y los ataques maliciosos y, por tanto, cualquier régimen de certificación debe evitar el riesgo de quedarse rápidamente desfasado.

Enmienda    47

Propuesta de Reglamento

Considerando 53

Texto de la Comisión

Enmienda

(53)  La Comisión debe estar facultada para adoptar regímenes europeos de certificación de la ciberseguridad relativos a grupos específicos de productos y servicios de TIC. Estos regímenes deben ser implantados y supervisados por las autoridades nacionales de supervisión de la certificación y los certificados expedidos con arreglo a ellos deben ser válidos y reconocidos en toda la Unión. Los regímenes de certificación operados por el sector industrial u otras organizaciones privadas deben quedar fuera del ámbito de aplicación del Reglamento. No obstante, los organismos responsables de dichos regímenes podrán proponer a la Comisión que los tome en consideración como base para su aprobación como regímenes europeos.

(53)  La Comisión debe estar facultada para adoptar regímenes europeos de certificación de la ciberseguridad relativos a grupos específicos de productos, procesos y servicios de TIC. Estos regímenes deben ser implantados y supervisados por las autoridades nacionales de supervisión de la certificación y los certificados expedidos con arreglo a ellos deben ser válidos y reconocidos en toda la Unión. Los regímenes de certificación operados por el sector industrial u otras organizaciones privadas deben quedar fuera del ámbito de aplicación del Reglamento. No obstante, los organismos responsables de dichos regímenes podrán proponer a la Comisión que los tome en consideración como base para su aprobación como regímenes europeos. La Agencia debe identificar y evaluar los regímenes que ya gestionan la industria u organizaciones privadas al objeto de escoger las buenas prácticas que podrían integrarse en un régimen europeo. Los actores de la industria pueden llevar a cabo una autoevaluación de sus productos o servicios antes de la certificación a fin de indicar con ello que su producto o servicio está listo para iniciar el proceso de certificación si así se exige o necesita.

Enmienda    48

Propuesta de Reglamento

Considerando 53 bis (nuevo)

Texto de la Comisión

Enmienda

 

(53 bis)  La Agencia y la Comisión deben aprovechar al máximo los regímenes de certificación ya existentes a nivel internacional y de la Unión. ENISA debe poder evaluar cuáles de los regímenes que ya se utilizan son adecuados para los fines perseguidos y pueden incorporarse a la legislación europea en colaboración con las organizaciones de normalización de la Unión y, en la medida de lo posible, pueden ser reconocidos internacionalmente. Asimismo, deben recopilarse y divulgarse entre los Estados miembros las mejores prácticas existentes.

Enmienda    49

Propuesta de Reglamento

Considerando 54

Texto de la Comisión

Enmienda

(54)  Las disposiciones del presente Reglamento deben entenderse sin perjuicio de la legislación de la Unión que fija normas específicas sobre la certificación de productos y servicios de TIC. En particular, el Reglamento general de protección de datos (RGPD) establece disposiciones para implantar mecanismos de certificación y sellos y marcas de protección de datos a fin de demostrar la conformidad con ese Reglamento de las operaciones realizadas por los responsables y los encargados del tratamiento. Estos mecanismos de certificación y sellos y marcas de protección de datos deben permitir a los interesados evaluar rápidamente el nivel de protección de datos de los correspondientes productos y servicios. El presente Reglamento se entiende sin perjuicio de la certificación de las operaciones de tratamiento de datos en el marco del RGPD, incluso cuando dichas operaciones se encuentran integradas en productos y servicios.

(54)  Las disposiciones del presente Reglamento deben entenderse sin perjuicio de la legislación de la Unión que fija normas específicas sobre la certificación de productos, procesos y servicios de TIC. En particular, el Reglamento general de protección de datos (RGPD) establece disposiciones para implantar mecanismos de certificación y sellos y marcas de protección de datos a fin de demostrar la conformidad con ese Reglamento de las operaciones realizadas por los responsables y los encargados del tratamiento. Estos mecanismos de certificación y sellos y marcas de protección de datos deben permitir a los interesados evaluar rápidamente el nivel de protección de datos de los correspondientes productos y servicios. El presente Reglamento se entiende sin perjuicio de la certificación de las operaciones de tratamiento de datos en el marco del RGPD, incluso cuando dichas operaciones se encuentran integradas en productos y servicios.

Enmienda    50

Propuesta de Reglamento

Considerando 55

Texto de la Comisión

Enmienda

(55)  El objetivo de los regímenes europeos de certificación de la ciberseguridad debe ser garantizar que los productos y servicios de TIC certificados con arreglo a un régimen cumplan los requisitos especificados. Tales requisitos se refieren a la capacidad de resistir, con un nivel determinado de garantía, las acciones encaminadas a poner en peligro la disponibilidad, autenticidad, integridad y confidencialidad de los datos almacenados, transmitidos o procesados o las funciones conexas de estos productos, procesos, servicios y sistemas, en el sentido del presente Reglamento, o los servicios ofrecidos por ellos o accesibles a través de ellos. No es posible definir con detalle en el presente Reglamento los requisitos de ciberseguridad relativos a todos los productos y servicios de TIC. Los productos y servicios de TIC y las correspondientes necesidades de ciberseguridad son tan dispares que es muy difícil presentar unos requisitos de ciberseguridad generales de validez global. Por lo tanto, es necesario adoptar un concepto amplio y general de la ciberseguridad a efectos de la certificación, complementado por una serie de objetivos específicos de ciberseguridad que deben tenerse en cuenta a la hora de diseñar los regímenes europeos de certificación de la ciberseguridad. Las modalidades con que se lograrán tales objetivos para determinados productos y servicios de TIC deben especificarse luego con más detalle a nivel de cada régimen de certificación adoptado por la Comisión, por ejemplo, mediante referencia a normas o especificaciones técnicas.

(55)  El objetivo de los regímenes europeos de certificación de la ciberseguridad debe ser garantizar que los productos, servicios y procesos de TIC certificados con arreglo a un régimen cumplan los requisitos especificados. Tales requisitos se refieren a la capacidad de resistir, con un nivel determinado de riesgo, las acciones encaminadas a poner en peligro la disponibilidad, autenticidad, integridad y confidencialidad de los datos almacenados, transmitidos o procesados o las funciones conexas de estos productos, procesos, servicios y sistemas, en el sentido del presente Reglamento, o los servicios ofrecidos por ellos o accesibles a través de ellos. No es posible definir con detalle en el presente Reglamento los requisitos de ciberseguridad relativos a todos los productos, servicios y procesos de TIC. Los productos, servicios y procesos de TIC y las correspondientes necesidades de ciberseguridad son tan dispares que es muy difícil presentar unos requisitos de ciberseguridad generales de validez global. Por lo tanto, es necesario adoptar un concepto amplio y general de la ciberseguridad a efectos de la certificación, complementado por una serie de objetivos específicos de ciberseguridad que deben tenerse en cuenta a la hora de diseñar los regímenes europeos de certificación de la ciberseguridad. Las modalidades con que se lograrán tales objetivos para determinados productos, servicios y procesos de TIC deben especificarse luego con más detalle a nivel de cada régimen de certificación adoptado por la Comisión, por ejemplo, mediante referencia a normas o especificaciones técnicas. Debe alentarse a todos los actores implicados en una cadena de suministro determinada a que desarrollen y adopten normas de seguridad, normas técnicas y principios de seguridad desde el diseño en todas las fases del ciclo de vida del producto, servicio o proceso. Todos los regímenes europeos de certificación de la ciberseguridad deben concebirse de modo que tengan este alcance.

Enmienda    51

Propuesta de Reglamento

Considerando 56

Texto de la Comisión

Enmienda

(56)  La Comisión debe estar facultada para solicitar a ENISA que prepare propuestas de regímenes para productos o servicios de TIC específicos. A continuación, la Comisión, sobre la base de las propuestas presentadas por ENISA, debe estar facultada para adoptar el régimen europeo de certificación de la ciberseguridad mediante actos de ejecución. Teniendo en cuenta la finalidad general y los objetivos de seguridad definidos en el presente Reglamento, los regímenes europeos de certificación de la ciberseguridad adoptados por la Comisión deben especificar un conjunto mínimo de elementos relacionados con el objeto, alcance y funcionamiento del régimen concreto. Entre ellos deben figurar el alcance y objeto de la certificación de la ciberseguridad, incluidas las categorías de productos y servicios de TIC que cubre, la especificación detallada de los requisitos de ciberseguridad, por ejemplo haciendo referencia a normas o especificaciones técnicas, los criterios y métodos de evaluación específicos, así como el nivel de garantía: básico, sustancial o elevado.

(56)  La Comisión debe estar facultada para solicitar a ENISA que prepare propuestas de regímenes para productos, procesos o servicios de TIC específicos, sobre la base de motivos justificados, a saber: la fragmentación del mercado interior debida a los regímenes nacionales de certificación de la ciberseguridad existentes; una necesidad actual o prevista de respaldar la legislación de la Unión; o la opinión del Grupo sobre Certificación de los Estados Miembros o de las Partes Interesadas. Tras evaluar las propuestas de regímenes de certificación presentadas por ENISA a raíz de la solicitud de la Comisión, esta última debe estar facultada para adoptar los regímenes europeos de certificación de la ciberseguridad por medio de actos delegados. Teniendo en cuenta la finalidad general y los objetivos de seguridad definidos en el presente Reglamento, esos regímenes europeos de certificación de la ciberseguridad deben especificar un conjunto mínimo de elementos relacionados con el objeto, alcance y funcionamiento del régimen concreto. Entre ellos deben figurar el alcance y objeto de la certificación de la ciberseguridad, incluidas las categorías de productos y servicios de TIC que cubre, la especificación detallada de los requisitos de ciberseguridad, por ejemplo haciendo referencia a normas o especificaciones técnicas, los criterios y métodos de evaluación específicos, así como el nivel de garantía: básico, sustancial o elevado.

Enmienda    52

Propuesta de Reglamento

Considerando 56 bis (nuevo)

Texto de la Comisión

Enmienda

 

(56 bis)  La Agencia debe de ser el punto de referencia para la información sobre los regímenes europeos de ciberseguridad. Debe mantener un sitio web con toda la información pertinente, también en lo relativo a los certificados retirados y caducados y a las certificaciones nacionales cubiertas. La Agencia debe garantizar que una parte adecuada del contenido de su sitio web sea comprensible para los consumidores ordinarios.

Enmienda    53

Propuesta de Reglamento

Considerando 56 ter (nuevo)

Texto de la Comisión

Enmienda

 

(56 ter)  La definición de los niveles de garantía de los certificados es necesaria para dar una indicación al usuario final del tipo previsto de ciberamenazas que pretenden evitar las medidas de ciberseguridad incorporadas al producto, proceso o servicio. Las amenazas cibernéticas deben definirse teniendo en cuenta el riesgo previsto y la capacidad del autor o los autores del ataque en el contexto del uso previsto del producto, proceso o servicio de TIC de que se trate. El nivel de garantía «básico» se refiere a la capacidad para resistir los ataques que pueden evitarse con medidas básicas de ciberseguridad y que pueden controlarse fácilmente mediante la revisión de la documentación técnica. El nivel de seguridad «sustancial» se refiere a la capacidad de resistir a los tipos conocidos de ataques cuyo autor presente cierto nivel de sofisticación pero disponga de recursos limitados. El nivel de garantía «elevado» se refiere a la capacidad para resistir a vulnerabilidades desconocidas y ataques sofisticados con técnicas de última generación y recursos significativos, como equipos multidisciplinares debidamente financiados.

Enmienda    54

Propuesta de Reglamento

Considerando 56 quater (nuevo)

Texto de la Comisión

Enmienda

 

(56 quater)  A fin de evitar la fragmentación del mercado interior debida a los regímenes nacionales de ciberseguridad, apoyar la legislación futura y aumentar la confianza y la seguridad, deben delegarse en la Comisión los poderes para adoptar actos con arreglo al artículo 290 del Tratado de Funcionamiento de la Unión Europea, por lo que respecta a la definición de las prioridades para la certificación europea de la ciberseguridad, la adopción del programa continuado y la adopción de regímenes europeos de certificación. Reviste especial importancia que la Comisión lleve a cabo las consultas oportunas durante la fase preparatoria, en particular con expertos, y que esas consultas se realicen de conformidad con los principios establecidos en el Acuerdo interinstitucional de 13 de abril de 2016 sobre la mejora de la legislación. En particular, a fin de garantizar una participación equitativa en la preparación de los actos delegados, el Parlamento Europeo y el Consejo reciben toda la documentación al mismo tiempo que los expertos de los Estados miembros, y sus expertos tienen acceso sistemáticamente a las reuniones de los grupos de expertos de la Comisión que se ocupen de la preparación de actos delegados.

Enmienda    55

Propuesta de Reglamento

Considerando 56 quinquies (nuevo)

Texto de la Comisión

Enmienda

 

(52 quinquies)  Entre los métodos de evaluación y los procedimientos de evaluación relacionados con cada régimen europeo de certificación de la ciberseguridad, debe promoverse a nivel de la Unión la piratería informática ética, cuyo objetivo es localizar las debilidades y vulnerabilidades de los dispositivos y sistemas de información mediante la anticipación de las acciones y capacidades previstas de los piratas informáticos maliciosos.

Enmienda    56

Propuesta de Reglamento

Considerando 57

Texto de la Comisión

Enmienda

(57)  El recurso a la certificación europea de la ciberseguridad debe seguir siendo voluntario, salvo que se prevea otra cosa en la legislación nacional o de la Unión. No obstante, con vistas a alcanzar los objetivos del presente Reglamento y evitar la fragmentación del mercado interior, los regímenes o procedimientos nacionales de certificación de la ciberseguridad para productos y servicios de TIC cubiertos por un régimen europeo de certificación de la ciberseguridad deben dejar de surtir efecto a partir de la fecha establecida por la Comisión en el acto de ejecución. Además, los Estados miembros deben abstenerse de introducir nuevos regímenes nacionales de certificación de la ciberseguridad para productos y servicios de TIC cubiertos ya por un régimen europeo existente.

(57)  El recurso a la certificación europea de la ciberseguridad debe seguir siendo voluntario, salvo que se prevea otra cosa en la legislación nacional o de la Unión. No obstante, con vistas a alcanzar los objetivos del presente Reglamento y evitar la fragmentación del mercado interior, los regímenes o procedimientos nacionales de certificación de la ciberseguridad para productos, procesos y servicios de TIC cubiertos por un régimen europeo de certificación de la ciberseguridad deben dejar de surtir efecto a partir de la fecha establecida por la Comisión en el acto delegado. Además, los Estados miembros deben abstenerse de introducir nuevos regímenes nacionales de certificación de la ciberseguridad para productos y servicios de TIC cubiertos ya por un régimen europeo existente. Ahora bien, el presente Reglamento debe entenderse sin perjuicio del derecho soberano de los Estados miembros a seguir gestionando los regímenes nacionales para los productos, procesos y servicios de TIC utilizados para satisfacer sus necesidades de dominio soberano.

Enmienda    57

Propuesta de Reglamento

Considerando 57 bis (nuevo)

Texto de la Comisión

Enmienda

 

(57 bis)  Se debe introducir la obligación de expedir una declaración de producto que incluya información estructurada sobre la certificación del producto, proceso o servicio al objeto de que el consumidor disponga de más información y pueda tomar decisiones con conocimiento de causa.

Enmienda    58

Propuesta de Reglamento

Considerando 57 ter (nuevo)

Texto de la Comisión

Enmienda

 

(57 ter)  Al proponer nuevos regímenes europeos de ciberseguridad, ENISA y otros organismos pertinentes deben prestar la debida atención a la dinámica competitiva de la propuesta, garantizando específicamente que cuando el sector afectado conste de muchas pequeñas y medianas empresas, como ocurre con el desarrollo de software, los regímenes de certificación no obstaculicen el acceso al mercado de nuevas empresas e innovaciones.

Enmienda    59

Propuesta de Reglamento

Considerando 57 quater (nuevo)

Texto de la Comisión

Enmienda

 

(57 quater)  Los regímenes europeos de ciberseguridad deben contribuir a armonizar y unificar las prácticas de ciberseguridad dentro de la Unión, pero no deben convertirse en el nivel mínimo de ciberseguridad. Además, el diseño de estos regímenes debe tener en cuenta y permitir el desarrollo de nuevas innovaciones en materia de ciberseguridad.

Enmienda    60

Propuesta de Reglamento

Considerando 58

Texto de la Comisión

Enmienda

(58)  Una vez que se adopte un régimen europeo de certificación de la ciberseguridad, los fabricantes de productos de TIC o proveedores de servicios de TIC deben tener la posibilidad de presentar una solicitud de certificación de sus productos o servicios al organismo de evaluación de la conformidad que prefieran. Los organismos de evaluación de la conformidad deben ser acreditados por un organismo de acreditación si cumplen determinados requisitos especificados en el presente Reglamento. La acreditación debe expedirse por un período máximo de cinco años y renovarse en las mismas condiciones, siempre y cuando el organismo de evaluación de la conformidad cumpla los requisitos. Los organismos de acreditación deben revocar la acreditación de un organismo de evaluación de la conformidad cuando las condiciones de la acreditación no se cumplan, o hayan dejado de cumplirse, o si la actuación de dicho organismo de evaluación de la conformidad viola el presente Reglamento.

(58)  Una vez que se adopte un régimen europeo de certificación de la ciberseguridad, los fabricantes de productos de TIC o proveedores de procesos o servicios de TIC deben tener la posibilidad de presentar una solicitud de certificación de sus productos o servicios al organismo de evaluación de la conformidad que prefieran en cualquier parte de la Unión. Los organismos de evaluación de la conformidad deben ser acreditados por un organismo de acreditación si cumplen determinados requisitos especificados en el presente Reglamento. La acreditación debe expedirse por un período máximo de cinco años y renovarse en las mismas condiciones, siempre y cuando el organismo de evaluación de la conformidad cumpla los requisitos. Los organismos de acreditación deben revocar la acreditación de un organismo de evaluación de la conformidad cuando las condiciones de la acreditación no se cumplan, o hayan dejado de cumplirse, o si la actuación de dicho organismo de evaluación de la conformidad viola el presente Reglamento. La Agencia debe llevar a cabo auditorías para garantizar que los organismos de evaluación de la conformidad tengan un nivel equivalente de calidad y diligencia a fin de evitar el arbitraje regulatorio. Los resultados se deben comunicar a la Agencia, la Comisión y el Parlamento y se pondrán a disposición del público.

Enmienda    61

Propuesta de Reglamento

Considerando 58 bis (nuevo)

Texto de la Comisión

Enmienda

 

(58 bis)  El uso obligatorio de la certificación europea de la ciberseguridad debe restringirse a los casos en que un análisis de los riesgos justifique el coste para la industria, los ciudadanos y los consumidores. Los incidentes que perturban servicios esenciales pueden interrumpir las actividades económicas, generar considerables pérdidas económicas, mermar la confianza de los usuarios y causar importantes daños a la economía de la Unión. El uso obligatorio de la certificación europea de la ciberseguridad por parte de los operadores de servicios esenciales debe restringirse a aquellos elementos que son críticos para su funcionamiento y no debe ampliarse a los productos, procesos y servicios de carácter general, lo que implicaría un coste injustificado para la industria y los consumidores. La Comisión debe trabajar conjuntamente con el Grupo de cooperación creado en virtud del artículo 11 de la Directiva (UE) 2016/1148 para definir una lista de categorías de productos, procesos y servicios destinados específicamente al uso de operadores de servicios esenciales y cuyo mal funcionamiento en caso de incidente pueda tener un efecto perturbador significativo en el servicio esencial. Dicha lista debe elaborarse de forma progresiva y ser actualizada cuando proceda. Solo los productos, procesos y servicios que figuren en dicha lista deben ser obligatorios para los operadores de servicios esenciales.

Enmienda    62

Propuesta de Reglamento

Considerando 58 ter (nuevo)

Texto de la Comisión

Enmienda

 

(58 ter)  La presencia de referencias cruzadas en la legislación nacional que remitan a una norma nacional que ha dejado de producir efectos jurídicos debido a la entrada en vigor de un régimen europeo de certificación puede ser una fuente potencial de confusión para los fabricantes y los usuarios finales. A fin de evitar que los fabricantes sigan aplicando las especificaciones correspondientes a certificados nacionales que ya no están en vigor, los Estados miembros, de conformidad con las obligaciones que le incumben en virtud de los Tratados, deben adaptar su legislación nacional para reflejar la adopción de un régimen europeo de certificación.

Enmienda    63

Propuesta de Reglamento

Considerando 59

Texto de la Comisión

Enmienda

(59)  Es necesario exigir a todos los Estados miembros que designen a una autoridad de supervisión de la certificación de la ciberseguridad para supervisar el cumplimiento, por parte de los organismos de evaluación de la conformidad establecidos en su territorio y de los certificados por ellos expedidos, de los requisitos del presente Reglamento y de los regímenes de certificación de la ciberseguridad pertinentes. Las autoridades nacionales de supervisión de la certificación deben tramitar las reclamaciones presentadas por personas físicas o jurídicas en relación con los certificados expedidos por los organismos de evaluación de la conformidad establecidos en su territorio, investigar el asunto objeto de la reclamación en la medida que proceda e informar al reclamante sobre el curso y el resultado de la investigación en un plazo razonable. Además, deben cooperar con otras autoridades nacionales de supervisión de la certificación u otras autoridades públicas, en particular mediante el intercambio de información sobre posibles productos y servicios de TIC que no se ajusten a los requisitos del presente Reglamento o de regímenes de ciberseguridad específicos.

(59)  Es necesario exigir a todos los Estados miembros que designen a una autoridad de supervisión de la certificación de la ciberseguridad para supervisar el cumplimiento, por parte de los organismos de evaluación de la conformidad establecidos en su territorio y de los certificados por ellos expedidos, de los requisitos del presente Reglamento y de los regímenes de certificación de la ciberseguridad pertinentes, y para garantizar el reconocimiento de los certificados europeos de ciberseguridad en su territorio. Las autoridades nacionales de supervisión de la certificación deben tramitar las reclamaciones presentadas por personas físicas o jurídicas en relación con los certificados expedidos por los organismos de evaluación de la conformidad establecidos en su territorio, o con el supuesto no reconocimiento de certificados en su territorio, investigar el asunto objeto de la reclamación en la medida que proceda e informar al reclamante sobre el curso y el resultado de la investigación en un plazo razonable. Además, deben cooperar con otras autoridades nacionales de supervisión de la certificación u otras autoridades públicas, en particular mediante el intercambio de información sobre posibles productos, procesos y servicios de TIC que no se ajusten a los requisitos del presente Reglamento o de regímenes de ciberseguridad específicos, o sobre el no reconocimiento de los certificados europeos de ciberseguridad. Además, deben supervisar y verificar que las autodeclaraciones de conformidad sean conformes y que los certificados europeos de ciberseguridad hayan sido expedidos por organismos de evaluación de la conformidad con arreglo a los requisitos establecidos en el presente Reglamento, incluidas las normas adoptadas por el Grupo Europeo de Certificación de la Ciberseguridad y los requisitos establecidos en el régimen europeo de certificación de la ciberseguridad correspondiente. La cooperación eficaz entre las autoridades nacionales de supervisión de la certificación es esencial para la correcta aplicación de los regímenes europeos de certificación de la ciberseguridad y de cuestiones técnicas relativas a la ciberseguridad de los productos y servicios de TIC. La Comisión debe facilitar ese intercambio de información poniendo a disposición un sistema electrónico general de apoyo a la información, por ejemplo, el sistema de información y comunicación para la vigilancia del mercado (ICSMS) o el sistema de alerta rápida para productos peligrosos no alimenticios (RAPEX), ya utilizados por las autoridades de vigilancia del mercado en virtud del Reglamento (CE) n.º 765/2008.

Enmienda    64

Propuesta de Reglamento

Considerando 60

Texto de la Comisión

Enmienda

(60)  Con vistas a garantizar una aplicación coherente del marco europeo de certificación de la ciberseguridad, debe establecerse un Grupo Europeo de Certificación de la Ciberseguridad (en lo sucesivo, «el Grupo»), constituido por las autoridades nacionales de supervisión de la certificación. Los cometidos principales del Grupo deben ser asesorar y asistir a la Comisión en su labor de garantizar una implantación y aplicación coherentes del marco europeo de certificación de la ciberseguridad; asistir y cooperar estrechamente con la Agencia en la preparación de las propuestas de regímenes de certificación de la ciberseguridad; recomendar que la Comisión solicite a la Agencia que prepare una propuesta de régimen europeo de certificación de la ciberseguridad; y adoptar dictámenes dirigidos a la Comisión relativos al mantenimiento y revisión de los regímenes europeos de certificación de la ciberseguridad existentes.

(60)  Con vistas a garantizar una aplicación coherente del marco europeo de certificación de la ciberseguridad, debe establecerse un Grupo de los Estados Miembros sobre Certificación, constituido por las autoridades nacionales de supervisión de la certificación. Los cometidos principales del Grupo de los Estados Miembros sobre Certificación deben ser asesorar y asistir a la Comisión en su labor de garantizar una implantación y aplicación coherentes del marco europeo de certificación de la ciberseguridad; asistir y cooperar estrechamente con la Agencia en la preparación de las propuestas de regímenes de certificación de la ciberseguridad; recomendar que la Comisión solicite a la Agencia que prepare una propuesta de régimen europeo de certificación de la ciberseguridad; y adoptar dictámenes dirigidos a la Comisión relativos al mantenimiento y revisión de los regímenes europeos de certificación de la ciberseguridad existentes.

Enmienda    65

Propuesta de Reglamento

Considerando 60 bis (nuevo)

Texto de la Comisión

Enmienda

 

(60 bis)  Para garantizar la equivalencia del nivel de competencia de los organismos de evaluación de la conformidad, facilitar el reconocimiento mutuo y fomentar la aceptación general de los certificados y de los resultados de las evaluaciones de conformidad expedidos por los organismos de evaluación de la conformidad, es necesario que las autoridades nacionales de supervisión de la certificación apliquen un sistema riguroso y transparente de evaluación por pares y se sometan periódicamente a dicha evaluación.

Enmienda    66

Propuesta de Reglamento

Considerando 60 ter (nuevo)

Texto de la Comisión

Enmienda

 

(60 ter)  Para aplicar adecuadamente la evaluación por pares y la acreditación transfronteriza, es esencial una cooperación eficaz entre las autoridades nacionales de supervisión de la certificación. Por tanto, en aras de la transparencia, resulta necesario imponer a las autoridades nacionales de supervisión de la certificación la obligación de intercambiar información entre ellas y de facilitar la información pertinente a las autoridades nacionales y a la Comisión. Asimismo, también es preciso hacer pública (y, por tanto, accesible, entre otros, a los organismos de evaluación de la conformidad) información actualizada y exacta sobre la disponibilidad de las actividades de acreditación ofrecidas por los organismos nacionales de acreditación.

Enmienda    67

Propuesta de Reglamento

Considerando 61

Texto de la Comisión

Enmienda

(61)  Con el fin de reforzar la sensibilización y facilitar la aceptación de los futuros regímenes de ciberseguridad de la UE, la Comisión Europea podrá formular directrices generales o sectoriales en materia de ciberseguridad, por ejemplo, sobre buenas prácticas de ciberseguridad o sobre comportamiento responsable en materia de ciberseguridad, destacando el efecto positivo de la utilización de productos y servicios TIC certificados.

(61)  Con el fin de reforzar la sensibilización y facilitar la aceptación de los futuros regímenes de ciberseguridad de la UE, la Comisión Europea podrá formular directrices generales o sectoriales en materia de ciberseguridad, por ejemplo, sobre buenas prácticas de ciberseguridad o sobre comportamiento responsable en materia de ciberseguridad, destacando el efecto positivo de la utilización de productos, procesos y servicios TIC certificados.

Enmienda    68

Propuesta de Reglamento

Considerando 63

Texto de la Comisión

Enmienda

(63)  A fin de precisar los criterios para la acreditación de los organismos de evaluación de la conformidad, deben delegarse en la Comisión los poderes para adoptar actos de conformidad con el artículo 290 del Tratado de Funcionamiento de la Unión Europea. La Comisión debe llevar a cabo las oportunas consultas durante sus trabajos preparatorios, también a nivel de expertos. Dichas consultas deben realizarse de conformidad con los principios establecidos en el Acuerdo interinstitucional sobre la mejora de la legislación de 13 de abril de 2016. En particular, para garantizar una participación equitativa en la preparación de los actos delegados, el Parlamento Europeo y el Consejo deben recibir toda la documentación al mismo tiempo que los expertos de los Estados miembros, y sus expertos tener acceso sistemáticamente a las reuniones de los grupos de expertos de la Comisión que se ocupen de la preparación de actos delegados.

(63)  A fin de precisar los criterios para la acreditación de los organismos de evaluación de la conformidad, deben delegarse en la Comisión los poderes para adoptar actos de conformidad con el artículo 290 del Tratado de Funcionamiento de la Unión Europea. La Comisión debe llevar a cabo las oportunas consultas durante sus trabajos preparatorios, también a nivel de expertos y, cuando proceda, con las partes interesadas pertinentes. Dichas consultas deben realizarse de conformidad con los principios establecidos en el Acuerdo interinstitucional sobre la mejora de la legislación de 13 de abril de 2016. En particular, para garantizar una participación equitativa en la preparación de los actos delegados, el Parlamento Europeo y el Consejo deben recibir toda la documentación al mismo tiempo que los expertos de los Estados miembros, y sus expertos tener acceso sistemáticamente a las reuniones de los grupos de expertos de la Comisión que se ocupen de la preparación de actos delegados.

Enmienda    69

Propuesta de Reglamento

Considerando 65

Texto de la Comisión

Enmienda

(65)  Debe utilizarse el procedimiento de examen para la adopción de los actos de ejecución sobre los regímenes europeos de certificación de la ciberseguridad de productos y servicios de TIC, sobre las modalidades de ejecución de las investigaciones por parte de la Agencia y sobre las circunstancias, formatos y procedimientos de notificación a la Comisión por parte de los organismos de evaluación de la conformidad acreditados por las autoridades nacionales de supervisión de la certificación.

(65)  También pueden adoptarse actos delegados sobre los regímenes europeos de certificación de la ciberseguridad de productos, procesos y servicios de TIC, sobre las modalidades de ejecución de las investigaciones por parte de la Agencia; y sobre las circunstancias, formatos y procedimientos de notificación a la Comisión por parte de los organismos de evaluación de la conformidad acreditados por las autoridades nacionales de supervisión de la certificación.

Enmienda    70

Propuesta de Reglamento

Considerando 66

Texto de la Comisión

Enmienda

(66)  Las actividades de la Agencia deben evaluarse de modo independiente. La evaluación debe tener en cuenta el logro de sus objetivos por parte de la Agencia, sus prácticas de trabajo y la pertinencia de sus tareas. La evaluación también debe valorar el impacto, eficacia y eficiencia del marco europeo de certificación de la ciberseguridad.

(66)  Las actividades de la Agencia deben evaluarse de modo permanente e independiente. La evaluación debe tener en cuenta el logro de sus objetivos por parte de la Agencia, sus prácticas de trabajo y la pertinencia de sus tareas, en particular su función de coordinación frente a los Estados miembros y sus autoridades nacionales. En caso de revisión, la Comisión debe evaluar la posibilidad de que la Agencia actúe como ventanilla única para los Estados miembros y las instituciones y organismos de la Unión.

Enmienda    71

Propuesta de Reglamento

Considerando 66 bis (nuevo)

Texto de la Comisión

Enmienda

 

(66 bis)  La evaluación también debe valorar el impacto, la eficacia y la eficiencia del marco europeo de certificación de la ciberseguridad. En caso de revisión, la Comisión podría valorar que se encomiende a la Agencia el cometido de evaluar los productos y servicios de terceros países que se introduzcan en el mercado de la Unión y la posibilidad de elaborar una lista negra con las empresas que no cumplan la normativa de la Unión.

Enmienda    72

Propuesta de Reglamento

Considerando 66 ter (nuevo)

Texto de la Comisión

Enmienda

 

(66 ter)  La evaluación debe analizar el nivel de ciberseguridad de los productos y servicios vendidos en la Unión. En el caso de revisión, la Comisión debe evaluar si procede incluir requisitos esenciales de ciberseguridad como condición para el acceso al mercado interior.

Enmienda    73

Propuesta de Reglamento

Artículo 1 – párrafo 1 – letra a

Texto de la Comisión

Enmienda

a)  establece los objetivos, funciones y aspectos organizativos de ENISA, la «Agencia de Ciberseguridad de la UE», denominada en lo sucesivo «la Agencia»; y

a)  establece los objetivos, funciones y aspectos organizativos de la Agencia de Seguridad de las Redes y de la Información de la Unión Europea (en lo sucesivo, «la Agencia»); y

Enmienda    74

Propuesta de Reglamento

Artículo 1 – párrafo 1 – letra b

Texto de la Comisión

Enmienda

b)  establece un marco para la creación de regímenes europeos de certificación de la ciberseguridad, a efectos de garantizar un nivel adecuado de ciberseguridad de los productos y servicios de TIC en la Unión. Dicho marco se aplicará sin perjuicio de las disposiciones específicas relativas a la certificación de carácter voluntario u obligatorio contenidas en otros actos de la Unión.

b)  establece un marco para la creación de regímenes europeos de certificación de la ciberseguridad, a efectos de evitar una fragmentación de los regímenes de certificación de la Unión y garantizar un nivel adecuado de ciberseguridad de los productos, procesos y servicios de TIC, que se aplicará sin perjuicio de las disposiciones específicas relativas a la certificación de carácter voluntario y, en su caso, obligatorio cuando así lo dispongan el presente Reglamento u otros actos de la Unión.

Enmienda    75

Propuesta de Reglamento

Artículo 1 – párrafo 1 bis (nuevo)

Texto de la Comisión

Enmienda

 

La Agencia desempeñará sus cometidos sin perjuicio de las competencias de los Estados miembros en materia de ciberseguridad, en particular, las competencias de los Estados miembros en materia de seguridad pública, defensa, seguridad nacional y Derecho penal.

Enmienda    76

Propuesta de Reglamento

Artículo 2 – párrafo 1 – punto 1

Texto de la Comisión

Enmienda

1)  «ciberseguridad», todas las actividades necesarias para la protección de las redes y sistemas de información, de sus usuarios y de las personas afectadas por las ciberamenazas;

  (No afecta a la versión española.)

Enmienda    77

Propuesta de Reglamento

Artículo 2 – párrafo 1 – punto 2

Texto de la Comisión

Enmienda

2)  «redes y sistemas de información», un sistema en el sentido del artículo 4, punto 1, de la Directiva (UE) 2016/1148;

2)  «redes y sistemas de información», las redes y sistemas de información según se definen en el artículo 4, punto 1, de la Directiva (UE) 2016/1148;

Enmienda    78

Propuesta de Reglamento

Artículo 2 – párrafo 1 – punto 3

Texto de la Comisión

Enmienda

3)  «estrategia nacional de seguridad de las redes y sistemas de información», un marco en el sentido del artículo 4, punto 3, de la Directiva (UE) 2016/1148;

3)  «estrategia nacional de seguridad de las redes y sistemas de información», una estrategia nacional de seguridad de las redes y sistemas de información según se define en el artículo 4, punto 3, de la Directiva (UE) 2016/1148;

Enmienda    79

Propuesta de Reglamento

Artículo 2 – párrafo 1 – punto 4

Texto de la Comisión

Enmienda

4)  «operador de servicios esenciales», una entidad pública o privada según se define en el artículo 4, punto 4, de la Directiva (UE) 2016/1148;

4)  «operador de servicios esenciales», un operador de servicios esenciales según se define en el artículo 4, punto 4, de la Directiva (UE) 2016/1148;

Enmienda    80

Propuesta de Reglamento

Artículo 2 – párrafo 1 – punto 5

Texto de la Comisión

Enmienda

5)  «proveedor de servicios digitales», una persona jurídica que presta un servicio digital según se define en el artículo 4, punto 6, de la Directiva (UE) 2016/1148;

5)  «proveedor de servicios digitales», un proveedor de servicios digitales según se define en el artículo 4, punto 6, de la Directiva (UE) 2016/1148;

Enmienda    81

Propuesta de Reglamento

Artículo 2 – párrafo 1 – punto 6

Texto de la Comisión

Enmienda

6)  «incidente», un hecho según se define en el artículo 4, punto 7, de la Directiva (UE) 2016/1148;

6)  «incidente», un incidente según se define en el artículo 4, punto 7, de la Directiva (UE) 2016/1148;

Enmienda    82

Propuesta de Reglamento

Artículo 2 – párrafo 1 – punto 7

Texto de la Comisión

Enmienda

7)  «gestión de incidentes», un procedimiento según se define en el artículo 4, punto 8, de la Directiva (UE) 2016/1148;

7)  «gestión de incidentes», la gestión de incidentes según se define en el artículo 4, punto 8, de la Directiva (UE) 2016/1148;

Enmienda    83

Propuesta de Reglamento

Artículo 2 – párrafo 1 – punto 8

Texto de la Comisión

Enmienda

8)  «ciberamenaza», cualquier circunstancia potencial o hecho que pueda afectar desfavorablemente a las redes y los sistemas de información, a sus usuarios y a las personas afectadas;

8)  «ciberamenaza», cualquier circunstancia potencial, hecho o acción deliberada, incluida una orden automatizada, que pueda dañar, perturbar o afectar desfavorablemente de otro modo a las redes y los sistemas de información, a sus usuarios y a las personas afectadas;

Enmienda    84

Propuesta de Reglamento

Artículo 2 – párrafo 1 – punto 8 bis (nuevo)

Texto de la Comisión

Enmienda

 

8 bis)  «ciberhigiene», sencillas medidas de rutina que, aplicadas con regularidad por los usuarios y las empresas en línea, minimizan su exposición a los riesgos derivados de las ciberamenazas;

Enmienda    85

Propuesta de Reglamento

Artículo 2 – párrafo 1 – punto 9

Texto de la Comisión

Enmienda

9)  «régimen europeo de certificación de la ciberseguridad», conjunto completo de disposiciones, requisitos técnicos, normas y procedimientos definidos a nivel de la Unión aplicables a la certificación de los productos y servicios de tecnologías de la información y la comunicación (TIC) incluidos en el ámbito de aplicación de dicho régimen específico;

9)  «régimen europeo de certificación de la ciberseguridad», conjunto completo de disposiciones, requisitos técnicos, normas y procedimientos definidos a nivel de la Unión, y acordes con las normas internacionales y europeas y las especificaciones de TIC identificadas por la Agencia, que son aplicables a la certificación de los productos, servicios y procesos de tecnologías de la información y la comunicación (TIC) incluidos en el ámbito de aplicación de dicho régimen específico;

Enmienda    86

Propuesta de Reglamento

Artículo 2 – párrafo 1 – punto 10

Texto de la Comisión

Enmienda

10)  «certificado europeo de ciberseguridad», documento expedido por un organismo de evaluación de la conformidad que certifica que determinado producto o servicio de TIC cumple los requisitos específicos establecidos en un régimen europeo de certificación de la ciberseguridad;

10)  «certificado europeo de ciberseguridad», documento expedido por un organismo de evaluación de la conformidad que certifica que determinado producto, servicio o proceso de TIC cumple los requisitos específicos establecidos en un régimen europeo de certificación de la ciberseguridad;

Enmienda    87

Propuesta de Reglamento

Artículo 2 – párrafo 1 – punto 11 bis (nuevo)

Texto de la Comisión

Enmienda

 

11 bis)  «proceso de TIC», conjunto de actividades llevadas a cabo para la concepción, desarrollo, mantenimiento y suministro de un producto o servicio de TIC;

Enmienda    88

Propuesta de Reglamento

Artículo 2 – párrafo 2 – punto 11 ter (nuevo)

Texto de la Comisión

Enmienda

 

11 ter)  «dispositivo electrónico de consumo», dispositivo que se compone de hardware y software y que procesa datos personales o se conecta a internet para el funcionamiento de equipos de domótica y de control doméstico, equipos de ofimática, equipos de encaminamiento y dispositivos que se conectan a una red, como televisores inteligentes, juguetes y consolas de juego, asistentes virtuales o personales, dispositivos de transmisión conectados, tecnología ponible y sistemas de comando por voz y realidad virtual;

Enmienda    89

Propuesta de Reglamento

Artículo 2 – párrafo 1 – punto 16

Texto de la Comisión

Enmienda

16)  «norma», una norma según se define en el artículo 2, punto 1, del Reglamento (UE) n.º 1025/2012.

16)  «norma, especificación técnica y especificación técnica de las TIC», una norma, una especificación técnica y una especificación técnica de las TIC según se definen en el artículo 2, puntos 1, 4 y 5, del Reglamento (UE) n.º 1025/2012;

Enmienda    90

Propuesta de Reglamento

Artículo 2 – párrafo 1 – punto 16 bis (nuevo)

Texto de la Comisión

Enmienda

 

16 bis)  «autoridad nacional de supervisión de la certificación», organismo designado por un Estado miembro de conformidad con el artículo 50 del presente Reglamento;

Enmienda    91

Propuesta de Reglamento

Artículo 2 – párrafo 2 – punto 16 ter (nuevo)

Texto de la Comisión

Enmienda

 

16 ter)  «autoevaluación», declaración de conformidad mediante la cual el fabricante declara que se han cumplido los requisitos específicos establecidos en un régimen de certificación en relación con productos, procesos y servicios;

Enmienda    92

Propuesta de Reglamento

Artículo 2 – párrafo 2 – punto 16 quater (nuevo)

Texto de la Comisión

Enmienda

 

16 quater)  «seguridad por defecto», situación en la que, si un producto, un software o un proceso puede configurarse de modo que se garantice un mayor nivel de seguridad, el primer usuario recibirá la configuración por defecto que ofrezca los ajustes más seguros; si un análisis de riesgos y de manejabilidad caso por caso lleva a la conclusión de que tal configuración no es viable, se deberá incitar a los usuarios a optar por la configuración más segura;

Enmienda    93

Propuesta de Reglamento

Artículo 2 – párrafo 2 – punto 16 quinquies (nuevo)

Texto de la Comisión

Enmienda

 

16 quinquies)  «operadores de servicios esenciales», operadores de servicios esenciales según se definen en el artículo 4, punto 4, de la Directiva (UE) 2016/1148;

Enmienda    94

Propuesta de Reglamento

Artículo 3 – apartado 1

Texto de la Comisión

Enmienda

1.  La Agencia desempeñará los cometidos que le asigna el presente Reglamento con el fin de contribuir a un elevado nivel de ciberseguridad dentro de la Unión.

1.  La Agencia desempeñará los cometidos que le asigna el presente Reglamento y será reforzada con el fin de contribuir a lograr un elevado nivel común de ciberseguridad, de modo que se impidan los ciberataques dentro de la Unión; se reduzca la fragmentación en el mercado interior y se mejore su funcionamiento, y se garantice la coherencia teniendo en cuenta los logros en la cooperación de los Estados miembros en virtud de la Directiva SRI.

Enmienda    95

Propuesta de Reglamento

Artículo 4 – apartado 1

Texto de la Comisión

Enmienda

1.  La Agencia será un centro de conocimientos técnicos sobre ciberseguridad en virtud de su independencia, la calidad científica y técnica del asesoramiento y la asistencia prestados y la información ofrecida, la transparencia de sus procedimientos operativos y métodos de funcionamiento y su diligencia en el desempeño de sus funciones.

1.  La Agencia será un centro de conocimientos técnicos teóricos y prácticos sobre ciberseguridad en virtud de su independencia, la calidad científica y técnica del asesoramiento y la asistencia prestados y la información ofrecida, la transparencia de sus procedimientos operativos y métodos de funcionamiento y su diligencia en el desempeño de sus funciones.

Enmienda    96

Propuesta de Reglamento

Artículo 4 – apartado 2

Texto de la Comisión

Enmienda

2.  La Agencia asistirá a las instituciones, órganos y organismos de la Unión, así como a los Estados miembros, en la elaboración y aplicación de políticas relativas a la ciberseguridad.

2.  La Agencia asistirá a las instituciones, órganos y organismos de la Unión, así como a los Estados miembros, en la elaboración y aplicación de políticas relativas a la ciberseguridad y en la sensibilización de los ciudadanos y las empresas.

Enmienda    97

Propuesta de Reglamento

Artículo 4 – apartado 3

Texto de la Comisión

Enmienda

3.  La Agencia prestará su apoyo a la creación de capacidades y a la preparación en toda la Unión, asistiendo a la Unión, los Estados miembros y las partes interesadas públicas y privadas a fin de incrementar la protección de sus redes y sistemas de información, desarrollar las capacidades y competencias en el ámbito de la ciberseguridad y lograr la ciberresiliencia.

3.  La Agencia prestará su apoyo a la creación de capacidades y a la preparación en todas las instituciones, órganos y organismos de la Unión, asistiendo a la Unión, los Estados miembros y las partes interesadas públicas y privadas a fin de incrementar la protección de sus redes y sistemas de información, desarrollar y mejorar la ciberresiliencia y las capacidades de respuesta, trabajar en la sensibilización y desarrollar las capacidades y competencias en el ámbito de la ciberseguridad y lograr la ciberresiliencia.

Enmienda    98

Propuesta de Reglamento

Artículo 4 – apartado 4

Texto de la Comisión

Enmienda

4.  La Agencia fomentará la cooperación y la coordinación a nivel de la Unión entre los Estados miembros, las instituciones, órganos y organismos de la Unión y las partes interesadas pertinentes, incluido el sector privado, sobre las cuestiones relacionadas con la ciberseguridad.

4.  La Agencia fomentará la cooperación, la coordinación y el intercambio de información a nivel de la Unión entre los Estados miembros, las instituciones, órganos y organismos de la Unión y las partes interesadas pertinentes sobre las cuestiones relacionadas con la ciberseguridad.

Enmienda    99

Propuesta de Reglamento

Artículo 4 – apartado 5

Texto de la Comisión

Enmienda

5.  La Agencia incrementará las capacidades de ciberseguridad a nivel de la Unión para complementar la acción de los Estados miembros en la prevención y respuesta a las ciberamenazas, especialmente en caso de incidentes transfronterizos.

5.  La Agencia contribuirá al incremento de las capacidades de ciberseguridad a nivel de la Unión para complementar la acción de los Estados miembros en la prevención y respuesta a las ciberamenazas, especialmente en caso de incidentes transfronterizos, y para llevar a cabo su cometido de ayudar a las instituciones de la Unión a desarrollar políticas relacionadas con la ciberseguridad.

Enmienda    100

Propuesta de Reglamento

Artículo 4 – apartado 6

Texto de la Comisión

Enmienda

6.  La Agencia promoverá el uso de la certificación, en particular contribuyendo a la creación y el mantenimiento de un marco de certificación de la ciberseguridad a nivel de la Unión de conformidad con el título III del presente Reglamento, con el fin de aumentar la transparencia de la garantía de ciberseguridad de los productos y servicios de TIC y reforzar así la confianza en el mercado interior digital.

6.  La Agencia promoverá el uso de la certificación al objeto de evitar la fragmentación del mercado interior y mejorar su funcionamiento, en particular contribuyendo a la creación y el mantenimiento de un marco de certificación de la ciberseguridad a nivel de la Unión de conformidad con el título III del presente Reglamento, con el fin de aumentar la transparencia de la garantía de ciberseguridad de los productos, servicios y procesos de TIC y reforzar así la confianza en el mercado interior digital, así como de incrementar la compatibilidad entre los regímenes de certificación nacionales e internacionales ya existentes.

Enmienda    101

Propuesta de Reglamento

Artículo 4 – apartado 7

Texto de la Comisión

Enmienda

7.  La Agencia promoverá un alto nivel de sensibilización de los ciudadanos y empresas en torno a las cuestiones relacionadas con la ciberseguridad.

7.  La Agencia promoverá y respaldará proyectos que contribuyan a lograr un alto nivel de sensibilización, ciberhigiene y ciberalfabetización de los ciudadanos y empresas en torno a las cuestiones relacionadas con la ciberseguridad.

Enmienda    102

Propuesta de Reglamento

Artículo 5 – párrafo 1 – punto 1

Texto de la Comisión

Enmienda

1.  Prestando asistencia y asesoramiento, en particular emitiendo su dictamen independiente y aportando trabajos preparatorios, en el desarrollo y la revisión de la política y la legislación de la Unión en el ámbito de la ciberseguridad, así como las iniciativas políticas y legislativas sectoriales cuando estén presentes cuestiones relacionadas con la ciberseguridad.

1.  Prestando asistencia y asesoramiento, en particular emitiendo su dictamen y análisis independientes sobre las actividades pertinentes en el ciberespacio y aportando trabajos preparatorios, en el desarrollo y la revisión de la política y la legislación de la Unión en el ámbito de la ciberseguridad, así como las iniciativas políticas y legislativas sectoriales cuando estén presentes cuestiones relacionadas con la ciberseguridad.

Enmienda    103

Propuesta de Reglamento

Artículo 5 – párrafo 1 – punto 2

Texto de la Comisión

Enmienda

2.  Asistiendo a los Estados miembros para que apliquen de manera coherente la política y la legislación de la Unión en materia de ciberseguridad, especialmente en relación con la Directiva (UE) 2016/1148, en particular a través de dictámenes, directrices, recomendaciones y mejores prácticas sobre temas como la gestión de riesgos, la notificación de incidentes y la comunicación de información, así como facilitando el intercambio de mejores prácticas entre las autoridades competentes a este respecto.

2.  Asistiendo a los Estados miembros para que apliquen de manera coherente la política y la legislación de la Unión en materia de ciberseguridad, especialmente en relación con la Directiva (UE) 2016/1148, la Directiva ... por la que se establece el Código Europeo de las Comunicaciones Electrónicas, el Reglamento (UE) 2016/679 y la Directiva 2002/58/CE, en particular a través de dictámenes, directrices, recomendaciones y mejores prácticas sobre temas como el desarrollo de software y sistemas seguros, la gestión de riesgos, la notificación de incidentes y la comunicación de información, las medidas técnicas y organizativas, en particular la creación de programas de divulgación coordinada de vulnerabilidades, así como facilitando el intercambio de mejores prácticas entre las autoridades competentes a este respecto.

Enmienda    104

Propuesta de Reglamento

Artículo 5 – párrafo 1 – punto 2 bis (nuevo)

Texto de la Comisión

Enmienda

 

2 bis.  Desarrollando y promoviendo políticas que apoyen la disponibilidad general y la integridad del núcleo público de la internet abierta, que posibilitan la funcionalidad esencial de internet en su conjunto y sostienen su funcionamiento normal, incluidos, en particular, la seguridad y la estabilidad de los protocolos clave (en particular, DNS, BGP e IPv6), el funcionamiento del sistema de nombres de dominio (incluidos los de todos los dominios de nivel superior) y el funcionamiento de la zona raíz.

Enmienda    105

Propuesta de Reglamento

Artículo 5 – párrafo 1 – punto 4 – punto 2

Texto de la Comisión

Enmienda

2)  la promoción de una mejora del nivel de seguridad de las comunicaciones electrónicas, en particular ofreciendo asistencia y asesoramiento y facilitando el intercambio de mejores prácticas entre las autoridades competentes.

2)  la promoción de una mejora del nivel de seguridad de las comunicaciones electrónicas, el almacenamiento de datos y el tratamiento de datos, en particular ofreciendo asistencia y asesoramiento y facilitando el intercambio de mejores prácticas entre las autoridades competentes.

Enmienda    106

Propuesta de Reglamento

Artículo 5 – párrafo 1 – punto 5 bis (nuevo)

Texto de la Comisión

Enmienda

 

5 bis.  Asistiendo a los Estados miembros para que apliquen de manera coherente la política y la legislación de la Unión relativas a la protección de datos, en particular el Reglamento (UE) 2016/679, y ayudando al Comité Europeo de Protección de Datos a elaborar directrices acerca de la aplicación de dicho Reglamento en materia de ciberseguridad. El Comité Europeo de Protección de Datos consultará a la Agencia cada vez que emita un dictamen o adopte una decisión sobre la aplicación del Reglamento general de protección de datos y la ciberseguridad, por ejemplo, en cuestiones relativas a la evaluación del impacto en la intimidad, la notificación de las violaciones de la seguridad de los datos, la seguridad del tratamiento, los requisitos de seguridad y la protección de la intimidad desde el diseño, entre otras.

Enmienda    107

Propuesta de Reglamento

Artículo 6 – apartado 1 – letra a bis (nueva)

Texto de la Comisión

Enmienda

 

a bis)  a los Estados miembros y a las instituciones de la Unión en el establecimiento y la aplicación de políticas de divulgación coordinada de vulnerabilidades y procesos gubernamentales de revisión de la divulgación de vulnerabilidades, cuyas prácticas y determinaciones deben ser transparentes y estar sujetas a supervisión independiente;

Enmienda    108

Propuesta de Reglamento

Artículo 6 – apartado 1 – letra a ter (nueva)

Texto de la Comisión

Enmienda

 

a ter)  la Agencia facilitará la creación y la puesta en marcha de un proyecto a largo plazo de seguridad informática europea al objeto de seguir impulsando la investigación en materia de ciberseguridad en la Unión y los Estados miembros, en colaboración con el Consejo Europeo de Investigación (CEI) y el Instituto Europeo de Innovación y Tecnología (EIT), y en relación con los programas de investigación de la Unión;

Enmienda    109

Propuesta de Reglamento

Artículo 6 – apartado 1 – letra g

Texto de la Comisión

Enmienda

g)  a los Estados miembros, organizando cada año los ejercicios de ciberseguridad a gran escala a nivel de la Unión a que se refiere el artículo 7, apartado 6, y formulando recomendaciones políticas basadas en el proceso de evaluación de los ejercicios y en las enseñanzas extraídas de ellos;

g)  a los Estados miembros, organizando periódicamente y, como mínimo, cada año los ejercicios de ciberseguridad a gran escala a nivel de la Unión a que se refiere el artículo 7, apartado 6, y formulando recomendaciones políticas e intercambiando mejores prácticas basadas en el proceso de evaluación de los ejercicios y en las enseñanzas extraídas de ellos;

Enmienda    110

Propuesta de Reglamento

Artículo 6 – apartado 2

Texto de la Comisión

Enmienda

2.  La Agencia facilitará el establecimiento de centros sectoriales de puesta en común y análisis de la información (ISAC) y les prestará un apoyo continuado, en particular en los sectores que figuran en el anexo II de la Directiva (UE) 2016/1148, aportando mejores prácticas y orientaciones sobre las herramientas disponibles, el procedimiento y la manera de abordar los asuntos normativos relacionados con el intercambio de información.

2.  La Agencia facilitará el establecimiento de centros sectoriales de puesta en común y análisis de la información (ISAC) y les prestará un apoyo continuado, en particular en los sectores que figuran en el anexo II de la Directiva (UE) 2016/1148, aportando mejores prácticas y orientaciones sobre las herramientas disponibles, el procedimiento, los principios de ciberhigiene y la manera de abordar los asuntos normativos relacionados con el intercambio de información.

Enmienda    111

Propuesta de Reglamento

Artículo 7 – apartado 1

Texto de la Comisión

Enmienda

1.  La Agencia apoyará la cooperación operativa entre los organismos públicos competentes y entre las partes interesadas.

1.  La Agencia apoyará la cooperación operativa entre los Estados miembros y las instituciones, órganos y organismos de la Unión, y entre las partes interesadas, a fin de establecer una colaboración, analizando y evaluando los regímenes nacionales existentes, elaborando y ejecutando un plan y utilizando los instrumentos pertinentes para lograr el máximo nivel de certificación de la ciberseguridad en la Unión y los Estados miembros.

Enmienda    112

Propuesta de Reglamento

Artículo 7 – apartado 4 – párrafo 1 – letra b

Texto de la Comisión

Enmienda

b)  proporcionando, previa solicitud, asistencia técnica en caso de incidentes con un impacto significativo o sustancial;

b)  proporcionando, previa solicitud, asistencia técnica en forma de intercambio de información y conocimientos técnicos en caso de incidentes con un impacto significativo o sustancial;

Enmienda    113

Propuesta de Reglamento

Artículo 7 – apartado 4 – párrafo 1 – letra b bis (nueva)

Texto de la Comisión

Enmienda

 

b bis)  cuando una situación exija medidas urgentes a raíz de un incidente con un efecto perturbador significativo, un Estado miembro podrá solicitar la ayuda de expertos de la Agencia para que evalúen la situación; la solicitud incluirá una descripción de la situación, los posibles objetivos y las necesidades previstas;

Enmienda    114

Propuesta de Reglamento

Artículo 7 – apartado 5 – párrafo 1

Texto de la Comisión

Enmienda

A petición de dos o más Estados miembros afectados y con el único objetivo de prestar asesoramiento para la prevención de incidentes futuros, la Agencia prestará apoyo para que se realice, o realizará, una investigación técnica ex post tras las notificaciones por las empresas afectadas de incidentes que tengan un impacto significativo o sustancial con arreglo a la Directiva (UE) 2016/1148. La Agencia también llevará a cabo dicha investigación tras una solicitud debidamente justificada de la Comisión de acuerdo con los Estados miembros afectados en caso de incidentes que afecten a más de dos Estados miembros.

A petición de uno o más Estados miembros afectados y con el único objetivo de prestar asistencia mediante asesoramiento para la prevención de incidentes futuros o mediante ayuda para responder a incidentes actuales a gran escala, la Agencia prestará apoyo para que se realice, o realizará, una investigación técnica ex post tras las notificaciones por las empresas afectadas de incidentes que tengan un impacto significativo o sustancial con arreglo a la Directiva (UE) 2016/1148. La Agencia llevará a cabo las actividades anteriores recibiendo la información pertinente de los Estados miembros afectados y utilizando sus propios recursos para analizar las amenazas y los recursos de respuesta a incidentes. La Agencia también llevará a cabo dicha investigación tras una solicitud debidamente justificada de la Comisión de acuerdo con los Estados miembros afectados en caso de incidentes que afecten a más de un Estado miembro. Para ello, la Agencia se asegurará de que no se divulguen las medidas adoptadas por los Estados miembros para salvaguardar sus funciones estatales esenciales, en particular las relativas a la seguridad nacional.

Enmienda    115

Propuesta de Reglamento

Artículo 7 – apartado 6

Texto de la Comisión

Enmienda

6.  La Agencia organizará anualmente ejercicios de ciberseguridad a nivel de la Unión y apoyará a los Estados miembros y a las instituciones, órganos y organismos de la UE en la organización de ejercicios a petición suya. Los ejercicios anuales a nivel de la Unión incluirán elementos técnicos, operativos y estratégicos y contribuirán a preparar la respuesta cooperativa a nivel de la Unión a los incidentes de ciberseguridad a gran escala y de carácter transfronterizo. La Agencia participará asimismo en la realización de ejercicios sectoriales de ciberseguridad, y contribuirá a organizarlos cuando proceda, junto con los ISAC pertinentes y permitirá a los ISAC participar también en los ejercicios de ciberseguridad a nivel de la Unión.

6.  La Agencia organizará de manera periódica, y como mínimo anualmente, ejercicios de ciberseguridad a nivel de la Unión y apoyará a los Estados miembros y a las instituciones, órganos y organismos de la UE en la organización de ejercicios a petición suya. Los ejercicios anuales a nivel de la Unión incluirán elementos técnicos, operativos y estratégicos y contribuirán a preparar la respuesta cooperativa a nivel de la Unión a los incidentes de ciberseguridad a gran escala y de carácter transfronterizo. La Agencia participará asimismo en la realización de ejercicios sectoriales de ciberseguridad, y contribuirá a organizarlos cuando proceda, junto con los ISAC pertinentes y permitirá a los ISAC participar también en los ejercicios de ciberseguridad a nivel de la Unión.

Enmienda    116

Propuesta de Reglamento

Artículo 7 – apartado 7

Texto de la Comisión

Enmienda

7.  La Agencia elaborará un informe periódico sobre la situación técnica de la ciberseguridad en la UE, relativo a incidentes y amenazas, basándose en la información de fuentes abiertas, en su propio análisis y en los informes comunicados, entre otros, por los CSIRT de los Estados miembros (con carácter voluntario) o los puntos de contacto únicos de la Directiva SRI (de conformidad con su artículo 14, apartado 5), el Centro Europeo de Ciberdelincuencia (EC3) de Europol y el CERT-UE.

7.  La Agencia elaborará un informe periódico y pormenorizado sobre la situación técnica de la ciberseguridad en la UE, relativo a incidentes y amenazas, basándose en la información de fuentes abiertas, en su propio análisis y en los informes comunicados, entre otros, por los CSIRT de los Estados miembros (con carácter voluntario) o los puntos de contacto únicos de la Directiva SRI (de conformidad con su artículo 14, apartado 5), el Centro Europeo de Ciberdelincuencia (EC3) de Europol y el CERT-UE. El director ejecutivo presentará los resultados públicos al Parlamento Europeo cuando proceda.

Enmienda    117

Propuesta de Reglamento

Artículo 7 – apartado 7 bis (nuevo)

Texto de la Comisión

Enmienda

 

7 bis.  La Agencia, cuando proceda y previa aprobación de la Comisión, contribuirá a la cooperación en materia de ciberseguridad con el Centro de Excelencia para la Ciberdefensa Cooperativa y la Academia de Comunicaciones e Información de la OTAN.

Enmienda    118

Propuesta de Reglamento

Artículo 7 – apartado 8 – letra a

Texto de la Comisión

Enmienda

a)  agregación de los informes procedentes de fuentes nacionales, con vistas a contribuir a la creación de una perspectiva común de la situación;

a)  análisis y agregación de los informes procedentes de fuentes nacionales, con vistas a contribuir a la creación de una perspectiva común de la situación;

Enmienda    119

Propuesta de Reglamento

Artículo 7 – apartado 8 – letra c

Texto de la Comisión

Enmienda

c)  apoyo a la gestión técnica de un incidente o crisis, en particular facilitando la puesta en común de soluciones técnicas entre los Estados miembros;

c)  apoyo a la gestión técnica de un incidente o crisis, sobre la base de sus propios conocimientos técnicos y recursos independientes, en particular facilitando la puesta en común voluntaria de soluciones técnicas entre los Estados miembros;

Enmienda    120

Propuesta de Reglamento

Artículo 7 – apartado 8 bis (nuevo)

Texto de la Comisión

Enmienda

 

8 bis.  La Agencia organizará un intercambio de puntos de vista cuando sea necesario y asistirá a las autoridades de los Estados miembros en la coordinación de su respuesta, de conformidad con los principios de subsidiariedad y proporcionalidad.

Enmienda    121

Propuesta de Reglamento

Artículo 7 bis (nuevo)

Texto de la Comisión

Enmienda

 

Artículo 7 bis

 

Capacidades técnicas de la Agencia

 

1. Con el fin de alcanzar los objetivos descritos en el artículo 7, y de conformidad con su programa de trabajo, la Agencia, entre otras actividades, desarrollará las siguientes capacidades técnicas y competencias:

 

a) la capacidad de recopilar información sobre las amenazas para la ciberseguridad de fuente abierta, y

 

b) la capacidad de desplegar equipos técnicos, herramientas y conocimientos técnicos a distancia.

 

2. Al objeto de conseguir las capacidades técnicas a que se refiere el apartado 1 del presente artículo y de desarrollar las competencias correspondientes, la Agencia:

 

a) velará por que sus procesos de contratación de personal reflejen la diversidad de competencias técnicas requeridas; y

 

b) cooperará con CERT UE y Europol de conformidad con el artículo 7, apartado 2, del presente Reglamento.

Enmienda    122

Propuesta de Reglamento

Artículo 8 – párrafo 1 – letra a – parte introductoria

Texto de la Comisión

Enmienda

a)  Apoyará y promoverá el desarrollo y la aplicación de la política de la Unión en materia de certificación de la ciberseguridad de productos y servicios de TIC, según lo establecido en el título III del presente Reglamento, por los siguientes medios:

a)  Apoyará y promoverá el desarrollo y la aplicación de la política de la Unión en materia de certificación de la ciberseguridad de productos, servicios y procesos de TIC, según lo establecido en el título III del presente Reglamento, por los siguientes medios:

Enmienda    123

Propuesta de Reglamento

Artículo 8 – párrafo 1 – letra a – punto -1 (nuevo)

Texto de la Comisión

Enmienda

 

-1)  identificar de manera continuada normas, especificaciones técnicas y especificaciones técnicas de las TIC;

Enmienda    124

Propuesta de Reglamento

Artículo 8 – párrafo 1 – letra a – punto 1

Texto de la Comisión

Enmienda

1)  preparar propuestas de regímenes europeos de certificación de la ciberseguridad para productos y servicios de TIC de conformidad con el artículo 44 del presente Reglamento;

1)  preparar, en cooperación con las partes interesadas de la industria y los organismos de normalización en un proceso formal, normalizado y transparente, propuestas de regímenes europeos de certificación de la ciberseguridad para productos, servicios y procesos de TIC de conformidad con el artículo 44 del presente Reglamento;

Enmienda    125

Propuesta de Reglamento

Artículo 8 – párrafo 1 – letra a – punto 1 bis (nuevo)

Texto de la Comisión

Enmienda

 

1 bis)  realizar, en cooperación con el Grupo de los Estados Miembros sobre Certificación de conformidad con el artículo 53 del presente Reglamento, evaluaciones de los procedimientos de expedición de los certificados europeos de ciberseguridad establecidos por los organismos de evaluación de la conformidad a que se refiere el artículo 51 del presente Reglamento, con el fin de garantizar la aplicación uniforme del presente Reglamento por parte de dichos organismos en lo que se refiere a la expedición de certificados;

Enmienda    126

Propuesta de Reglamento

Artículo 8 – párrafo 1 – letra a – punto 1 ter (nuevo)

Texto de la Comisión

Enmienda

 

1 ter)  llevar a cabo controles ex post periódicos e independientes sobre la conformidad de los productos, procesos y servicios de TIC certificados con los regímenes europeos de certificación de la ciberseguridad;

Enmienda    127

Propuesta de Reglamento

Artículo 8 – párrafo 1 – letra a – punto 2

Texto de la Comisión

Enmienda

2)  asistir a la Comisión, encargándose de la secretaría del Grupo Europeo de Certificación de la Ciberseguridad de conformidad con el artículo 53 del presente Reglamento;

2)  asistir a la Comisión, encargándose de la secretaría del Grupo de los Estados Miembros sobre Certificación de conformidad con el artículo 53 del presente Reglamento;

Enmienda    128

Propuesta de Reglamento

Artículo 8 – párrafo 1 – letra a – punto 3

Texto de la Comisión

Enmienda

3)  recopilar y publicar directrices y desarrollar buenas prácticas relativas a los requisitos de ciberseguridad de los productos y servicios de TIC, en cooperación con las autoridades nacionales de supervisión de la certificación y con la industria.

3)  recopilar y publicar directrices y desarrollar buenas prácticas, incluidos principios de ciberhigiene, relativas a los requisitos de ciberseguridad de los productos, procesos y servicios de TIC, en cooperación con las autoridades nacionales de supervisión de la certificación y con la industria con arreglo a un proceso formal, normalizado y transparente.

Enmienda    129

Propuesta de Reglamento

Artículo 1 – párrafo 1 – letra b

Texto de la Comisión

Enmienda

b)  Facilitará el establecimiento y la adopción de normas europeas e internacionales para la gestión de riesgos y para la seguridad de los productos y servicios de TIC y elaborará, en colaboración con los Estados miembros, directrices y orientaciones relativas a las áreas técnicas relacionadas con los requisitos de seguridad para los operadores de servicios esenciales y los proveedores de servicios digitales, así como relativas a normas ya existentes, entre ellas las normas nacionales de los Estados miembros, con arreglo al artículo 19, apartado 2, de la Directiva (UE) 2016/1148.

b)  Facilitará el establecimiento y la adopción de normas europeas o internacionales para la gestión de riesgos y para la seguridad de los productos, procesos y servicios de TIC y elaborará, en colaboración con los Estados miembros y la industria, directrices y orientaciones relativas a las áreas técnicas relacionadas con los requisitos de seguridad para los operadores de servicios esenciales y los proveedores de servicios digitales, así como relativas a normas ya existentes, entre ellas las normas nacionales de los Estados miembros, con arreglo al artículo 19, apartado 2, de la Directiva (UE) 2016/1148, y compartirá esta información con los Estados miembros.

Enmienda    130

Propuesta de Reglamento

Artículo 9 – párrafo 1 – letra c

Texto de la Comisión

Enmienda

c)  aportará, en cooperación con los expertos de las autoridades de los Estados miembros, dictámenes, directrices y mejores prácticas para la seguridad de las redes y los sistemas de información, en particular en el ámbito de la seguridad de la infraestructura de internet y de las infraestructuras que sustentan los sectores enumerados en el anexo II de la Directiva (UE) 2016/1148;

c)  aportará, en cooperación con los expertos de las autoridades de los Estados miembros y las partes interesadas pertinentes, dictámenes, directrices y mejores prácticas para la seguridad de las redes y los sistemas de información, en particular en el ámbito de la seguridad de la infraestructura de internet y de las infraestructuras que sustentan los sectores enumerados en el anexo II de la Directiva (UE) 2016/1148;

Enmienda    131

Propuesta de Reglamento

Artículo 9 – párrafo 1 – letra e

Texto de la Comisión

Enmienda

e)  sensibilizará al público sobre los riesgos relacionados con la ciberseguridad y facilitará orientaciones sobre buenas prácticas para usuarios individuales, dirigidas a ciudadanos y organizaciones;

e)  aumentará la sensibilización y sensibilizará al público de forma continuada sobre los riesgos relacionados con la ciberseguridad y facilitará formación y orientaciones sobre buenas prácticas para usuarios, dirigidas a ciudadanos y organizaciones, y promoverá la adopción de estrictas medidas preventivas de seguridad informática, así como una protección fiable de los datos y de la intimidad;

Enmienda    132

Propuesta de Reglamento

Artículo 9 – párrafo 1 – letra g

Texto de la Comisión

Enmienda

g)  organizará, en cooperación con los Estados miembros y las instituciones, órganos y organismos de la Unión, campañas periódicas de divulgación para aumentar la ciberseguridad y su visibilidad en la Unión.

g)  organizará, en cooperación con los Estados miembros y las instituciones, órganos y organismos de la Unión, campañas periódicas de comunicación para propiciar un amplio debate público;

Enmienda    133

Propuesta de Reglamento

Artículo 9 – párrafo 1 – letra g bis (nueva)

Texto de la Comisión

Enmienda

 

g bis)  apoyará una coordinación más estrecha y el intercambio de mejores prácticas entre los Estados miembros sobre educación y alfabetización en materia de ciberseguridad, sobre ciberhigiene y sobre sensibilización.

Enmienda    134

Propuesta de Reglamento

Artículo 10 – párrafo 1 – letra a

Texto de la Comisión

Enmienda

a)  asesorará a la Unión y a los Estados miembros sobre las necesidades y prioridades de la investigación en el ámbito de la ciberseguridad, con miras a poder ofrecer respuestas eficaces a los riesgos y amenazas actuales y futuros, también en relación con las tecnologías de la información y la comunicación nuevas y emergentes, y a utilizar eficazmente las tecnologías de prevención del riesgo;

a)  garantizará la consulta previa con los grupos de usuarios pertinentes y asesorará a la Unión y a los Estados miembros sobre las necesidades y prioridades de la investigación en los ámbitos de la ciberseguridad, la protección de datos y la intimidad, con miras a poder ofrecer respuestas eficaces a los riesgos y amenazas actuales y futuros, también en relación con las tecnologías de la información y la comunicación nuevas y emergentes, y a utilizar eficazmente las tecnologías de prevención del riesgo;

Enmienda    135

Propuesta de Reglamento

Artículo 10 – párrafo 1 – letra b bis (nueva)

Texto de la Comisión

Enmienda

 

b bis)  encargará sus propias actividades de investigación en ámbitos de interés que aún no estén cubiertos por los programas de investigación de la Unión existentes y que presenten un valor añadido europeo claramente identificado.

Enmienda    136

Propuesta de Reglamento

Artículo 11 – párrafo 1 – letra c bis (nueva)

Texto de la Comisión

Enmienda

 

c bis)  prestar asesoramiento y apoyo a la Comisión, en colaboración con el Grupo Europeo de Certificación de la Ciberseguridad creado en virtud del artículo 53, en cuestiones relativas a los acuerdos con terceros países para el reconocimiento mutuo de certificados de ciberseguridad.

Enmienda    137

Propuesta de Reglamento

Artículo 12 – párrafo 1 – letra d

Texto de la Comisión

Enmienda

d)  un Grupo Permanente de Partes Interesadas, que ejercerá las funciones definidas en el artículo 20.

d)  un Grupo Consultivo de ENISA, que ejercerá las funciones definidas en el artículo 20.

Enmienda    138

Propuesta de Reglamento

Artículo 14 – apartado 1 – letra e

Texto de la Comisión

Enmienda

e)  evaluará y adoptará el informe anual consolidado sobre las actividades de la Agencia y, a más tardar el 1 de julio del año siguiente, remitirá dicho informe, junto con su evaluación, al Parlamento Europeo, al Consejo, a la Comisión y al Tribunal de Cuentas; el informe anual incluirá las cuentas y describirá en qué medida la Agencia ha cumplido sus indicadores de rendimiento; el informe anual se hará público;

e)  evaluará y adoptará el informe anual consolidado sobre las actividades de la Agencia y, a más tardar el 1 de julio del año siguiente, remitirá dicho informe, junto con su evaluación, al Parlamento Europeo, al Consejo, a la Comisión y al Tribunal de Cuentas; el informe anual incluirá las cuentas, describirá la eficacia del gasto y valorará en qué medida la Agencia ha sido eficiente y ha cumplido sus indicadores de rendimiento; el informe anual se hará público;

Enmienda    139

Propuesta de Reglamento

Artículo 14 – apartado 1 – letra m

Texto de la Comisión

Enmienda

m)  nombrará al director ejecutivo y, cuando proceda, ampliará su mandato o lo cesará de conformidad con el artículo 33 del presente Reglamento;

m)  nombrará al director ejecutivo mediante una selección basada en criterios profesionales y, cuando proceda, ampliará su mandato o lo cesará de conformidad con el artículo 33 del presente Reglamento;

Enmienda    140

Propuesta de Reglamento

Artículo 14 – apartado 1 – letra o

Texto de la Comisión

Enmienda

o)  adoptará todas las decisiones relativas al establecimiento de las estructuras internas de la Agencia y, cuando sea necesario, a su modificación, teniendo en cuenta las necesidades de la actividad de la Agencia, así como la buena gestión financiera;

o)  adoptará todas las decisiones relativas al establecimiento de las estructuras internas de la Agencia y, cuando sea necesario, a su modificación, teniendo en cuenta las necesidades de la actividad de la Agencia, según se enumeran en el presente Reglamento, así como la buena gestión financiera;

Enmienda    141

Propuesta de Reglamento

Artículo 16 – apartado 4

Texto de la Comisión

Enmienda

4.  Los miembros del Grupo Permanente de Partes Interesadas del sector podrán participar, previa invitación del presidente, en las reuniones del Consejo de Administración, sin derecho a voto.

4.  Los miembros del Grupo Consultivo de ENISA del sector podrán participar, previa invitación del presidente, en las reuniones del Consejo de Administración, sin derecho a voto.

Enmienda    142

Propuesta de Reglamento

Artículo 18 – apartado 3

Texto de la Comisión

Enmienda

3.  El Comité Ejecutivo estará formado por cinco miembros escogidos entre los miembros del Consejo de Administración, entre los que figurarán el presidente del Consejo de Administración, que también podrá presidir el Comité Ejecutivo, y uno de los representantes de la Comisión. El director ejecutivo participará en las reuniones del Comité Ejecutivo, pero no tendrá derecho de voto.

3.  El Comité Ejecutivo estará formado por cinco miembros escogidos entre los miembros del Consejo de Administración, entre los que figurarán el presidente del Consejo de Administración, que también podrá presidir el Comité Ejecutivo, y uno de los representantes de la Comisión. El director ejecutivo participará en las reuniones del Comité Ejecutivo, pero no tendrá derecho de voto. Los nombramientos tratarán de alcanzar una representación de género equilibrada en el Comité Ejecutivo.

Justificación

Tal como se establece en las disposiciones para el Consejo de Administración contempladas en el artículo 13, punto 3), el Comité Ejecutivo también tratará de alcanzar una representación equilibrada en cuanto al género.

Enmienda    143

Propuesta de Reglamento

Artículo 19 – apartado 2

Texto de la Comisión

Enmienda

2.  El director ejecutivo informará al Parlamento Europeo sobre el ejercicio de sus funciones cuando se le invite a hacerlo. El Consejo podrá convocar al director ejecutivo para que le informe sobre el ejercicio de sus funciones.

2.  El director ejecutivo informará anualmente al Parlamento Europeo sobre el ejercicio de sus funciones o cuando se le invite a hacerlo. El Consejo podrá convocar al director ejecutivo para que le informe sobre el ejercicio de sus funciones.

Enmienda    144

Propuesta de Reglamento

Artículo 19 – apartado 5 bis (nuevo)

Texto de la Comisión

Enmienda

 

5 bis.  El director ejecutivo también tendrá derecho a actuar como consejero institucional especial sobre política de ciberseguridad ante el presidente de la Comisión Europea con un mandato definido en la Decisión de la Comisión C (2014) 541, de 6 de febrero de 2014.

Enmienda    145

Propuesta de Reglamento

Artículo 20 – título

Texto de la Comisión

Enmienda

Grupo Permanente de Partes Interesadas

Grupo Consultivo de ENISA

 

(Esta modificación se aplica a la totalidad del texto legislativo objeto de examen; su adopción impone adaptaciones técnicas en todo el texto.)

Enmienda    146

Propuesta de Reglamento

Artículo 20 – apartado 1

Texto de la Comisión

Enmienda

1.  El Consejo de Administración establecerá, a propuesta del director ejecutivo, un Grupo Permanente de Partes Interesadas integrado por expertos reconocidos que representen a las partes interesadas pertinentes, tales como la industria de las TIC, los proveedores de redes o servicios de comunicaciones electrónicas disponibles al público, los grupos de consumidores, expertos académicos en ciberseguridad y representantes de las autoridades competentes notificadas con arreglo a la [Directiva por la que se establece el Código Europeo de las Comunicaciones Electrónicas] y las autoridades encargadas de hacer cumplir la ley y de supervisar la protección de datos.

1.  El Consejo de Administración establecerá de forma transparente, a propuesta del director ejecutivo, un Grupo Consultivo de ENISA integrado por expertos reconocidos en seguridad que representen a las partes interesadas pertinentes, tales como la industria de las TIC, —incluidas las pymes—, los operadores de servicios esenciales en el sentido de la Directiva SRI, los proveedores de redes o servicios de comunicaciones electrónicas disponibles al público, los grupos de consumidores, expertos académicos en ciberseguridad, las organizaciones europeas de normalización, los organismos de la Unión y representantes de las autoridades competentes notificadas con arreglo a la [Directiva por la que se establece el Código Europeo de las Comunicaciones Electrónicas] y las autoridades encargadas de hacer cumplir la ley y de supervisar la protección de datos. El Consejo de Administración garantizará un equilibrio adecuado entre los diferentes grupos de partes interesadas.

Enmienda    147

Propuesta de Reglamento

Artículo 20 – apartado 2

Texto de la Comisión

Enmienda

2.  Los procedimientos del Grupo Permanente de Partes Interesadas, en particular con respecto al número, composición y nombramiento de sus miembros por el Consejo de Administración, a la propuesta por el director ejecutivo y al funcionamiento del Grupo, se especificarán en el reglamento operativo interno de la Agencia y se harán públicos.

2.  Los procedimientos del Grupo Consultivo de ENISA, en particular con respecto al número, composición y nombramiento de sus miembros por el Consejo de Administración, a la propuesta por el director ejecutivo y al funcionamiento del Grupo, se especificarán en el reglamento operativo interno de la Agencia y se harán públicos.

Enmienda    148

Propuesta de Reglamento

Artículo 20 – apartado 3

Texto de la Comisión

Enmienda

3.  El Grupo Permanente de Partes Interesadas estará presidido por el director ejecutivo o cualquier otra persona que este designe en cada caso.

3.  El Grupo Consultivo de ENISA estará presidido por el director ejecutivo o cualquier otra persona que este designe en cada caso.

Enmienda    149

Propuesta de Reglamento

Artículo 20 – apartado 4

Texto de la Comisión

Enmienda

4.  El mandato de los miembros del Grupo Permanente de Partes Interesadas tendrá una duración de dos años y medio. Los miembros del Consejo de Administración no podrán ser miembros del Grupo Permanente de Partes Interesadas. Los expertos de la Comisión y de los Estados miembros podrán estar presentes en las reuniones del Grupo Permanente de Partes Interesadas y participar en sus trabajos Se podrá invitar a asistir a las reuniones del Grupo Permanente de Partes Interesadas y participar en sus trabajos a representantes de otros órganos que no sean miembros del mismo y el director ejecutivo considere pertinentes.

4.  El mandato de los miembros del Grupo Consultivo de ENISA tendrá una duración de dos años y medio. Los miembros del Consejo de Administración no podrán ser miembros del Grupo Consultivo de ENISA. Los expertos de la Comisión y de los Estados miembros podrán estar presentes en las reuniones del Grupo Consultivo de ENISA y participar en sus trabajos. Se podrá invitar a asistir a las reuniones del Grupo Consultivo de ENISA y participar en sus trabajos a representantes de otros órganos que no sean miembros del mismo y el director ejecutivo considere pertinentes.

Enmienda    150

Propuesta de Reglamento

Artículo 20 – apartado 20 bis (nuevo)

Texto de la Comisión

Enmienda

 

4 bis.  El Grupo Consultivo de ENISA facilitará periódicamente información actualizada sobre su planificación a lo largo del año y establecerá los objetivos en su programa de trabajo, que se publicará cada seis meses para garantizar la transparencia.

Enmienda    151

Propuesta de Reglamento

Artículo 20 – apartado 5

Texto de la Comisión

Enmienda

5.  El Grupo Permanente de Partes Interesadas asesorará a la Agencia en lo relativo a la realización de sus actividades. En particular, asesorará al director ejecutivo en la elaboración de una propuesta de programa de trabajo de la Agencia y en el mantenimiento de la comunicación con las partes interesadas pertinentes sobre todos los aspectos relativos al programa de trabajo.

5.  El Grupo Consultivo de ENISA asesorará a la Agencia en lo relativo a la realización de sus actividades, a excepción de la aplicación del título III del presente Reglamento. En particular, asesorará al director ejecutivo en la elaboración de una propuesta de programa de trabajo de la Agencia y en el mantenimiento de la comunicación con las partes interesadas pertinentes sobre los aspectos relativos al programa de trabajo.

Enmienda    152

Propuesta de Reglamento

Artículo 20 bis (nuevo)

Texto de la Comisión

Enmienda

 

Artículo 20 bis

 

Grupo de las Partes Interesadas sobre Certificación

 

1.   El director ejecutivo creará un Grupo de las Partes Interesadas sobre Certificación, integrado por un comité consultivo general que prestará asesoramiento general sobre la aplicación del título III del presente Reglamento y creará comités ad hoc para la proposición, el desarrollo y la adopción de cada propuesta de régimen. Los miembros de este Grupo se seleccionarán entre expertos reconocidos en seguridad que representen a las partes interesadas pertinentes, tales como la industria de las TIC —incluidas las pymes—, los operadores de servicios esenciales en el sentido de la Directiva SRI, los proveedores de redes o servicios de comunicaciones electrónicas disponibles al público, los grupos de consumidores, expertos académicos en ciberseguridad, las organizaciones europeas de normalización y representantes de las autoridades competentes notificadas con arreglo a la [Directiva por la que se establece el Código Europeo de las Comunicaciones Electrónicas] y las autoridades encargadas de hacer cumplir la ley y de supervisar la protección de datos.

 

2.   Los procedimientos del Grupo de las Partes Interesadas sobre Certificación, en particular con respecto al número, composición y nombramiento de sus miembros por el director ejecutivo, se especificarán en el reglamento operativo interno de la Agencia, seguirán las mejores prácticas para garantizar una representación equitativa y la igualdad de derechos para todas las partes interesadas y se harán públicos.

 

3.   Los miembros del Consejo de Administración no podrán ser miembros del Grupo de las Partes Interesadas sobre Certificación. Los miembros del Grupo Consultivo de ENISA podrán ser también miembros del Grupo de las Partes Interesadas sobre Certificación. Podrán estar presentes en las reuniones del Grupo de las Partes Interesadas sobre Certificación, previa invitación, expertos de la Comisión y de los Estados miembros. Se podrá invitar a asistir a las reuniones del Grupo de las Partes Interesadas sobre Certificación y a participar en sus trabajos a representantes de otros organismos que el director ejecutivo considere pertinentes.

 

4.   El Grupo de las Partes Interesadas sobre Certificación asesorará a la Agencia en lo relativo a la realización de sus actividades relacionadas con el título III del presente Reglamento. En particular, podrá proponer a la Comisión la preparación de una propuesta de régimen, a los Estados miembros y a la Comisión la preparación de una propuesta de régimen europeo de certificación de la ciberseguridad, con arreglo a lo dispuesto en el artículo 44 del presente Reglamento, y podrá participar en los procedimientos a que se refieren los artículos 43 a 48 y 53 del presente Reglamento para la aprobación de dichos regímenes.

Enmienda    153

Propuesta de Reglamento

Artículo 21 bis (nuevo)

Texto de la Comisión

Enmienda

 

Artículo 21 bis

 

Solicitud a la Agencia

 

1. La Agencia deberá establecer y gestionar un único punto de contacto al que dirigir las solicitudes de asesoramiento y asistencia comprendidas en el ámbito de sus objetivos y competencias. Dichas solicitudes se deberán acompañar de información que explique la cuestión que debe tratarse. La Agencia deberá determinar las posibles repercusiones en materia de recursos y, a su debido tiempo, dar seguimiento a las solicitudes. Cuando la Agencia rechace una solicitud, motivará su decisión.

 

2. Las solicitudes a las que hace referencia el apartado 1 podrán ser presentadas por:

 

a) el Parlamento Europeo;

 

b) el Consejo;

 

c) la Comisión; y

 

d) cualquier organismo competente designado por un Estado miembro, como una autoridad nacional de reglamentación según se define en el artículo 2 de la Directiva 2002/21/CE.

 

3. Las modalidades de aplicación de los apartados 1 y 2 en lo referente, en particular, a la presentación de solicitudes, la asignación de prioridades, el seguimiento y la información serán establecidas por el Consejo de Administración en el reglamento operativo interno de la Agencia.

Enmienda    154

Propuesta de Reglamento

Artículo 24 – apartado 2

Texto de la Comisión

Enmienda

2.  Los miembros del Consejo de Administración, el director ejecutivo, los miembros del Grupo Permanente de Partes Interesadas, los expertos externos que participen en los grupos de trabajo ad hoc y los miembros del personal de la Agencia, incluidos los funcionarios enviados en comisión de servicios por los Estados miembros con carácter temporal, respetarán la obligación de confidencialidad en virtud del artículo 339 del Tratado de Funcionamiento de la Unión Europea (TFUE), incluso después de haber cesado en sus cargos.

2.  Los miembros del Consejo de Administración, el director ejecutivo, los miembros del Grupo Consultivo de ENISA, los expertos externos que participen en los grupos de trabajo ad hoc y los miembros del personal de la Agencia, incluidos los funcionarios enviados en comisión de servicios por los Estados miembros con carácter temporal, respetarán la obligación de confidencialidad en virtud del artículo 339 del Tratado de Funcionamiento de la Unión Europea (TFUE), incluso después de haber cesado en sus cargos.

Enmienda    155

Propuesta de Reglamento

Artículo 26 – apartado 1 – párrafo 1 bis (nuevo)

Texto de la Comisión

Enmienda

 

El proyecto de estado de previsiones se basará en los objetivos y en los resultados esperados del documento único de programación a que se refiere el artículo 21, apartado 1, del presente Reglamento y tendrá en cuenta los recursos financieros necesarios para alcanzar dichos objetivos y resultados, de conformidad con el principio de presupuestación basada en el rendimiento.

Enmienda    156

Propuesta de Reglamento

Artículo 30 – apartado 2

Texto de la Comisión

Enmienda

2.  El Tribunal de Cuentas tendrá la facultad de auditar, sobre la base de documentos y sobre el terreno, a todos los beneficiarios de subvenciones, contratistas y subcontratistas que hayan recibido de la Agencia fondos de la Unión.

2.  El Tribunal de Cuentas tendrá la facultad de auditar, sobre la base de documentos y de inspecciones sobre el terreno, a todos los beneficiarios de subvenciones, contratistas y subcontratistas que hayan recibido de la Agencia fondos de la Unión.

Enmienda    157

Propuesta de Reglamento

Artículo 36 – apartado 5

Texto de la Comisión

Enmienda

5.  La responsabilidad personal de los agentes respecto a la Agencia se regirá por las disposiciones pertinentes aplicables al personal de la Agencia.

5.  La responsabilidad personal de los agentes respecto a la Agencia se regirá por las disposiciones pertinentes aplicables al personal de la Agencia. Se garantizará la eficacia en la contratación de personal.

Enmienda    158

Propuesta de Reglamento

Artículo 37 – apartado 2

Texto de la Comisión

Enmienda

2.  Los servicios de traducción requeridos para el funcionamiento de la Agencia serán prestados por el Centro de Traducción de los Órganos de la Unión Europea.

2.  Los servicios de traducción requeridos para el funcionamiento de la Agencia serán prestados por el Centro de Traducción de los Órganos de la Unión Europea u otros proveedores de servicios de traducción de conformidad con la normativa en materia de contratación pública y dentro de los límites establecidos por las normas financieras pertinentes.

Enmienda    159

Propuesta de Reglamento

Artículo 39 – apartado 1

Texto de la Comisión

Enmienda

1.  En la medida en que resulte necesario para el logro de los objetivos fijados en el presente Reglamento, la Agencia podrá cooperar con las autoridades competentes de terceros países, con organizaciones internacionales, o con ambas. Para ello, la Agencia podrá, previa aprobación de la Comisión, establecer acuerdos de trabajo con las autoridades de terceros países y organizaciones internacionales. Dichos acuerdos no impondrán obligaciones jurídicas que incumban a la Unión y sus Estados miembros.

1.  En la medida en que resulte necesario para el logro de los objetivos fijados en el presente Reglamento, la Agencia podrá cooperar con las autoridades competentes de terceros países, con organizaciones internacionales, o con ambas. Para ello, la Agencia podrá, previa aprobación de la Comisión, establecer acuerdos de trabajo con las autoridades de terceros países y organizaciones internacionales. La cooperación con la OTAN, de producirse, podrá incluir ejercicios conjuntos de ciberseguridad y la coordinación conjunta de la respuesta a ciberincidentes. Dichos acuerdos no impondrán obligaciones jurídicas que incumban a la Unión y sus Estados miembros.

Justificación

Dado que los ciberincidentes son de carácter transfronterizo, ENISA debe actuar, cuando proceda, junto con los agentes de ciberseguridad en Europa, como la OTAN. Esto es especialmente importante ya que la OTAN puede tener capacidades de ciberseguridad que ENISA no tiene y viceversa. Teniendo en cuenta que los ciberataques contra los Estados en su conjunto han aumentado, es fundamental para la seguridad de Europa que ENISA coopere con organizaciones internacionales, como la OTAN, en el plano internacional.

Enmienda    160

Propuesta de Reglamento

Artículo 41 – apartado 2

Texto de la Comisión

Enmienda

2.  El Estado miembro que acoja a la Agencia ofrecerá las mejores condiciones posibles para garantizar su buen funcionamiento, incluida la accesibilidad de su ubicación, la presencia de servicios educativos adecuados para los hijos de los miembros del personal y un acceso adecuado al mercado de trabajo, la seguridad social y la atención médica para hijos y cónyuges.

2.  El Estado miembro que acoja a la Agencia ofrecerá las mejores condiciones posibles para garantizar su buen funcionamiento, incluida una sede única para toda la Agencia, la accesibilidad de su ubicación, la presencia de servicios educativos adecuados para los hijos de los miembros del personal y un acceso adecuado al mercado de trabajo, la seguridad social y la atención médica para hijos y cónyuges.

Justificación

La estructura actual de la Agencia, cuya sede administrativa se encuentra en Irákleio y cuyo centro operativo está en Atenas, resulta ineficaz y costosa. Todo el personal de ENISA debería trabajar por tanto en la misma ciudad. A tenor de los criterios mencionados en este apartado, dicha ciudad debería ser Atenas.

Enmienda    161

Propuesta de Reglamento

Artículo 43 – párrafo 1

Texto de la Comisión

Enmienda

Un régimen europeo de certificación de la ciberseguridad confirmará que los productos y servicios de TIC que hayan sido certificados con arreglo a dicho régimen cumplen los requisitos especificados en lo que respecta a su capacidad para resistir, con un determinado nivel de garantía, las acciones encaminadas a poner en peligro la disponibilidad, autenticidad, integridad o confidencialidad de los datos almacenados, transmitidos o procesados o las funciones o servicios que ofrecen, o a los que permiten acceder, estos productos, procesos, servicios y sistemas.

Un régimen europeo de certificación de la ciberseguridad confirmará que los productos, procesos y servicios de TIC cubiertos no adolecen de vulnerabilidades conocidas en el momento de la certificación y cumplen los requisitos especificados —que pueden referirse a normas europeas e internacionales, especificaciones técnicas y especificaciones técnicas de las TIC— en lo que respecta a su capacidad para resistir, durante todo su ciclo de vida y con un determinado nivel de garantía, las acciones encaminadas a poner en peligro la disponibilidad, autenticidad, integridad o confidencialidad de los datos almacenados, transmitidos o procesados o las funciones o servicios que ofrecen, o a los que permiten acceder, estos productos, procesos y servicios y sistemas, y cumplen los objetivos de seguridad especificados.

Enmienda    162

Propuesta de Reglamento

Artículo 44 – apartado -1 (nuevo)

Texto de la Comisión

Enmienda

 

-1.  La Comisión adoptará actos delegados con arreglo al artículo 55 bis, a fin de completar el presente Reglamento mediante el establecimiento de un programa continuado de trabajo para los regímenes europeos de certificación de la ciberseguridad. Dichos actos delegados determinarán las acciones comunes que deban emprenderse a escala de la Unión y las prioridades estratégicas. El programa continuado de trabajo contendrá, en particular, una lista de prioridades en lo que respecta a los productos, procesos y servicios de TIC susceptibles de ser objeto de un régimen europeo de certificación de la ciberseguridad, así como un análisis para establecer si existe un nivel equivalente de calidad y competencias y conocimientos técnicos entre los organismos de evaluación de la conformidad y las autoridades nacionales de supervisión de la certificación y, en caso necesario, una propuesta de medidas para conseguir dicho nivel equivalente.

 

El primer programa continuado de trabajo se establecerá a más tardar ... [seis meses después de la fecha de entrada en vigor del presente Reglamento] y posteriormente se actualizará en función de las necesidades y, como mínimo, cada dos años en cualquier caso. El programa continuado de trabajo se hará público.

 

Antes de adoptar o actualizar el programa continuado de trabajo de la Unión, la Comisión consultará al Grupo de los Estados Miembros sobre Certificación, a la Agencia y al Grupo de las Partes Interesadas sobre Certificación mediante una consulta abierta, transparente e inclusiva.

Enmienda    163

Propuesta de Reglamento

Artículo 44 – apartado -1 bis (nuevo)

Texto de la Comisión

Enmienda

 

-1 bis.  Cuando esté justificado, la Comisión podrá solicitar a la Agencia que prepare una propuesta de régimen europeo de certificación de la ciberseguridad. La solicitud se basará en el programa continuado de trabajo de la Unión.

Enmienda    164

Propuesta de Reglamento

Artículo 44 – apartado 1

Texto de la Comisión

Enmienda

1.  Tras recibir una solicitud de la Comisión, ENISA preparará una propuesta de régimen europeo de certificación de la ciberseguridad que cumpla los requisitos expuestos en los artículos 45, 46 y 47 del presente Reglamento. Los Estados miembros o el Grupo Europeo de Certificación de la Ciberseguridad («el Grupo») establecido de conformidad con el artículo 53 podrán proponer a la Comisión la preparación de un régimen europeo de certificación de la ciberseguridad.

1.  La solicitud de propuesta de régimen europeo de certificación contendrá el ámbito de aplicación, los objetivos de seguridad aplicables a que se refiere el artículo 45, los elementos aplicables a que se refiere el artículo 47 y el plazo en el que la propuesta de régimen habrá de hacerse efectiva. Al preparar la solicitud, la Comisión podrá consultar a la Agencia, al Grupo de los Estados Miembros sobre Certificación y al Grupo de las Partes Interesadas sobre Certificación.

Enmienda    165

Propuesta de Reglamento

Artículo 44 – apartado 2

Texto de la Comisión

Enmienda

2.  A la hora de preparar las propuestas de régimen a que se refiere el apartado 1 del presente artículo, ENISA consultará a todas las partes interesadas y cooperará estrechamente con el Grupo. El Grupo facilitará a ENISA la asistencia y el asesoramiento experto que requiera en relación con la preparación de la propuesta de régimen, incluso mediante la emisión de dictámenes en caso necesario.

2.  A la hora de preparar las propuestas de régimen a que se refiere el apartado -1 (nuevo), la Agencia consultará a todas las partes interesadas mediante un procedimiento de consultas formal, abierto, transparente e inclusivo y cooperará estrechamente con el Grupo de los Estados Miembros sobre Certificación, el Grupo de las Partes Interesadas sobre Certificación, los comités ad hoc creados de conformidad con el artículo 20 bis del presente Reglamento y los organismos europeos de normalización. Facilitarán a la Agencia la asistencia y el asesoramiento experto que esta requiera en relación con la preparación de la propuesta de régimen, incluso mediante la emisión de dictámenes en caso necesario.

Enmienda    166

Propuesta de Reglamento

Artículo 44 – apartado 3

Texto de la Comisión

Enmienda

3.  ENISA transmitirá a la Comisión la propuesta de régimen europeo de certificación de la ciberseguridad preparada de conformidad con el apartado 2 del presente artículo.

3.  La Agencia transmitirá a la Comisión la propuesta de régimen preparada de conformidad con los apartados 1 y 2 del presente artículo.

Enmienda    167

Propuesta de Reglamento

Artículo 44 – apartado 4

Texto de la Comisión

Enmienda

4.  La Comisión, sobre la base de la propuesta de régimen preparada por ENISA, podrá adoptar actos de ejecución, de conformidad con el artículo 55, apartado 1, que establezcan regímenes europeos de certificación de la ciberseguridad para productos y servicios de TIC que cumplan los requisitos de los artículos 45, 46 y 47 del presente Reglamento.

4.  La Comisión, sobre la base de la propuesta de régimen preparada por la Agencia, podrá adoptar actos delegados, de conformidad con el artículo 55 bis, que completen el presente Reglamento mediante el establecimiento de regímenes europeos de certificación de la ciberseguridad para productos, procesos y servicios de TIC que cumplan los requisitos de los artículos 45, 46 y 47.

Enmienda    168

Propuesta de Reglamento

Artículo 44 – apartado 5

Texto de la Comisión

Enmienda

5.  ENISA mantendrá un sitio web asignado al propósito de ofrecer información sobre los regímenes europeos de certificación de la ciberseguridad y darles publicidad.

5.  La Agencia mantendrá un sitio web asignado al propósito de ofrecer información sobre los regímenes europeos de certificación de la ciberseguridad y darles publicidad, también en lo relativo a los certificados retirados y caducados y las certificaciones nacionales cubiertas.

 

Cuando un régimen europeo de certificación de la ciberseguridad satisfaga los requisitos que aspira a cumplir con arreglo a la correspondiente legislación de armonización de la Unión, la Comisión publicará sin demora una referencia a dicho régimen en el Diario Oficial de la Unión Europea o por cualquier otro medio con arreglo a las condiciones establecidas en el correspondiente acto de la legislación de armonización de la Unión.

Enmienda    169

Propuesta de Reglamento

Artículo 44 – apartado 5 bis (nuevo)

Texto de la Comisión

Enmienda

 

5 bis.  La Agencia revisará, de conformidad con la estructura establecida en virtud del presente Reglamento, los regímenes adoptados al final de su validez de conformidad con el artículo 47, apartado 1, letras a) a c), o a petición de la Comisión, teniendo en cuenta las observaciones recibidas de las partes interesadas pertinentes.

Enmienda    170

Propuesta de Reglamento

Artículo 45 – párrafo 1 – parte introductoria

Texto de la Comisión

Enmienda

Los regímenes europeos de certificación de la ciberseguridad deberán diseñarse para tener en cuenta, según proceda, los siguientes objetivos de seguridad:

Los regímenes europeos de certificación de la ciberseguridad deberán diseñarse para tener en cuenta, según proceda, objetivos de seguridad que garanticen:

Enmienda    171

Propuesta de Reglamento

Artículo 45 – párrafo 1 – letra a

Texto de la Comisión

Enmienda

a)  proteger los datos almacenados, transmitidos o procesados de otro modo frente al almacenamiento, procesamiento, acceso o revelación accidentales o no autorizados;

a)  la confidencialidad, la integridad, la disponibilidad y la privacidad de los servicios, las funciones y los datos;

Enmienda    172

Propuesta de Reglamento

Artículo 1 – párrafo 1 – letra b

Texto de la Comisión

Enmienda

b)  proteger los datos almacenados, transmitidos o procesados de otro modo frente a la destrucción accidental o no autorizada, la pérdida accidental o la alteración;

b)  que los servicios, las funciones y los datos únicamente puedan ser objeto de acceso o uso por parte de las personas, sistemas o programas autorizados;

Enmienda    173

Propuesta de Reglamento

Artículo 45 – párrafo 1 – letra c

Texto de la Comisión

Enmienda

c)  garantizar que las personas, programas o máquinas autorizados puedan acceder exclusivamente a los datos, servicios o funciones a que se refiere su derecho de acceso;

c)  que se disponga de un proceso para detectar y documentar todas las dependencias y las vulnerabilidades conocidas en los productos, procesos y servicios de TIC;

Enmienda    174

Propuesta de Reglamento

Artículo 45 – párrafo 1 – letra d

Texto de la Comisión

Enmienda

d)  registrar qué datos, funciones o servicios se han comunicado, en qué momentos y por quién;

d)  que los productos, procesos y servicios de TIC no contengan vulnerabilidades conocidas;

Enmienda    175

Propuesta de Reglamento

Artículo 45 – párrafo 1 – letra e

Texto de la Comisión

Enmienda

e)  garantizar que sea posible comprobar qué datos, servicios o funciones han sido objeto de acceso o de uso, en qué momentos y por quién;

e)  que se disponga de un proceso para el tratamiento de las vulnerabilidades que puedan descubrirse en los productos, procesos y servicios de TIC;

Enmienda    176

Propuesta de Reglamento

Artículo 45 – párrafo 1 – letra f

Texto de la Comisión

Enmienda

f)  restaurar la disponibilidad y el acceso a los datos, servicios y funciones de forma rápida en caso de incidente físico o técnico;

f)  que los productos, procesos y servicios de TIC sean seguros por defecto y desde el diseño;

Enmienda    177

Propuesta de Reglamento

Artículo 45 – párrafo 1 – letra g

Texto de la Comisión

Enmienda

g)  garantizar que los productos y servicios de TIC se entreguen siempre con un software actualizado, que no contenga vulnerabilidades conocidas, y dispongan de mecanismos para efectuar actualizaciones de seguridad del software.

g)  que los productos y servicios de TIC se entreguen siempre con un software actualizado, que no contenga vulnerabilidades conocidas, y dispongan de mecanismos para efectuar actualizaciones de seguridad del software;

Enmienda    178

Propuesta de Reglamento

Artículo 45 – párrafo 1 – letra g bis (nueva)

Texto de la Comisión

Enmienda

 

g bis)  que se reduzcan al mínimo los demás riesgos relacionados con ciberincidentes, como los riesgos para la vida, la salud, el medio ambiente y otros importantes bienes jurídicos.

Enmienda    179

Propuesta de Reglamento

Artículo 46 – apartado 1

Texto de la Comisión

Enmienda

1.  Un régimen europeo de certificación de la ciberseguridad podrá especificar uno o más de los siguientes niveles de garantía: básico, sustancial y/o elevado, para los productos y servicios de TIC amparados en dicho régimen.

1.  Un régimen europeo de certificación de la ciberseguridad podrá especificar uno o más de los siguientes niveles de garantía basados en el riesgo, atendiendo al contexto y el uso previsto de los productos, procesos y servicios de TIC: básico, sustancial y/o elevado, para los productos, procesos y servicios de TIC amparados en dicho régimen.

Enmienda    180

Propuesta de Reglamento

Artículo 46 – apartado 2 – letra a

Texto de la Comisión

Enmienda

a)  el nivel de garantía bajo se referirá a un certificado, expedido en el contexto de un régimen europeo de certificación de la ciberseguridad, que aporta un grado limitado de confianza en las cualidades de ciberseguridad pretendidas o declaradas de un producto o servicio de TIC, y se caracteriza en referencia a especificaciones técnicas, normas y procedimientos conexos, incluidos los controles técnicos, cuyo objeto es reducir el riesgo de incidentes de ciberseguridad;

a)  el nivel de garantía básico corresponderá a un riesgo bajo por lo que se refiere a la probabilidad combinada de daños respecto de un producto, proceso y servicio de TIC, atendiendo a su uso previsto y su contexto; el nivel de garantía básico proporcionará la confianza de que se puede resistir a los riesgos básicos conocidos de ciberincidentes;

Enmienda    181

Propuesta de Reglamento

Artículo 46 – apartado 2 – letra b

Texto de la Comisión

Enmienda

b)  el nivel de garantía sustancial se referirá a un certificado, expedido en el contexto de un régimen europeo de certificación de la ciberseguridad, que aporta un grado sustancial de confianza en las cualidades de ciberseguridad pretendidas o declaradas de un producto o servicio de TIC, y se caracteriza en referencia a especificaciones técnicas, normas y procedimientos conexos, incluidos los controles técnicos, cuyo objeto es reducir sustancialmente el riesgo de incidentes de ciberseguridad;

b)  el nivel de garantía sustancial corresponderá a un riesgo mayor por lo que se refiere a la probabilidad combinada de daños respecto de un producto, proceso y servicio de TIC; el nivel de garantía sustancial proporcionará la confianza de que se pueden prevenir los riesgos conocidos de ciberincidentes y de que también existe la capacidad de resistir a ciberataques realizados con recursos limitados;

Enmienda    182

Propuesta de Reglamento

Artículo 46 – apartado 2 – letra c

Texto de la Comisión

Enmienda

c)  el nivel de garantía elevado se referirá a un certificado, expedido en el contexto de un régimen europeo de certificación de la ciberseguridad, que aporta un grado de confianza en las cualidades de ciberseguridad pretendidas o declaradas de un producto o servicio de TIC superior al de los certificados con nivel de garantía sustancial, y se caracteriza en referencia a especificaciones técnicas, normas y procedimientos conexos, incluidos los controles técnicos, cuyo objetivo es evitar los incidentes de ciberseguridad.

c)  el nivel de garantía elevado corresponderá a un riesgo elevado por lo que se refiere a la probabilidad combinada de daños respecto de un producto, proceso y servicio de TIC; el nivel de garantía elevado proporcionará la confianza de que se pueden prevenir los riesgos de ciberincidentes y de que también existe la capacidad de resistir a ciberataques de última generación realizados con recursos significativos;

Enmienda    183

Propuesta de Reglamento

Artículo 46 bis (nuevo)

Texto de la Comisión

Enmienda

 

Artículo 46 bis

 

Evaluación de los niveles de garantía de los regímenes europeos de certificación de la ciberseguridad

 

1.   En el caso del nivel de garantía básico, el fabricante o el proveedor de los productos, procesos y servicios de TIC podrá llevar a cabo, bajo su exclusiva responsabilidad, una autoevaluación de la conformidad.

 

2.   En el caso del nivel de garantía sustancial, la evaluación aspirará, como mínimo, a verificar la conformidad de las funcionalidades de seguridad del producto, proceso o servicio con su documentación técnica.

 

3.   En el caso del nivel de garantía elevado, la metodología de evaluación aspirará, como mínimo, a controlar la eficiencia a fin de evaluar la resistencia de las funcionalidades de seguridad frente a los atacantes con un nivel de recursos significativo.

Enmienda    184

Propuesta de Reglamento

Artículo 47 – apartado 1 – letra a

Texto de la Comisión

Enmienda

a)  objeto y alcance de la certificación, incluido el tipo o categoría de productos y servicios de TIC cubiertos;

a)  objeto y alcance de la certificación, incluido el tipo o categoría de productos, procesos y servicios de TIC cubiertos;

Enmienda    185

Propuesta de Reglamento

Artículo 47 – apartado 1 – letra a bis (nueva)

Texto de la Comisión

Enmienda

 

a bis)  ámbito de aplicación y requisitos de ciberseguridad, que, cuando proceda, reflejarán el ámbito de aplicación y los requisitos de ciberseguridad de los certificados nacionales de ciberseguridad a los que sustituya o que estén contemplados en actos jurídicos;

Enmienda    186

Propuesta de Reglamento

Artículo 47 – apartado 1 – letra a ter (nueva)

Texto de la Comisión

Enmienda

 

a ter)  el período de validez del régimen de certificación;

Enmienda    187

Propuesta de Reglamento

Artículo 47 – apartado 1 – letra b

Texto de la Comisión

Enmienda

b)  especificación detallada de los requisitos de ciberseguridad con respecto a los cuales se evalúan los servicios y productos de TIC, por ejemplo haciendo referencia a normas o especificaciones técnicas internacionales o de la Unión;

b)  especificación detallada de los requisitos de ciberseguridad con respecto a los cuales se evalúan los servicios, procesos y productos de TIC, por ejemplo haciendo referencia a normas, especificaciones técnicas o especificaciones técnicas de las TIC europeas o internacionales, definida de modo que esa certificación pueda integrarse o basarse en los procesos de seguridad sistemáticos del productor que se sigan durante el desarrollo y el ciclo de vida del producto o servicio en cuestión;

Enmienda    188

Propuesta de Reglamento

Artículo 47 – apartado 1 – letra b bis (nueva)

Texto de la Comisión

Enmienda

 

b bis)  información sobre las ciberamenazas conocidas que no estén cubiertas por la certificación y las orientaciones para gestionarlas;

Enmienda    189

Propuesta de Reglamento

Artículo 47 – apartado 1 – letra c

Texto de la Comisión

Enmienda

c)  en su caso, uno o varios niveles de garantía;

c)  en su caso, uno o varios niveles de garantía teniendo en cuenta, en particular, un enfoque basado en los riesgos;

Enmienda    190

Propuesta de Reglamento

Artículo 47 – apartado 1 – letra c bis (nueva)

Texto de la Comisión

Enmienda

 

c bis)  indicación de si está permitida la autodeclaración de conformidad en virtud del régimen, y procedimiento aplicable a la evaluación de la conformidad o a la autodeclaración de conformidad o a ambas;

Enmienda    191

Propuesta de Reglamento

Artículo 47 – apartado 1 – letra d

Texto de la Comisión

Enmienda

d)  criterios y métodos específicos de evaluación, incluidos los tipos de evaluación, para demostrar el logro de los objetivos específicos a que se refiere el artículo 45;

d)  criterios, tipos de evaluación de la conformidad y métodos específicos de evaluación, para demostrar el logro de los objetivos específicos a que se refiere el artículo 45;

Enmienda    192

Propuesta de Reglamento

Artículo 47 – apartado 1 – letra e

Texto de la Comisión

Enmienda

e)  información necesaria para la certificación que deben facilitar los solicitantes a los organismos de evaluación de la conformidad;

e)  información necesaria para la certificación que deben facilitar los solicitantes a los organismos de evaluación de la conformidad;

Enmienda    193

Propuesta de Reglamento

Artículo 47 – apartado 1 – letra f

Texto de la Comisión

Enmienda

f)  cuando el régimen prevea marcas o etiquetas, las condiciones en las que pueden utilizarse tales marcas o etiquetas;

f)  información sobre ciberseguridad con arreglo al artículo 47 bis del presente Reglamento;

Enmienda    194

Propuesta de Reglamento

Artículo 47 – apartado 1 – letra g

Texto de la Comisión

Enmienda

g)  cuando la vigilancia forme parte del régimen, las normas para controlar el cumplimiento de los requisitos de los certificados, incluidos los mecanismos que permitan demostrar la conformidad permanente con los requisitos de ciberseguridad especificados;

g)  normas para controlar el cumplimiento de los requisitos de los certificados, incluidos los mecanismos que permitan demostrar la conformidad permanente con los requisitos de ciberseguridad especificados;

Enmienda    195

Propuesta de Reglamento

Artículo 47 – apartado 1 – letra h

Texto de la Comisión

Enmienda

h)  condiciones para la concesión, el mantenimiento, la continuación, la ampliación y la reducción del alcance de la certificación;

h)  condiciones para la concesión, el mantenimiento, la continuación, la revisión, la ampliación y la reducción del alcance y el período de validez del certificado;

Enmienda    196

Propuesta de Reglamento

Artículo 47 – apartado 1 – letra h bis (nueva)

Texto de la Comisión

Enmienda

 

h bis)  normas destinadas a gestionar las vulnerabilidades que puedan surgir tras la certificación, mediante el establecimiento de un proceso organizativo dinámico y continuo en el que participen tanto los proveedores como los usuarios;

Enmienda    197

Propuesta de Reglamento

Artículo 47 – apartado 1 – letra i

Texto de la Comisión

Enmienda

i)  normas relativas a las consecuencias de la no conformidad de los productos y servicios de TIC certificados con los requisitos de certificación;

i)  normas relativas a las consecuencias de la no conformidad de los productos y servicios de TIC autoevaluados y certificados con los requisitos de certificación;

Enmienda    198

Propuesta de Reglamento

Artículo 47 – apartado 1 – letra j

Texto de la Comisión

Enmienda

j)  normas sobre cómo deben notificarse y tramitarse las vulnerabilidades de ciberseguridad previamente no detectadas en productos y servicios de TIC;

j)  normas sobre cómo deben notificarse y gestionarse una vez detectadas las vulnerabilidades de ciberseguridad no conocidas públicamente en productos y servicios de TIC;

Enmienda    199

Propuesta de Reglamento

Artículo 47 – apartado 1 – letra l

Texto de la Comisión

Enmienda

l)  identificación de los regímenes nacionales de certificación de la ciberseguridad que cubren el mismo tipo o categoría de productos y servicios de TIC;

l)  identificación de los regímenes nacionales o internacionales de certificación de la ciberseguridad que cubren el mismo tipo o categoría de productos, procesos y servicios de TIC, requisitos de seguridad y criterios y métodos de evaluación;

Enmienda    200

Propuesta de Reglamento

Artículo 47 – apartado 1 – letra m bis (nueva)

Texto de la Comisión

Enmienda

 

m bis)  condiciones para el reconocimiento mutuo de regímenes de certificación de terceros países.

Enmienda    201

Propuesta de Reglamento

Artículo 47 – apartado 1 bis (nuevo)

Texto de la Comisión

Enmienda

 

1 bis.  Los procesos de mantenimiento mediante actualizaciones no podrán invalidar la certificación, a menos que tales actualizaciones tengan un importante efecto negativo en la seguridad del producto, proceso o servicio de TIC.

Enmienda    202

Propuesta de Reglamento

Artículo 47 bis (nuevo)

Texto de la Comisión

Enmienda

 

Artículo 47 bis

 

Información sobre ciberseguridad de productos, procesos y servicios certificados

 

1.   El fabricante o el proveedor de productos, procesos y servicios de TIC comprendidos en un régimen de certificación con arreglo al presente Reglamento facilitarán al usuario final un documento, en formato electrónico o en papel, que contenga, al menos, la siguiente información: el nivel de garantía del certificado en relación con el uso previsto del producto, proceso o servicio de TIC; una descripción de los riesgos en relación con los cuales la certificación proporciona la confianza de que se pueden resistir; recomendaciones sobre el modo en que los usuarios pueden incrementar la ciberseguridad del producto, proceso o servicio, la periodicidad de las actualizaciones y el período de apoyo tras ellas; en su caso, información sobre la manera en que los usuarios pueden conservar las principales características del producto, proceso o servicio en caso de ataque.

 

2.   El documento a que se refiere el apartado 1 del presente artículo estará disponible durante todo el ciclo de vida del producto, proceso o servicio hasta su retirada del mercado y durante un período mínimo de cinco años.

 

3.   La Comisión establecerá, mediante actos de ejecución, una plantilla para este documento. La Comisión podrá solicitar a la Agencia que presente una propuesta de plantilla. Dicho acto de ejecución se adoptará de conformidad con el procedimiento de examen a que se refiere el artículo 55 del presente Reglamento.

Enmienda    203

Propuesta de Reglamento

Artículo 48 – apartado 1

Texto de la Comisión

Enmienda

1.  Los productos y servicios de TIC que hayan sido certificados de conformidad con un régimen europeo de certificación de la ciberseguridad adoptado de conformidad con el artículo 44 se presumirán conformes con los requisitos de dicho régimen.

1.  Los productos, procesos y servicios de TIC que hayan sido certificados de conformidad con un régimen europeo de certificación de la ciberseguridad adoptado de conformidad con el artículo 44 se presumirán conformes con los requisitos de dicho régimen.

Enmienda    204

Propuesta de Reglamento

Artículo 48 – apartado 1 – parte introductoria

Texto de la Comisión

Enmienda

4.  No obstante lo dispuesto en el apartado 3, en casos debidamente justificados un régimen europeo de ciberseguridad particular podrá prever que solo un organismo público pueda expedir un certificado europeo de ciberseguridad resultante de ese régimen. Este organismo público será uno de los siguientes:

4.  No obstante lo dispuesto en el apartado 3, en casos debidamente justificados, como por motivos de seguridad nacional, un régimen europeo de certificación de la ciberseguridad particular podrá prever que solo un organismo público pueda expedir un certificado europeo de ciberseguridad resultante de ese régimen. Este organismo público será un organismo que esté acreditado como organismo de evaluación de la conformidad con arreglo al artículo 51, apartado 1, del presente Reglamento. La persona física o jurídica que presenta sus productos o servicios de TIC al mecanismo de certificación facilitará al organismo de evaluación de la conformidad a que se refiere el artículo 51 toda la información necesaria para llevar a cabo el procedimiento de certificación.

Enmienda    205

Propuesta de Reglamento

Artículo 48 – apartado 5

Texto de la Comisión

Enmienda

5.  La persona física o jurídica que presenta sus productos o servicios de TIC al mecanismo de certificación facilitará al organismo de evaluación de la conformidad a que se refiere el artículo 51 toda la información necesaria para llevar a cabo el procedimiento de certificación.

5.  La persona física o jurídica que presenta sus productos, servicios o procesos de TIC al mecanismo de certificación facilitará al organismo de evaluación de la conformidad a que se refiere el artículo 51 toda la información necesaria para llevar a cabo el procedimiento de certificación, incluida la información sobre cualquier vulnerabilidad de seguridad conocida. La presentación podrá realizarse ante cualquiera de los organismos de evaluación de la conformidad a que se refiere el artículo 51.

Enmienda    206

Propuesta de Reglamento

Artículo 48 – apartado 6

Texto de la Comisión

Enmienda

6.  Los certificados se expedirán por un período máximo de tres años y podrán renovarse en las mismas condiciones, siempre y cuando sigan cumpliéndose los requisitos correspondientes.

6.  Los certificados se expedirán por un período máximo determinado caso por caso para cada régimen, teniendo en cuenta un ciclo de vida razonable, y que no será superior a cinco años, y podrán renovarse, siempre y cuando sigan cumpliéndose los requisitos correspondientes

Justificación

Así se garantiza que haya flexibilidad para adaptar el período de validez al uso previsto.

Enmienda    207

Propuesta de Reglamento

Artículo 48 – apartado 7

Texto de la Comisión

Enmienda

7.  Los certificados europeos de ciberseguridad expedidos de conformidad con el presente artículo serán reconocidos en todos los Estados miembros.

7.  Los certificados europeos de ciberseguridad expedidos de conformidad con el presente artículo serán reconocidos en todos los Estados miembros en el sentido de que cumplen los requisitos de ciberseguridad nacionales relativos a los productos y procesos de TIC y los dispositivos electrónicos de consumo cubiertos por dichos certificados, teniendo en cuenta el nivel de garantía especificado al que se refiere el artículo 46, y no se discriminará entre tales certificados por razón del Estado miembro de origen o del organismo de evaluación de la conformidad a que se refiere el artículo 51 y que haya expedido el certificado.

Justificación

Con el fin de evitar la fragmentación en el reconocimiento o la conformidad de los regímenes de certificación de la ciberseguridad de la Unión, es necesario que el artículo haga hincapié en que el lugar de expedición de los certificados no será motivo de discriminación.

Enmienda    208

Propuesta de Reglamento

Artículo 48 bis (nuevo)

Texto de la Comisión

Enmienda

 

Artículo 48 bis

 

Regímenes de certificación para los operadores de servicios esenciales

 

1.   Cuando los regímenes europeos de certificación de la ciberseguridad se hayan adoptado de conformidad con el apartado 2 del presente artículo, los operadores de servicios esenciales, a fin de cumplir los requisitos en materia de seguridad con arreglo al artículo 14 de la Directiva (UE) 2016/1148, usarán productos, procesos y servicios cubiertos por esos regímenes de certificación.

 

2.   A más tardar [un año después de la entrada en vigor del presente Reglamento], la Comisión, previa consulta al Grupo de cooperación a que se refiere el artículo 11 de la Directiva (UE) 2016/1148, adoptará actos delegados con arreglo al artículo 55 bis que completen el presente Reglamento con una lista de las categorías de productos, procesos y servicios que reúnan los dos criterios siguientes:

 

a)  que estén destinados a ser utilizados por operadores de servicios esenciales; y

 

b)  que su mal funcionamiento tendría un efecto perturbador significativo en la prestación del servicio esencial.

 

3.   La Comisión adoptará actos delegados de conformidad con el artículo 55 bis por los que se modifique el presente Reglamento, actualizando, en caso necesario, la lista de categorías de productos, procesos y servicios a que se refiere el apartado 3 del presente artículo.

 

4.   La Comisión solicitará a la Agencia que prepare una propuesta de regímenes europeos de ciberseguridad de conformidad con el artículo 44, apartado -1, del presente Reglamento, para la lista de categorías de productos, procesos y servicios a que se refieren los apartados 2 y 3 del presente artículo tan pronto como se adopte o actualice dicha lista. Los certificados expedidos en virtud de dichos regímenes europeos de certificación de la ciberseguridad tendrán un nivel de seguridad elevado.

Enmienda    209

Propuesta de Reglamento

Artículo 48 ter (nuevo)

Texto de la Comisión

Enmienda

 

Artículo 48 ter

 

Objeciones formales a regímenes europeos de certificación de la ciberseguridad

 

1.  Cuando un Estado miembro considere que un régimen europeo de certificación de la ciberseguridad no se ajusta plenamente a los requisitos que aspira a cumplir y que están establecidos en la correspondiente legislación de armonización de la Unión, informará de ello a la Comisión y aportará explicaciones detalladas. La Comisión, tras consultar, si procede, al comité creado de conformidad con la correspondiente legislación de armonización de la Unión, o tras proceder a otras formas de consulta a expertos sectoriales, decidirá:

 

a)  publicar, no publicar o publicar con restricciones las referencias del régimen europeo de ciberseguridad en cuestión en el Diario Oficial de la Unión Europea;

 

b)  mantener o mantener con restricciones las referencias del régimen europeo de ciberseguridad en cuestión en el Diario Oficial de la Unión Europea, o suprimirlas.

 

2.  La Comisión publicará en su sitio web información sobre los regímenes europeos de ciberseguridad que hayan sido objeto de una decisión con arreglo al apartado 1 del presente artículo.

 

3.  La Comisión informará a la Agencia de la decisión adoptada con arreglo al apartado 1 del presente artículo y, en caso necesario, solicitará la revisión del régimen europeo de ciberseguridad en cuestión.

 

4.  La decisión a que se refiere el apartado 1, letra a), del presente artículo se adoptará de conformidad con el procedimiento consultivo a que se refiere el artículo 55, apartado 2, del presente Reglamento.

 

5.  La decisión a que se refiere el apartado 1, letra b), del presente artículo se adoptará de conformidad con el procedimiento de examen a que se refiere el artículo 55, apartado 2, del presente Reglamento.

Enmienda    210

Propuesta de Reglamento

Artículo 49 – apartado 1

Texto de la Comisión

Enmienda

1.  Sin perjuicio de lo dispuesto en el apartado 3, los regímenes nacionales de certificación de ciberseguridad y los procedimientos correspondientes para los productos y servicios de TIC cubiertos por un régimen europeo de certificación de la ciberseguridad dejarán de surtir efectos a partir de la fecha establecida en el acto de ejecución adoptado con arreglo al artículo 44, apartado 4. Los regímenes nacionales de certificación de la ciberseguridad existentes y los procedimientos conexos para los productos y servicios de TIC no cubiertos por un régimen europeo de certificación de la ciberseguridad seguirán existiendo.

1.  Sin perjuicio de lo dispuesto en el apartado 3, los regímenes nacionales de certificación de ciberseguridad y los procedimientos correspondientes para los productos, procesos y servicios de TIC cubiertos por un régimen europeo de certificación de la ciberseguridad dejarán de surtir efectos a partir de la fecha establecida en el acto de ejecución adoptado con arreglo al artículo 44, apartado 4. Los regímenes nacionales de certificación de la ciberseguridad existentes y los procedimientos conexos para los productos, procesos y servicios de TIC no cubiertos por un régimen europeo de certificación de la ciberseguridad seguirán existiendo.

Enmienda    211

Propuesta de Reglamento

Artículo 49 – apartado 2

Texto de la Comisión

Enmienda

2.  Los Estados miembros se abstendrán de introducir nuevos regímenes nacionales de certificación de la ciberseguridad para productos y servicios de TIC cubiertos por un régimen europeo de certificación de la ciberseguridad en vigor.

2.  Los Estados miembros se abstendrán de introducir nuevos regímenes nacionales de certificación de la ciberseguridad para productos, procesos y servicios de TIC cubiertos por un régimen europeo de certificación de la ciberseguridad en vigor.

Enmienda    212

Propuesta de Reglamento

Artículo 49 – apartado 3 bis (nuevo)

Texto de la Comisión

Enmienda

 

3 bis.  Los Estados miembros comunicarán a la Comisión toda solicitud de crear regímenes nacionales de certificación de la ciberseguridad e indicarán los motivos que justifiquen su establecimiento.

Enmienda    213

Propuesta de Reglamento

Artículo 49 – apartado 3 ter (nuevo)

Texto de la Comisión

Enmienda

 

3 ter.  Los Estados miembros enviarán, previa solicitud, los proyectos de regímenes nacionales de certificación de la ciberseguridad a otros Estados miembros, a la Agencia o a la Comisión, al menos en formato electrónico.

Enmienda    214

Propuesta de Reglamento

Artículo 49 – apartado 3 quater (nuevo)

Texto de la Comisión

Enmienda

 

3 quater.  Sin perjuicio de lo dispuesto en la Directiva (UE) 2015/1535, los Estados miembros responderán en el plazo de tres meses a toda observación recibida de otro Estado miembro, de la Agencia o de la Comisión a propósito del proyecto al que se hace referencia en el apartado 3 ter, y la tendrá debidamente en cuenta.

Enmienda    215

Propuesta de Reglamento

Artículo 49 – apartado 3 quinquies (nuevo)

Texto de la Comisión

Enmienda

 

3 quinquies.  Cuando las observaciones recibidas con arreglo al apartado 3 quater del presente artículo indiquen que un proyecto de régimen nacional de certificación de la ciberseguridad puede tener un impacto negativo en el correcto funcionamiento del mercado interior, el Estado miembro receptor deberá consultar a la Agencia y a la Comisión y tener en cuenta en la mayor medida posible sus observaciones antes de adoptar el proyecto de régimen.

Enmienda    216

Propuesta de Reglamento

Artículo 50 – apartado 5

Texto de la Comisión

Enmienda

5.  Para la aplicación eficaz del Reglamento, es conveniente que estas autoridades participen en el Grupo Europeo de Certificación de la Ciberseguridad establecido con arreglo al artículo 53 de manera activa, eficaz, eficiente y segura.

5.  Para la aplicación eficaz del Reglamento, es conveniente que estas autoridades participen en el Grupo de los Estados Miembros sobre Certificación establecido con arreglo al artículo 53 de manera activa, eficaz, eficiente y segura.

Enmienda    217

Propuesta de Reglamento

Artículo 50 – apartado 6 – letra a

Texto de la Comisión

Enmienda

a)  controlarán e impondrán la aplicación de las disposiciones del presente título a nivel nacional y supervisarán la conformidad de los certificados que hayan sido emitidos por los organismos de evaluación de la conformidad establecidos en sus territorios respectivos con los requisitos establecidos en el presente título y en el correspondiente régimen europeo de certificación de la ciberseguridad;

a)  controlarán e impondrán la aplicación de las disposiciones del presente título a nivel nacional y comprobarán la conformidad, con arreglo a las normas adoptadas por el Grupo Europeo de Certificación de la Ciberseguridad en virtud del artículo 53, apartado 3, letra d bis), de:

 

i)   los certificados que hayan sido emitidos por los organismos de evaluación de la conformidad establecidos en sus territorios respectivos con los requisitos establecidos en el presente título y en el correspondiente régimen europeo de certificación de la ciberseguridad; y

 

ii)   las autodeclaraciones de conformidad realizadas en virtud de un régimen para un proceso, producto o servicio de TIC;

Enmienda    218

Propuesta de Reglamento

Artículo 50 – apartado 6 – letra b

Texto de la Comisión

Enmienda

b)  controlarán y supervisarán las actividades de los organismos de evaluación de la conformidad a efectos de la aplicación del presente Reglamento, en particular en relación con la notificación de los organismos de evaluación de la conformidad y las tareas conexas establecidas en el artículo 52 del presente Reglamento;

b)  controlarán y supervisarán y, al menos cada dos años, evaluarán las actividades de los organismos de evaluación de la conformidad a efectos de la aplicación del presente Reglamento, en particular en relación con la notificación de los organismos de evaluación de la conformidad y las tareas conexas establecidas en el artículo 52 del presente Reglamento;

Enmienda    219

Propuesta de Reglamento

Artículo 50 – apartado 6 – letra b bis (nueva)

Texto de la Comisión

Enmienda

 

b bis)  efectuarán auditorías al objeto de asegurarse de que en la Unión se aplican normas equivalentes e informarán de los resultados a la Agencia y al Grupo;

Justificación

De este modo se fomenta que el nivel en cuanto a calidad y servicio sea uniforme en toda la Unión, y se ayuda a impedir la posibilidad de que se dé una «búsqueda de la certificación más favorable».

Enmienda    220

Propuesta de Reglamento

Artículo 50 – apartado 6 – letra c

Texto de la Comisión

Enmienda

c)  tramitarán las reclamaciones presentadas por personas físicas o jurídicas en relación con los certificados expedidos por los organismos de evaluación de la conformidad establecidos en su territorio, investigarán el asunto objeto de la reclamación en la medida que proceda e informarán al reclamante sobre el curso y el resultado de la investigación en un plazo razonable;

c)  tramitarán las reclamaciones presentadas por personas físicas o jurídicas en relación con los certificados expedidos por los organismos de evaluación de la conformidad establecidos en su territorio o con la autoevaluación de la conformidad realizada, investigarán el asunto objeto de la reclamación en la medida que proceda e informarán al reclamante sobre el curso y el resultado de la investigación en un plazo razonable;

Enmienda    221

Propuesta de Reglamento

Artículo 50 – apartado 6 – letra c bis (nueva)

Texto de la Comisión

Enmienda

 

c bis)  notificarán los resultados de las comprobaciones contempladas en la letra a) y de las evaluaciones contempladas en la letra b) a la Agencia y al Grupo Europeo de Certificación de la Ciberseguridad;

Enmienda    222

Propuesta de Reglamento

Artículo 50 – apartado 6 – letra d

Texto de la Comisión

Enmienda

d)  cooperarán con otras autoridades nacionales de supervisión de la certificación u otras autoridades públicas, en particular mediante el intercambio de información sobre posibles productos y servicios de TIC que no se ajusten a los requisitos del presente Reglamento o de regímenes europeos de ciberseguridad específicos;

d)  cooperarán con otras autoridades nacionales de supervisión de la certificación u otras autoridades públicas, como las autoridades nacionales de supervisión de la protección de datos, en particular mediante el intercambio de información sobre posibles productos, procesos y servicios de TIC que no se ajusten a los requisitos del presente Reglamento o de regímenes europeos de ciberseguridad específicos;

Enmienda    223

Propuesta de Reglamento

Artículo 50 – apartado 6 – letra d

Texto de la Comisión

Enmienda

d)  cooperarán con otras autoridades nacionales de supervisión de la certificación u otras autoridades públicas, en particular mediante el intercambio de información sobre posibles productos y servicios de TIC que no se ajusten a los requisitos del presente Reglamento o de regímenes europeos de ciberseguridad específicos;

d)  cooperarán con otras autoridades nacionales de supervisión de la certificación u otras autoridades públicas, como las autoridades nacionales de supervisión de la protección de datos, en particular mediante el intercambio de información sobre posibles productos y servicios de TIC que no se ajusten a los requisitos del presente Reglamento o de regímenes europeos de seguridad informática específicos;

Justificación

Enmienda basada en el dictamen del SEPD.

Enmienda    224

Propuesta de Reglamento

Artículo 50 – apartado 7 – letra c bis (nueva)

Texto de la Comisión

Enmienda

 

c bis)  revocar la acreditación de los organismos de evaluación de la conformidad que no cumplan el presente Reglamento.

Enmienda    225

Propuesta de Reglamento

Artículo 50 – apartado 7 – letra e

Texto de la Comisión

Enmienda

e)  retirar, con arreglo al Derecho nacional, los certificados que no se ajusten al presente Reglamento o a un régimen europeo de certificación de la ciberseguridad;

e)  retirar, con arreglo al Derecho nacional, los certificados que no se ajusten al presente Reglamento o a un régimen europeo de certificación de la ciberseguridad e informar de ello a los organismos nacionales de acreditación;

Enmienda    226

Propuesta de Reglamento

Artículo 50 – apartado 8

Texto de la Comisión

Enmienda

8.  Las autoridades nacionales de supervisión de la certificación cooperarán entre ellas y con la Comisión y, en particular, intercambiarán información, experiencias y buenas prácticas en relación con la certificación de la ciberseguridad y las cuestiones técnicas relativas a la ciberseguridad de los productos y servicios de TIC.

8.  Las autoridades nacionales de supervisión de la certificación cooperarán entre ellas y con la Comisión y, en particular, intercambiarán información, experiencias y buenas prácticas en relación con la certificación de la ciberseguridad y las cuestiones técnicas relativas a la ciberseguridad de los productos, procesos y servicios de TIC.

Enmienda    227

Propuesta de Reglamento

Artículo 50 – apartado 8 bis (nuevo)

Texto de la Comisión

Enmienda

 

8 bis.  Cada una de las autoridades nacionales de supervisión de la certificación y cada uno de sus miembros y funcionarios estarán sometidos, con arreglo a la legislación de la Unión o del Estado miembro, a la obligación de respetar el secreto profesional tanto durante como después de su mandato, por lo que respecta a toda información confidencial que llegue a su conocimiento en el transcurso del desempeño de su cometido o del ejercicio de sus competencias.

Enmienda    228

Propuesta de Reglamento

Artículo 50 bis (nuevo)

Texto de la Comisión

Enmienda

 

Artículo 50 bis

 

Revisión por pares

 

1.  Las autoridades nacionales de supervisión de la certificación estarán sometidas a revisiones por pares en relación con cualquier actividad que desempeñen en virtud del artículo 50 organizada por la Agencia.

 

2.   La evaluación por pares se llevará a cabo sobre la base de criterios y procedimientos de evaluación bien fundados y transparentes, en particular en lo relativo a los requisitos estructurales, de recursos humanos y de proceso, la confidencialidad y las reclamaciones. Existirán procedimientos apropiados de recurso contra las decisiones adoptadas a raíz de la evaluación.

 

3.   La revisión por partes abarcará la evaluación de los procedimientos establecidos por las autoridades nacionales de supervisión de la certificación, en particular, los procedimientos para comprobar la conformidad de los certificados, los procedimientos para el seguimiento y la supervisión de las actividades de los organismos de evaluación de la conformidad, la competencia del personal, la corrección de los controles y la metodología de las inspecciones, así como la precisión de los resultados. La revisión por pares evaluará asimismo si las autoridades nacionales de supervisión de la certificación en cuestión cuentan con recursos suficientes para desempeñar adecuadamente sus obligaciones con arreglo al artículo 50, apartado 4.

 

4.   La revisión por pares de las autoridades nacionales de supervisión de la certificación serán llevadas a cabo por la Comisión y dos autoridades nacionales de supervisión de la certificación de otros Estados miembros y se realizarán como mínimo cada cinco años. La Agencia podrá participar en la revisión por pares y tomará una decisión sobre su participación basándose en un análisis de evaluación de riesgos.

 

5.   La Comisión estará facultada para adoptar actos delegados con arreglo al artículo 55 bis, por los que se complete el presente Reglamento mediante el establecimiento de un plan para las revisiones por pares que cubra un período de al menos cinco años y mediante la definición de los criterios relativos a la composición del equipo de revisión por pares, la metodología utilizada para la revisión, así como el calendario, la periodicidad y las demás tareas relativas a dicha revisión. A la hora de adoptar esos actos delegados, la Comisión tendrá debidamente en cuenta las observaciones del Grupo de los Estados Miembros sobre Certificación.

 

6.   El Grupo de los Estados Miembros sobre Certificación estudiará los resultados de las revisiones por pares. La Agencia elaborará un resumen de los resultados y, en su caso, facilitará documentos de orientación y buenas prácticas, y los hará públicos.

Enmienda    229

Propuesta de Reglamento

Artículo 51 – apartado 1 bis (nuevo)

Texto de la Comisión

Enmienda

 

1 bis.  En el caso del nivel de garantía elevado, el organismo de evaluación de la conformidad, además de estar acreditado, deberá ser notificado por la autoridad nacional de supervisión de la certificación en cuanto a su competencia y conocimientos técnicos en materia de evaluación de la ciberseguridad. La autoridad nacional de supervisión de la certificación efectuará auditorías periódicas de los conocimientos técnicos y las competencias de los organismos de evaluación de la conformidad notificados.

Justificación

Para los niveles de garantía elevados son necesarias pruebas de eficacia. La experiencia y las competencias de los organismos de evaluación de la conformidad sobre la base de pruebas de eficacia deben auditarse periódicamente para garantizar, en particular, la calidad de las pruebas.

Enmienda    230

Propuesta de Reglamento

Artículo 51 – apartado 2 bis (nuevo)

Texto de la Comisión

Enmienda

 

2 bis.  Para asegurarse de que en la Unión se aplican normas equivalentes, se llevarán a cabo auditorías cuyos resultados se comunicarán a la Agencia y al Grupo.

Enmienda    231

Propuesta de Reglamento

Artículo 51 – apartado 2 ter (nuevo)

Texto de la Comisión

Enmienda

 

2 ter.  En los casos en que los fabricantes opten por la «autodeclaración de conformidad» prevista en el artículo 48, apartado 3, los organismos de evaluación de la conformidad tomarán medidas adicionales con el fin de verificar los procedimientos internos aplicados por el fabricante para garantizar que sus productos o servicios cumplan los requisitos del régimen europeo de certificación de la ciberseguridad.

Enmienda    232

Propuesta de Reglamento

Artículo 52 – apartado 5

Texto de la Comisión

Enmienda

5.  La Comisión podrá, mediante actos de ejecución, definir las circunstancias, formatos y procedimientos de las notificaciones a que se refiere el apartado 1 del presente artículo. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 55, apartado 2.

5.  La Comisión podrá, mediante actos delegados, definir las circunstancias, formatos y procedimientos de las notificaciones a que se refiere el apartado 1 del presente artículo. Dichos actos delegados se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 55, apartado 2.

Enmienda    233

Propuesta de Reglamento

Artículo 53 – título

Texto de la Comisión

Enmienda

Grupo Europeo de Certificación de la Ciberseguridad

Grupo de los Estados Miembros sobre Certificación

 

(Esta modificación se aplica a la totalidad del texto legislativo objeto de examen; su adopción impone adaptaciones técnicas en todo el texto.)

Enmienda    234

Propuesta de Reglamento

Artículo 53 – apartado 1

Texto de la Comisión

Enmienda

1.  Queda establecido el Grupo Europeo de Certificación de la Ciberseguridad (en lo sucesivo, «el Grupo»).

1.  Queda establecido el Grupo de los Estados Miembros sobre Certificación.

Enmienda    235

Propuesta de Reglamento

Artículo 53 – apartado 2

Texto de la Comisión

Enmienda

2.  El Grupo estará integrado por las autoridades nacionales de supervisión de la certificación. Las autoridades estarán representadas por los directores u otros representantes de alto nivel de las autoridades nacionales de supervisión de la certificación.

2.  El Grupo de los Estados Miembros sobre Certificación estará integrado por las autoridades nacionales de supervisión de la certificación de cada uno de los Estados miembros. Las autoridades estarán representadas por los directores u otros representantes de alto nivel de las autoridades nacionales de supervisión de la certificación. Los miembros del Grupo de las Partes Interesadas sobre Certificación podrán ser invitados a asistir a las reuniones del Grupo y a participar en sus trabajos.

Enmienda    236

Propuesta de Reglamento

Artículo 53 – apartado 1 – parte introductoria

Texto de la Comisión

Enmienda

3.  El Grupo desempeñará las siguientes tareas:

3.  El Grupo de los Estados Miembros sobre Certificación desempeñará las siguientes tareas:

Enmienda    237

Propuesta de Reglamento

Artículo 53 – apartado 3 – letra b

Texto de la Comisión

Enmienda

b)  asistir, asesorar y cooperar con ENISA en relación con la preparación de una propuesta de régimen, de conformidad con el artículo 44 del presente Reglamento;

b)  asistir, asesorar y cooperar con la Agencia en relación con la preparación de una propuesta de régimen, de conformidad con el artículo 44 del presente Reglamento;

Enmienda    238

Propuesta de Reglamento

Artículo 53 – apartado 3 – letra d bis (nueva)

Texto de la Comisión

Enmienda

 

d bis)  adoptar recomendaciones en las que se determinen los intervalos con los que las autoridades nacionales de supervisión de la certificación llevarán a cabo comprobaciones de los certificados y autoevaluaciones de la conformidad, y los criterios, la escala y el alcance de dichas comprobaciones, y adoptar normas y estándares comunes para la notificación de los resultados, de conformidad con el artículo 50, apartado 6.

Enmienda    239

Propuesta de Reglamento

Artículo 53 – apartado 3 – letra e

Texto de la Comisión

Enmienda

e)  examinar las novedades pertinentes en el ámbito de la certificación de la ciberseguridad e intercambiar buenas prácticas sobre los regímenes de certificación de la ciberseguridad;

e)  examinar las novedades pertinentes en el ámbito de la certificación de la ciberseguridad e intercambiar información y buenas prácticas sobre los regímenes de certificación de la ciberseguridad;

Enmienda    240

Propuesta de Reglamento

Artículo 53 – apartado 3 – letra f bis (nueva)

Texto de la Comisión

Enmienda

 

f bis)  facilitar el alineamiento de los regímenes europeos de ciberseguridad con las normas internacionales reconocidas, en particular mediante la revisión de los regímenes europeos de ciberseguridad existentes y, cuando proceda, mediante la formulación de recomendaciones a la Agencia para que colabore con las organizaciones internacionales de normalización correspondientes al objeto de solucionar las deficiencias o lagunas en las normas vigentes reconocidas a nivel internacional;

Enmienda    241

Propuesta de Reglamento

Artículo 53 – apartado 3 – letra f ter (nueva)

Texto de la Comisión

Enmienda

 

f ter)  establecer un proceso de revisión por pares; este proceso tendrá especialmente en cuenta los conocimientos técnicos necesarios de las autoridades nacionales de supervisión de la certificación en el desempeño de sus cometidos, tal y como describen los artículos 48 y 50, e incluirá, cuando sea necesario, la elaboración de documentos de orientación y buenas prácticas para mejorar la conformidad de las autoridades nacionales de supervisión de la certificación con el presente Reglamento;

Enmienda    242

Propuesta de Reglamento

Artículo 53 – apartado 3 – letra f quater (nueva)

Texto de la Comisión

Enmienda

 

f quater)  supervisar el seguimiento y el mantenimiento de los certificados;

Enmienda    243

Propuesta de Reglamento

Artículo 53 – apartado 3 – letra f quinquies (nueva)

Texto de la Comisión

Enmienda

 

f quinquies)  tener en cuenta los resultados de la consulta a las partes interesadas llevada a cabo durante la preparación de una propuesta de régimen, con arreglo al artículo 44.

Enmienda    244

Propuesta de Reglamento

Artículo 53 – apartado 4

Texto de la Comisión

Enmienda

4.  La Comisión presidirá el Grupo y se hará cargo de su secretaría, con la asistencia de ENISA según lo previsto en el artículo 8, letra a).

4.  La Comisión presidirá el Grupo de los Estados Miembros sobre Certificación y se hará cargo de su secretaría, con la asistencia de la Agencia según lo previsto en el artículo 8, letra a).

Enmienda    245

Propuesta de Reglamento

Artículo 53 bis (nuevo)

Texto de la Comisión

Enmienda

 

Artículo 53 bis

 

Derecho a la tutela judicial efectiva frente a una autoridad de supervisión o un organismo de evaluación de la conformidad.

 

1.  Sin perjuicio de cualquier otro recurso administrativo o extrajudicial, toda persona física o jurídica tendrá derecho a la tutela judicial efectiva:

 

a)  frente a una decisión de un organismo de evaluación de la conformidad o una autoridad nacional de supervisión de la certificación que les concierna, también, cuando proceda, en relación con la expedición, no expedición o reconocimiento de un certificado europeo de ciberseguridad en posesión de dicha persona; y

 

b)  cuando una autoridad nacional de supervisión de la certificación no tramite una reclamación siendo competente para ello.

 

2.  Los recursos contra un organismo de evaluación de la conformidad o una autoridad nacional de supervisión de la certificación se presentarán ante los tribunales del Estado miembro en el que estén establecidos dicho organismo o dicha autoridad.

Enmienda    246

Propuesta de Reglamento

Artículo 55 – apartado 2 bis (nuevo)

Texto de la Comisión

Enmienda

 

2 bis.  En los casos en que se haga referencia al presente apartado, se aplicará el artículo 5 del Reglamento (UE) n.º 182/2011.

Enmienda    247

Propuesta de Reglamento

Artículo 55 bis (nuevo)

Texto de la Comisión

Enmienda

 

Artículo 55 bis

 

Ejercicio de la delegación

 

1.   Se otorgan a la Comisión los poderes para adoptar actos delegados en las condiciones establecidas en el presente artículo.

 

2.   Los poderes para adoptar actos delegados mencionados en los artículos 44 y 48 bis se otorgan a la Comisión por un período indefinido a partir de [fecha de entrada en vigor del acto legislativo de base].

 

3.   La delegación de poderes mencionada en los artículos 44 y 48 bis podrá ser revocada en cualquier momento por el Parlamento Europeo o por el Consejo. La decisión de revocación pondrá término a la delegación de los poderes que en ella se especifiquen. La decisión surtirá efecto el día siguiente al de su publicación en el Diario Oficial de la Unión Europea o en una fecha posterior indicada en ella. No afectará a la validez de los actos delegados que ya estén en vigor.

 

4.   Antes de la adopción de un acto delegado, la Comisión consultará a los expertos designados por cada Estado miembro de conformidad con los principios establecidos en el Acuerdo interinstitucional de 13 de abril de 2016 sobre la mejora de la legislación.

 

5.   Tan pronto como la Comisión adopte un acto delegado lo notificará simultáneamente al Parlamento Europeo y al Consejo.

 

6.   Los actos delegados adoptados en virtud de los artículo 44 y 48 bis entrarán en vigor únicamente si, en un plazo de dos meses desde su notificación al Parlamento Europeo y al Consejo, ninguna de estas instituciones formula objeciones o si, antes del vencimiento de dicho plazo, ambas informan a la Comisión de que no las formularán. El plazo se prorrogará dos meses a iniciativa del Parlamento Europeo o del Consejo.

Enmienda    248

Propuesta de Reglamento

Artículo 56 – apartado 1

Texto de la Comisión

Enmienda

1.  A más tardar cinco años después de la fecha a que se refiere el artículo 58, y posteriormente cada cinco años, la Comisión evaluará el impacto, la eficacia y la eficiencia de la Agencia y de sus prácticas de trabajo, así como la posible necesidad de modificar su mandato y las repercusiones financieras que tendría la eventual modificación. La evaluación tomará en consideración los comentarios llegados a la Agencia en respuesta a sus actividades. Si la Comisión considerara que la continuidad de la Agencia ha dejado de estar justificada con respecto a los objetivos, mandato y tareas que le fueron atribuidos, podrá proponer que se modifique el presente Reglamento en lo que se refiere a las disposiciones relacionadas con la Agencia.

1.  A más tardar dos años después de la fecha a que se refiere el artículo 58, y posteriormente cada dos años, la Comisión evaluará el impacto, la eficacia y la eficiencia de la Agencia y de sus prácticas de trabajo, así como la posible necesidad de modificar su mandato y las repercusiones financieras que tendría la eventual modificación. La evaluación tomará en consideración los comentarios llegados a la Agencia en respuesta a sus actividades. Si la Comisión considerara que la continuidad de la Agencia ha dejado de estar justificada con respecto a los objetivos, mandato y tareas que le fueron atribuidos, podrá proponer que se modifique el presente Reglamento en lo que se refiere a las disposiciones relacionadas con la Agencia.

Enmienda    249

Propuesta de Reglamento

Artículo 56 – apartado 2

Texto de la Comisión

Enmienda

2.  La evaluación valorará también el impacto, la eficacia y la eficiencia de las disposiciones del título III en relación con los objetivos de garantizar un nivel adecuado de ciberseguridad de los productos y servicios de TIC en la Unión y de mejorar el funcionamiento del mercado interior.

2.  La evaluación valorará también el impacto, la eficacia y la eficiencia de las disposiciones del título III en relación con los objetivos de garantizar un nivel adecuado de ciberseguridad de los productos, procesos y servicios de TIC en la Unión y de mejorar el funcionamiento del mercado interior.

Enmienda    250

Propuesta de Reglamento

Artículo 56 – apartado 2 bis (nuevo)

Texto de la Comisión

Enmienda

 

2 bis.  La evaluación valorará si son necesarios requisitos esenciales de ciberseguridad para el acceso al mercado interior a fin de evitar que se introduzcan en el mercado de la Unión productos, servicios y procesos que no cumplan los requisitos básicos de ciberseguridad.

Enmienda    251

Propuesta de Reglamento

Anexo -I (nuevo)

Texto de la Comisión

Enmienda

 

ANEXO -I

 

Cuando entre en vigor el marco de certificación de la ciberseguridad de la UE, es probable que la atención se centre en los ámbitos de interés inminente para hacer frente al reto que plantean las tecnologías emergentes. El ámbito de la internet de las cosas (IdC) reviste especial interés, ya que abarca requisitos relativos tanto a los consumidores como a la industria. Se propone la siguiente lista prioritaria para su inclusión en el marco de certificación:

 

1) La certificación de prestación de servicios en la nube.

 

2) La certificación de dispositivos de la IdC, incluidos:

 

a. dispositivos a nivel individual, como tecnología ponible inteligente;

 

b. dispositivos a nivel comunitario, como vehículos inteligentes, hogares inteligentes y dispositivos sanitarios;

 

c. dispositivos a nivel social, como ciudades inteligentes y redes inteligentes.

 

3) La industria 4.0, con sistemas ciberfísicos inteligentes e interconectados que automatizan todas las etapas de las operaciones industriales, desde el diseño y la fabricación hasta el funcionamiento, la cadena de suministro y el mantenimiento del servicio.

 

4) La certificación de tecnologías y productos utilizados en la vida cotidiana. Un ejemplo de ello serían los dispositivos de red, como los encaminadores de las redes de internet domésticas.

Enmienda    252

Propuesta de Reglamento

Anexo I – párrafo 1 – punto 5 bis (nuevo)

Texto de la Comisión

Enmienda

 

5 bis.  Si un organismo de evaluación de la conformidad pertenece a una entidad o institución pública o es gestionado por esta, se garantizará y documentará la independencia y la inexistencia de conflictos de interés entre, por una parte, la autoridad de supervisión de la certificación y, por otra, el organismo de evaluación de la conformidad.

Enmienda    253

Propuesta de Reglamento

Anexo I – párrafo 1 – punto 8

Texto de la Comisión

Enmienda

8.  El organismo de evaluación de la conformidad deberá ser capaz de llevar a cabo todas las tareas de evaluación de la conformidad que le hayan sido asignadas en virtud del presente Reglamento, tanto si dichas tareas las efectúa el propio organismo como si se realizan en su nombre y bajo su responsabilidad.

8.  El organismo de evaluación de la conformidad deberá ser capaz de llevar a cabo todas las tareas de evaluación de la conformidad que le hayan sido asignadas en virtud del presente Reglamento, tanto si dichas tareas las efectúa el propio organismo como si se realizan en su nombre y bajo su responsabilidad. Cualquier subcontratación o consulta de personal externo se documentará debidamente, no supondrá la participación de intermediarios y será objeto de un acuerdo escrito que regulará, entre otros aspectos, la confidencialidad y el conflicto de intereses. El organismo de evaluación de la conformidad en cuestión asumirá toda la responsabilidad de las tareas desempeñadas.

Enmienda    254

Propuesta de Reglamento

Anexo I – párrafo 1 – punto 12

Texto de la Comisión

Enmienda

12.  Se garantizará la imparcialidad del organismo de evaluación de la conformidad, de sus máximos directivos y de su personal de evaluación.

12.  Se garantizará la imparcialidad del organismo de evaluación de la conformidad, de sus máximos directivos, de su personal de evaluación y de sus subcontratistas.

Enmienda    255

Propuesta de Reglamento

Anexo I – párrafo 1 – punto 15

Texto de la Comisión

Enmienda

15.  El personal del organismo de evaluación de la conformidad deberá observar el secreto profesional acerca de toda la información obtenida en el marco de las tareas realizadas con arreglo al presente Reglamento o a cualquier disposición de Derecho nacional por la que se aplique, salvo con respecto a las autoridades competentes de los Estados miembros en que realice sus actividades.

15.  El organismo de evaluación de la conformidad y su personal, comités, filiales, subcontratistas y cualquier otra entidad o trabajador de organismos externos con los que esté asociados deberán mantener la confidencialidad y observar el secreto profesional acerca de toda la información obtenida en el marco de las tareas realizadas con arreglo al presente Reglamento o a cualquier disposición de Derecho nacional por la que se aplique, salvo cuando la legislación de la Unión o de un Estado miembro a la que están sometidas dichas personas requiera su divulgación con respecto a las autoridades competentes de los Estados miembros en que realice sus actividades. Se protegerán los derechos de titularidad. El organismo de evaluación de la conformidad contará con procedimientos documentados por lo que respecta a los requisitos establecidos en el punto 15.

Enmienda    256

Propuesta de Reglamento

Anexo I – párrafo 1 – punto 5 bis (nuevo)

Texto de la Comisión

Enmienda

 

15 bis.  Salvo en los casos especificados en el punto 15, los requisitos del presente anexo no impedirán en modo alguno los intercambios de información técnica y directrices normativas entre un organismo de evaluación de la conformidad y una persona que solicita o está valorando la posibilidad de solicitar la certificación.

Enmienda    257

Propuesta de Reglamento

Anexo I – sección 1 – punto 15 ter (nuevo)

Texto de la Comisión

Enmienda

 

15 ter.  Los organismos de evaluación de la conformidad funcionarán con arreglo a un conjunto de condiciones coherentes, justas y razonables que tengan en cuenta los intereses de las pequeñas y medianas empresas, según se definen en la Recomendación n.º 2003/361/CE de la Comisión, en relación con las tasas.

(1)

DO C 227 de 28.6.2018, p. 86.


EXPOSICIÓN DE MOTIVOS

Es un hecho que la revolución digital mundial se está arraigando y está proliferando en nuestras economías, sociedades y gobiernos: todos nuestros datos son vulnerables. Los consumidores, las industrias, las instituciones y las democracias a escala local, nacional, europea y mundial han sido víctimas de ciberataques, ciberespionaje y sabotajes cibernéticos, y todos nosotros somos conscientes de que estos ataques aumentarán de forma significativa en los próximos años.

Miles de millones de dispositivos están conectados a internet e interactúan en un nuevo nivel y a una nueva escala. Estos dispositivos y los servicios asociados pueden mejorar la vida de los ciudadanos y nuestras economías. No obstante, las personas y las organizaciones solo podrán ser o llegar a ser plenamente parte del mundo digital si confían en las tecnologías digitales. La confianza exige que los dispositivos, los procesos y los servicios de la internet de las cosas sean seguros y estén protegidos.

Con el fin de alcanzar estos objetivos, la Comisión ha propuesto el «Reglamento de Ciberseguridad». Este Reglamento constituye una parte importante, así como un instrumento esencial, de la nueva estrategia de ciberseguridad de la Unión Europea, cuyo objetivo es proporcionar a Europa una visión a largo plazo en materia de ciberseguridad y reforzar la confianza en las tecnologías digitales. Es importante situarlo en el contexto de la legislación ya en vigor: la Unión ya ha creado una Agencia de Seguridad de las Redes y de la Información de la Unión Europea (ENISA) y ha adoptado una Directiva sobre seguridad de las redes y los sistemas de información (Directiva SRI), que actualmente está siendo transpuesta por los Estados miembros.

El «Reglamento de Ciberseguridad» se divide en dos partes. En la primera parte, se especifican el papel y el mandato de la ENISA con el fin de reforzar la Agencia. En la segunda parte, se introduce un régimen europeo de certificación de la ciberseguridad en forma de un marco voluntario destinado a mejorar la seguridad de los dispositivos conectados y de los productos y servicios digitales.

En general, la ponente acoge con satisfacción la propuesta de la Comisión sobre el Reglamento europeo de ciberseguridad, ya que es esencial para reducir al mínimo los riesgos y las amenazas para la seguridad de la información y los sistemas de redes, así como para contribuir a que los consumidores confíen en las soluciones informáticas, en particular en lo que respecta a la internet de las cosas. La ponente cree firmemente que Europa puede asumir un papel de liderazgo en el ámbito de la ciberseguridad. Europa cuenta con una sólida base industrial, por lo que trabajar en la mejora de la ciberseguridad con respecto a los bienes de consumo, las aplicaciones industriales y las infraestructuras esenciales redunda en interés tanto de los consumidores como de la industria.

Es conveniente modificar la propuesta de la Comisión, tanto en lo que respecta a la parte sobre la ENISA como a la parte relativa a la certificación.

Por lo que respecta a la ENISA, la ponente opina que es fundamental establecer el marco adecuado si queremos garantizar la solidez y el buen funcionamiento de la Agencia. La ponente celebra el refuerzo del papel de la ENISA, incluido su entonces mandato permanente y el aumento de su presupuesto y de su personal, pero también considera necesario adoptar un enfoque realista, teniendo en cuenta el todavía insuficiente número de expertos que contrata la ENISA con respecto al número de personal en algunas autoridades nacionales de supervisión de la certificación. La labor de la ENISA debe seguir siendo la de organizar la cooperación operativa, teniendo en cuenta la experiencia adquirida en el marco de la Directiva SRI, seguir apoyando el desarrollo de las capacidades en los Estados miembros y ser una fuente de información. Asimismo, la ENISA debe desempeñar un papel importante en la creación de regímenes europeos de ciberseguridad, junto con los Estados miembros y las partes interesadas pertinentes.

Por lo que respecta a la certificación, la ponente propone aclarar en mayor medida el ámbito de aplicación de la propuesta. En primer lugar, el Reglamento debería abarcar no solo los productos y servicios, sino todo su ciclo de vida. Por tanto, los procesos también han de incluirse en el ámbito de aplicación. Por otro lado, algunos ámbitos de competencias de los Estados miembros deberían ser excluidos claramente, en particular en lo que respecta a la seguridad pública, la defensa, la seguridad nacional y el ámbito del Derecho penal.

En lo que respecta al régimen europeo de certificación de la ciberseguridad, la ponente propone especificar más detalladamente un enfoque basado en el riesgo y no un régimen de certificación único. Por otra parte, la ponente está a favor de un sistema voluntario, pero solo en el caso de los niveles de garantía básico y sustancial. Para los productos, procesos o servicios incluidos en el nivel más alto de garantía, la oponente opina que es preferible un sistema obligatorio. Por lo que respecta a la evaluación de las tecnologías digitales incluidas en el nivel de garantía básico, la ponente recomienda, asimismo, establecer un vínculo con el enfoque del nuevo marco legislativo. Esto permitirá realizar un ejercicio de autoevaluación, un sistema más barato y que requiere menos trámites administrativos que ha demostrado funcionar bien en distintos ámbitos específicos.

La ponente considera que el fabricante o el proveedor de los productos, procesos y servicios de TIC debe estar obligado a expedir una declaración de producto que incluya información estructurada en relación con la certificación, indicando, por ejemplo, la disponibilidad de actualizaciones o la interoperabilidad de los productos, procesos o servicios certificados. Esto proporcionaría al consumidor información útil a la hora de elegir un dispositivo. La ponente prefiere este tipo de declaración de producto frente a una etiqueta o una marca, que podría inducir a error a los consumidores.

La ponente cree firmemente que la estructura de gobernanza propuesta por la Comisión debe mejorarse de forma que sea más transparente para todas las partes interesadas. La ponente propone, por consiguiente, la adopción de un programa de trabajo plurianual de la Unión que determine las acciones comunes que deberán llevarse a cabo a escala de la Unión y que indique los ámbitos en los que deben establecerse prioritariamente los regímenes europeos de certificación y el nivel de equivalencia de conocimientos y experiencia de los organismos de evaluación y supervisión en los Estados miembros. El refuerzo de la gobernanza también implica una mayor participación de los Estados miembros y de la industria en el proceso de certificación: el papel de los Estados miembros puede reforzarse situando al «Grupo», creado en virtud del artículo 53 de la propuesta y compuesto por las autoridades nacionales de supervisión de la certificación, en pie de igualdad con la Comisión en el proceso de preparación de un régimen de certificación. El Grupo también tendrá que aprobar una propuesta de régimen europeo. En tercer lugar, también debería reforzarse la participación de la industria en el proceso de certificación. Esto puede lograrse aclarando la composición del Grupo Permanente de Partes Interesadas y creando grupos consultivos ad hoc por parte de la ENISA, con el fin de reforzar los conocimientos y la experiencia de la industria y de otras partes interesadas pertinentes en los procesos de certificación. La ponente considera que todas estas medidas ayudarán a las pymes a estar mucho más presentes en el proceso.

Por último, un régimen europeo de certificación necesita una mayor participación de las organizaciones de normalización europeas, como el CEN y el Cenelec, a la hora de desarrollar nuevos regímenes. De esta forma, las normas internacionales existentes y aceptadas a escala mundial prevalecerán.


OPINIÓN de la Comisión de Mercado Interior y Protección del Consumidor (22.5.2018)

para la Comisión de Industria, Investigación y Energía

sobre la propuesta de Reglamento del Parlamento Europeo y del Consejo relativo a ENISA, la «Agencia de Ciberseguridad de la UE», y por el que se deroga el Reglamento (UE) n.º 526/2013, y relativo a la certificación de la ciberseguridad de las tecnologías de la información y la comunicación («Reglamento de Ciberseguridad»)

(COM(2017)0477 – C8-0310-2017 – 2017/0225(COD))

Ponente: (*) Nicola Danti

(*)  Procedimiento de comisiones asociadas — artículo 54 del Reglamento interno

BREVE JUSTIFICACIÓN

En la era digital, la ciberseguridad constituye un elemento básico de la competitividad económica y la seguridad de la Unión Europea, y de la integridad de nuestras sociedades libres y democráticas y los procesos que las sustentan. Garantizar un alto grado de ciberresiliencia en toda la UE reviste una importancia fundamental de cara a concitar la confianza de los consumidores en el mercado único digital y a seguir desarrollando una Europa más innovadora y competitiva.

Sin lugar a dudas, las ciberamenazas y los ciberataques a nivel mundial—como «WannaCry» y «Meltdown»— son problemas de importancia creciente en nuestra cada vez más digitalizada sociedad. Según una encuesta del Eurobarómetro publicada en julio de 2017, el 87 % de los encuestados opinan que la ciberdelincuencia representa un notable desafío para la seguridad interior de la UE, y una mayoría de ellos están preocupados por ser víctimas de diversas formas de ciberdelincuencia. Por otra parte, desde comienzos de 2016 se han producido cada día en todo el mundo más de 4 000 ataques de ransomware (bloqueo de archivos con petición de un rescate), lo que supone un aumento del 300 % respecto a 2015, afectando al 80 % de las empresas de la UE. Estos hechos y conclusiones ponen claramente de manifiesto la necesidad de que la UE sea más resiliente y eficaz a la hora de luchar contra los ciberataques e incremente su capacidad para proteger mejor a los ciudadanos, las empresas y las instituciones públicas de la Unión.

Un año después de la entrada en vigor de la Directiva SRI, la Comisión Europea, en el marco más amplio de la estrategia de ciberseguridad de la UE, presentó un Reglamento que tiene por objeto aumentar la resiliencia, la disuasión y la defensa cibernética de la UE. El 13 de septiembre de 2017, la Comisión presentó el «Reglamento de Ciberseguridad», basado en dos pilares:

1) un mandato reforzado para la Agencia de Seguridad de las Redes y de la Información de la Unión Europea (ENISA) al objeto de ayudar a los Estados miembros a prevenir y responder eficazmente a los ciberataques, y 2) la creación de un marco de la UE para la certificación de la ciberseguridad que garantice la ciberseguridad de los productos y servicios de TIC.

En general, el ponente acoge con satisfacción el enfoque propuesto por la Comisión Europea y, en particular, se muestra favorable a la introducción de regímenes de certificación de la ciberseguridad a escala de la UE, que pretenden aumentar la seguridad de los productos y servicios de TIC y evitar la costosa fragmentación del mercado único en este ámbito crucial. Aunque inicialmente debe seguir siendo un instrumento voluntario, el ponente espera que un marco de la UE para la certificación de la ciberseguridad y los procedimientos correspondientes se conviertan en un instrumento necesario para reforzar la confianza de los ciudadanos y usuarios e incrementar la seguridad de los productos y servicios que circulan en el mercado único.

Ciertamente, está convencido asimismo de que hay una serie de puntos de la propuesta que deben clarificarse y mejorarse:

•  En primer lugar, el aumento de la participación de las partes interesadas relevantes en las distintas fases del sistema de gobernanza de cara a la preparación de propuestas de regímenes de certificación por ENISA: en opinión del ponente, es fundamental implicar oficialmente a las partes interesadas más relevantes, como las empresas del sector de las TIC, las organizaciones de consumidores, las pymes, las organizaciones europeas de normalización y las agencias sectoriales de la UE, entre otras, y darles la posibilidad de plantear nuevas propuestas de regímenes, asesorar a ENISA con sus conocimientos específicos o cooperar con ENISA en la preparación de una propuesta de régimen.

•  En segundo lugar, es necesario reforzar el papel de coordinación del Grupo Europeo de Certificación de la Ciberseguridad (compuesto por autoridades nacionales, con el apoyo de la Comisión y de ENISA) con las tareas adicionales de proporcionar orientación estratégica y elaborar un programa de trabajo sobre las acciones comunes que deben llevarse a cabo a nivel de la Unión en el ámbito de la certificación, así como de establecer y actualizar periódicamente una lista prioritaria de los productos y servicios de TIC para los que considera que se precisa un régimen europeo de certificación de la ciberseguridad.

•  El ponente cree firmemente que debemos evitar la práctica del «shopping» (compra) de la certificación de la UE, como ya ha ocurrido en otros sectores. Las disposiciones de control y vigilancia de ENISA y las autoridades nacionales de supervisión de la certificación deben ser firmemente reforzadas a fin de garantizar que un certificado europeo expedido en un Estado miembro obedezca a las mismas normas y requisitos que uno expedido en otro Estado miembro. Por tanto, propone:

1) reforzar las competencias de vigilancia de ENISA: junto con el Grupo de Certificación, ENISA debe efectuar evaluaciones de los procedimientos aplicados por las autoridades competentes en materia de expedición de los certificados de la UE;

2) que las autoridades nacionales de supervisión de la certificación deban llevar a cabo evaluaciones periódicas (al menos cada dos años) de los certificados de la UE emitidos por los organismos de evaluación de la conformidad;

3) introducir criterios vinculantes comunes definidos por el Grupo con miras a establecer la escala, el alcance y la frecuencia con que las autoridades nacionales de supervisión de la certificación deban realizar las evaluaciones a que se hace referencia en el punto 2.

•  El ponente considera que debe introducirse una etiqueta de confianza de la UE obligatoria para los productos y servicios de TIC destinados a los usuarios finales. Esta etiqueta podría contribuir a elevar la concienciación sobre la ciberseguridad y dar a las empresas con buenas credenciales de ciberseguridad una ventaja competitiva.

•  El ponente está de acuerdo con el enfoque uniforme y armonizado adoptado por la Comisión, pero está convencido de que debe ser más flexible y adaptable a las características y vulnerabilidades específicas de cada producto o servicio, y no responder a un planteamiento de «solución única». Por consiguiente, el ponente considera que los niveles de seguridad deben ser renombrados y utilizados teniendo en cuenta también el uso previsto de los productos y servicios de TIC. Igualmente, la duración de la validez del certificado debe fijarse en cada régimen de manera específica.

•  Cada régimen de certificación debe diseñarse de modo que estimule y anime a todos los actores implicados del sector de que se trate a desarrollar y adoptar normas de seguridad, normas técnicas y principios de seguridad a través del diseño y de protección de la intimidad a través del diseño en todas las fases del ciclo de vida del producto o servicio.

ENMIENDAS

La Comisión de Mercado Interior y Protección del Consumidor pide a la Comisión de Industria, Investigación y Energía, competente para el fondo, que tome en consideración las siguientes enmiendas:

Enmienda    1

Propuesta de Reglamento

Considerando 1

Texto de la Comisión

Enmienda

(1)  Las redes y los sistemas de información y las redes y servicios de telecomunicaciones desempeñan un papel vital para la sociedad y se han convertido en la espina dorsal del crecimiento económico. Las tecnologías de la información y la comunicación están en la base de los complejos sistemas que sustentan las actividades de la sociedad, garantizan el funcionamiento de nuestras economías en sectores clave como la salud, la energía, las finanzas y el transporte y, en particular, respaldan el funcionamiento del mercado interior.

(1)  Las redes y los sistemas de información y las redes y servicios de telecomunicaciones desempeñan un papel vital para la sociedad y se han convertido en la espina dorsal del crecimiento económico. Las tecnologías de la información y la comunicación (TIC) están en la base de los complejos sistemas que sustentan las actividades cotidianas de la sociedad, garantizan el funcionamiento de nuestras economías en sectores clave como la salud, la energía, las finanzas y el transporte y, en particular, respaldan el funcionamiento del mercado interior.

Enmienda    2

Propuesta de Reglamento

Considerando 2

Texto de la Comisión

Enmienda

(2)  La utilización de las redes y los sistemas de información por los ciudadanos, empresas y administraciones de toda la Unión está ya muy generalizada. La digitalización y la conectividad se convierten en elementos básicos en un número cada vez mayor de productos y servicios, y con la llegada de la internet de las cosas, se espera el despliegue en la UE de millones, si no miles de millones, de dispositivos digitales conectados durante la próxima década. Mientras aumenta el número de dispositivos conectados a internet, la seguridad y la resiliencia no se tienen suficientemente en cuenta desde el diseño, lo que provoca insuficiencias en la ciberseguridad. En este contexto, el uso limitado de la certificación priva a los usuarios individuales y las organizaciones de información suficiente sobre las características de ciberseguridad de los productos y servicios de TIC y socava la confianza en las soluciones digitales.

(2)  La utilización de las redes y los sistemas de información por los ciudadanos, empresas y administraciones de toda la Unión está ya muy generalizada. La digitalización y la conectividad se convierten en elementos básicos en un número cada vez mayor de productos y servicios, y con la llegada de la internet de las cosas, se espera el despliegue en la UE de millones, si no miles de millones, de dispositivos digitales conectados durante la próxima década. Mientras aumenta el número de dispositivos conectados a internet, la seguridad y la resiliencia no se tienen suficientemente en cuenta desde el diseño, lo que provoca insuficiencias en la ciberseguridad. En este contexto, el uso limitado de la certificación priva a los usuarios individuales y las organizaciones de información suficiente sobre las características de ciberseguridad de los productos y servicios de TIC y socava la confianza en las soluciones digitales, que es esencial para el establecimiento de un mercado único digital.

Enmienda    3

Propuesta de Reglamento

Considerando 3

Texto de la Comisión

Enmienda

(3)  La intensificación de la digitalización y la conectividad dará lugar a un aumento de los riesgos en materia de ciberseguridad, con lo que la sociedad en general resultará más vulnerable a las ciberamenazas y se exacerbarán los peligros a que se enfrentan las personas, incluidas las personas vulnerables como los niños. A fin de atenuar este riesgo para la sociedad, es preciso adoptar las medidas necesarias para mejorar la ciberseguridad en la UE con vistas a proteger mejor de las ciberamenazas las redes y los sistemas de información, las redes de telecomunicaciones y los productos, servicios y dispositivos digitales utilizados por los ciudadanos, los gobiernos y las empresas, desde las pymes a los operadores de infraestructuras críticas.

(3)  La intensificación de la digitalización y la conectividad dará lugar a un aumento importante de los riesgos en materia de ciberseguridad, con lo que la sociedad en general resultará más vulnerable a las ciberamenazas y se exacerbarán los peligros a que se enfrentan las personas, incluidas las personas vulnerables como los niños. El poder transformador de la inteligencia artificial y el aprendizaje automático será aprovechado por la sociedad en general, pero también por los ciberdelincuentes. A fin de atenuar estos riesgos para la sociedad, es preciso adoptar las medidas necesarias para mejorar la seguridad frente a los ciberataques en la UE con vistas a proteger mejor de las ciberamenazas las redes y los sistemas de información, las redes de telecomunicaciones y los productos, servicios y dispositivos digitales utilizados por los ciudadanos, los gobiernos y las empresas, desde las pymes a los operadores de infraestructuras críticas.

Enmienda    4

Propuesta de Reglamento

Considerando 4

Texto de la Comisión

Enmienda

(4)  Los ciberataques van en aumento, y una economía y una sociedad conectadas, más vulnerables a las ciberamenazas y ciberataques, requieren unas defensas más sólidas. Sin embargo, mientras que los ciberataques a menudo son transfronterizos, las respuestas políticas de las autoridades de ciberseguridad y las competencias policiales son predominantemente nacionales. Los ciberincidentes a gran escala podrían perturbar la prestación de servicios esenciales en toda la UE. Esta situación requiere una respuesta y una gestión de crisis efectivas a nivel de la UE, basadas en políticas específicas y en instrumentos más amplios que propicien la solidaridad europea y la asistencia mutua. En consecuencia, también una evaluación periódica del estado de la ciberseguridad y la resiliencia en la Unión, basada en datos fiables, y una previsión sistemática de los futuros avances, retos y amenazas, tanto en la Unión como en el mundo, son importantes para los responsables políticos, la industria y los usuarios.

(4)  Los ciberataques van en aumento, y una economía y una sociedad conectadas, más vulnerables a las ciberamenazas y ciberataques, requieren unas defensas más sólidas y seguras. Sin embargo, mientras que los ciberataques a menudo son transfronterizos, las respuestas políticas de las autoridades de ciberseguridad y las competencias policiales son predominantemente nacionales. Los ciberincidentes a gran escala podrían perturbar la prestación de servicios esenciales en toda la UE. Esta situación requiere una respuesta y una gestión de crisis efectivas a nivel de la UE, basadas en políticas específicas y en instrumentos más amplios que propicien la solidaridad europea y la asistencia mutua. En consecuencia, también una evaluación periódica del estado de la ciberseguridad y la resiliencia en la Unión, basada en datos fiables, y una previsión sistemática de los futuros avances, retos y amenazas, tanto en la Unión como en el mundo, son importantes para los responsables políticos, la industria y los usuarios.

Enmienda    5

Propuesta de Reglamento

Considerando 5

Texto de la Comisión

Enmienda

(5)  A la luz de los crecientes retos que tiene planteados la Unión en materia de ciberseguridad, es necesario un conjunto completo de medidas que se apoye en actuaciones previas de la Unión y promueva objetivos que se refuercen mutuamente. Entre ellas se incluye la necesidad de aumentar las capacidades y la preparación de los Estados miembros y de las empresas, así como de mejorar la cooperación y la coordinación en los Estados miembros y las instituciones, órganos y organismos de la UE. Por otra parte, habida cuenta de la naturaleza transfronteriza de las ciberamenazas, es necesario aumentar las capacidades a nivel de la Unión que podrían complementar la acción de los Estados miembros, en particular en caso de ciberincidentes y crisis transfronterizas a gran escala. Son necesarios igualmente esfuerzos adicionales para aumentar la sensibilización de los ciudadanos y las empresas sobre las cuestiones de ciberseguridad. Además, debe reforzarse la confianza en el mercado único digital ofreciendo información transparente sobre el nivel de seguridad de los productos y servicios de TIC. Esto puede verse facilitado por una certificación a escala de la UE que aporte requisitos y criterios de evaluación de la ciberseguridad comunes en todos los mercados y sectores nacionales.

(5)  A la luz de los crecientes retos que tiene planteados la Unión en materia de ciberseguridad, es necesario un conjunto completo de medidas que se apoye en actuaciones previas de la Unión y promueva objetivos que se refuercen mutuamente. Entre ellas se incluye la necesidad de aumentar las capacidades y la preparación de los Estados miembros y de las empresas, así como de mejorar la cooperación y la coordinación en los Estados miembros y las instituciones, órganos y organismos de la UE. Por otra parte, habida cuenta de la naturaleza transfronteriza de las ciberamenazas, es necesario aumentar las capacidades a nivel de la Unión que podrían complementar la acción de los Estados miembros, en particular en caso de ciberincidentes y crisis transfronterizas a gran escala. Son necesarios igualmente esfuerzos adicionales para aumentar la sensibilización de los ciudadanos y las empresas sobre las cuestiones de ciberseguridad. Además, dado que los ciberincidentes socavan la confianza en los proveedores de servicios digitales y en el mercado único digital en sí, especialmente entre los consumidores, debe reforzarse la confianza ofreciendo información transparente sobre el nivel de seguridad de los productos y servicios de TIC. Esto puede verse facilitado por una certificación homogénea a escala de la UE, que se base en normas europeas o internacionales y que aporte requisitos y criterios de evaluación de la ciberseguridad comunes en todos los mercados y sectores nacionales. Junto con una certificación a escala de la Unión, existe una serie de medidas voluntarias que el sector privado debería adoptar para reforzar la confianza en la seguridad de los productos y servicios de TIC, en particular en vista de la creciente disponibilidad de dispositivos de la internet de las cosas. Por ejemplo, deberían utilizarse de forma más eficaz el cifrado y otras tecnologías, así como las tecnologías para prevenir el éxito de los ciberataques, como las cadenas de bloques, con el fin de mejorar la seguridad de las comunicaciones y los datos de los usuarios finales y la seguridad global de las redes y los sistemas de información en la Unión.

Enmienda    6

Propuesta de Reglamento

Considerando 5 bis (nuevo)

Texto de la Comisión

Enmienda

 

(5 bis)  Mientras que la certificación y otras formas de evaluación de la conformidad de los procesos, productos y servicios de TIC desempeña un papel importante, mejorar la ciberseguridad requiere un enfoque multifacético que abarque a las personas, los procesos y las tecnologías. La Unión debe también continuar promoviendo y resaltando rotundamente otros esfuerzos, incluida la educación, la formación y el desarrollo de competencias en materia de ciberseguridad; sensibilizando a nivel corporativo, ejecutivo y de la junta directiva; fomentando el intercambio voluntario de información sobre amenazas cibernéticas; y pasando de un enfoque de la Unión reactivo a uno proactivo, para responder a las amenazas haciendo hincapié en la prevención del éxito de los ciberataques.

Enmienda    7

Propuesta de Reglamento

Considerando 7

Texto de la Comisión

Enmienda

(7)  La Unión ha adoptado ya medidas importantes para garantizar la ciberseguridad y aumentar la confianza en las tecnologías digitales. En 2013, se adoptó una Estrategia de ciberseguridad de la UE para orientar la respuesta política de la Unión a las amenazas y riesgos relacionados con la ciberseguridad. En su esfuerzo por proteger mejor a los europeos en línea, la Unión adoptó en 2016 el primer acto legislativo en el ámbito de la ciberseguridad, la Directiva (UE) 2016/1148 relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión (en lo sucesivo, «Directiva SRI»). La Directiva SRI instauró requisitos relativos a las capacidades nacionales en el ámbito de la ciberseguridad, estableció los primeros mecanismos para mejorar la cooperación estratégica y operativa entre los Estados miembros e introdujo obligaciones relativas a medidas de seguridad y notificaciones de incidentes en todos los sectores fundamentales para la economía y la sociedad, como la energía, los transportes, el agua, la banca, las infraestructuras de los mercados financieros, la sanidad, las infraestructuras digitales, así como los proveedores de servicios digitales clave (motores de búsqueda, servicios de computación en la nube y mercados en línea). Se atribuyó un papel clave a ENISA para respaldar la aplicación de esta Directiva. Además, una lucha eficaz contra la ciberdelincuencia constituye una prioridad importante de la Agenda Europea de Seguridad, contribuyendo al objetivo general de conseguir un elevado nivel de ciberseguridad.

(7)  La Unión ha adoptado ya medidas importantes para garantizar la ciberseguridad y aumentar la confianza en las tecnologías digitales. En 2013, se adoptó una Estrategia de ciberseguridad de la UE para orientar la respuesta política de la Unión a las amenazas y riesgos relacionados con la ciberseguridad. En su esfuerzo por proteger mejor a los europeos en línea, la Unión adoptó en 2016 el primer acto legislativo en el ámbito de la ciberseguridad, la Directiva (UE) 2016/1148 relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión (en lo sucesivo, «Directiva SRI»). La Directiva SRI, cuyo éxito dependerá fundamentalmente de su eficaz puesta en marcha por parte de los Estados miembros, instauró requisitos relativos a las capacidades nacionales en el ámbito de la ciberseguridad, estableció los primeros mecanismos para mejorar la cooperación estratégica y operativa entre los Estados miembros e introdujo obligaciones relativas a medidas de seguridad y notificaciones de incidentes en todos los sectores fundamentales para la economía y la sociedad, como la energía, los transportes, el agua, la banca, las infraestructuras de los mercados financieros, la sanidad, las infraestructuras digitales, así como los proveedores de servicios digitales clave (motores de búsqueda, servicios de computación en la nube y mercados en línea). Se atribuyó un papel clave a ENISA para respaldar la aplicación de esta Directiva. Además, una lucha eficaz contra la ciberdelincuencia constituye una prioridad importante de la Agenda Europea de Seguridad, contribuyendo al objetivo general de conseguir un elevado nivel de ciberseguridad.

Enmienda    8

Propuesta de Reglamento

Considerando 11

Texto de la Comisión

Enmienda

(11)  En vista de los crecientes retos en materia de ciberseguridad a que se enfrenta la Unión, deben incrementarse los recursos financieros y humanos asignados a la Agencia, en consonancia con la ampliación de sus cometidos y tareas, así como su posición crítica en el ecosistema de organizaciones que defienden el ecosistema digital europeo.

(11)  En vista de los crecientes retos y amenazas en materia de ciberseguridad a que se enfrenta la Unión, deben incrementarse los recursos financieros y humanos asignados a la Agencia, en consonancia con la ampliación de sus cometidos y tareas, así como su posición crítica en el ecosistema de organizaciones que defienden el ecosistema digital europeo.

Enmienda    9

Propuesta de Reglamento

Considerando 28

Texto de la Comisión

Enmienda

(28)  La Agencia debe contribuir a la sensibilización del público sobre los riesgos para la ciberseguridad y facilitar orientaciones sobre buenas prácticas para usuarios individuales dirigidas a ciudadanos y organizaciones. Debe contribuir asimismo a promover las mejores prácticas y soluciones a nivel de personas y organizaciones mediante la recogida y análisis de la información disponible públicamente relativa a incidentes significativos y la elaboración de informes con vistas a ofrecer orientaciones a empresas y ciudadanos y mejorar el nivel general de preparación y resiliencia. La Agencia debe además, en colaboración con los Estados miembros y las instituciones, órganos y organismos de la Unión, organizar campañas sistemáticas de comunicación y educación pública destinadas a los usuarios finales, con miras a promover comportamientos individuales en línea más seguros y a concienciar sobre las amenazas potenciales en el ciberespacio, incluyendo ciberdelitos como los ataques por suplantación de identidad (phishing), las redes infectadas (botnets) o los fraudes bancarios y financieros, así como dar consejos básicos en materia de autenticación y protección de datos. La Agencia debe desempeñar un papel central para acelerar la sensibilización de los usuarios finales con respecto a la seguridad de los dispositivos.

(28)  La Agencia debe contribuir a la sensibilización del público sobre los riesgos para la ciberseguridad y facilitar orientaciones sobre buenas prácticas para usuarios individuales dirigidas a ciudadanos y organizaciones. Debe contribuir asimismo a promover las mejores prácticas y soluciones en materia de ciberhigiene, es decir, medidas de rutina simples que las personas y las organizaciones pueden adoptar para reducir al máximo los riesgos de ciberamenazas, como la autenticación multifactor, los parches, el cifrado y la gestión del acceso. Para ello, la Agencia deberá proceder a la recogida y el análisis de la información disponible públicamente relativa a incidentes significativos y a la elaboración y publicación de informes y guías con vistas a ofrecer orientaciones a empresas y ciudadanos y mejorar el nivel general de preparación y resiliencia. La Agencia debe además, en colaboración con los Estados miembros y las instituciones, órganos y organismos de la Unión, organizar campañas sistemáticas de comunicación y educación pública destinadas a los usuarios finales, con miras a promover comportamientos individuales en línea más seguros y a concienciar de las medidas que pueden adoptarse contra las amenazas potenciales en el ciberespacio, incluyendo ciberdelitos como los ataques por suplantación de identidad (phishing), los ataques de ransomware, el secuestro (hijacking), las redes infectadas (botnets) o los fraudes bancarios y financieros, así como promover el asesoramiento sobre autenticación multifactor, protección de datos, y otras tecnologías de mejora de la seguridad y la protección de la intimidad y herramientas de anonimización. La Agencia debe desempeñar un papel central para acelerar la sensibilización de los usuarios finales con respecto a la seguridad de los dispositivos y al uso seguro de los servicios, promover la seguridad desde el diseño a nivel de la Unión, que es fundamental para mejorar la seguridad de los dispositivos conectados, en especial para los usuarios finales vulnerables, incluidos los menores, y la protección de la intimidad a través del diseño. La Agencia debe alentar a todos los usuarios finales a adoptar las medidas adecuadas para prevenir y minimizar el impacto de los incidentes que afectan a la seguridad de sus redes y sistemas de información. Deben establecerse asociaciones con instituciones académicas que tengan iniciativas de investigación en los ámbitos de la ciberseguridad pertinentes.

Enmienda    10

Propuesta de Reglamento

Considerando 35

Texto de la Comisión

Enmienda

(35)  La Agencia debe alentar a los Estados miembros y a los proveedores de servicios a aumentar sus niveles generales de seguridad, a fin de que todos los usuarios de internet puedan tomar las medidas necesarias para garantizar su propia ciberseguridad personal. En particular, los prestadores de servicios y los fabricantes de productos deben retirar o reciclar los productos y servicios que no cumplan las normas de ciberseguridad. En cooperación con las autoridades competentes, ENISA podrá difundir información relativa al nivel de ciberseguridad de los productos y servicios ofrecidos en el mercado interior, y emitir advertencias dirigidas a los proveedores y los fabricantes solicitándoles que mejoren la seguridad, incluida la ciberseguridad, de sus productos y servicios.

(35)  La Agencia debe alentar a los Estados miembros y a los proveedores de servicios a aumentar sus niveles generales de seguridad, a fin de que todos los usuarios de internet puedan tomar las medidas necesarias para garantizar su propia ciberseguridad personal. En particular, los prestadores de servicios y fabricantes de productos deben retirar o reciclar los productos y servicios que no cumplan las normas de ciberseguridad. En cooperación con las autoridades competentes, ENISA podrá difundir información relativa al nivel de ciberseguridad de los productos y servicios ofrecidos en el mercado interior, y emitir advertencias dirigidas a los proveedores y los fabricantes solicitándoles que mejoren la seguridad, incluida la ciberseguridad, de sus productos y servicios. ENISA debe emitir dichas advertencias públicamente en el sitio web dedicado a difundir información sobre regímenes de certificación. La Agencia debe elaborar directrices sobre requisitos mínimos de seguridad para dispositivos informáticos vendidos en la Unión o exportados de la Unión. Dichas directrices pueden pedir a los fabricantes que proporcionen una declaración por escrito que confirme que un dispositivo no contiene ningún componente de hardware, software o firmware que contenga alguna vulnerabilidad de seguridad conocida y aprovechable ni ninguna contraseña o código de acceso no encriptado o imposible de modificar, que es capaz de aceptar actualizaciones de seguridad adecuadamente autenticadas y fiables, que la respuesta del vendedor a un dispositivo afectado incluye una jerarquía adecuada de formas de reparación y que los vendedores comunican a los usuarios finales cuándo vencerá el soporte de seguridad para el dispositivo en cuestión.

Enmienda    11

Propuesta de Reglamento

Considerando 36 bis (nuevo)

Texto de la Comisión

Enmienda

 

(36 bis)  Las normas son una herramienta voluntaria guiada por el mercado que proporciona requisitos técnicos y orientaciones y que se deriva de un proceso abierto, transparente e integrador. El uso de normas facilita que los bienes y servicios cumplan el Derecho de la Unión y respalda las políticas europeas en consonancia con el Reglamento (UE) n.º 1025/2012 sobre la normalización europea. La Agencia debe consultar y trabajar de forma regular en cooperación con las organizaciones europeas de normalización, en particular a la hora de preparar los regímenes europeos de certificación de la ciberseguridad.

Enmienda    12

Propuesta de Reglamento

Considerando 44

Texto de la Comisión

Enmienda

(44)  La Agencia debe contar con un Grupo Permanente de Partes Interesadas en calidad de organismo consultivo, a fin de garantizar un diálogo sistemático con el sector privado, las organizaciones de consumidores y otras partes interesadas pertinentes. El Grupo Permanente de Partes Interesadas, establecido por el Consejo de Administración a propuesta del director ejecutivo, debe centrarse en cuestiones que afecten a las partes interesadas y ponerlas en conocimiento de la Agencia. La composición del Grupo Permanente de Partes Interesadas y las tareas asignadas a este grupo, que debe ser consultado en particular en lo que se refiere al proyecto de programa de trabajo, deben garantizar una representación suficiente de las partes interesadas en los trabajos de la Agencia.

(44)  La Agencia debe contar con un Grupo Permanente de Partes Interesadas en calidad de organismo consultivo, a fin de garantizar un diálogo sistemático con el sector privado, las organizaciones de consumidores, el mundo académico y otras partes interesadas pertinentes. El Grupo Permanente de Partes Interesadas, establecido por el Consejo de Administración a propuesta del director ejecutivo, debe centrarse en cuestiones que afecten a las partes interesadas y ponerlas en conocimiento de la Agencia. A fin de garantizar una participación oportuna de las partes interesadas en el marco de la certificación de la ciberseguridad, el Grupo Permanente de Partes Interesadas debe asimismo asesorar sobre qué productos y servicios de TIC han de incluirse en los regímenes europeos de certificación de la ciberseguridad, y proponer a la Comisión que solicite a la Agencia que prepare propuestas de regímenes sobre dichos productos y servicios de TIC, ya sea por propia iniciativa o tras la presentación de propuestas de las partes interesadas pertinentes. La composición del Grupo Permanente de Partes Interesadas y las tareas asignadas a este grupo, que debe ser consultado en particular en lo que se refiere al proyecto de programa de trabajo, deben garantizar una representación eficiente y equitativa de las partes interesadas en los trabajos de la Agencia.

Enmienda    13

Propuesta de Reglamento

Considerando 46

Texto de la Comisión

Enmienda

(46)  Con el fin de garantizar la plena autonomía e independencia de la Agencia y para que pueda desempeñar funciones adicionales y nuevas, incluidas tareas de emergencia imprevistas, se considera necesario concederle un presupuesto suficiente y autónomo cuyos ingresos procedan principalmente de una contribución de la Unión y de contribuciones de los terceros países que participen en los trabajos de la Agencia. La mayor parte del personal de la Agencia debe estar dedicado directamente a la aplicación operativa de su mandato. Debe permitirse que el Estado miembro que la acoge, o cualquier otro Estado miembro, efectúe aportaciones voluntarias a los ingresos de la Agencia. El procedimiento presupuestario de la Unión debe seguir siendo aplicable por lo que respecta a las subvenciones imputables al presupuesto general de la Unión. Además, el Tribunal de Cuentas Europeo debe realizar una auditoría de las cuentas de la Agencia para garantizar la transparencia y la responsabilidad.

(46)  Con el fin de garantizar la plena autonomía e independencia de la Agencia y para que pueda desempeñar funciones adicionales y nuevas, incluidas tareas de emergencia imprevistas, se considera necesario concederle un presupuesto suficiente y autónomo cuyos ingresos procedan principalmente de una contribución de la Unión y de contribuciones de los terceros países que participen en los trabajos de la Agencia. La mayor parte del personal de la Agencia debe estar dedicado directamente a la aplicación operativa de su mandato. Debe permitirse que el Estado miembro que la acoge, o cualquier otro Estado miembro, efectúe aportaciones voluntarias a los ingresos de la Agencia. El procedimiento presupuestario de la Unión debe seguir siendo aplicable por lo que respecta a las subvenciones imputables al presupuesto general de la Unión. Además, el Tribunal de Cuentas Europeo debe realizar una auditoría de las cuentas de la Agencia para garantizar la transparencia, la responsabilidad, la eficiencia y la utilidad de los recursos asignados.

Enmienda    14

Propuesta de Reglamento

Considerando 47

Texto de la Comisión

Enmienda

(47)  La evaluación de la conformidad es el proceso por el que se demuestra que se han cumplido los requisitos especificados para un producto, proceso, servicio, sistema, persona u organismo. A efectos del presente Reglamento, la certificación debe ser considerada un tipo de evaluación de la conformidad relativa a las características de ciberseguridad de un producto, proceso, servicio, sistema, o combinación de estos («productos y servicios de TIC») por un tercero independiente, distinto del fabricante del producto o del prestador de servicios. La certificación no puede garantizar por sí misma la ciberseguridad de los productos y servicios de TIC certificados. Se trata más bien de un procedimiento y una metodología técnica que garantizan que los productos y servicios de TIC han sido sometidos a ensayo y cumplen determinados requisitos de ciberseguridad establecidos en otro lugar, por ejemplo en las normas técnicas.

(47)  La evaluación de la conformidad es el proceso por el que se demuestra que se han cumplido los requisitos especificados para un producto, proceso, servicio, sistema, persona u organismo. A efectos del presente Reglamento, la certificación debe ser considerada un tipo de evaluación de la conformidad relativa a las características y prácticas de ciberseguridad comprendidas en un producto, proceso, servicio, sistema, o combinación de estos («productos y servicios de TIC») por un tercero independiente, o a través de un procedimiento de autodeclaración de la conformidad. La certificación no puede garantizar por sí misma la ciberseguridad de los productos y servicios de TIC certificados y se debe informar de ello al usuario final. Se trata más bien de un procedimiento y una metodología técnica que garantizan que los productos y servicios de TIC, así como los procesos y sistemas subyacentes, han sido sometidos a ensayo y cumplen determinados requisitos de ciberseguridad establecidos en otro lugar, por ejemplo en las normas técnicas.

Enmienda    15

Propuesta de Reglamento

Considerando 48

Texto de la Comisión

Enmienda

(48)  La certificación de la ciberseguridad desempeña un importante papel a la hora de aumentar la confianza y la seguridad en los productos y servicios de TIC. El mercado único digital, y en particular la economía de los datos y la internet de las cosas, solo pueden prosperar si el público en general confía en que dichos productos y servicios ofrecen un determinado nivel de garantía de ciberseguridad. Los vehículos conectados y automatizados, los dispositivos médicos electrónicos, los sistemas de control de la automatización industrial o las redes inteligentes son solo algunos ejemplos de sectores en los que la certificación se utiliza ya ampliamente o es probable que se utilice en un futuro próximo. También en los sectores regulados por la Directiva SRI resulta crítica la certificación de la ciberseguridad.

(48)  La certificación europea de la ciberseguridad desempeña un papel esencial a la hora de aumentar la confianza y la seguridad en los productos y servicios de TIC. El mercado único digital, y en particular la economía de los datos y la internet de las cosas, solo pueden prosperar si el público en general confía en que dichos productos y servicios ofrecen un alto nivel de garantía de ciberseguridad. Los vehículos conectados y automatizados, los dispositivos médicos electrónicos, los sistemas de control de la automatización industrial o las redes inteligentes son solo algunos ejemplos de sectores en los que la certificación se utiliza ya ampliamente o es probable que se utilice en un futuro próximo. También en los sectores regulados por la Directiva SRI resulta crítica la certificación de la ciberseguridad.

Enmienda    16

Propuesta de Reglamento

Considerando 50

Texto de la Comisión

Enmienda

(50)  En la actualidad, la certificación de la ciberseguridad de los productos y servicios de TIC se utiliza solo en medida limitada. Cuando existe, es principalmente a nivel de los Estados miembros o en el marco de regímenes impulsados por la industria. En este contexto, un certificado expedido por una autoridad nacional de ciberseguridad no se ve reconocido en principio por los demás Estados miembros. Así, las empresas pueden tener que certificar sus productos y servicios en los distintos Estados miembros en que operen, con vistas, por ejemplo, a tomar parte en procedimientos de contratación nacionales. Por otra parte, aun cuando están surgiendo nuevos regímenes, no parece haber un planteamiento coherente y holístico con respecto a las cuestiones horizontales relacionadas con la ciberseguridad, por ejemplo en el ámbito de la internet de las cosas. Los regímenes existentes presentan deficiencias significativas y diferencias en cuanto a cobertura de productos, niveles de garantía, criterios sustantivos y utilización real.

(50)  En la actualidad, la certificación de la ciberseguridad de los productos y servicios de TIC se utiliza solo en medida limitada. Cuando existe, es principalmente a nivel de los Estados miembros o en el marco de regímenes impulsados por la industria. En este contexto, un certificado expedido por una autoridad nacional de ciberseguridad no se ve reconocido en principio por los demás Estados miembros. Así, las empresas pueden tener que certificar sus productos y servicios en los distintos Estados miembros en que operen, con vistas, por ejemplo, a tomar parte en procedimientos de contratación nacionales, con los correspondientes costes adicionales que suponen estos procedimientos. Por otra parte, aun cuando están surgiendo nuevos regímenes, no parece haber un planteamiento coherente y holístico con respecto a las cuestiones horizontales relacionadas con la ciberseguridad, por ejemplo en el ámbito de la internet de las cosas. Los regímenes existentes presentan deficiencias significativas y diferencias en cuanto a cobertura de productos, niveles de garantía basada en los riesgos, criterios sustantivos y utilización real.

Enmienda    17

Propuesta de Reglamento

Considerando 52

Texto de la Comisión

Enmienda

(52)  Por todo ello, es necesario establecer un marco europeo de certificación de la ciberseguridad que establezca los principales requisitos horizontales para desarrollar regímenes europeos de certificación de la ciberseguridad y permita que los certificados de productos y servicios de TIC sean reconocidos y usados en todos los Estados miembros. El marco europeo debe tener un doble objetivo: por una parte, contribuir a aumentar la confianza en los productos y servicios de TIC que hayan sido certificados con arreglo a tales regímenes; por otra, evitar la multiplicación de certificaciones nacionales de la ciberseguridad contradictorias o redundantes y, por ende, reducir los costes para las empresas que operan en el mercado único digital. Los regímenes deben ser no discriminatorios y basarse en normas internacionales o de la Unión, a menos que dichas normas resulten ineficaces o inadecuadas para alcanzar los objetivos legítimos de la UE al respecto.

(52)  Por todo ello, es necesario adoptar un enfoque común y establecer un marco europeo de certificación de la ciberseguridad que establezca los principales requisitos horizontales para desarrollar regímenes europeos de certificación de la ciberseguridad y permita que los certificados de productos y servicios de TIC sean reconocidos y usados en todos los Estados miembros. A este respecto, es esencial aprovechar los regímenes nacionales e internacionales existentes, así como los sistemas de reconocimiento mutuo, en particular el SOG-IS, y hacer posible una transición sin problemas de los regímenes existentes bajo dichos sistemas a los regímenes en virtud del nuevo marco europeo. El marco europeo debe tener un doble objetivo: por una parte, contribuir a aumentar la confianza en los productos y servicios de TIC que hayan sido certificados con arreglo a tales regímenes; por otra, evitar la multiplicación de certificaciones nacionales de la ciberseguridad contradictorias o redundantes y, por ende, reducir los costes para las empresas que operan en el mercado único digital. En los casos en que una certificación europea de ciberseguridad se haya reemplazado por un régimen nacional, los certificados expedidos en virtud del régimen europeo deben considerarse válidos cuando se requiera una certificación en virtud de un régimen nacional. Los regímenes deben guiarse por los principios de seguridad desde el diseño, así como los mencionados en el Reglamento (UE) 2016/679. Asimismo, deben ser no discriminatorios y basarse en normas internacionales o de la Unión, a menos que dichas normas resulten ineficaces o inadecuadas para alcanzar los objetivos legítimos de la UE al respecto.

Enmienda    18

Propuesta de Reglamento

Considerando 52 bis (nuevo)

Texto de la Comisión

Enmienda

 

(52 bis)  Este marco europeo de certificación de la ciberseguridad deberá implantarse de forma homogénea en todos los Estados miembros, a fin de evitar la práctica del «shopping» (compra) de certificaciones, debido a las diferencias de costes o en los niveles de exigencia entre Estados miembros.

Enmienda    19

Propuesta de Reglamento

Considerando 55

Texto de la Comisión

Enmienda

(55)  El objetivo de los regímenes europeos de certificación de la ciberseguridad debe ser garantizar que los productos y servicios de TIC certificados con arreglo a un régimen cumplan los requisitos especificados. Tales requisitos se refieren a la capacidad de resistir, con un nivel determinado de garantía, las acciones encaminadas a poner en peligro la disponibilidad, autenticidad, integridad y confidencialidad de los datos almacenados, transmitidos o procesados o las funciones conexas de estos productos, procesos, servicios y sistemas, en el sentido del presente Reglamento, o los servicios ofrecidos por ellos o accesibles a través de ellos. No es posible definir con detalle en el presente Reglamento los requisitos de ciberseguridad relativos a todos los productos y servicios de TIC. Los productos y servicios de TIC y las correspondientes necesidades de ciberseguridad son tan dispares que es muy difícil presentar unos requisitos de ciberseguridad generales de validez global. Por lo tanto, es necesario adoptar un concepto amplio y general de la ciberseguridad a efectos de la certificación, complementado por una serie de objetivos específicos de ciberseguridad que deben tenerse en cuenta a la hora de diseñar los regímenes europeos de certificación de la ciberseguridad. Las modalidades con que se lograrán tales objetivos para determinados productos y servicios de TIC deben especificarse luego con más detalle a nivel de cada régimen de certificación adoptado por la Comisión, por ejemplo, mediante referencia a normas o especificaciones técnicas.

(55)  El objetivo de los regímenes europeos de certificación de la ciberseguridad debe ser contribuir a un nivel elevado de protección del usuario final y a la competitividad europea y reforzar el nivel de seguridad en el mercado único digital, y más específicamente garantizar que los productos y servicios de TIC certificados con arreglo a un régimen cumplan los requisitos especificados. Tales requisitos se refieren a la capacidad de resistir, con un nivel determinado de garantía, las acciones encaminadas a poner en peligro la disponibilidad, autenticidad, integridad y confidencialidad de los datos almacenados, transmitidos o procesados o las funciones conexas de estos productos, procesos, servicios y sistemas, en el sentido del presente Reglamento, o los servicios ofrecidos por ellos o accesibles a través de ellos. No es posible definir con detalle en el presente Reglamento los requisitos de ciberseguridad relativos a todos los productos y servicios de TIC. Los productos y servicios de TIC y las correspondientes necesidades de ciberseguridad son tan dispares que es muy difícil presentar unos requisitos de ciberseguridad generales de validez global. Por lo tanto, es necesario adoptar un concepto amplio y general de la ciberseguridad a efectos de la certificación, complementado por una serie de objetivos específicos de ciberseguridad que deben tenerse en cuenta a la hora de diseñar los regímenes europeos de certificación de la ciberseguridad. Las modalidades con que se lograrán tales objetivos para determinados productos y servicios de TIC deben especificarse luego con más detalle a nivel de cada régimen de certificación adoptado por la Comisión, por ejemplo, mediante referencia a normas o especificaciones técnicas. Reviste una importancia crucial que cada régimen europeo de certificación de la ciberseguridad se diseñe de modo que estimule y anime a todos los actores implicados del sector de que se trate a desarrollar y adoptar normas de seguridad, normas técnicas y principios de seguridad desde el diseño en todas las fases del ciclo de vida del producto o servicio. Cuando el régimen de certificación prevea marcas o etiquetas, deben señalarse las condiciones en las que pueden utilizarse tales marcas o etiquetas. Dicha etiqueta, que podría tener la forma de un logotipo digital o un código QR, indicaría los riesgos asociados con el funcionamiento y la utilización de productos y servicios de TIC y deberían ser claros y fácilmente comprensibles por el usuario final.

Enmienda    20

Propuesta de Reglamento

Considerando 55 bis (nuevo)

Texto de la Comisión

Enmienda

 

(55 bis)  A la luz de las tendencias de innovación y de la creciente accesibilidad y el constante aumento del número de dispositivos de la internet de las cosas en todos los sectores de la sociedad, debe prestarse especial atención a la seguridad de todos los productos de la internet de las cosas, incluso del más simple de ellos. Por lo tanto, dado que la certificación es un método clave para aumentar la confianza en el mercado y aumentar la seguridad y la resiliencia, debe hacerse hincapié en los productos y servicios de la internet de las cosas en el nuevo marco de certificación de la ciberseguridad de la Unión, a fin de hacerlos menos vulnerables y más seguros para los consumidores y las empresas.

Enmienda    21

Propuesta de Reglamento

Considerando 56

Texto de la Comisión

Enmienda

(56)  La Comisión debe estar facultada para solicitar a ENISA que prepare propuestas de regímenes para productos o servicios de TIC específicos. A continuación, la Comisión, sobre la base de las propuestas presentadas por ENISA, debe estar facultada para adoptar el régimen europeo de certificación de la ciberseguridad mediante actos de ejecución. Teniendo en cuenta la finalidad general y los objetivos de seguridad definidos en el presente Reglamento, los regímenes europeos de certificación de la ciberseguridad adoptados por la Comisión deben especificar un conjunto mínimo de elementos relacionados con el objeto, alcance y funcionamiento del régimen concreto. Entre ellos deben figurar el alcance y objeto de la certificación de la ciberseguridad, incluidas las categorías de productos y servicios de TIC que cubre, la especificación detallada de los requisitos de ciberseguridad, por ejemplo haciendo referencia a normas o especificaciones técnicas, los criterios y métodos de evaluación específicos, así como el nivel de garantía: básico, sustancial o elevado.

(56)  ENISA debe mantener un sitio web específico con una herramienta en línea fácil de usar que recoja información sobre los regímenes adoptados, las propuestas de regímenes y los regímenes solicitados por la Comisión. Teniendo en cuenta la finalidad general y los objetivos de seguridad definidos en el presente Reglamento, los regímenes europeos de certificación de la ciberseguridad adoptados por la Comisión deben especificar un conjunto mínimo de elementos relacionados con el objeto, alcance y funcionamiento del régimen concreto. Entre ellos deben figurar el alcance y objeto de la certificación de la ciberseguridad, incluidas las categorías de productos y servicios de TIC que cubre, la especificación detallada de los requisitos de ciberseguridad, por ejemplo haciendo referencia a normas o especificaciones técnicas, los criterios y métodos de evaluación específicos asociados al funcionamiento y el uso de un producto, proceso o servicio de TIC y sus riesgos inherentes, así como el nivel de garantía previsto: funcionalmente seguro, es decir, niveles de seguridad con un grado de seguridad funcional, sustancialmente seguro, extremadamente seguro, o cualquier combinación de ellos. Los niveles de seguridad no deben sugerir una seguridad absoluta para no inducir a error al usuario final. Asimismo, debe tenerse en consideración el ciclo de vida completo del producto. Con el fin de aclarar los riesgos a los que un producto o servicio en particular está diseñado a hacer frente, ENISA debe coordinar la elaboración de una lista de control de los riesgos que se espera que afronte el proceso, producto o servicio de TIC por parte de una categoría determinada de usuarios en un entorno determinado.

Enmienda    22

Propuesta de Reglamento

Considerando 56 bis (nuevo)

Texto de la Comisión

Enmienda

 

(56 bis)  La Comisión debe estar facultada para solicitar a ENISA que prepare propuestas de regímenes para productos o servicios de TIC específicos. Deben delegarse en la Comisión poderes para adoptar actos con arreglo al artículo 290 del Tratado de Funcionamiento de la Unión Europea en lo referente al establecimiento de regímenes europeos de certificación de la ciberseguridad para productos y servicios de TIC. Reviste especial importancia que la Comisión lleve a cabo las consultas oportunas durante la fase preparatoria, en particular con expertos, y que esas consultas se realicen de conformidad con los principios establecidos en el Acuerdo interinstitucional sobre la mejora de la legislación de 13 de abril de 2016. En particular, a fin de garantizar una participación equitativa en la preparación de los actos delegados, el Parlamento Europeo y el Consejo reciben toda la documentación al mismo tiempo que los expertos de los Estados miembros, y sus expertos tienen acceso sistemáticamente a las reuniones de los grupos de expertos de la Comisión que se ocupen de la preparación de actos delegados. A la hora de adoptar estos actos delegados, la Comisión debe basarse en los regímenes de certificación de la ciberseguridad para productos y servicios de TIC o en propuestas de regímenes relevantes que proponga ENISA, con el fin de reforzar la confianza y previsibilidad y elevar la sensibilización de los ciudadanos en lo que se refiere al marco de certificación de la ciberseguridad.

Enmienda    23

Propuesta de Reglamento

Considerando 56 ter (nuevo)

Texto de la Comisión

Enmienda

 

(56 ter)  Entre los métodos de evaluación y los procedimientos de evaluación relacionados con cada régimen europeo de certificación de la ciberseguridad, debe promoverse a nivel de la Unión la piratería informática ética, cuyo objetivo es localizar las debilidades y vulnerabilidades de los dispositivos y sistemas de información mediante la anticipación de las acciones y competencias previstas de los piratas informáticos maliciosos.

Enmienda    24

Propuesta de Reglamento

Considerando 58

Texto de la Comisión

Enmienda

(58)  Una vez que se adopte un régimen europeo de certificación de la ciberseguridad, los fabricantes de productos de TIC o proveedores de servicios de TIC deben tener la posibilidad de presentar una solicitud de certificación de sus productos o servicios al organismo de evaluación de la conformidad que prefieran. Los organismos de evaluación de la conformidad deben ser acreditados por un organismo de acreditación si cumplen determinados requisitos especificados en el presente Reglamento. La acreditación debe expedirse por un período máximo de cinco años y renovarse en las mismas condiciones, siempre y cuando el organismo de evaluación de la conformidad cumpla los requisitos. Los organismos de acreditación deben revocar la acreditación de un organismo de evaluación de la conformidad cuando las condiciones de la acreditación no se cumplan, o hayan dejado de cumplirse, o si la actuación de dicho organismo de evaluación de la conformidad viola el presente Reglamento.

(58)  Una vez que se adopte un régimen europeo de certificación de la ciberseguridad, los fabricantes de productos de TIC o proveedores de servicios de TIC deben tener la posibilidad de presentar una solicitud de certificación de sus procesos, productos o servicios al organismo de evaluación de la conformidad que prefieran, o de declarar ellos mismos que sus productos o servicios son conformes con el régimen europeo de certificación de la ciberseguridad pertinente. Los organismos de evaluación de la conformidad deben ser acreditados por un organismo de acreditación si cumplen determinados requisitos especificados en el presente Reglamento. La acreditación debe expedirse por un período máximo de cinco años y renovarse en las mismas condiciones, siempre y cuando el organismo de evaluación de la conformidad cumpla los requisitos. Los organismos de acreditación deben revocar la acreditación de un organismo de evaluación de la conformidad cuando las condiciones de la acreditación no se cumplan, o hayan dejado de cumplirse, o si la actuación de dicho organismo de evaluación de la conformidad viola el presente Reglamento. Con el fin de garantizar que la acreditación se lleva a cabo de manera uniforme en toda la Unión Europea, las autoridades nacionales de supervisión de la certificación deben ser objeto de una revisión por pares de sus procedimientos para verificar la conformidad de los productos que sean objeto de una certificación de la ciberseguridad.

Enmienda    25

Propuesta de Reglamento

Considerando 59

Texto de la Comisión

Enmienda

(59)  Es necesario exigir a todos los Estados miembros que designen a una autoridad de supervisión de la certificación de la ciberseguridad para supervisar el cumplimiento, por parte de los organismos de evaluación de la conformidad establecidos en su territorio y de los certificados por ellos expedidos, de los requisitos del presente Reglamento y de los regímenes de certificación de la ciberseguridad pertinentes. Las autoridades nacionales de supervisión de la certificación deben tramitar las reclamaciones presentadas por personas físicas o jurídicas en relación con los certificados expedidos por los organismos de evaluación de la conformidad establecidos en su territorio, investigar el asunto objeto de la reclamación en la medida que proceda e informar al reclamante sobre el curso y el resultado de la investigación en un plazo razonable. Además, deben cooperar con otras autoridades nacionales de supervisión de la certificación u otras autoridades públicas, en particular mediante el intercambio de información sobre posibles productos y servicios de TIC que no se ajusten a los requisitos del presente Reglamento o de regímenes de ciberseguridad específicos.

(59)  Es necesario exigir a todos los Estados miembros que designen a una autoridad de supervisión de la certificación de la ciberseguridad para supervisar el cumplimiento, por parte de los organismos de evaluación de la conformidad establecidos en su territorio y de los certificados por ellos expedidos, de los requisitos del presente Reglamento y de los regímenes de certificación de la ciberseguridad pertinentes. Las autoridades nacionales de supervisión de la certificación deben tramitar las reclamaciones presentadas por personas físicas o jurídicas en relación con los certificados expedidos por los organismos de evaluación de la conformidad establecidos en su territorio, investigar el asunto objeto de la reclamación en la medida que proceda e informar al reclamante sobre el curso y el resultado de la investigación en un plazo razonable. Además, deben cooperar con otras autoridades nacionales de supervisión de la certificación u otras autoridades públicas, en particular mediante el intercambio de información sobre posibles productos y servicios de TIC que no se ajusten a los requisitos del presente Reglamento o de regímenes de ciberseguridad específicos. Además, deben supervisar y verificar el cumplimiento de las autodeclaraciones de conformidad y que los certificados europeos de ciberseguridad hayan sido expedidos por organismos de evaluación de la conformidad, con los requisitos establecidos en el presente Reglamento, incluidas las normas adoptadas por el Grupo Europeo de Certificación de la Ciberseguridad y los requisitos establecidos en el régimen europeo de certificación de la ciberseguridad correspondiente. La cooperación eficaz entre las autoridades nacionales de supervisión de la certificación es esencial para la correcta aplicación de los regímenes europeos de certificación de la ciberseguridad y de cuestiones técnicas en relación con la ciberseguridad de los productos y servicios de TIC. La Comisión debe facilitar ese intercambio de información mediante la puesta a disposición de un sistema general de apoyo a la información electrónica, por ejemplo, el sistema de información y comunicación para la vigilancia del mercado (ICSMS) y el sistema de alerta rápida para productos peligrosos no alimenticios (RAPEX), ya utilizados por las autoridades de vigilancia del mercado en virtud de lo dispuesto en el Reglamento (CE) n.º 765/2008.

Enmienda    26

Propuesta de Reglamento

Considerando 63

Texto de la Comisión

Enmienda

(63)  A fin de precisar los criterios para la acreditación de los organismos de evaluación de la conformidad, deben delegarse en la Comisión los poderes para adoptar actos de conformidad con el artículo 290 del Tratado de Funcionamiento de la Unión Europea. La Comisión debe llevar a cabo las oportunas consultas durante sus trabajos preparatorios, también a nivel de expertos. Dichas consultas deben realizarse de conformidad con los principios establecidos en el Acuerdo interinstitucional sobre la mejora de la legislación de 13 de abril de 2016. En particular, para garantizar una participación equitativa en la preparación de los actos delegados, el Parlamento Europeo y el Consejo deben recibir toda la documentación al mismo tiempo que los expertos de los Estados miembros, y sus expertos tener acceso sistemáticamente a las reuniones de los grupos de expertos de la Comisión que se ocupen de la preparación de actos delegados.

suprimido

Enmienda    27

Propuesta de Reglamento

Considerando 65

Texto de la Comisión

Enmienda

(65)  Debe utilizarse el procedimiento de examen para la adopción de los actos de ejecución sobre los regímenes europeos de certificación de la ciberseguridad de productos y servicios de TIC; sobre las modalidades de ejecución de las investigaciones por parte de la Agencia; y sobre las circunstancias, formatos y procedimientos de notificación a la Comisión por parte de los organismos de evaluación de la conformidad acreditados por las autoridades nacionales de supervisión de la certificación.

(65)  Debe utilizarse el procedimiento de examen para la adopción de los actos de ejecución sobre los regímenes europeos de certificación de la ciberseguridad de procesos, productos y servicios de TIC; sobre las modalidades de ejecución de las investigaciones por parte de la Agencia; y sobre las circunstancias, formatos y procedimientos de notificación a la Comisión por parte de los organismos de evaluación de la conformidad acreditados por las autoridades nacionales de supervisión de la certificación, teniendo en cuenta la eficacia demostrada de la herramienta de notificación electrónica denominada «Sistema de información sobre organismos notificados y designados de nuevo enfoque» (NANDO).

Enmienda    28

Propuesta de Reglamento

Considerando 66

Texto de la Comisión

Enmienda

(66)  Las actividades de la Agencia deben evaluarse de modo independiente. La evaluación debe tener en cuenta el logro de sus objetivos por parte de la Agencia, sus prácticas de trabajo y la pertinencia de sus tareas. La evaluación también debe valorar el impacto, eficacia y eficiencia del marco europeo de certificación de la ciberseguridad.

(66)  Las actividades de la Agencia deben evaluarse de modo independiente. La evaluación debe incluir la legitimidad y la utilidad de los recursos asignados a la Agencia, la eficacia en el logro de sus objetivos y una descripción de sus prácticas de trabajo y la pertinencia de sus tareas. La evaluación también debe valorar el impacto, eficacia y eficiencia del marco europeo de certificación de la ciberseguridad.

Enmienda    29

Propuesta de Reglamento

Artículo 2 – párrafo 1 – punto 11

Texto de la Comisión

Enmienda

(11)  «producto y servicio de TIC», todo elemento o grupo de elementos de las redes y los sistemas de información;

(11)  «proceso, producto y servicio de TIC», un producto, servicio, proceso, sistema o combinación de los anteriores que sea un elemento de las redes y los sistemas de información;

 

(Esta modificación se aplica a la totalidad del texto legislativo objeto de examen; su adopción impone adaptaciones técnicas en todo el texto.)

Enmienda    30

Propuesta de Reglamento

Artículo 2 – párrafo 1 – punto 11 bis (nuevo)

Texto de la Comisión

Enmienda

 

11 bis)  «autoridad nacional de supervisión de la certificación», una autoridad de un Estado miembro responsable de la ejecución de tareas de control, cumplimiento y supervisión en relación con la certificación de la ciberseguridad en su territorio;

Enmienda    31

Propuesta de Reglamento

Artículo 2 –párrafo 1 – punto 16 bis (nuevo)

Texto de la Comisión

Enmienda

 

16 bis)  «autodeclaración de conformidad», la declaración por parte del fabricante que certifica que su proceso, producto o servicio de TIC es conforme con los regímenes europeos de certificación de la ciberseguridad especificados;

Enmienda    32

Propuesta de Reglamento

Artículo 3 – apartado 1

Texto de la Comisión

Enmienda

1.  La Agencia desempeñará los cometidos que le asigna el presente Reglamento con el fin de contribuir a un elevado nivel de ciberseguridad dentro de la Unión.

1.  La Agencia desempeñará los cometidos que le asigna el presente Reglamento con el fin de contribuir al logro de un elevado nivel común de ciberseguridad, con el fin de evitar los ciberataques dentro de la Unión, reducir la fragmentación en el mercado interior y mejorar su funcionamiento.

Enmienda    33

Propuesta de Reglamento

Artículo 4 – apartado 5

Texto de la Comisión

Enmienda

5.  La Agencia incrementará las capacidades de ciberseguridad a nivel de la Unión para complementar la acción de los Estados miembros en la prevención y respuesta a las ciberamenazas, especialmente en caso de incidentes transfronterizos.

5.  La Agencia contribuirá a incrementar las capacidades de ciberseguridad a nivel de la Unión para complementar y reforzar la acción de los Estados miembros en la prevención y respuesta a las ciberamenazas, especialmente en caso de incidentes transfronterizos.

Enmienda    34

Propuesta de Reglamento

Artículo 4 – apartado 6

Texto de la Comisión

Enmienda

6.  La Agencia promoverá el uso de la certificación, en particular contribuyendo a la creación y el mantenimiento de un marco de certificación de la ciberseguridad a nivel de la Unión de conformidad con el título III del presente Reglamento, con el fin de aumentar la transparencia de la garantía de ciberseguridad de los productos y servicios de TIC y reforzar así la confianza en el mercado interior digital.

6.  La Agencia promoverá el uso de la certificación, evitando al mismo tiempo la fragmentación ocasionada por la falta de coordinación entre los regímenes de certificación existentes en la Unión. La Agencia contribuirá a la creación y el mantenimiento de un marco de certificación de la ciberseguridad a nivel de la Unión de conformidad con los artículos 43 a 54 (título III), con el fin de aumentar la transparencia de la garantía de ciberseguridad de los productos y servicios de TIC y reforzar así la confianza en el mercado único digital.

Enmienda    35

Propuesta de Reglamento

Artículo 4 – apartado 7

Texto de la Comisión

Enmienda

7.  La Agencia promoverá un alto nivel de sensibilización de los ciudadanos y empresas en torno a las cuestiones relacionadas con la ciberseguridad.

7.  La Agencia promoverá un alto nivel de sensibilización de los ciudadanos, autoridades y empresas en torno a las cuestiones relacionadas con la ciberseguridad.

Enmienda    36

Propuesta de Reglamento

Artículo 5 – párrafo 1 – punto 1

Texto de la Comisión

Enmienda

1.  Prestando asistencia y asesoramiento, en particular emitiendo su dictamen independiente y aportando trabajos preparatorios, en el desarrollo y la revisión de la política y la legislación de la Unión en el ámbito de la ciberseguridad, así como las iniciativas políticas y legislativas sectoriales cuando estén presentes cuestiones relacionadas con la ciberseguridad.

1.  Prestando asistencia y asesoramiento en el desarrollo y la revisión de la política y la legislación de la Unión en el ámbito de la ciberseguridad, así como las iniciativas políticas y legislativas sectoriales cuando estén presentes cuestiones relacionadas con la ciberseguridad.

Justificación

Se debe ofrecer a la Agencia una libre elección de instrumentos para llevar a cabo sus tareas.

Enmienda    37

Propuesta de Reglamento

Artículo 5 –frase introductoria – punto 2 bis (nuevo)

Texto de la Comisión

Enmienda

 

2 bis.  Prestando asistencia al Comité Europeo de Protección de Datos establecido por el Reglamento (UE) 2016/679 en el desarrollo de directrices para especificar a nivel técnico las condiciones que permiten el uso lícito de datos personales por parte de los responsables del tratamiento de datos para fines de seguridad informática, con el objetivo de proteger su infraestructura mediante la detección y el bloqueo de los ataques contra sus sistemas de información, en el contexto de: i) el Reglamento (UE) 2016/6791 bis; ii) la Directiva (UE) 2016/11481 ter; y iii) la Directiva 2002/58/CE1 quater;

 

_________________

 

1 bis Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO L 119 de 4.5.2016, p. 1).

 

1 ter Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO L 119 de 4.5.2016, p. 1).

 

1 quater Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión (DO L 194 de 19.7.2016, p. 1).

Justificación

Establecer mecanismos de cooperación adecuados.

Enmienda    38

Propuesta de Reglamento

Artículo 5 – frase introductoria – punto 4.2

Texto de la Comisión

Enmienda

2)  la promoción de una mejora del nivel de seguridad de las comunicaciones electrónicas, en particular ofreciendo asistencia y asesoramiento y facilitando el intercambio de mejores prácticas entre las autoridades competentes.

2)  la promoción de una mejora del nivel de seguridad de las comunicaciones electrónicas, el almacenamiento de datos y el tratamiento de datos, en particular ofreciendo asistencia y asesoramiento y facilitando el intercambio de mejores prácticas entre las autoridades competentes.

Enmienda    39

Propuesta de Reglamento

Artículo 6 – apartado 2 bis (nuevo)

Texto de la Comisión

Enmienda

 

2 bis.  La Agencia facilitará el establecimiento y la puesta en marcha de un proyecto de ciberseguridad europeo a largo plazo para apoyar el desarrollo de una industria de ciberseguridad de la Unión independiente e integrar la seguridad informática en todos los avances en materia de TIC en la Unión.

Justificación

ENISA debe asesorar a los legisladores en relación con la preparación de políticas que permitan a la Unión ponerse a la altura de las industrias de seguridad informática en terceros países. El proyecto debe ser comparable en escala a lo que ya se ha logrado anteriormente en el sector aeronáutico (Airbus, por ejemplo). Esto es necesario para desarrollar una industria de las TIC de la Unión más sólida, soberana y fiable [véase el estudio de la Unidad de Prospectiva Científica (STOA) PE 614.531].

Enmienda    40

Propuesta de Reglamento

Artículo 7 – apartado 5 – párrafo 1

Texto de la Comisión

Enmienda

A petición de dos o más Estados miembros afectados y con el único objetivo de prestar asesoramiento para la prevención de incidentes futuros, la Agencia prestará apoyo para que se realice, o realizará, una investigación técnica ex post tras las notificaciones por las empresas afectadas de incidentes que tengan un impacto significativo o sustancial con arreglo a la Directiva (UE) 2016/1148. La Agencia también llevará a cabo dicha investigación tras una solicitud debidamente justificada de la Comisión de acuerdo con los Estados miembros afectados en caso de incidentes que afecten a más de dos Estados miembros.

A petición de uno o más Estados miembros afectados y con el único objetivo de prestar asesoramiento para la prevención de incidentes futuros, la Agencia prestará apoyo para que se realice, o realizará, una investigación técnica ex post tras las notificaciones por las empresas afectadas de incidentes que tengan un impacto significativo o sustancial con arreglo a la Directiva (UE) 2016/1148. La Agencia también llevará a cabo dicha investigación tras una solicitud debidamente justificada de la Comisión de acuerdo con los Estados miembros afectados en caso de incidentes que afecten a más de dos Estados miembros.

Enmienda    41

Propuesta de Reglamento

Artículo 7 – apartado 8 – letra a

Texto de la Comisión

Enmienda

a)  agregación de los informes procedentes de fuentes nacionales, con vistas a contribuir a la creación de una perspectiva común de la situación;

a)  agregación de los informes procedentes de fuentes nacionales e internacionales, con vistas a contribuir a la creación de una perspectiva común de la situación;

Enmienda    42

Propuesta de Reglamento

Artículo 8 – párrafo 1 – letra a –punto 1 bis (nuevo)

Texto de la Comisión

Enmienda

 

1 bis)  realizar, en cooperación con el Grupo Europeo de Certificación de la Ciberseguridad, evaluaciones de los procedimientos de expedición de los certificados europeos de ciberseguridad puestos en marcha por los organismos de evaluación de la conformidad a que se refiere el artículo 51, con vistas a garantizar la aplicación uniforme del presente Reglamento por parte de los organismos de evaluación de la conformidad en lo que se refiere a la expedición de certificados;

Enmienda    43

Propuesta de Reglamento

Artículo 8 – párrafo 1 – letra a –punto 1 ter (nuevo)

Texto de la Comisión

Enmienda

 

1 ter)  llevar a cabo controles ex post periódicos e independientes sobre la conformidad de los productos y servicios de TIC certificados con los regímenes europeos de certificación de la ciberseguridad;

Enmienda    44

Propuesta de Reglamento

Artículo 8 – párrafo 1 – letra a –punto 3

Texto de la Comisión

Enmienda

3)  recopilar y publicar directrices y desarrollar buenas prácticas relativas a los requisitos de ciberseguridad de los productos y servicios de TIC, en cooperación con las autoridades nacionales de supervisión de la certificación y con la industria.

3)  recopilar y publicar directrices y desarrollar buenas prácticas, incluidos los principios de ciberhigiene y con el fin de desalentar la aplicación de puertas traseras secretas, relativas a los requisitos de ciberseguridad de los productos y servicios de TIC, en cooperación con las autoridades nacionales de supervisión de la certificación y con la industria en un proceso formal, normalizado y transparente.

Enmienda    45

Propuesta de Reglamento

Artículo 8 – párrafo 1 – letra b

Texto de la Comisión

Enmienda

b)  Facilitará el establecimiento y la adopción de normas europeas e internacionales para la gestión de riesgos y para la seguridad de los productos y servicios de TIC y elaborará, en colaboración con los Estados miembros, directrices y orientaciones relativas a las áreas técnicas relacionadas con los requisitos de seguridad para los operadores de servicios esenciales y los proveedores de servicios digitales, así como relativas a normas ya existentes, entre ellas las normas nacionales de los Estados miembros, con arreglo al artículo 19, apartado 2, de la Directiva (UE) 2016/1148.

b)  Consultará a organismos de normalización de la Unión e internacionales sobre la elaboración de normas, para velar por la idoneidad de las normas utilizadas en regímenes europeos de certificación de la ciberseguridad y facilitará el establecimiento y la adopción de las normas europeas e internacionales pertinentes para la gestión de riesgos y para la seguridad de los productos y servicios de TIC y elaborará, en colaboración con los Estados miembros, directrices y orientaciones relativas a las áreas técnicas relacionadas con los requisitos de seguridad para los operadores de servicios esenciales y los proveedores de servicios digitales, así como relativas a normas ya existentes, entre ellas las normas nacionales de los Estados miembros, con arreglo al artículo 19, apartado 2, de la Directiva (UE) 2016/1148;

Enmienda    46

Propuesta de Reglamento

Artículo 8 – párrafo 1 – letra b bis (nueva)

Texto de la Comisión

Enmienda

 

b bis)  Elaborará directrices relativas a la forma y el momento en que los Estados miembros deben informarse recíprocamente cuando adquieran conocimiento de una vulnerabilidad que no se conozca públicamente en un proceso, producto o servicio de TIC certificado con arreglo al título III del presente Reglamento, incluidas directrices sobre la coordinación de las políticas de divulgación de vulnerabilidades;

Enmienda    47

Propuesta de Reglamento

Artículo 8 – párrafo 1 – letra b ter (nueva)

Texto de la Comisión

Enmienda

 

b ter)  Elaborará directrices sobre requisitos mínimos de seguridad para dispositivos informáticos comercializados en la Unión o exportados de la Unión;

Enmienda    48

Propuesta de Reglamento

Artículo 9 – párrafo 1 – letra d

Texto de la Comisión

Enmienda

d)  reunirá, organizará y pondrá a disposición del público, a través de un portal asignado a este propósito, información sobre la ciberseguridad facilitada por las instituciones, órganos y organismos de la Unión;

d)  reunirá, organizará y pondrá a disposición del público, a través de un portal asignado a este propósito, información sobre la ciberseguridad, incluida información sobre incidentes de ciberseguridad significativos y violaciones de datos importantes, facilitada por las instituciones, órganos y organismos de la Unión;

Enmienda    49

Propuesta de Reglamento

Artículo 9 – párrafo 1 – letra e

Texto de la Comisión

Enmienda

e)  sensibilizará al público sobre los riesgos relacionados con la ciberseguridad y facilitará orientaciones sobre buenas prácticas para usuarios individuales, dirigidas a ciudadanos y organizaciones;

e)  sensibilizará al público sobre los riesgos relacionados con la ciberseguridad y facilitará orientaciones sobre buenas prácticas para usuarios individuales, dirigidas a ciudadanos y organizaciones y promoverá la adopción de medidas de seguridad informática preventivas sólidas y una protección de datos y de la vida privada fiable;

Enmienda    50

Propuesta de Reglamento

Artículo 9 –párrafo 1 – letra g bis (nueva)

Texto de la Comisión

Enmienda

 

g bis)  apoyará una coordinación más estrecha y el intercambio de mejores prácticas entre los Estados miembros sobre educación en materia de ciberseguridad, ciberhigiene y sensibilización;

Enmienda    51

Propuesta de Reglamento

Artículo 10 – párrafo 1 – letra a

Texto de la Comisión

Enmienda

a)  asesorará a la Unión y a los Estados miembros sobre las necesidades y prioridades de la investigación en el ámbito de la ciberseguridad, con miras a poder ofrecer respuestas eficaces a los riesgos y amenazas actuales y futuros, también en relación con las tecnologías de la información y la comunicación nuevas y emergentes, y a utilizar eficazmente las tecnologías de prevención del riesgo;

a)  garantizará la consulta previa con los grupos de usuarios pertinentes y asesorará a la Unión y a los Estados miembros sobre las necesidades y prioridades de la investigación en el ámbito de la ciberseguridad, con miras a poder ofrecer respuestas eficaces a los riesgos y amenazas actuales y futuros, también en relación con las tecnologías de la información y la comunicación nuevas y emergentes, y a utilizar eficazmente las tecnologías de prevención del riesgo;

Enmienda    52

Propuesta de Reglamento

Artículo 13 – apartado 1

Texto de la Comisión

Enmienda

1.  El Consejo de Administración estará integrado por un representante de cada Estado miembro y dos representantes nombrados por la Comisión. Todos los representantes tendrán derecho a voto.

1.  El Consejo de Administración estará integrado por un representante de cada Estado miembro y dos representantes nombrados por la Comisión y el Parlamento Europeo. Todos los representantes tendrán derecho a voto.

Enmienda    53

Propuesta de Reglamento

Artículo 14 – apartado 1 – letra e

Texto de la Comisión

Enmienda

e)  evaluará y adoptará el informe anual consolidado sobre las actividades de la Agencia y, a más tardar el 1 de julio del año siguiente, remitirá dicho informe, junto con su evaluación, al Parlamento Europeo, al Consejo, a la Comisión y al Tribunal de Cuentas; el informe anual incluirá las cuentas y describirá en qué medida la Agencia ha cumplido sus indicadores de rendimiento; el informe anual se hará público;

e)  evaluará y adoptará el informe anual consolidado sobre las actividades de la Agencia y, a más tardar el 1 de julio del año siguiente, remitirá dicho informe, junto con su evaluación, al Parlamento Europeo, al Consejo, a la Comisión y al Tribunal de Cuentas. El informe anual incluirá las cuentas, describirá la utilidad de los recursos asignados y valorará en qué medida la Agencia ha sido eficaz y ha cumplido sus indicadores de rendimiento. el informe anual se hará público;

Enmienda    54

Propuesta de Reglamento

Artículo 14 – apartado 1 – letra m

Texto de la Comisión

Enmienda

m)  nombrará al director ejecutivo y, cuando proceda, ampliará su mandato o lo cesará de conformidad con el artículo 33 del presente Reglamento;

m)  nombrará al director ejecutivo mediante una selección basada en criterios profesionales y, cuando proceda, ampliará su mandato o lo cesará de conformidad con el artículo 33 del presente Reglamento;

Enmienda    55

Propuesta de Reglamento

Artículo 14 – apartado 1 – letra o

Texto de la Comisión

Enmienda

o)  adoptará todas las decisiones relativas al establecimiento de las estructuras internas de la Agencia y, cuando sea necesario, a su modificación, teniendo en cuenta las necesidades de la actividad de la Agencia, así como la buena gestión financiera;

o)  adoptará todas las decisiones relativas al establecimiento de las estructuras internas de la Agencia y, cuando sea necesario, a su modificación, teniendo en cuenta las necesidades de la actividad de la Agencia, recogidas en el presente Reglamento, así como la buena gestión financiera;

Enmienda    56

Propuesta de Reglamento

Artículo 19 – apartado 2

Texto de la Comisión

Enmienda

2.  El director ejecutivo informará al Parlamento Europeo sobre el ejercicio de sus funciones cuando se le invite a hacerlo. El Consejo podrá convocar al director ejecutivo para que le informe sobre el ejercicio de sus funciones.

2.  El director ejecutivo informará anualmente al Parlamento Europeo sobre el ejercicio de sus funciones o cuando se le invite a hacerlo. El Consejo podrá convocar al director ejecutivo para que le informe sobre el ejercicio de sus funciones.

Enmienda    57

Propuesta de Reglamento

Artículo 20 – apartado 1

Texto de la Comisión

Enmienda

1.  El Consejo de Administración establecerá, a propuesta del director ejecutivo, un Grupo Permanente de Partes Interesadas integrado por expertos reconocidos que representen a las partes interesadas pertinentes, tales como la industria de las TIC, los proveedores de redes o servicios de comunicaciones electrónicas disponibles al público, los grupos de consumidores, expertos académicos en ciberseguridad y representantes de las autoridades competentes notificadas con arreglo a la [Directiva por la que se establece el Código Europeo de las Comunicaciones Electrónicas] y las autoridades encargadas de hacer cumplir la ley y de supervisar la protección de datos.

1.  El Consejo de Administración establecerá, a propuesta del director ejecutivo, un Grupo Permanente de Partes Interesadas integrado por expertos reconocidos que representen a las partes interesadas pertinentes, tales como la industria de las TIC y los proveedores de redes o servicios de comunicaciones electrónicas disponibles al público, en particular la industria europea de las TIC y proveedores, las asociaciones de pequeñas y medianas empresas, los grupos y las asociaciones de consumidores, expertos académicos en el ámbito de la ciberseguridad, las organizaciones europeas de normalización, según se definen en el punto 8 del artículo 2 del Reglamento (UE) n.º 1025/2012, los órganos y organismos sectoriales de la Unión competentes, y representantes de las autoridades competentes notificadas con arreglo a la [Directiva por la que se establece el Código Europeo de las Comunicaciones Electrónicas] y las autoridades encargadas de hacer cumplir la ley y de supervisar la protección de datos.

Enmienda    58

Propuesta de Reglamento

Artículo 20 – apartado 4

Texto de la Comisión

Enmienda

4.  El mandato de los miembros del Grupo Permanente de Partes Interesadas tendrá una duración de dos años y medio. Los miembros del Consejo de Administración no podrán ser miembros del Grupo Permanente de Partes Interesadas. Los expertos de la Comisión y de los Estados miembros podrán estar presentes en las reuniones del Grupo Permanente de Partes Interesadas y participar en sus trabajos Se podrá invitar a asistir a las reuniones del Grupo Permanente de Partes Interesadas y participar en sus trabajos a representantes de otros órganos que no sean miembros del mismo y el director ejecutivo considere pertinentes.

4.  El mandato de los miembros del Grupo Permanente de Partes Interesadas tendrá una duración de dos años y medio. Los miembros del Consejo de Administración y del Comité Ejecutivo, excepto el director ejecutivo, no podrán ser miembros del Grupo Permanente de Partes Interesadas. Los expertos de la Comisión y de los Estados miembros podrán estar presentes en las reuniones del Grupo Permanente de Partes Interesadas y participar en sus trabajos Se podrá invitar a asistir a las reuniones del Grupo Permanente de Partes Interesadas y participar en sus trabajos a representantes de otros órganos que no sean miembros del mismo y el director ejecutivo considere pertinentes.

Enmienda    59

Propuesta de Reglamento

Artículo 20 – apartado 5

Texto de la Comisión

Enmienda

5.  El Grupo Permanente de Partes Interesadas asesorará a la Agencia en lo relativo a la realización de sus actividades. En particular, asesorará al director ejecutivo en la elaboración de una propuesta de programa de trabajo de la Agencia y en el mantenimiento de la comunicación con las partes interesadas pertinentes sobre todos los aspectos relativos al programa de trabajo.

5.  El Grupo Permanente de Partes Interesadas asesorará a la Agencia en lo relativo a la realización de sus actividades. En particular, asesorará al director ejecutivo en la elaboración de una propuesta de programa de trabajo de la Agencia y en el mantenimiento de la comunicación con las partes interesadas pertinentes sobre todos los aspectos relativos al programa de trabajo. También propondrá que la Comisión solicite a la Agencia preparar propuestas de regímenes europeos de certificación de la ciberseguridad de conformidad con el artículo 44, ya sea por propia iniciativa o tras la presentación de propuestas de las partes interesadas pertinentes.

Enmienda    60

Propuesta de Reglamento

Artículo 20 – apartado5 bis (nuevo)

Texto de la Comisión

Enmienda

 

5 bis.  El Grupo Permanente de Partes Interesadas asesorará a la Agencia en la elaboración de propuestas de regímenes europeos de certificación de la ciberseguridad.

Enmienda    61

Propuesta de Reglamento

Artículo 23 – apartado 2

Texto de la Comisión

Enmienda

2.  La Agencia velará por que el público y las partes interesadas reciban información adecuada, objetiva, fiable y de fácil acceso, especialmente en lo que respecta a los resultados de su trabajo. Asimismo, deberá hacer públicas las declaraciones de intereses realizadas de conformidad con el artículo 22.

2.  La Agencia velará por que el público y las partes interesadas reciban información adecuada, objetiva, fiable y de fácil acceso, especialmente en lo que respecta a los debates y los resultados de su trabajo. Asimismo, deberá hacer públicas las declaraciones de intereses realizadas de conformidad con el artículo 22.

Justificación

La transparencia debe ser ejecutable, teniendo en cuenta la aplicación del artículo 24.

Enmienda    62

Propuesta de Reglamento

Artículo 43 – párrafo 1

Texto de la Comisión

Enmienda

Un régimen europeo de certificación de la ciberseguridad confirmará que los productos y servicios de TIC que hayan sido certificados con arreglo a dicho régimen cumplen los requisitos especificados en lo que respecta a su capacidad para resistir, con un determinado nivel de garantía, las acciones encaminadas a poner en peligro la disponibilidad, autenticidad, integridad o confidencialidad de los datos almacenados, transmitidos o procesados o las funciones o servicios que ofrecen, o a los que permiten acceder, estos productos, procesos, servicios y sistemas.

Se creará un régimen europeo de certificación de la ciberseguridad a fin de aumentar el nivel de seguridad en el mercado único digital y adoptar un enfoque de la certificación europea armonizado a escala de la Unión, con vistas a garantizar productos, servicios y sistemas TIC resistentes a los ciberataques.

Dicho régimen confirmará que los procesos, productos y servicios de TIC que hayan sido certificados con arreglo a dicho régimen cumplen los requisitos comunes especificados y propiedades en lo que respecta a su capacidad para resistir, con un determinado nivel de garantía, las acciones encaminadas a poner en peligro la disponibilidad, autenticidad, integridad o confidencialidad de los datos almacenados, transmitidos o procesados o las funciones o servicios que ofrecen, o a los que permiten acceder, estos procesos, productos, servicios y sistemas.

Enmienda    63

Propuesta de Reglamento

Artículo 43 bis (nuevo)

Texto de la Comisión

Enmienda

 

Artículo 43 bis

 

Programa de trabajo

 

Tras consultar al Grupo Europeo de Certificación de la Ciberseguridad y al Grupo Permanente de Partes Interesadas y previa aprobación por parte de la Comisión, la ENISA establecerá un programa de trabajo que detalle las acciones comunes que deben llevarse a cabo a nivel de la Unión para garantizar la aplicación coherente del presente título, y que contenga una lista prioritaria de los productos y servicios de TIC para los que considera que es necesario un régimen europeo de certificación de ciberseguridad.

 

El programa de trabajo se establecerá a más tardar [seis meses después de la fecha de entrada en vigor del presente Reglamento] y, posteriormente, se establecerá un nuevo plan de trabajo cada dos años. El programa de trabajo se pondrá a disposición del público.

Enmienda    64

Propuesta de Reglamento

Artículo 44 – apartado 1

Texto de la Comisión

Enmienda

1.  Tras recibir una solicitud de la Comisión, ENISA preparará una propuesta de régimen europeo de certificación de la ciberseguridad que cumpla los requisitos expuestos en los artículos 45, 46 y 47 del presente Reglamento. Los Estados miembros o el Grupo Europeo de Certificación de la Ciberseguridad («el Grupo») establecido de conformidad con el artículo 53 podrán proponer a la Comisión la preparación de un régimen europeo de certificación de la ciberseguridad.

1.  Tras recibir una solicitud de la Comisión, ENISA preparará una propuesta de régimen europeo de certificación de la ciberseguridad que cumpla los requisitos expuestos en los artículos 45, 46 y 47 del presente Reglamento. Los Estados miembros, el Grupo Europeo de Certificación de la Ciberseguridad («el Grupo») establecido de conformidad con el artículo 53 o el Grupo Permanente de Partes Interesadas establecido con arreglo al artículo 20 podrán proponer a la Comisión la preparación de un régimen europeo de certificación de la ciberseguridad.

Enmienda    65

Propuesta de Reglamento

Artículo 44 – apartado 2

Texto de la Comisión

Enmienda

2.  A la hora de preparar las propuestas de régimen a que se refiere el apartado 1 del presente artículo, ENISA consultará a todas las partes interesadas y cooperará estrechamente con el Grupo. El Grupo facilitará a ENISA la asistencia y el asesoramiento experto que requiera en relación con la preparación de la propuesta de régimen, incluso mediante la emisión de dictámenes en caso necesario.

2.  A la hora de preparar las propuestas de régimen a que se refiere el apartado 1 del presente artículo, ENISA consultará al Grupo Permanente de Partes Interesadas, en particular a las organizaciones europeas de normalización y a todas las demás partes interesadas pertinentes, incluidas las organizaciones de consumidores, en un proceso formal, normalizado y transparente, y cooperará estrechamente con el Grupo teniendo en cuenta las normas nacionales e internacionales ya existentes. A la hora de preparar cada una de las propuestas de régimen, ENISA elaborará una lista de control de los riesgos y las correspondientes características de ciberseguridad.

 

El Grupo facilitará a ENISA la asistencia y el asesoramiento experto que requiera en relación con la preparación de la propuesta de régimen, incluso mediante la emisión de dictámenes en caso necesario.

 

Cuando proceda, ENISA podrá crear asimismo un grupo de expertos para consulta de las partes interesadas compuesto por miembros del Grupo Permanente de Partes Interesadas y cualesquiera otras partes interesadas pertinentes con experiencia específica en el ámbito de una determinada propuesta de régimen, a fin de prestar una mayor asistencia y asesoramiento.

Enmienda    66

Propuesta de Reglamento

Artículo 44 – apartado 3

Texto de la Comisión

Enmienda

3.  ENISA transmitirá a la Comisión la propuesta de régimen europeo de certificación de la ciberseguridad preparada de conformidad con el apartado 2 del presente artículo.

3.  ENISA transmitirá a la Comisión la propuesta de régimen europeo de certificación de la ciberseguridad preparada de conformidad con el apartado 2 del presente artículo; la Comisión evaluará la idoneidad del régimen para lograr los objetivos de la solicitud a la que hace referencia el apartado 1.

Enmienda    67

Propuesta de Reglamento

Artículo 44 – apartado 3 bis (nuevo)

Texto de la Comisión

Enmienda

 

3 bis.  ENISA respetará el secreto profesional con respecto a toda la información obtenida a la hora de llevar a cabo sus tareas en virtud del presente Reglamento.

Enmienda    68

Propuesta de Reglamento

Artículo 44 – apartado 4

Texto de la Comisión

Enmienda

4.  La Comisión, sobre la base de la propuesta de régimen preparada por ENISA, podrá adoptar actos de ejecución, de conformidad con el artículo 55, apartado 1, que establezcan regímenes europeos de certificación de la ciberseguridad para productos y servicios de TIC que cumplan los requisitos de los artículos 45, 46 y 47 del presente Reglamento.

4.  La Comisión estará facultada para adoptar actos delegados, de conformidad con el artículo 55 bis, en relación con el establecimiento de regímenes europeos de certificación de la ciberseguridad para productos y servicios de TIC que cumplan los requisitos de los artículos 45, 46 y 47 del presente Reglamento. A la hora de adoptar estos actos delegados, la Comisión se basará en los regímenes de certificación de la ciberseguridad para productos y servicios de TIC o en propuestas de regímenes relevantes que proponga ENISA. La Comisión podrá consultar al Comité Europeo de Protección de Datos y tener en cuenta su punto de vista antes de la adopción de dichos actos delegados.

Enmienda    69

Propuesta de Reglamento

Artículo 44 – apartado 5

Texto de la Comisión

Enmienda

5.  ENISA mantendrá un sitio web asignado al propósito de ofrecer información sobre los regímenes europeos de certificación de la ciberseguridad y darles publicidad.

5.  ENISA mantendrá un sitio web asignado al propósito de ofrecer información sobre los regímenes europeos de certificación de la ciberseguridad y darles publicidad, incluida la información sobre todas las propuestas de régimen que la Comisión haya solicitado a ENISA que prepare.

Enmienda    70

Propuesta de Reglamento

Artículo 45 – párrafo 1 – parte introductoria

Texto de la Comisión

Enmienda

Los regímenes europeos de certificación de la ciberseguridad deberán diseñarse para tener en cuenta, según proceda, los siguientes objetivos de seguridad:

Cada régimen de certificación de la ciberseguridad deberá diseñarse para tener en cuenta, al menos, los siguientes objetivos de seguridad, en la medida en que sean pertinentes:

Enmienda    71

Propuesta de Reglamento

Artículo 45 – párrafo 1 – letra g

Texto de la Comisión

Enmienda

g)  garantizar que los productos y servicios de TIC se entreguen siempre con un software actualizado, que no contenga vulnerabilidades conocidas, y dispongan de mecanismos para efectuar actualizaciones de seguridad del software.

g)  garantizar que los productos y servicios de TIC se entreguen siempre con un software y un hardware actualizados, que no contengan vulnerabilidades conocidas; garantizar que se han diseñado y ejecutado de manera que limiten de forma eficaz la inclusión o introducción de vulnerabilidades, y que disponen de mecanismos para efectuar actualizaciones de seguridad del software, incluidas las mejoras del hardware y las actualizaciones automáticas de seguridad;

Enmienda    72

Propuesta de Reglamento

Artículo 45 – párrafo 1 – letra g bis (nueva)

Texto de la Comisión

Enmienda

 

g bis)  garantizar que los productos y servicios de TIC se desarrollen y funcionen de tal modo que esté preconfigurado un nivel elevado de ciberseguridad y protección de datos, de conformidad con el principio de «seguridad desde el diseño».

 

Enmienda    73

Propuesta de Reglamento

Artículo 46 – apartado 1

Texto de la Comisión

Enmienda

1.  Un régimen europeo de certificación de la ciberseguridad podrá especificar uno o más de los siguientes niveles de garantía: básico, sustancial y/o elevado, para los productos y servicios de TIC amparados en dicho régimen.

1.  Cada régimen europeo de certificación de la ciberseguridad podrá especificar uno o más de los siguientes niveles de garantía basados en el riesgo: «funcionalmente seguro»; «sustancialmente seguro» y/o «extremadamente seguro», para los productos y servicios de TIC amparados en dicho régimen.

 

Los niveles de garantía para cada propuesta de régimen europeo de certificación de la ciberseguridad se determinará en función de los riesgos identificados en la lista de control establecida en el artículo 44, apartado 2, y de la disponibilidad de características de ciberseguridad para contrarrestar esos riesgos en los productos y servicios de TIC a los que se aplique el régimen de certificación.

Enmienda    74

Propuesta de Reglamento

Artículo 46 – apartado 1 bis (nuevo)

Texto de la Comisión

Enmienda

 

1 bis.  Todo régimen indicará la metodología o el proceso de evaluación que deba seguirse para expedir certificados a cada nivel de garantía, en función del uso previsto y del riesgo inherente a los productos y servicios de TIC amparados en dicho régimen.

Enmienda    75

Propuesta de Reglamento

Artículo 46 – apartado 2 – parte introductoria

Texto de la Comisión

Enmienda

2.  Los niveles de garantía básico, sustancial y elevado cumplirán los siguientes criterios, respectivamente:

2.  Los niveles de garantía «funcionalmente seguro», «sustancialmente seguro» y «extremadamente seguro» cumplirán los siguientes criterios, respectivamente:

Enmienda    76

Propuesta de Reglamento

Artículo 46 – apartado 2 – letra a

Texto de la Comisión

Enmienda

a)  el nivel de garantía bajo se referirá a un certificado, expedido en el contexto de un régimen europeo de certificación de la ciberseguridad, que aporta un grado limitado de confianza en las cualidades de ciberseguridad pretendidas o declaradas de un producto o servicio de TIC, y se caracteriza en referencia a especificaciones técnicas, normas y procedimientos conexos, incluidos los controles técnicos, cuyo objeto es reducir el riesgo de incidentes de ciberseguridad;

a)  el nivel de garantía «funcionalmente seguro» se referirá a un certificado, expedido en el contexto de un régimen europeo de certificación de la ciberseguridad, que aporta un grado adecuado de confianza en las cualidades de ciberseguridad pretendidas o declaradas de un proceso, producto o servicio de TIC, y se caracteriza en referencia a especificaciones técnicas, normas y procedimientos conexos, incluidos los controles técnicos, cuyo objeto es reducir el riesgo de incidentes de ciberseguridad;

Enmienda    77

Propuesta de Reglamento

Artículo 46 – apartado 2 – letra b

Texto de la Comisión

Enmienda

b)  el nivel de garantía sustancial se referirá a un certificado, expedido en el contexto de un régimen europeo de certificación de la ciberseguridad, que aporta un grado sustancial de confianza en las cualidades de ciberseguridad pretendidas o declaradas de un producto o servicio de TIC, y se caracteriza en referencia a especificaciones técnicas, normas y procedimientos conexos, incluidos los controles técnicos, cuyo objeto es reducir sustancialmente el riesgo de incidentes de ciberseguridad;

b)  el nivel de garantía «sustancialmente seguro» se referirá a un certificado, expedido en el contexto de un régimen europeo de certificación de la ciberseguridad, que aporta un grado sustancial de confianza en las cualidades de ciberseguridad pretendidas o declaradas de un proceso, producto o servicio de TIC, y se caracteriza en referencia a especificaciones técnicas, normas y procedimientos conexos, incluidos los controles técnicos, cuyo objeto es reducir sustancialmente el riesgo de incidentes de ciberseguridad;

Enmienda    78

Propuesta de Reglamento

Artículo 46 – apartado 2 – letra c

Texto de la Comisión

Enmienda

c)  el nivel de garantía elevado se referirá a un certificado, expedido en el contexto de un régimen europeo de certificación de la ciberseguridad, que aporta un grado de confianza en las cualidades de ciberseguridad pretendidas o declaradas de un producto o servicio de TIC superior al de los certificados con nivel de garantía sustancial, y se caracteriza en referencia a especificaciones técnicas, normas y procedimientos conexos, incluidos los controles técnicos, cuyo objetivo es evitar los incidentes de ciberseguridad.

c)  el nivel de garantía «extremadamente seguro» se referirá a un certificado, expedido en el contexto de un régimen europeo de certificación de la ciberseguridad, que aporta un grado de confianza en las cualidades de ciberseguridad pretendidas o declaradas de un proceso, producto o servicio de TIC superior al de los certificados con nivel de garantía «sustancialmente seguro», y se caracteriza en referencia a especificaciones técnicas, normas y procedimientos conexos, incluidos los controles técnicos, cuyo objetivo es evitar los incidentes de ciberseguridad. Esto se aplicará, en particular, a productos y servicios destinados a ser utilizados por operadores de servicios esenciales, tal como se definen en el artículo 4, apartado 4, de la Directiva 2016/1148/UE.

Enmienda    79

Propuesta de Reglamento

Artículo 47 – apartado 1 – parte introductoria

Texto de la Comisión

Enmienda

1.  Un régimen europeo de certificación de la ciberseguridad incluirá los siguientes elementos:

1.  Todo régimen europeo de certificación de la ciberseguridad incluirá, al menos, los siguientes elementos, si procede:

Enmienda    80

Propuesta de Reglamento

Artículo 47 – apartado 1 – letra a

Texto de la Comisión

Enmienda

a)  objeto y alcance de la certificación, incluido el tipo o categoría de productos y servicios de TIC cubiertos;

a)  objeto y alcance del régimen de certificación, incluidos todos los sectores específicos cubiertos y el tipo o categoría de productos y servicios de TIC cubiertos;

Enmienda    81

Propuesta de Reglamento

Artículo 47 – apartado 1 – letra b

Texto de la Comisión

Enmienda

b)  especificación detallada de los requisitos de ciberseguridad con respecto a los cuales se evalúan los servicios y productos de TIC, por ejemplo haciendo referencia a normas o especificaciones técnicas internacionales o de la Unión;

b)  especificación detallada de los requisitos de ciberseguridad con respecto a los cuales se evalúan los servicios y productos de TIC, en particular haciendo referencia a normas o especificaciones técnicas internacionales, europeas o nacionales;

Enmienda    82

Propuesta de Reglamento

Artículo 47 – apartado 1 – letra b bis (nueva)

Texto de la Comisión

Enmienda

 

b bis)  especificación detallada si una certificación concedida solo puede aplicarse a un producto individual o a una gama de productos, por ejemplo, diferentes versiones o modelos de la misma estructura de producto base;

Enmienda    83

Propuesta de Reglamento

Artículo 47 – apartado 1 – letra c bis (nueva)

Texto de la Comisión

Enmienda

 

c bis)  indicación para determinar si la autodeclaración de conformidad está permitida en virtud del régimen, y del procedimiento para la evaluación de conformidad o para la autodeclaración de conformidad o para ambos;

Enmienda    84

Propuesta de Reglamento

Artículo 47 – apartado 1 – letra c ter (nueva)

Texto de la Comisión

Enmienda

 

c ter)  los requisitos de certificación definidos de modo que la certificación pueda incorporarse o basarse en los procesos sistemáticos de ciberseguridad del productor seguidos durante el diseño, desarrollo y ciclo de vida del proceso, producto o servicio de TIC;

Enmienda    85

Propuesta de Reglamento

Artículo 47 – apartado 1 – letra f

Texto de la Comisión

Enmienda

f)  cuando el régimen prevea marcas o etiquetas, las condiciones en las que pueden utilizarse tales marcas o etiquetas;

f)  cuando el régimen prevea marcas o etiquetas, como una Etiqueta de conformidad de ciberseguridad de la Unión que signifique que el proceso, producto o servicio de TIC es conforme con los criterios de un régimen, las condiciones en las que pueden utilizarse tales marcas o etiquetas;

Enmienda    86

Propuesta de Reglamento

Artículo 47 – apartado 1 – letra g

Texto de la Comisión

Enmienda

g)  cuando la vigilancia forme parte del régimen, las normas para controlar el cumplimiento de los requisitos de los certificados, incluidos los mecanismos que permitan demostrar la conformidad permanente con los requisitos de ciberseguridad especificados;

g)  las normas para controlar el cumplimiento de los requisitos de los certificados, incluidos los mecanismos que permitan demostrar la conformidad permanente con los requisitos de ciberseguridad especificados, como por ejemplo, cuando proceda y sea posible, las actualizaciones obligatorias, las mejoras o parches del proceso, producto o servicio de TIC de que se trate.

Enmienda    87

Propuesta de Reglamento

Artículo 47 – apartado 1 – letra h

Texto de la Comisión

Enmienda

h)  condiciones para la concesión, el mantenimiento, la continuación, la ampliación y la reducción del alcance de la certificación;

h)  condiciones para la concesión, el mantenimiento, la continuación, la renovación, la ampliación y la reducción del alcance de la certificación;

Enmienda    88

Propuesta de Reglamento

Artículo 47 – apartado 1 – letra i

Texto de la Comisión

Enmienda

i)  normas relativas a las consecuencias de la no conformidad de los productos y servicios de TIC certificados con los requisitos de certificación;

i)  normas relativas a las consecuencias de la no conformidad de los productos y servicios de TIC certificados con los requisitos de certificación, y la información general sobre sanciones, según lo establecido en el artículo 54 del presente Reglamento;

Enmienda    89

Propuesta de Reglamento

Artículo 47 – apartado 1 – letra j

Texto de la Comisión

Enmienda

j)  normas sobre cómo deben notificarse y tramitarse las vulnerabilidades de ciberseguridad previamente no detectadas en productos y servicios de TIC;

j)  normas sobre cómo deben notificarse y tramitarse las vulnerabilidades de ciberseguridad previamente no detectadas en productos y servicios de TIC, también a través de procesos de divulgación coordinada de vulnerabilidades;

Enmienda    90

Propuesta de Reglamento

Artículo 47 – apartado 1 – letra l

Texto de la Comisión

Enmienda

l)  identificación de los regímenes nacionales de certificación de la ciberseguridad que cubren el mismo tipo o categoría de productos y servicios de TIC;

l)  identificación de los regímenes nacionales o internacionales de certificación de la ciberseguridad, o acuerdos de reconocimiento mutuo internacionales, que cubren el mismo tipo o categoría de productos y servicios de TIC;

Enmienda    91

Propuesta de Reglamento

Artículo 47 – apartado 1 – letra m bis (nueva)

Texto de la Comisión

Enmienda

 

m bis)  plazo máximo de validez de los certificados;

Enmienda    92

Propuesta de Reglamento

Artículo 47 – apartado 1 – letra m ter (nueva)

Texto de la Comisión

Enmienda

 

m ter)  normas relativas a pruebas de resistencia y resiliencia para el nivel de garantía «extremadamente seguro»;

Enmienda    93

Propuesta de Reglamento

Artículo 47 – apartado 3

Texto de la Comisión

Enmienda

3.  Cuando un acto específico de la Unión así lo prevea, podrá utilizarse la certificación en virtud de un régimen europeo de certificación de la ciberseguridad para demostrar la presunción de conformidad con los requisitos de dicho acto.

3.  Cuando un futuro acto específico de la Unión así lo prevea, podrá utilizarse la certificación en virtud de un régimen europeo de certificación de la ciberseguridad para demostrar la presunción de conformidad con los requisitos de dicho acto.

Enmienda    94

Propuesta de Reglamento

Artículo 48 – apartado 2

Texto de la Comisión

Enmienda

2.  La certificación será voluntaria, salvo que se disponga otra cosa en el Derecho de la Unión.

2.  La certificación en virtud del régimen europeo de certificación de la ciberseguridad será obligatoria para los productos y servicios de TIC con un alto riesgo inherente destinados específicamente a su utilización por operadores de servicios esenciales, tal como se definen en el artículo 4, apartado 4 de la Directiva 2016/1148/UE. Para todos los demás productos y servicios de TIC, la certificación será voluntaria, salvo que se disponga otra cosa en el Derecho de la Unión.

Enmienda    95

Propuesta de Reglamento

Artículo 48 – apartado 3

Texto de la Comisión

Enmienda

3.  Los organismos de evaluación de la conformidad a que se refiere el artículo 51 expedirán un certificado europeo de ciberseguridad en virtud del presente artículo sobre la base de los criterios incluidos en el régimen europeo de certificación de la ciberseguridad adoptado de conformidad con el artículo 44.

3.  Los organismos de evaluación de la conformidad a que se refiere el artículo 51 expedirán certificados europeos de ciberseguridad en virtud del presente artículo sobre la base de los criterios incluidos en el régimen europeo de certificación de la ciberseguridad adoptado de conformidad con el artículo 44.

 

A modo de alternativa al certificado de los organismos de evaluación de la conformidad, los fabricantes de productos o los prestadores de servicios podrán, siempre y cuando el régimen en cuestión prevea esa posibilidad, emitir una autodeclaración de conformidad en la que declaren que un proceso, producto o servicio cumple los criterios del régimen de certificación; En tal caso, el fabricante del producto o el prestador del servicio presentarán la autodeclaración de conformidad, previa solicitud, a la autoridad nacional de supervisión de la certificación que lo solicite y a ENISA.

Enmienda    96

Propuesta de Reglamento

Artículo 48 – apartado 4 – parte introductoria

Texto de la Comisión

Enmienda

4.  No obstante lo dispuesto en el apartado 3, en casos debidamente justificados un régimen europeo de ciberseguridad particular podrá prever que solo un organismo público pueda expedir un certificado europeo de ciberseguridad resultante de ese régimen. Este organismo público será uno de los siguientes:

4.  No obstante lo dispuesto en el apartado 3, en casos debidamente justificados, como por motivos de seguridad nacional, un régimen europeo de certificación de ciberseguridad particular podrá prever que solo un organismo público pueda expedir un certificado europeo de ciberseguridad resultante de ese régimen. Este organismo público será uno de los siguientes:

Enmienda    97

Propuesta de Reglamento

Artículo 48 – apartado 5

Texto de la Comisión

Enmienda

5.  La persona física o jurídica que presenta sus productos o servicios de TIC al mecanismo de certificación facilitará al organismo de evaluación de la conformidad a que se refiere el artículo 51 toda la información necesaria para llevar a cabo el procedimiento de certificación.

5.  La persona física o jurídica que presenta sus productos o servicios de TIC al mecanismo de certificación facilitará al organismo de evaluación de la conformidad a que se refiere el artículo 51 toda la información necesaria para llevar a cabo el procedimiento de certificación, incluida la información sobre toda vulnerabilidad de seguridad conocida.

Enmienda    98

Propuesta de Reglamento

Artículo 48 – apartado 6

Texto de la Comisión

Enmienda

6.  Los certificados se expedirán por un período máximo de tres años y podrán renovarse en las mismas condiciones, siempre y cuando sigan cumpliéndose los requisitos correspondientes.

6.  Los certificados se expedirán y serán válidos por un período máximo indicado en cada régimen de certificación y podrán renovarse en las mismas condiciones, siempre y cuando sigan cumpliéndose los requisitos aplicables en dicho régimen, incluidos los requisitos revisados o modificados.

Enmienda    99

Propuesta de Reglamento

Artículo 48 – apartado 6 bis (nuevo)

Texto de la Comisión

Enmienda

 

6 bis.  Los certificados permanecerán en vigor para todas las versiones nuevas de un proceso, producto o servicio cuyo principal objeto sea parchear, arreglar o abordar de cualquier otra forma vulnerabilidades o amenazas a la seguridad, sean conocidas o potenciales.

Enmienda    100

Propuesta de Reglamento

Artículo 49 – apartado 1

Texto de la Comisión

Enmienda

1.  Sin perjuicio de lo dispuesto en el apartado 3, los regímenes nacionales de certificación de ciberseguridad y los procedimientos correspondientes para los productos y servicios de TIC cubiertos por un régimen europeo de certificación de la ciberseguridad dejarán de surtir efectos a partir de la fecha establecida en el acto de ejecución adoptado con arreglo al artículo 44, apartado 4. Los regímenes nacionales de certificación de la ciberseguridad existentes y los procedimientos conexos para los productos y servicios de TIC no cubiertos por un régimen europeo de certificación de la ciberseguridad seguirán existiendo.

1.  Sin perjuicio de lo dispuesto en el apartado 3, los regímenes nacionales de certificación de ciberseguridad y los procedimientos correspondientes para los productos y servicios de TIC cubiertos por un régimen europeo de certificación de la ciberseguridad dejarán de surtir efectos a partir de la fecha establecida en el acto delegado adoptado con arreglo al artículo 44, apartado 4. La Comisión supervisará la conformidad con este párrafo para evitar la existencia de regímenes concurrentes. Los regímenes nacionales de certificación de la ciberseguridad existentes y los procedimientos conexos para los productos y servicios de TIC no cubiertos por un régimen europeo de certificación de la ciberseguridad seguirán existiendo.

Enmienda    101

Propuesta de Reglamento

Artículo 49 – apartado 3

Texto de la Comisión

Enmienda

3.  Los certificados existentes expedidos de conformidad con regímenes nacionales de certificación de ciberseguridad seguirán siendo válidos hasta su fecha de caducidad.

3.  Los certificados existentes expedidos de conformidad con regímenes nacionales de certificación de ciberseguridad y amparados por un régimen europeo de certificación de la ciberseguridad seguirán siendo válidos hasta su fecha de caducidad.

Enmienda    102

Propuesta de Reglamento

Artículo 50 – apartado 3

Texto de la Comisión

Enmienda

3.  Las autoridades nacionales de supervisión de la certificación serán, en lo relativo a su organización, sus decisiones de financiación, su estructura jurídica y su proceso de toma de decisiones, independientes de las entidades que están bajo su supervisión.

3.  Las autoridades nacionales de supervisión de la certificación serán, en lo relativo a su organización, sus decisiones de financiación, su estructura jurídica y su proceso de toma de decisiones, independientes de las entidades que están bajo su supervisión, y no serán organismos de evaluación de la conformidad ni organismos nacionales de acreditación.

Enmienda    103

Propuesta de Reglamento

Artículo 50 – apartado 6 – letra a

Texto de la Comisión

Enmienda

a)  controlarán e impondrán la aplicación de las disposiciones del presente título a nivel nacional y supervisarán la conformidad de los certificados que hayan sido emitidos por los organismos de evaluación de la conformidad establecidos en sus territorios respectivos con los requisitos establecidos en el presente título y en el correspondiente régimen europeo de certificación de la ciberseguridad;

a)  controlarán e impondrán la aplicación de las disposiciones del presente título a nivel nacional y supervisarán la conformidad, de acuerdo con las normas adoptadas por el Grupo Europeo de Certificación de la Ciberseguridad en virtud de la letra d bis) del apartado 3 del artículo 53, de:

 

i)  los certificados que hayan sido emitidos por los organismos de evaluación de la conformidad establecidos en sus territorios respectivos con los requisitos establecidos en el presente título y en el correspondiente régimen europeo de certificación de la ciberseguridad; y

 

ii)  las autodeclaraciones de conformidad emitidas en virtud de un régimen para un proceso, producto o servicio de TIC;

Enmienda    104

Propuesta de Reglamento

Artículo 50 – apartado 6 – letra b

Texto de la Comisión

Enmienda

b)  controlarán y supervisarán las actividades de los organismos de evaluación de la conformidad a efectos de la aplicación del presente Reglamento, en particular en relación con la notificación de los organismos de evaluación de la conformidad y las tareas conexas establecidas en el artículo 52 del presente Reglamento;

b)  controlarán, supervisarán y, al menos cada dos años, evaluarán las actividades de los organismos de evaluación de la conformidad a efectos de la aplicación del presente Reglamento, en particular en relación con la notificación de los organismos de evaluación de la conformidad y las tareas conexas establecidas en el artículo 52 del presente Reglamento;

Enmienda    105

Propuesta de Reglamento

Artículo 50 – apartado 6 – letra c

Texto de la Comisión

Enmienda

c)  tramitarán las reclamaciones presentadas por personas físicas o jurídicas en relación con los certificados expedidos por los organismos de evaluación de la conformidad establecidos en su territorio, investigarán el asunto objeto de la reclamación en la medida que proceda e informarán al reclamante sobre el curso y el resultado de la investigación en un plazo razonable;

c)  tramitarán las reclamaciones presentadas por personas físicas o jurídicas en relación con los certificados expedidos por los organismos de evaluación de la conformidad establecidos en su territorio o con las autodeclaraciones de conformidad emitidas, investigarán el asunto objeto de la reclamación en la medida que proceda e informarán al reclamante sobre el curso y el resultado de la investigación en un plazo razonable;

Enmienda    106

Propuesta de Reglamento

Artículo 50 – apartado 6 – letra c bis (nueva)

Texto de la Comisión

Enmienda

 

c bis)  notificarán los resultados de las verificaciones contempladas en la letra a) y las evaluaciones contempladas en la letra b) a ENISA y al Grupo Europeo de Certificación de la Ciberseguridad;

Enmienda    107

Propuesta de Reglamento

Artículo 50 – apartado 6 – letra d

Texto de la Comisión

Enmienda

d)  cooperarán con otras autoridades nacionales de supervisión de la certificación u otras autoridades públicas, en particular mediante el intercambio de información sobre posibles productos y servicios de TIC que no se ajusten a los requisitos del presente Reglamento o de regímenes europeos de ciberseguridad específicos;

d)  cooperarán con otras autoridades nacionales de supervisión de la certificación, organismos nacionales de acreditación u otras autoridades públicas, en particular mediante el intercambio de información sobre posibles productos, servicios de TIC que no se ajusten a los requisitos del presente Reglamento o de regímenes europeos de ciberseguridad específicos, incluyendo las reclamaciones de certificación engañosas, falsas o fraudulentas;

Enmienda    108

Propuesta de Reglamento

Artículo 50 – apartado 7 – letra c bis (nueva)

Texto de la Comisión

Enmienda

 

c bis)  retirar la acreditación de los organismos de evaluación de la conformidad que no respeten el presente Reglamento.

Enmienda    109

Propuesta de Reglamento

Artículo 50 – apartado 7 – letra e

Texto de la Comisión

Enmienda

e)  retirar, con arreglo al Derecho nacional, los certificados que no se ajusten al presente Reglamento o a un régimen europeo de certificación de la ciberseguridad;

e)  retirar, con arreglo al Derecho nacional, los certificados que no se ajusten al presente Reglamento o a un régimen europeo de certificación de la ciberseguridad e informar a los organismos nacionales de acreditación en consecuencia;

Enmienda    110

Propuesta de Reglamento

Artículo 50 – apartado 7 – letra f bis (nueva)

Texto de la Comisión

Enmienda

 

f bis)  propondrán a expertos de ENISA para participar en el grupo de expertos para consulta de las partes interesadas contemplado en el artículo 44, apartado 2.

Enmienda    111

Propuesta de Reglamento

Artículo 50 – apartado 8 – párrafo 1 bis (nuevo)

Texto de la Comisión

Enmienda

 

La Comisión facilitará un sistema general de apoyo a la información electrónica para realizar dicho intercambio.

Enmienda    112

Propuesta de Reglamento

Artículo 50 bis (nuevo)

Texto de la Comisión

Enmienda

 

Artículo 50 bis

 

Revisión por pares

 

1.  Las autoridades nacionales de supervisión de la certificación serán objeto de una revisión por pares con respecto a cualquier actividad que lleven a cabo de conformidad con el artículo 50 del presente Reglamento.

 

2.  Las revisiones por pares abarcarán la evaluación de los procedimientos establecidos por las autoridades nacionales de supervisión de la certificación, en particular los procedimientos para comprobar la conformidad de los productos que están sujetos a la certificación de la ciberseguridad, la competencia del personal, la corrección de las comprobaciones y de la metodología de inspección, así como de los resultados. La revisión por pares evaluará también si las autoridades nacionales de supervisión de la certificación en cuestión cuentan con recursos suficientes para desempeñar adecuadamente sus obligaciones con arreglo al artículo 50, apartado 4.

 

3.  La revisión por pares de una autoridad nacional de supervisión de la certificación será efectuada por dos autoridades nacionales de supervisión de la certificación de otros Estados miembros y la Comisión y se realizará al menos una vez cada cinco años. ENISA podrá participar en la revisión por pares y decidirá sobre su participación basándose en un análisis de evaluación de riesgos.

 

4.  La Comisión estará facultada para adoptar actos delegados con arreglo al artículo 55 bis, en lo referente a la elaboración de un plan para las revisiones por pares que cubra un período de al menos cinco años, y a la definición de criterios sobre la composición del equipo de revisión por pares, el método utilizado para la revisión por pares, el calendario, la periodicidad y las demás tareas relativas a dicha revisión. Cuando adopte dichos actos delegados, la Comisión tendrá debidamente en cuenta las consideraciones del Grupo.

 

5.  El Grupo estudiará los resultados de las revisiones por pares. ENISA elaborará un resumen de los resultados y lo hará público.

Enmienda    113

Propuesta de Reglamento

Artículo 51 – apartado 2 bis (nuevo)

Texto de la Comisión

Enmienda

 

2 bis.  En los casos en que los fabricantes opten por la «autodeclaración de conformidad» prevista en el artículo 48, apartado 3, del presente Reglamento, los organismos de evaluación de la conformidad tomarán medidas adicionales para verificar los procedimientos internos aplicados por el fabricante para garantizar que sus productos o servicios cumplan los requisitos del régimen europeo de certificación de la ciberseguridad.

Enmienda    114

Propuesta de Reglamento

Artículo 53 – apartado 3 – letra d bis (nueva)

Texto de la Comisión

Enmienda

 

d bis)  adoptar normas vinculantes en las que se determinen los intervalos con los que las autoridades nacionales de supervisión de la certificación deberán llevar a cabo verificaciones de los certificados y de las autodeclaraciones de conformidad, y los criterios, la escala y el ámbito de dichas verificaciones, y adoptar normas y estándares comunes para informar, de conformidad con el artículo 50, apartado 6.

Enmienda    115

Propuesta de Reglamento

Artículo 53 – apartado 3 – letra e

Texto de la Comisión

Enmienda

e)  examinar las novedades pertinentes en el ámbito de la certificación de la ciberseguridad e intercambiar buenas prácticas sobre los regímenes de certificación de la ciberseguridad;

e)  examinar las novedades pertinentes en el ámbito de la certificación de la ciberseguridad e intercambiar información y buenas prácticas sobre los regímenes de certificación de la ciberseguridad;

Enmienda    116

Propuesta de Reglamento

Artículo 53 – apartado 3 – letra f bis (nueva)

Texto de la Comisión

Enmienda

 

f bis)  intercambiar las mejores prácticas en relación con las investigaciones de los organismos de evaluación de la conformidad, los titulares del certificado europeo de ciberseguridad y los fabricantes y prestadores de servicios que han emitido una autodeclaración de conformidad;

Enmienda    117

Propuesta de Reglamento

Artículo 53 – apartado 3 – letra f ter (nueva)

Texto de la Comisión

Enmienda

 

f ter)  facilitar la adaptación de los regímenes europeos de certificación de la ciberseguridad con las normas reconocidas a escala internacional y, si procede, recomendar ámbitos a ENISA en los que debería colaborar con las organizaciones internacionales y europeas de normalización relevantes para abordar las insuficiencias o las lagunas en las normas reconocidas a escala internacional;

Enmienda    118

Propuesta de Reglamento

Artículo 53 – apartado 3 – letra f quater (nueva)

Texto de la Comisión

Enmienda

 

f quater)  aconsejar a ENISA, cuando establezca el programa de trabajo al que hace referencia el artículo 43 bis, sobre una lista de prioridades de productos y servicios de TIC para los que considera que se precisa un régimen europeo de certificación de la ciberseguridad;

Enmienda    119

Propuesta de Reglamento

Artículo 53 – apartado 4 – párrafo 1 bis (nuevo)

Texto de la Comisión

Enmienda

 

ENISA velará por que se registren el orden del día, las actas y un registro de las decisiones tomadas y por que se faciliten versiones públicas de dichos documentos en el sitio web de ENISA tras cada reunión del Grupo.

Enmienda    120

Propuesta de Reglamento

Artículo 55 bis (nuevo)

Texto de la Comisión

Enmienda

 

Artículo 55 bis

 

Ejercicio de la delegación

 

Se otorgan a la Comisión los poderes para adoptar actos delegados en las condiciones establecidas en el presente artículo.

 

Los poderes para adoptar actos delegados mencionados en los artículos 44, apartado 4, y 50 bis, apartado 4, se otorgan a la Comisión por un período de cinco años a partir de [la fecha de entrada en vigor del acto legislativo de base]. La Comisión elaborará un informe sobre la delegación de poderes a más tardar nueve meses antes de que finalice el período de cinco años. La delegación de poderes se prorrogará tácitamente por períodos de idéntica duración, excepto si el Parlamento Europeo o el Consejo se oponen a dicha prórroga a más tardar tres meses antes del final de cada período.

 

La delegación de poderes mencionada en los artículos 44, apartado 4, y 50 bis, apartado 4, podrá ser revocada en cualquier momento por el Parlamento Europeo o por el Consejo. La decisión de revocación pondrá término a la delegación de los poderes que en ella se especifiquen. La decisión surtirá efecto al día siguiente de su publicación en el Diario Oficial de la Unión Europea o en una fecha posterior indicada en la misma. No afectará a la validez de los actos delegados que ya estén en vigor.

 

Antes de la adopción de un acto delegado, la Comisión consultará a los expertos designados por cada Estado miembro de conformidad con los principios establecidos en el Acuerdo interinstitucional de 13 de abril de 2016 sobre la mejora de la legislación.

 

Tan pronto como la Comisión adopte un acto delegado lo notificará simultáneamente al Parlamento Europeo y al Consejo.

 

Los actos delegados adoptados en virtud de los artículos 44, apartado 4, y 50 bis, apartado 4, entrarán en vigor únicamente si, en un plazo de dos meses desde su notificación al Parlamento Europeo y al Consejo, ni el Parlamento Europeo ni el Consejo formulan objeciones o si, antes del vencimiento de dicho plazo, tanto el uno como el otro informan a la Comisión de que no las formularán. El plazo se prorrogará [dos meses] a iniciativa del Parlamento Europeo o del Consejo.

PROCEDIMIENTO DE LA COMISIÓN COMPETENTE PARA EMITIR OPINIÓN

Título

Reglamento relativo a ENISA, la «Agencia de Ciberseguridad de la UE», y por el que se deroga el Reglamento (UE) n.º 526/2013, y relativo a la certificación de la ciberseguridad de las tecnologías de la información y la comunicación («Reglamento de Ciberseguridad»)

Referencias

COM(2017)0477 – C8-0310/2017 – 2017/0225(COD)

Comisión competente para el fondo

Fecha del anuncio en el Pleno

ITRE

23.10.2017

 

 

 

Opinión emitida por

Fecha del anuncio en el Pleno

IMCO

23.10.2017

Comisiones asociadas - fecha del anuncio en el Pleno

18.1.2018

Ponente de opinión

Fecha de designación

Nicola Danti

25.9.2017

Examen en comisión

21.2.2018

21.3.2018

 

 

Fecha de aprobación

17.5.2018

 

 

 

Resultado de la votación final

+:

–:

0:

31

2

1

Miembros presentes en la votación final

John Stuart Agnew, Pascal Arimont, Dita Charanzová, Carlos Coelho, Anna Maria Corazza Bildt, Daniel Dalton, Nicola Danti, Dennis de Jong, Pascal Durand, Evelyne Gebhardt, Robert Jarosław Iwaszkiewicz, Liisa Jaakonsaari, Marlene Mizzi, Nosheena Mobarik, Jiří Pospíšil, Andreas Schwab, Olga Sehnalová, Jasenko Selimovic, Ivan Štefanec, Catherine Stihler, Mylène Troszczynski, Mihai Ţurcanu, Anneleen Van Bossuyt, Marco Zullo

Suplentes presentes en la votación final

Jan Philipp Albrecht, Kaja Kallas, Arndt Kohn, Emma McClarkin, Adam Szejnfeld, Marc Tarabella, Lambert van Nistelrooij, Kerstin Westphal

Suplentes (art. 200, apdo. 2) presentes en la votación final

Inés Ayala Sender, Flavio Zanonato

VOTACIÓN FINAL NOMINAL EN LA COMISIÓN COMPETENTE PARA EMITIR OPINIÓN

31

+

ALDE

ECR

EFDD

GUE/NGL

PPE

 

S&D

 

 

Verts/ALE

Dita Charanzová, Kaja Kallas, Jasenko Selimovic

Daniel Dalton, Emma McClarkin, Nosheena Mobarik, Anneleen Van Bossuyt

Marco Zullo

Dennis de Jong

Pascal Arimont, Carlos Coelho, Anna Maria Corazza Bildt, Jiří Pospíšil, Andreas Schwab, Ivan Štefanec, Adam Szejnfeld, Mihai Ţurcanu, Lambert van Nistelrooij

Inés Ayala Sender, Nicola Danti, Evelyne Gebhardt, Liisa Jaakonsaari, Arndt Kohn, Marlene Mizzi, Olga Sehnalová, Catherine Stihler, Marc Tarabella, Kerstin Westphal, Flavio Zanonato

Jan Philipp Albrecht, Pascal Durand

2

-

EFDD

John Stuart Agnew, Robert Jarosław Iwaszkiewicz

1

0

ENF

Mylène Troszczynski

Explicación de los signos utilizados:

+  :  a favor

-  :  en contra

0  :  abstenciones


OPINIÓN de la Comisión de Presupuestos (16.5.2018)

para la Comisión de Industria, Investigación y Energía

sobre la propuesta de Reglamento del Parlamento Europeo y del Consejo relativo a ENISA, la «Agencia de Ciberseguridad de la UE», y por el que se deroga el Reglamento (UE) n.º 526/2013, y relativo a la certificación de la ciberseguridad de las tecnologías de la información y la comunicación («Reglamento de Ciberseguridad»)

(COM(2017)0477 – C8-0310/2017 – 2017/0225(COD))

Ponente de opinión: Jens Geier

BREVE JUSTIFICACIÓN

El ponente de opinión acoge con satisfacción, en términos generales, la propuesta de la Comisión de un «Reglamento de Ciberseguridad» para seguir reforzando el papel de la Agencia de Seguridad de las Redes y de la Información de la Unión Europea (ENISA), dado que la cuestión de la ciberseguridad es claramente transfronteriza y conviene adoptar un planteamiento más europeo. El ponente de opinión acoge con especial satisfacción la propuesta de la Comisión de otorgar un mandato permanente a ENISA, habida cuenta de la creciente importancia de su papel y para aportar seguridad al personal de la Agencia. La Comisión propone incrementar el personal AD/AST en 41 puestos de aquí a 2022(1) y un aumento del presupuesto anual de la Agencia de hasta 23 millones de euros en 2022(2).

El ponente de opinión considera que el acuerdo actual relativo a la sede, a saber, las múltiples ubicaciones de la Agencia en Irákleio y Atenas, obstaculiza el funcionamiento eficiente en el cumplimiento del mandato de la Agencia. El Grupo de trabajo interinstitucional sobre recursos de las agencias, establecido a raíz del acuerdo sobre el presupuesto 2014, recomienda a la Comisión que evalúe las ubicaciones múltiples de las agencias (sedes dobles, existencia de emplazamientos técnicos además de la sede, oficinas locales o desplazamiento de personal fuera de la sede) sobre la base de un enfoque coherente y utilizando criterios claros y transparentes, especialmente con vistas a evaluar su valor añadido, también a la luz de los gastos realizados. Todas las instituciones de la Unión estuvieron de acuerdo con esta recomendación, y el ponente de opinión considera que tal evaluación debe llevarse a cabo con prontitud. Tras esa evaluación, las instituciones deben extraer las conclusiones necesarias sin más demora.

El ponente de opinión considera, además, que el mandato de la Agencia a la hora de proporcionar conocimientos especializados podría reforzarse aún más asignando a la Agencia un presupuesto para que pueda encargar actividades de investigación y desarrollo con cargo a su propio presupuesto. Para tal presupuesto, la Agencia debe estar dotada de los recursos necesarios.

Podría lograrse un ahorro adicional autorizando a la Agencia a encargar servicios de traducción a otros proveedores de servicios. El control democrático de la Agencia podría reforzarse designando un representante del Parlamento Europeo en el Consejo de Administración, en consonancia con el enfoque común sobre las agencias.

ENMIENDAS

La Comisión de Presupuestos pide a la Comisión de Industria, Investigación y Energía, competente para el fondo, que tome en consideración las siguientes enmiendas:

Enmienda    1

Propuesta de Reglamento

Considerando 3 bis (nuevo)

Texto de la Comisión

Enmienda

 

(3 bis)  ENISA debería proporcionar un mayor apoyo práctico basado en información exacta a la industria de la ciberseguridad de la UE, en especial a las pymes y las empresas emergentes, que son las principales fuentes de soluciones innovadoras en el ámbito de la ciberdefensa, y fomentar una cooperación más estrecha con las organizaciones de investigación de las universidades y los grandes operadores, con miras a reducir la dependencia de los productos de ciberseguridad procedentes de fuentes externas y a crear una cadena de suministro estratégico dentro de la Unión.

Enmienda    2

Propuesta de Reglamento

Considerando 4

Texto de la Comisión

Enmienda

(4)  Los ciberataques van en aumento, y una economía y una sociedad conectadas, más vulnerables a las ciberamenazas y ciberataques, requieren unas defensas más sólidas. Sin embargo, mientras que los ciberataques a menudo son transfronterizos, las respuestas políticas de las autoridades de ciberseguridad y las competencias policiales son predominantemente nacionales. Los ciberincidentes a gran escala podrían perturbar la prestación de servicios esenciales en toda la UE. Esta situación requiere una respuesta y una gestión de crisis efectivas a nivel de la UE, basadas en políticas específicas y en instrumentos más amplios que propicien la solidaridad europea y la asistencia mutua. En consecuencia, también una evaluación periódica del estado de la ciberseguridad y la resiliencia en la Unión, basada en datos fiables, y una previsión sistemática de los futuros avances, retos y amenazas, tanto en la Unión como en el mundo, son importantes para los responsables políticos, la industria y los usuarios.

(4)  Los ciberataques van en aumento, y una economía y una sociedad conectadas, más vulnerables a las ciberamenazas y ciberataques, requieren unas defensas más sólidas. Sin embargo, mientras que los ciberataques a menudo son transfronterizos, las respuestas políticas de las autoridades de ciberseguridad y las competencias policiales son predominantemente nacionales. Los ciberincidentes a gran escala podrían perturbar la prestación de servicios esenciales en toda la UE. Esta situación requiere una respuesta y una gestión de crisis efectivas a nivel de la UE, basadas en políticas específicas y en instrumentos más amplios que propicien la solidaridad europea y la asistencia mutua. Las necesidades de formación en materia de ciberdefensa son considerables y van en aumento, y la manera más eficaz de satisfacerlas es cooperando a escala de la UE. En consecuencia, también una evaluación periódica del estado de la ciberseguridad y la resiliencia en la Unión, basada en datos fiables, y una previsión sistemática de los futuros avances, retos y amenazas, tanto en la Unión como en el mundo, son importantes para los responsables políticos, la industria y los usuarios.

Enmienda    3

Propuesta de Reglamento

Considerando 10

Texto de la Comisión

Enmienda

(10)  En el marco de la Decisión 2004/97/CE, Euratom, adoptada en la reunión del Consejo Europeo celebrada el 13 de diciembre de 2003, los representantes de los Estados miembros decidieron que ENISA tendría su sede en una ciudad de Grecia que determinaría el Gobierno griego. El Estado miembro que acoge a la Agencia debe ofrecer las mejores condiciones posibles para un funcionamiento fluido y eficaz de la misma. Para el desempeño correcto y eficaz de sus funciones, para atraer y conservar al personal y para facilitar el establecimiento de contactos con el exterior, es necesario que la Agencia tenga su sede en un lugar adecuado que, entre otras cosas, ofrezca conexiones de transporte adecuadas y servicios para los cónyuges y los hijos que acompañen a su personal. Las disposiciones necesarias deben recogerse en un acuerdo entre la Agencia y el Estado miembro anfitrión, cuya celebración ha de contar con la aprobación del Consejo de Administración de la Agencia.

(10)  En el marco de la Decisión 2004/97/CE, Euratom, adoptada en la reunión del Consejo Europeo celebrada el 13 de diciembre de 2003, los representantes de los Estados miembros decidieron que ENISA tendría su sede en una ciudad de Grecia que determinaría el Gobierno griego. El Estado miembro que acoge a la Agencia debe ofrecer las mejores condiciones posibles para un funcionamiento fluido y eficaz de la misma. Para el desempeño correcto y eficaz de sus funciones, para atraer y conservar al personal y para facilitar el establecimiento de contactos con el exterior, es necesario que la Agencia tenga su sede en un lugar adecuado que, entre otras cosas, ofrezca conexiones de transporte adecuadas y servicios para los cónyuges y los hijos que acompañen a su personal. Las disposiciones necesarias deben recogerse en un acuerdo entre la Agencia y el Estado miembro anfitrión, cuya celebración ha de contar con la aprobación del Consejo de Administración de la Agencia. Dicho acuerdo debe revisarse tras la evaluación realizada por la Comisión, conforme a la recomendación del Grupo de trabajo interinstitucional sobre recursos de las agencias, con el fin de aumentar la eficiencia de la Agencia, y la ubicación de la Agencia debe ser objeto de revisión.

Enmienda    4

Propuesta de Reglamento

Considerando 12

Texto de la Comisión

Enmienda

(12)  La Agencia debe desarrollar y mantener un elevado nivel de conocimientos técnicos y actuar como punto de referencia que genere confianza en el mercado único en virtud de su independencia, la calidad del asesoramiento prestado y la información difundida, la transparencia de sus procedimientos y métodos de funcionamiento y su diligencia en el desempeño de sus tareas. La Agencia debe contribuir proactivamente a los esfuerzos nacionales y de la Unión y desempeñar sus funciones cooperando plenamente con las instituciones, órganos y organismos de la Unión y los Estados miembros. Además, la Agencia debe apoyarse en las aportaciones del sector privado y en la cooperación con el mismo, así como con otras partes interesadas pertinentes. Debe existir un conjunto de funciones que establezca cómo debe alcanzar la Agencia sus objetivos, pero permita cierta flexibilidad en su funcionamiento.

(12)  La Agencia debe desarrollar y mantener un elevado nivel de conocimientos técnicos y actuar como punto de referencia que genere confianza en el mercado único en virtud de su independencia, la calidad del asesoramiento prestado y la información difundida, la transparencia de sus procedimientos y métodos de funcionamiento y su diligencia en el desempeño de sus tareas. La Agencia debe contribuir proactivamente a los esfuerzos nacionales y de la Unión y desempeñar sus funciones cooperando plenamente con las instituciones, órganos y organismos de la Unión y los Estados miembros, evitando la duplicación del trabajo, promoviendo sinergias y reforzando la complementariedad, logrando de ese modo una mayor coordinación y ahorros presupuestarios. Además, la Agencia debe apoyarse en las aportaciones del sector privado y en la cooperación con el mismo, así como con otras partes interesadas pertinentes. Debe existir un conjunto de funciones que establezca cómo debe alcanzar la Agencia sus objetivos, pero permita cierta flexibilidad en su funcionamiento.

Enmienda    5

Propuesta de Reglamento

Considerando 15 bis (nuevo)

Texto de la Comisión

Enmienda

 

(15 bis)  El Derecho internacional se aplica al ciberespacio y los informes de 2013 y 2015 del Grupo de Expertos Gubernamentales de las Naciones Unidas en materia de seguridad de la información (UNGGE) proporcionan directrices pertinentes, en particular por lo que respecta a la prohibición de los Estados de llevar a cabo o apoyar deliberadamente actividades cibernéticas contrarias a sus obligaciones en virtud del Derecho internacional. En este contexto, la importancia del Manual de Tallin 2.0 ofrece una base excelente para debatir la manera en que se aplica el Derecho internacional al ciberespacio, por lo que ha llegado el momento de que los Estados miembros empiecen a analizar y poner en práctica dicho manual.

Enmienda    6

Propuesta de Reglamento

Considerando 36

Texto de la Comisión

Enmienda

(36)  La Agencia debe tener plenamente en cuenta las actividades en curso de investigación, desarrollo y evaluación tecnológica, en especial las llevadas a cabo por las distintas iniciativas de investigación de la Unión, para asesorar a las instituciones, órganos y organismos de la Unión y, cuando proceda, a los Estados miembros que lo soliciten sobre las necesidades de investigación en el ámbito de la seguridad de las redes y de la información, y en particular de la ciberseguridad.

(36)  La Agencia debe tener plenamente en cuenta las actividades en curso de investigación, desarrollo y evaluación tecnológica, en especial las llevadas a cabo por las distintas iniciativas de investigación de la Unión, para asesorar a las instituciones, órganos y organismos de la Unión y, cuando proceda, a los Estados miembros que lo soliciten sobre las necesidades de investigación en el ámbito de la seguridad de las redes y de la información, y en particular de la ciberseguridad. Debe asignarse a la Agencia un presupuesto adicional para actividades de investigación y desarrollo complementarias a los programas de investigación de la Unión existentes.

Enmienda    7

Propuesta de Reglamento

Considerando 46 bis (nuevo)

Texto de la Comisión

Enmienda

 

(46 bis)  El presupuesto de la Agencia debe elaborarse de conformidad con el principio de presupuestación basada en los resultados, teniendo en cuenta los objetivos de la Agencia y los resultados previstos de su labor.

Enmienda    8

Propuesta de Reglamento

Artículo 4 – apartado 4

Texto de la Comisión

Enmienda

4.  La Agencia fomentará la cooperación y la coordinación a nivel de la Unión entre los Estados miembros, las instituciones, órganos y organismos de la Unión y las partes interesadas pertinentes, incluido el sector privado, sobre las cuestiones relacionadas con la ciberseguridad.

4.  La Agencia fomentará la cooperación y la coordinación a nivel de la Unión entre los Estados miembros, las instituciones, órganos y organismos de la Unión y las partes interesadas pertinentes, incluido el sector privado, sobre las cuestiones relacionadas con la ciberseguridad, a fin de lograr una mayor coordinación y ahorros presupuestarios, evitar la duplicación del trabajo y promover sinergias reforzando la complementariedad en el marco de sus actividades.

Enmienda    9

Propuesta de Reglamento

Artículo 9 – párrafo 1 – letra g bis (nueva)

Texto de la Comisión

Enmienda

 

g bis)  publicará y promoverá sus actividades y los resultados de su labor, con objeto de lograr una mayor visibilidad y una sensibilización de los ciudadanos.

Enmienda    10

Propuesta de Reglamento

Artículo 10 – letra b bis (nueva)

Texto de la Comisión

Enmienda

 

b bis)  encargará sus propias actividades de investigación en áreas de interés que aún no estén cubiertas por los programas de investigación de la Unión existentes, en las que haya un valor añadido europeo claramente identificado.

Enmienda    11

Propuesta de Reglamento

Artículo 13 – apartado 1

Texto de la Comisión

Enmienda

1.  El Consejo de Administración estará integrado por un representante de cada Estado miembro y dos representantes nombrados por la Comisión. Todos los representantes tendrán derecho a voto.

1.  El Consejo de Administración estará integrado por un representante de cada Estado miembro, un representante nombrado por el Parlamento Europeo y dos representantes nombrados por la Comisión. Todos los representantes tendrán derecho a voto.

Enmienda    12

Propuesta de Reglamento

Artículo 26 – apartado 1 – párrafo 1 (nuevo)

Texto de la Comisión

Enmienda

 

El proyecto de estado de previsiones provisional se basará en los objetivos y en los resultados esperados del documento único de programación a que se refiere el artículo 21, apartado 1, y tendrá en cuenta los recursos financieros necesarios para alcanzar dichos objetivos y resultados, de conformidad con el principio de presupuestación basada en el rendimiento.

Enmienda    13

Propuesta de Reglamento

Artículo 36 – apartado 5

Texto de la Comisión

Enmienda

5.  La responsabilidad personal de los agentes respecto a la Agencia se regirá por las disposiciones pertinentes aplicables al personal de la Agencia.

5.  La responsabilidad personal de los agentes respecto a la Agencia se regirá por las disposiciones pertinentes aplicables al personal de la Agencia. Se garantizará una contratación eficaz del personal.

Enmienda    14

Propuesta de Reglamento

Artículo 37 – apartado 2

Texto de la Comisión

Enmienda

2.  Los servicios de traducción requeridos para el funcionamiento de la Agencia serán prestados por el Centro de Traducción de los Órganos de la Unión Europea.

2.  Los servicios de traducción requeridos para el funcionamiento de la Agencia serán prestados por el Centro de Traducción de los Órganos de la Unión Europea u otros proveedores de servicios de traducción de conformidad con la normativa en materia de contratación pública y dentro de los límites establecidos por las normas financieras pertinentes.

Enmienda    15

Propuesta de Reglamento

Artículo 41 – apartado 2

Texto de la Comisión

Enmienda

2.  El Estado miembro que acoja a la Agencia ofrecerá las mejores condiciones posibles para garantizar su buen funcionamiento, incluida la accesibilidad de su ubicación, la presencia de servicios educativos adecuados para los hijos de los miembros del personal y un acceso adecuado al mercado de trabajo, la seguridad social y la atención médica para hijos y cónyuges.

2.  El Estado miembro que acoja a la Agencia ofrecerá las mejores condiciones posibles para garantizar su buen funcionamiento, incluida una sede única para toda la Agencia, la accesibilidad de su ubicación, la presencia de servicios educativos adecuados para los hijos de los miembros del personal y un acceso adecuado al mercado de trabajo, la seguridad social y la atención médica para hijos y cónyuges.

Justificación

La estructura actual de la Agencia, cuya sede administrativa se encuentra en Irákleio y cuyo centro operativo está en Atenas, resulta ineficaz y costosa. Todo el personal de ENISA debería trabajar por tanto en la misma ciudad. A tenor de los criterios mencionados en este apartado, dicha ciudad debería ser Atenas.

Enmienda    16

Propuesta de Reglamento

Artículo 41 – apartado 2 bis (nuevo)

Texto de la Comisión

Enmienda

 

2 bis.  Tras la evaluación de la Comisión, conforme a la recomendación del Grupo de trabajo interinstitucional sobre recursos de las agencias, el acuerdo relativo a la sede de la Agencia será revisado, y la ubicación de la Agencia se revisará en consecuencia.

PROCEDIMIENTO DE LA COMISIÓN COMPETENTE PARA EMITIR OPINIÓN

Título

Reglamento relativo a ENISA, la «Agencia de Ciberseguridad de la UE», y por el que se deroga el Reglamento (UE) n.º 526/2013, y relativo a la certificación de la ciberseguridad en las tecnologías de la información y la comunicación («Reglamento de Ciberseguridad»)

Referencias

COM(2017)0477 – C8-0310/2017 – 2017/0225(COD)

Comisión competente para el fondo

Fecha del anuncio en el Pleno

ITRE

23.10.2017

 

 

 

Opinión emitida por

Fecha del anuncio en el Pleno

BUDG

23.10.2017

Ponente de opinión

Fecha de designación

Jens Geier

26.9.2017

Examen en comisión

21.3.2018

 

 

 

Fecha de aprobación

16.5.2018

 

 

 

Resultado de la votación final

+:

–:

0:

22

4

0

Miembros presentes en la votación final

Nedzhmi Ali, Jean Arthuis, Reimer Böge, Lefteris Christoforou, Gérard Deprez, Manuel dos Santos, André Elissen, José Manuel Fernandes, Eider Gardiazabal Rubial, Jens Geier, Esteban González Pons, Ingeborg Gräßle, Iris Hoffmann, John Howarth, Bernd Kölmel, Vladimír Maňka, Liadh Ní Riada, Jan Olbrycht, Răzvan Popa, Jordi Solé, Isabelle Thomas, Inese Vaidere, Marco Zanni, Stanisław Żółtek

Suplentes presentes en la votación final

Ivana Maletić, Andrey Novakov

VOTACIÓN FINAL NOMINALEN LA COMISIÓN COMPETENTE PARA EMITIR OPINIÓN

22

+

ALDE

Nedzhmi Ali, Jean Arthuis, Gérard Deprez

ECR

Bernd Kölmel

PPE

Reimer Böge, Lefteris Christoforou, José Manuel Fernandes, Esteban González Pons, Ingeborg Gräßle, Ivana Maletić, Andrey Novakov, Jan Olbrycht, Inese Vaidere

S&D

Eider Gardiazabal Rubial, Jens Geier, Iris Hoffmann, John Howarth, Vladimír Maňka, Răzvan Popa, Isabelle Thomas, Manuel dos Santos

Verts/ALE

Jordi Solé

4

-

ENF

André Elissen, Marco Zanni, Stanisław Żółtek

GUE/NGL

Liadh Ní Riada

0

0

Explicación de los signos utilizados

+  :  a favor

-  :  en contra

0  :  abstenciones

(1)

Se incluyen 26 AD, 6 AST y 9 expertos nacionales en comisión de servicio. No se incluyen las necesidades estimadas de la dirección general matriz, los agentes contractuales ni los contratistas externos.

(2)

Estimación, sin perjuicio de la financiación de la Unión posterior a 2020.


OPINIÓN de la Comisión de Libertades Civiles, Justicia y Asuntos de Interior (16.3.2018)

para la Comisión de Industria, Investigación y Energía

sobre la propuesta de Reglamento del Parlamento Europeo y del Consejo relativo a ENISA, la «Agencia de Ciberseguridad de la UE», y por el que se deroga el Reglamento (UE) n.º 526/2013, y relativo a la certificación de la ciberseguridad en las tecnologías de la información y la comunicación («Reglamento de Ciberseguridad»)

(COM(2017)0477 – C8-0310/2017 – 2017/0225(COD))

Ponente de opinión: Jan Philipp Albrecht

BREVE JUSTIFICACIÓN

El ponente de opinión acoge con satisfacción la propuesta de la Comisión de un «Reglamento de ciberseguridad»(1), ya que define mejor el papel de ENISA en el ecosistema de seguridad informática modificado y desarrolla medidas relativas a normas, certificación y etiquetado de seguridad para hacer más seguros los sistemas basados en las TIC, incluidos los objetos conectados.

Sin embargo, el ponente de opinión considera que hay margen para otras mejoras. El ponente de opinión está firmemente convencido de que la seguridad de la información es un elemento esencial para la protección de los derechos fundamentales de los ciudadanos consagrados en la Carta de los Derechos Fundamentales de la Unión Europea, así como para la lucha contra la ciberdelincuencia y para la protección de la democracia y el Estado de Derecho.

Derechos fundamentales: Unos sistemas poco seguros pueden dar lugar a violaciones de datos o usurpaciones de identidad que podrían ocasionar daños y perjuicios a las personas, incluido un riesgo para su vida, su intimidad, su dignidad o sus propiedades. Los testigos, por ejemplo, podrían estar expuestos al riesgo de intimidación y de sufrir daños físicos, y las mujeres, al riesgo de violencia doméstica en caso de que publicaran las direcciones de sus domicilios. En cuanto al internet de las cosas, que contiene también accionadores físicos y no solo sensores, la integridad física y la vida de las personas podrían estar en peligro debido a los ataques contra los sistemas de información. Las enmiendas propuestas por el ponente de opinión se centran en particular en la protección conferida por los artículos 1, 2, 3, 6, 7, 8, 11 y 17 de la Carta de los Derechos Fundamentales de la Unión Europea. Existe incluso una jurisprudencia constitucional incipiente que reconoce especialmente un «derecho fundamental a la confidencialidad e integridad de los sistemas técnicos de información»(2) derivado de los derechos generales de la personalidad, adaptado al mundo digital de hoy.

Lucha contra la ciberdelincuencia: Algunos tipos de delitos cometidos en línea, tales como los ataques por suplantación de identidad («phishing») o el fraude financiero y bancario, consisten en un abuso de confianza, que no se puede contrarrestar con medidas de seguridad informática contra estas formas de delitos. El ponente de opinión acoge con satisfacción la propuesta de campañas periódicas de difusión y educación pública dirigidas a los usuarios finales, organizadas por ENISA. Otras formas de delitos en internet son los ataques contra los sistemas de información tales como la piratería informática o los ataques de denegación de servicio distribuidos («distributed denial of service», DDoS) contra estas formas de delitos. El ponente de opinión considera que el refuerzo de la seguridad informática reforzará efectivamente la lucha contra la ciberdelincuencia y, en particular, la prevención de la misma.

Democracia y Estado de Derecho: Los ataques contra los sistemas informáticos de gobiernos y agentes no estatales suponen una clara y creciente amenaza para la democracia por su injerencia en la celebración de elecciones justas y libres, por ejemplo manipulando los hechos y las apreciaciones que influyen en la manera en que votan los ciudadanos, interfiriendo en el proceso de votación y modificando los resultados de la votación o debilitando la confianza de la sociedad en la integridad de la votación.

El ponente de opinión propone, por consiguiente, en su proyecto de opinión de la Comisión LIBE, modificar la propuesta de la Comisión centrándose en las siguientes cuestiones principales:

•  La Agencia debe desempeñar un papel más importante a la hora de promover la adopción por parte de todos los actores de la sociedad de la información europea de tecnologías preventivas sólidas que mejoren la intimidad y de medidas de seguridad informática;

•  La Agencia debe proponer políticas que establezcan claramente las obligaciones y responsabilidades de todas las partes interesadas que participan en los ecosistemas de las TIC en los que la incapacidad para actuar con la debida diligencia en materia de seguridad informática adecuada podría dar lugar a graves consecuencias para la seguridad, a destrucciones masivas en el medio ambiente, o al desencadenamiento de una crisis financiera o económica sistémica;

•  La Agencia debe proponer requisitos de seguridad informática claros y obligatorios, en consulta con expertos en seguridad informática;

•  La Agencia debe proponer un régimen de certificación de seguridad informática que permita a los vendedores de TIC aumentar la transparencia de cara al consumidor acerca de las posibilidades de actualización y del período de soporte en relación con los programas informáticos. Ese sistema de certificación debe ser dinámico, puesto que la seguridad es un proceso que precisa mejora constante;

•  La Agencia debe hacer más fácil y menos costosa para los fabricantes de productos basados en las TIC la aplicación de los principios de la seguridad a través del diseño mediante la publicación de orientaciones y de las mejores prácticas;

•  La Agencia debe someter sus infraestructuras fundamentales, previa invitación de las instituciones, organismos, oficinas y agencias de la Unión, así como de los Estados miembros, a auditorías preventivas de seguridad periódicas en materia informática (derecho de auditoría);

•  La Agencia debe comunicar inmediatamente a los fabricantes las vulnerabilidades en materia de seguridad informática que todavía no se conozcan públicamente. La Agencia no debe ocultar o explotar para sus propios fines vulnerabilidades en empresas y productos que no sean públicamente conocidas. Mediante la creación, la adquisición y explotación de «puertas traseras» en los sistemas informáticos con el dinero de los contribuyentes, los organismos públicos están poniendo en riesgo la seguridad de los ciudadanos. Para proteger a otras partes interesadas que tratan de manera responsable esas vulnerabilidades, la Agencia debe proponer políticas en favor del intercambio responsable de información sobre la vulnerabilidad de seguridad del tipo «Zero days» y de otros tipos que todavía no son de conocimiento público, y que faciliten la eliminación de las vulnerabilidades;

•  Para que la Unión alcance el nivel de las empresas de seguridad informática en terceros países, la Agencia debe identificar e iniciar la puesta en marcha de un proyecto europeo de seguridad informática a largo plazo de un alcance comparable a lo que se hizo en la industria aeronáutica con Airbus.

La propuesta de la Comisión debe evitar utilizar el término «ciberseguridad» que es ambiguo desde el punto de vista jurídico y que puede conducir a incertidumbres. El ponente de opinión propone sustituir el término «ciberseguridad» por «seguridad informática» para mejorar la seguridad jurídica.

ENMIENDAS

La Comisión de Libertades Civiles, Justicia y Asuntos de Interior pide a la Comisión de Industria, Investigación y Energía, competente para el fondo, que tome en consideración las siguientes enmiendas:

Enmienda    1

Propuesta de Reglamento

Título

Texto de la Comisión

Enmienda

REGLAMENTO DEL PARLAMENTO EUROPEO Y DEL CONSEJO

REGLAMENTO DEL PARLAMENTO EUROPEO Y DEL CONSEJO

relativo a ENISA, la «Agencia de Ciberseguridad de la UE», y por el que se deroga el Reglamento (UE) n.º 526/2013, y relativo a la certificación de la ciberseguridad de las tecnologías de la información y la comunicación («Reglamento de Ciberseguridad»)

relativo a ENISA, la «Agencia Europea de Seguridad de las Redes y de la Información», y por el que se deroga el Reglamento (UE) n.º 526/2013, y relativo a la certificación de la seguridad informática de las tecnologías de la información y la comunicación («Reglamento de seguridad informática»)

 

(Esta enmienda se aplica al conjunto del texto.)

Justificación

El prefijo «ciber», derivado de obras de ciencia ficción de la década de 1960, se ha venido empleando cada vez más para describir los aspectos negativos de internet (ciberataque, ciberdelito, etc.), pero es jurídicamente muy ambiguo. El ponente propone sustituir el término «ciberseguridad» por «seguridad informática» para mejorar la seguridad jurídica.

Enmienda    2

Propuesta de Reglamento

Considerando 2

Texto de la Comisión

Enmienda

(2)  La utilización de las redes y los sistemas de información por los ciudadanos, empresas y administraciones de toda la Unión está ya muy generalizada. La digitalización y la conectividad se convierten en elementos básicos en un número cada vez mayor de productos y servicios, y con la llegada de la internet de las cosas, se espera el despliegue en la UE de millones, si no miles de millones, de dispositivos digitales conectados durante la próxima década. Mientras aumenta el número de dispositivos conectados a internet, la seguridad y la resiliencia no se tienen suficientemente en cuenta desde el diseño, lo que provoca insuficiencias en la ciberseguridad. En este contexto, el uso limitado de la certificación priva a los usuarios individuales y las organizaciones de información suficiente sobre las características de ciberseguridad de los productos y servicios de TIC y socava la confianza en las soluciones digitales.

(2)  La utilización de las redes y los sistemas de información por los ciudadanos, empresas y administraciones de toda la Unión está ya muy generalizada. La digitalización y la conectividad se convierten en elementos básicos en un número cada vez mayor de productos y servicios, y con la llegada de la internet de las cosas, se espera el despliegue en la UE de millones, si no miles de millones, de dispositivos digitales conectados durante la próxima década. Mientras aumenta el número de dispositivos conectados a internet, la seguridad y la resiliencia no se tienen suficientemente en cuenta desde el diseño, lo que provoca insuficiencias en la seguridad informática. En este contexto, el uso limitado y fragmentado de la certificación priva a los usuarios individuales y las organizaciones de información suficiente sobre las características de seguridad informática de los productos y servicios de TIC y socava la confianza en las soluciones digitales. Las redes de TIC son la columna vertebral de servicios y productos digitales que tienen el potencial de contribuir a todos los aspectos de la vida de los ciudadanos y de impulsar la recuperación económica de Europa. A fin de garantizar la plena consecución de los objetivos del mercado único digital, se debe disponer de los componentes tecnológicos fundamentales en que se basan importantes sectores, como la sanidad electrónica, la internet de las cosas, la inteligencia artificial y la tecnología cuántica, así como los sistemas de transporte inteligente y la fabricación avanzada.

Enmienda    3

Propuesta de Reglamento

Considerando 4

Texto de la Comisión

Enmienda

(4)  Los ciberataques van en aumento, y una economía y una sociedad conectadas, más vulnerables a las ciberamenazas y ciberataques, requieren unas defensas más sólidas. Sin embargo, mientras que los ciberataques a menudo son transfronterizos, las respuestas políticas de las autoridades de ciberseguridad y las competencias policiales son predominantemente nacionales. Los ciberincidentes a gran escala podrían perturbar la prestación de servicios esenciales en toda la UE. Esta situación requiere una respuesta y una gestión de crisis efectivas a nivel de la UE, basadas en políticas específicas y en instrumentos más amplios que propicien la solidaridad europea y la asistencia mutua. En consecuencia, también una evaluación periódica del estado de la ciberseguridad y la resiliencia en la Unión, basada en datos fiables, y una previsión sistemática de los futuros avances, retos y amenazas, tanto en la Unión como en el mundo, son importantes para los responsables políticos, la industria y los usuarios.

(4)  Los ciberataques van en aumento, y una economía y una sociedad conectadas, más vulnerables a las ciberamenazas y ciberataques, requieren unas defensas más sólidas y seguras. Sin embargo, mientras que los ciberataques a menudo son transfronterizos, las respuestas políticas de las autoridades de seguridad informática y las competencias policiales son predominantemente nacionales. Los ciberincidentes a gran escala podrían perturbar la prestación de servicios esenciales en toda la UE. Esta situación requiere una respuesta y una gestión de crisis efectivas a nivel de la UE, basadas en políticas específicas y en instrumentos más amplios que propicien la solidaridad europea y la asistencia mutua. En consecuencia, también una evaluación periódica del estado de la seguridad y la resiliencia informáticas en la Unión, basada en datos fiables, y una previsión sistemática de los futuros avances, retos y amenazas, tanto en la Unión como en el mundo, son importantes para los responsables políticos, la industria y los usuarios.

Enmienda    4

Propuesta de Reglamento

Considerando 5

Texto de la Comisión

Enmienda

(5)  A la luz de los crecientes retos que tiene planteados la Unión en materia de ciberseguridad, es necesario un conjunto completo de medidas que se apoye en actuaciones previas de la Unión y promueva objetivos que se refuercen mutuamente. Entre ellas se incluye la necesidad de aumentar las capacidades y la preparación de los Estados miembros y de las empresas, así como de mejorar la cooperación y la coordinación en los Estados miembros y las instituciones, órganos y organismos de la UE. Por otra parte, habida cuenta de la naturaleza transfronteriza de las ciberamenazas, es necesario aumentar las capacidades a nivel de la Unión que podrían complementar la acción de los Estados miembros, en particular en caso de ciberincidentes y crisis transfronterizas a gran escala. Son necesarios igualmente esfuerzos adicionales para aumentar la sensibilización de los ciudadanos y las empresas sobre las cuestiones de ciberseguridad. Además, debe reforzarse la confianza en el mercado único digital ofreciendo información transparente sobre el nivel de seguridad de los productos y servicios de TIC. Esto puede verse facilitado por una certificación a escala de la UE que aporte requisitos y criterios de evaluación de la ciberseguridad comunes en todos los mercados y sectores nacionales.

(5)  A la luz de los crecientes retos que tiene planteados la Unión en materia de seguridad informática, es necesario un conjunto completo de medidas que se apoye en actuaciones previas de la Unión y promueva objetivos que se refuercen mutuamente. Entre ellas se incluye la necesidad de aumentar las capacidades y la preparación de los Estados miembros y de las empresas, así como de mejorar la cooperación y la coordinación en los Estados miembros y las instituciones, órganos y organismos de la UE. Por otra parte, habida cuenta de la naturaleza transfronteriza de las ciberamenazas, es necesario aumentar las capacidades a nivel de la Unión que podrían complementar la acción de los Estados miembros, en particular en caso de ciberincidentes y crisis transfronterizas a gran escala. Son necesarios igualmente esfuerzos adicionales para dar una respuesta coordinada a escala de la Unión y aumentar la sensibilización de los ciudadanos y las empresas sobre las cuestiones de seguridad informática. Además, debe reforzarse la confianza en el mercado único digital ofreciendo información transparente sobre el nivel de seguridad de los productos y servicios de TIC. Esto puede verse facilitado por una certificación a escala de la UE que aporte requisitos y criterios de evaluación de la seguridad informática comunes en todos los mercados y sectores nacionales. Además de la certificación a escala de la Unión, existe una serie de medidas voluntarias ampliamente aceptadas en el mercado en función del producto, servicio, uso o norma. Dichas medidas deben ser fomentadas, así como el enfoque ascendente del sector, incluidos el recurso a la seguridad desde el diseño, el efecto palanca y la contribución a normas internacionales.

Enmienda    5

Propuesta de Reglamento

Considerando 7

Texto de la Comisión

Enmienda

(7)  La Unión ha adoptado ya medidas importantes para garantizar la ciberseguridad y aumentar la confianza en las tecnologías digitales. En 2013, se adoptó una Estrategia de ciberseguridad de la UE para orientar la respuesta política de la Unión a las amenazas y riesgos relacionados con la ciberseguridad. En su esfuerzo por proteger mejor a los europeos en línea, la Unión adoptó en 2016 el primer acto legislativo en el ámbito de la ciberseguridad, la Directiva (UE) 2016/1148 relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión (en lo sucesivo, «Directiva SRI»). La Directiva SRI instauró requisitos relativos a las capacidades nacionales en el ámbito de la ciberseguridad, estableció los primeros mecanismos para mejorar la cooperación estratégica y operativa entre los Estados miembros e introdujo obligaciones relativas a medidas de seguridad y notificaciones de incidentes en todos los sectores fundamentales para la economía y la sociedad, como la energía, los transportes, el agua, la banca, las infraestructuras de los mercados financieros, la sanidad, las infraestructuras digitales, así como los proveedores de servicios digitales clave (motores de búsqueda, servicios de computación en la nube y mercados en línea). Se atribuyó un papel clave a ENISA para respaldar la aplicación de esta Directiva. Además, una lucha eficaz contra la ciberdelincuencia constituye una prioridad importante de la Agenda Europea de Seguridad, contribuyendo al objetivo general de conseguir un elevado nivel de ciberseguridad.

(7)  La Unión ha adoptado ya medidas importantes para garantizar la seguridad informática y aumentar la confianza en las tecnologías digitales. En 2013, se adoptó una Estrategia de ciberseguridad de la UE para orientar la respuesta política de la Unión a las amenazas y riesgos relacionados con la seguridad informática. En su esfuerzo por proteger mejor a los europeos en línea, la Unión adoptó en 2016 el primer acto legislativo en el ámbito de la seguridad informática, la Directiva (UE) 2016/1148 relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión (en lo sucesivo, «Directiva SRI»). La Directiva SRI realiza la Estrategia para el Mercado Único Digital y, junto con otros instrumentos, como la Directiva .../... [por la que se establece el Código Europeo de las Comunicaciones Electrónicas], el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo1 bis y la Directiva 2002/58/CE del Parlamento Europeo y del Consejo1 ter, instaura requisitos relativos a las capacidades nacionales en el ámbito de la seguridad informática, establece los primeros mecanismos para mejorar la cooperación estratégica y operativa entre los Estados miembros e introduce obligaciones relativas a medidas de seguridad y notificaciones de incidentes en todos los sectores fundamentales para la economía y la sociedad, como la energía, los transportes, el agua, la banca, las infraestructuras de los mercados financieros, la sanidad, las infraestructuras digitales, así como los proveedores de servicios digitales clave (motores de búsqueda, servicios de computación en la nube y mercados en línea). Se atribuyó un papel clave a ENISA para respaldar la aplicación de esta Directiva. Además, una lucha eficaz contra la ciberdelincuencia constituye una prioridad importante de la Agenda Europea de Seguridad, contribuyendo al objetivo general de conseguir un elevado nivel de seguridad informática.

 

_______________

 

1 bis Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO L 119 de 4.5.2016, p. 1).

 

1 ter Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la intimidad y las comunicaciones electrónicas) (DO L 201 de 31.7.2002, p. 37).

Enmienda    6

Propuesta de Reglamento

Considerando 8

Texto de la Comisión

Enmienda

(8)  Se reconoce que, desde la adopción de la Estrategia de ciberseguridad de la UE de 2013 y la última revisión del mandato de la Agencia, el contexto político general ha cambiado considerablemente, en particular en relación con un contexto mundial más incierto y menos seguro. En este contexto, y en el marco de la nueva política de ciberseguridad de la Unión, es necesario revisar el mandato de ENISA para definir su función en el ecosistema en mutación de la ciberseguridad y garantizar que contribuya eficazmente a configurar la respuesta de la Unión a los desafíos derivados de esta transformación radical del panorama de las amenazas, para lo cual no basta, como reconoció la evaluación de la Agencia, el actual mandato.

(8)  Se reconoce que, desde la adopción de la Estrategia de ciberseguridad de la UE de 2013 y la última revisión del mandato de la Agencia, el contexto político general ha cambiado considerablemente, en particular en relación con un contexto mundial más incierto y menos seguro. En este contexto, y en el marco de la nueva política de seguridad informática de la Unión, es necesario revisar el mandato de ENISA para definir su función en el ecosistema en mutación de la seguridad informática y garantizar que asuma un liderazgo que mejore eficazmente la respuesta de la Unión a los desafíos derivados de esta transformación radical del panorama de las amenazas, para lo cual no basta, como reconoció la evaluación de la Agencia, el actual mandato.

Enmienda    7

Propuesta de Reglamento

Considerando 11

Texto de la Comisión

Enmienda

(11)  En vista de los crecientes retos en materia de ciberseguridad a que se enfrenta la Unión, deben incrementarse los recursos financieros y humanos asignados a la Agencia, en consonancia con la ampliación de sus cometidos y tareas, así como su posición crítica en el ecosistema de organizaciones que defienden el ecosistema digital europeo.

(11)  En vista de los crecientes retos en materia de seguridad informática a que se enfrenta la Unión, deben incrementarse los recursos financieros y humanos asignados a la Agencia, en consonancia con la ampliación de sus cometidos y tareas, así como su posición crítica en el ecosistema de organizaciones que defienden el ecosistema digital europeo. Debe prestarse la debida atención a seguir mejorando la capacidad de la Agencia.

Justificación

Es vital que pongamos remedio a la falta de capacidad de la Agencia. También debemos esforzarnos por consolidar el ulterior desarrollo de la Agencia dada la importancia crítica que reviste hoy la ciberseguridad y, con mayor razón, la que revestirá mañana. Nótense la injerencia rusa en las elecciones, el aumento de las capacidades de superpotencias y Estados de todo el mundo y la inminente digitalización de importantes sectores.

Enmienda    8

Propuesta de Reglamento

Considerando 11 bis (nuevo)

Texto de la Comisión

Enmienda

 

(11 bis)  En la era digital, los desafíos en el ámbito de la seguridad informática a menudo están estrechamente vinculados con los desafíos en los ámbitos de la protección de datos, la protección de la vida privada y la protección de las comunicaciones electrónicas. A fin de que la Agencia pueda abordar adecuadamente estos desafíos, se requiere una estrecha cooperación y frecuentes consultas con los organismos establecidos en virtud del Reglamento (CE) n.º 45/2001 del Parlamento Europeo y del Consejo1 bis, el Reglamento (UE) 2016/679, la Directiva (UE) 2016/680 y el Reglamento (CE) n.º 1211/2009 y con el sector y la sociedad civil.

 

________________

 

1 bis Reglamento (CE) n.º 45/2001 del Parlamento Europeo y del Consejo, de 18 de diciembre de 2000, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones y los organismos comunitarios y a la libre circulación de estos datos (DO L 8 de 12.1.2001, p. 1).

Enmienda    9

Propuesta de Reglamento

Considerando 12

Texto de la Comisión

Enmienda

(12)  La Agencia debe desarrollar y mantener un elevado nivel de conocimientos técnicos y actuar como punto de referencia que genere confianza en el mercado único en virtud de su independencia, la calidad del asesoramiento prestado y la información difundida, la transparencia de sus procedimientos y métodos de funcionamiento y su diligencia en el desempeño de sus tareas. La Agencia debe contribuir proactivamente a los esfuerzos nacionales y de la Unión y desempeñar sus funciones cooperando plenamente con las instituciones, órganos y organismos de la Unión y los Estados miembros. Además, la Agencia debe apoyarse en las aportaciones del sector privado y en la cooperación con el mismo, así como con otras partes interesadas pertinentes. Debe existir un conjunto de funciones que establezca cómo debe alcanzar la Agencia sus objetivos, pero permita cierta flexibilidad en su funcionamiento.

(12)  La Agencia debe desarrollar y mantener un elevado nivel de conocimientos técnicos y actuar como punto de referencia que genere confianza en el mercado único en virtud de su independencia, la calidad del asesoramiento prestado y la información difundida, la transparencia de sus procedimientos y métodos de funcionamiento y su diligencia en el desempeño de sus tareas. La Agencia debe contribuir proactivamente a los esfuerzos nacionales y de la Unión y desempeñar sus funciones cooperando plenamente con las instituciones, órganos y organismos de la Unión y los Estados miembros. Además, la Agencia debe apoyarse en las aportaciones del sector privado y en la cooperación con el mismo, así como con otras partes interesadas pertinentes. Debe definirse con claridad una agenda nítida y un conjunto de funciones y objetivos que la Agencia habrá de alcanzar, prestando la debida atención a la flexibilidad que requiere su funcionamiento. Cuando sea posible, debe mantenerse el mayor grado de transparencia y de difusión de información.

Enmienda    10

Propuesta de Reglamento

Considerando 14