INFORME sobre la propuesta de Directiva del Parlamento Europeo y del Consejo relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad y por la que se deroga la Directiva (UE) 2016/1148

4.11.2021 - (COM(2020)0823 – C9-0422/2020 – 2020/0359(COD)) - ***I

Comisión de Industria, Investigación y Energía
Ponente: Bart Groothuis
Ponente de opinión (*):
Lukas Mandl, Comisión de Libertades Civiles, Justicia y Asuntos de Interior
(*) Comisión asociada – artículo 57 del Reglamento interno


Procedimiento : 2020/0359(COD)
Ciclo de vida en sesión
Ciclo relativo al documento :  
A9-0313/2021
Textos presentados :
A9-0313/2021
Textos aprobados :

PROYECTO DE RESOLUCIÓN LEGISLATIVA DEL PARLAMENTO EUROPEO

sobre la propuesta de Directiva del Parlamento Europeo y del Consejo relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad y por la que se deroga la Directiva (UE) 2016/1148

(COM(2020)0823 – C9-0422/2020 – 2020/0359(COD))

(Procedimiento legislativo ordinario: primera lectura)

El Parlamento Europeo,

 Vista la propuesta de la Comisión al Parlamento Europeo y al Consejo (COM(2020)0823),

 Vistos el artículo 294, apartado 2, y el artículo 114 del Tratado de Funcionamiento de la Unión Europea, conforme a los cuales la Comisión le ha presentado su propuesta (C9‑0422/2020),

 Visto el artículo 294, apartado 3, del Tratado de Funcionamiento de la Unión Europea,

 Visto el dictamen del Comité Económico y Social Europeo, de 27 de abril de 2021[1],

 Previa consulta al Comité de las Regiones,

 Visto el artículo 59 de su Reglamento interno,

 Vistas las opiniones de la Comisión de Libertades Civiles, Justicia y Asuntos de Interior, de la Comisión de Asuntos Exteriores, de la Comisión de Mercado Interior y Protección del Consumidor y de la Comisión de Transportes y Turismo,

 Visto el informe de la Comisión de Industria, Investigación y Energía (A9-0313/2021),

1. Aprueba la Posición en primera lectura que figura a continuación;

2. Pide a la Comisión que le consulte de nuevo si sustituye su propuesta, la modifica sustancialmente o se propone modificarla sustancialmente;

3. Encarga a su presidente que transmita la Posición del Parlamento al Consejo y a la Comisión, así como a los Parlamentos nacionales.


Enmienda  1

 

Propuesta de Directiva

Título

 

Texto de la Comisión

Enmienda

Propuesta de

Propuesta de

DIRECTIVA DEL PARLAMENTO EUROPEO Y DEL CONSEJO

DIRECTIVA DEL PARLAMENTO EUROPEO Y DEL CONSEJO

relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad y por la que se deroga la Directiva (UE) 2016/1148

relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión (Directiva SRI 2) y por la que se deroga la Directiva (UE) 2016/1148

Enmienda  2

 

Propuesta de Directiva

Considerando 1

 

Texto de la Comisión

Enmienda

(1) El objetivo de la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo11 era desarrollar las capacidades en materia de ciberseguridad en toda la Unión, reducir las amenazas para las redes y los sistemas de información utilizados para prestar servicios esenciales en sectores fundamentales, y garantizar la continuidad de dichos servicios en caso de incidentes de ciberseguridad, contribuyendo así al funcionamiento eficaz de la economía y la sociedad de la Unión.

(1) El objetivo de la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo11, conocida comúnmente como «Directiva SRI», era desarrollar las capacidades en materia de ciberseguridad en toda la Unión, reducir las amenazas para las redes y los sistemas de información utilizados para prestar servicios esenciales en sectores fundamentales, y garantizar la continuidad de dichos servicios en caso de incidentes de ciberseguridad, contribuyendo así a la seguridad de la Unión y al funcionamiento eficaz de su economía y sociedad.

__________________

__________________

11 Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión (DO L 194 de 19.7.2016, p. 1).

11 Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión (DO L 194 de 19.7.2016, p. 1).

Enmienda  3

 

Propuesta de Directiva

Considerando 3

 

Texto de la Comisión

Enmienda

(3) Las redes y los sistemas de información se han convertido en un aspecto indispensable del día a día gracias a la velocidad de la transformación digital y la interconexión de la sociedad, también en los intercambios transfronterizos. Esta evolución ha causado una expansión del panorama de amenazas de ciberseguridad, con la consiguiente aparición de nuevos desafíos que requieren respuestas adaptadas, coordinadas e innovadoras en todos los Estados miembros. El número, la magnitud, la sofisticación, la frecuencia y los efectos de los incidentes de ciberseguridad se están incrementando y representan una grave amenaza para el funcionamiento de las redes y los sistemas de información. Como consecuencia de ello, los incidentes cibernéticos pueden interrumpir las actividades económicas en el mercado interior, generar pérdidas financieras, menoscabar la confianza de los usuarios y ocasionar grandes daños a la economía y la sociedad de la Unión. Por consiguiente, la preparación y la eficacia en materia de ciberseguridad son más esenciales que nunca para que el mercado interior funcione correctamente.

(3) Las redes y los sistemas de información se han convertido en un aspecto indispensable del día a día gracias a la velocidad de la transformación digital y la interconexión de la sociedad, también en los intercambios transfronterizos. Esta evolución ha causado una expansión del panorama de amenazas de ciberseguridad, con la consiguiente aparición de nuevos desafíos que requieren respuestas adaptadas, coordinadas e innovadoras en todos los Estados miembros. El número, la magnitud, la sofisticación, la frecuencia y los efectos de los incidentes de ciberseguridad se están incrementando y representan una grave amenaza para el funcionamiento de las redes y los sistemas de información. Como consecuencia de ello, los incidentes cibernéticos pueden interrumpir las actividades económicas en el mercado interior, generar pérdidas financieras, menoscabar la confianza de los usuarios y ocasionar grandes daños a la economía y la sociedad de la Unión. Por consiguiente, la preparación y la eficacia en materia de ciberseguridad son más esenciales que nunca para que el mercado interior funcione correctamente. Además, la ciberseguridad es un factor facilitador esencial para que muchos sectores críticos acepten con éxito la transformación digital y aprovechen plenamente los beneficios económicos, sociales y sostenibles de la digitalización.

Enmienda  4

 

Propuesta de Directiva

Considerando 3 bis (nuevo)

 

Texto de la Comisión

Enmienda

 

(3 bis) Los incidentes y crisis de ciberseguridad a gran escala en el ámbito de la Unión requieren una acción coordinada que garantice una respuesta rápida y eficaz, debido al elevado grado de interdependencia entre sectores y países. La disponibilidad de redes y sistemas de información ciberresilientes, y la disponibilidad, confidencialidad e integridad de los datos son vitales para la seguridad de la Unión, tanto dentro como fuera de sus fronteras, ya que las ciberamenazas pueden originarse fuera de la Unión. La ambición de la Unión de desempeñar un papel geopolítico más destacado también depende de una ciberdefensa y ciberdisuasión creíbles, incluida la capacidad de detectar acciones malintencionadas de forma oportuna y eficaz, y de responder a ellas de forma adecuada.

Enmienda  5

 

Propuesta de Directiva

Considerando 5

 

Texto de la Comisión

Enmienda

(5) Todas esas diferencias conllevan una fragmentación del mercado interior y pueden tener un efecto perjudicial para su funcionamiento, afectando, en particular, a la prestación transfronteriza de servicios y al nivel de resiliencia en el ámbito de la ciberseguridad debido a la aplicación de normas diferentes. El objetivo de la presente Directiva es eliminar estas divergencias tan pronunciadas entre los Estados miembros, concretamente mediante el establecimiento de las normas mínimas relativas al funcionamiento de un marco reglamentario coordinado, la fijación de mecanismos para que las autoridades competentes de cada Estado miembro cooperen de manera efectiva, la actualización de la lista de sectores y actividades sujetos a las obligaciones de ciberseguridad y la facilitación de vías de recurso y sanciones eficaces que son fundamentales para garantizar el cumplimiento efectivo de dichas obligaciones. Por consiguiente, procede derogar la Directiva (UE) 2016/1148 y sustituirla por la presente Directiva.

(5) Todas esas diferencias conllevan una fragmentación del mercado interior y pueden tener un efecto perjudicial para su funcionamiento, afectando, en particular, a la prestación transfronteriza de servicios y al nivel de resiliencia en el ámbito de la ciberseguridad debido a la aplicación de normas diferentes. En última instancia, esas diferencias podrían derivar en una mayor vulnerabilidad de algunos Estados miembros frente a las amenazas de ciberseguridad, con posibles efectos indirectos en toda la Unión. El objetivo de la presente Directiva es eliminar estas divergencias tan pronunciadas entre los Estados miembros, concretamente mediante el establecimiento de las normas mínimas relativas al funcionamiento de un marco reglamentario coordinado, la fijación de mecanismos para que las autoridades competentes de cada Estado miembro cooperen de manera efectiva, la actualización de la lista de sectores y actividades sujetos a las obligaciones de ciberseguridad y la facilitación de vías de recurso y sanciones eficaces que son fundamentales para garantizar el cumplimiento efectivo de dichas obligaciones. Por consiguiente, procede derogar la Directiva (UE) 2016/1148 y sustituirla por la presente Directiva (Directiva SRI 2).

Enmienda  6

 

Propuesta de Directiva

Considerando 6

 

Texto de la Comisión

Enmienda

(6) La presente Directiva no afecta a la capacidad de los Estados miembros de adoptar las medidas necesarias para garantizar la protección de los intereses esenciales de su seguridad, preservar el orden público y la seguridad pública, y permitir la investigación, detección y enjuiciamiento de infracciones penales, con arreglo al Derecho de la Unión. De conformidad con el artículo 346 del TFUE, ningún Estado miembro está obligado a facilitar información cuya divulgación sería contraria a los intereses esenciales de su seguridad pública. En este contexto, son pertinentes las normas nacionales y de la Unión en materia de protección de la información clasificada, los acuerdos sobre confidencialidad y los acuerdos de confidencialidad informales como el Protocolo TLP para el intercambio de información14.

(6) La presente Directiva no afecta a la capacidad de los Estados miembros de adoptar las medidas necesarias para garantizar la protección de los intereses esenciales de su seguridad, preservar el orden público y la seguridad pública, y permitir la prevención, investigación, detección y enjuiciamiento de infracciones penales, con arreglo al Derecho de la Unión. De conformidad con el artículo 346 del TFUE, ningún Estado miembro está obligado a facilitar información cuya divulgación sería contraria a los intereses esenciales de su seguridad pública. En este contexto, son pertinentes las normas nacionales y de la Unión en materia de protección de la información clasificada, los acuerdos sobre confidencialidad y los acuerdos de confidencialidad informales como el Protocolo TLP para el intercambio de información14.

__________________

__________________

14 El Protocolo TLP para el intercambio de información es un medio que permite a todo aquel que comparta información comunicar a los destinatarios las posibles limitaciones a la divulgación ulterior de dicha información. Se utiliza en prácticamente todas las comunidades de CSIRT y en algunos Centros de puesta en común y análisis de la información.

14 El Protocolo TLP para el intercambio de información es un medio que permite a todo aquel que comparta información comunicar a los destinatarios las posibles limitaciones a la divulgación ulterior de dicha información. Se utiliza en prácticamente todas las comunidades de CSIRT y en algunos Centros de puesta en común y análisis de la información.

Enmienda  7

 

Propuesta de Directiva

Considerando 7

 

Texto de la Comisión

Enmienda

(7) Con la derogación de la Directiva (UE) 2016/1148, es preciso hacer extensivo el ámbito de aplicación por sectores a una parte mayor de la economía, habida cuenta de las consideraciones expuestas en los considerandos 4 a 6. En consecuencia, los sectores amparados por la Directiva (UE) 2016/1148 deben ampliarse para ofrecer una cobertura global de los sectores y servicios de vital importancia para las actividades sociales y económicas fundamentales dentro del mercado interior. Las normas no deben ser diferentes según las entidades sean operadores de servicios esenciales o proveedores de servicios digitales. Dicha diferenciación ha quedado obsoleta, ya que no refleja la importancia real de los sectores o servicios para las actividades sociales y económicas en el mercado interior.

(7) Con la derogación de la Directiva (UE) 2016/1148, es preciso hacer extensivo el ámbito de aplicación por sectores a una parte mayor de la economía, habida cuenta de las consideraciones expuestas en los considerandos 4 a 6. En consecuencia, los sectores amparados por la Directiva (UE) 2016/1148 deben ampliarse para ofrecer una cobertura global de los sectores y servicios de vital importancia para las actividades sociales y económicas fundamentales dentro del mercado interior. Los requisitos de gestión del riesgo y las obligaciones de notificación no deben ser diferentes según las entidades sean operadores de servicios esenciales o proveedores de servicios digitales. Dicha diferenciación ha quedado obsoleta, ya que no refleja la importancia real de los sectores o servicios para las actividades sociales y económicas en el mercado interior.

Enmienda  8

 

Propuesta de Directiva

Considerando 8

 

Texto de la Comisión

Enmienda

(8) Con arreglo a lo dispuesto en la Directiva (UE) 2016/1148, los Estados miembros eran responsables de determinar qué entidades cumplían los criterios para que se considerasen operadores de servicios esenciales («proceso de identificación»). A fin de eliminar las profundas divergencias entre los Estados miembros en ese sentido y garantizar seguridad jurídica para todas las entidades pertinentes respecto a los requisitos de gestión del riesgo y las obligaciones de notificación, debe establecerse un criterio uniforme que determine las entidades que están incluidas en el ámbito de aplicación de la presente Directiva. Dicho criterio debe consistir en la aplicación de la norma sobre el tamaño máximo, por la que todas las empresas medianas y grandes, conforme a la definición recogida en la Recomendación 2003/361/CE de la Comisión15, que operen en los sectores o presten el tipo de servicios amparados por la presente Directiva queden incluidos en su ámbito de aplicación. Los Estados miembros no deben estar obligados a establecer una lista de las entidades que se ajustan a este criterio asociado al tamaño de aplicación general.

(8) Con arreglo a lo dispuesto en la Directiva (UE) 2016/1148, los Estados miembros eran responsables de determinar qué entidades cumplían los criterios para que se considerasen operadores de servicios esenciales («proceso de identificación»). A fin de eliminar las profundas divergencias entre los Estados miembros en ese sentido y garantizar seguridad jurídica para todas las entidades pertinentes respecto a los requisitos de gestión del riesgo y las obligaciones de notificación, debe establecerse un criterio uniforme que determine las entidades que están incluidas en el ámbito de aplicación de la presente Directiva. Dicho criterio debe consistir en la aplicación de la norma sobre el tamaño máximo, por la que todas las empresas medianas y grandes, conforme a la definición recogida en la Recomendación 2003/361/CE de la Comisión15, que operen en los sectores o presten el tipo de servicios amparados por la presente Directiva queden incluidos en su ámbito de aplicación.

__________________

__________________

15 Recomendación 2003/361/CE de la Comisión, de 6 de mayo de 2003, sobre la definición de microempresas, pequeñas y medianas empresas (DO L 124 de 20.5.2003, p. 36).

15 Recomendación 2003/361/CE de la Comisión, de 6 de mayo de 2003, sobre la definición de microempresas, pequeñas y medianas empresas (DO L 124 de 20.5.2003, p. 36).

Enmienda  9

 

Propuesta de Directiva

Considerando 9

 

Texto de la Comisión

Enmienda

(9) No obstante, la presente Directiva también debe ser aplicable a las microentidades o pequeñas entidades que cumplan determinados criterios que indiquen que desempeñan un papel clave para las economías o las sociedades de los Estados miembros, o en el caso de sectores o tipos de servicios concretos. Los Estados miembros deben encargarse de elaborar la lista de tales entidades y presentarla a la Comisión.

(9) No obstante, la presente Directiva también debe ser aplicable a las microentidades o pequeñas entidades que cumplan determinados criterios que indiquen que desempeñan un papel clave para las economías o las sociedades de los Estados miembros, o en el caso de sectores o tipos de servicios concretos.

Enmienda  10

 

Propuesta de Directiva

Considerando 9 bis (nuevo)

 

Texto de la Comisión

Enmienda

 

(9 bis) Los Estados miembros deben elaborar una lista de todas las entidades esenciales e importantes. Dicha lista debe incluir las entidades que se ajusten a los criterios asociados al tamaño de aplicación general, así como las pequeñas empresas y microempresas que cumplan ciertos criterios y que indiquen que desempeñan un papel clave para las economías o las sociedades de los Estados miembros. Para que los equipos de respuesta a incidentes de seguridad informática (CSIRT) y las autoridades competentes presten asistencia y alerten a las entidades sobre incidentes cibernéticos que puedan afectarles, es importante que dichas autoridades dispongan de datos de contacto correctos de las entidades. Por consiguiente, las entidades esenciales e importantes deben proporcionar a las autoridades competentes, como mínimo, la siguiente información: el nombre de la entidad, la dirección y datos de contacto actualizados, en particular direcciones de correo electrónico, rangos IP, números de teléfono y los sectores y subsectores pertinentes a que se refieren los anexos I y II. Las entidades deben notificar a las autoridades competentes todo cambio en dicha información. Los Estados miembros deben garantizar, sin demora indebida, que esa información pueda facilitarse fácilmente a través de un punto de entrada único. A tal fin, la ENISA, en colaboración con el Grupo de Cooperación, debe publicar sin demora indebida directrices y plantillas sobre las obligaciones de notificación. Los Estados miembros deben notificar a la Comisión y al Grupo de Cooperación el número de entidades esenciales e importantes. Los Estados miembros también deben notificar a la Comisión, a efectos de la revisión prevista en la presente Directiva, los nombres de las pequeñas empresas y microempresas identificadas como entidades esenciales e importantes, a fin de que la Comisión pueda evaluar la coherencia entre los enfoques de los Estados miembros. Dicha información debe tratarse de forma estrictamente confidencial.

Enmienda  11

 

Propuesta de Directiva

Considerando 10

 

Texto de la Comisión

Enmienda

(10) La Comisión, en cooperación con el Grupo de Cooperación, puede publicar directrices sobre la aplicación de los criterios aplicables a las microempresas y pequeñas empresas.

(10) La Comisión, en cooperación con el Grupo de Cooperación y las partes interesadas pertinentes, debe publicar directrices sobre la aplicación de los criterios aplicables a las microempresas y pequeñas empresas. Asimismo, la Comisión debe garantizar que se den orientaciones adecuadas a todas las microempresas y pequeñas empresas incluidas en el ámbito de aplicación de la presente Directiva. La Comisión, con el apoyo de los Estados miembros, debe proporcionar información al respecto a las microempresas y pequeñas empresas.

Enmienda  12

 

Propuesta de Directiva

Considerando 10 bis (nuevo)

 

Texto de la Comisión

Enmienda

 

(10 bis) La Comisión también debe publicar directrices para ayudar a los Estados miembros a aplicar correctamente las disposiciones sobre el ámbito de aplicación, y para evaluar la proporcionalidad de las obligaciones establecidas en la presente Directiva, en particular por lo que respecta a entidades con modelos empresariales o entornos operativos complejos, por los que una entidad puede cumplir simultáneamente los criterios asignados a las entidades esenciales y a las importantes, o bien puede realizar simultáneamente actividades distintas, algunas dentro del ámbito de aplicación de la presente Directiva y otras fuera.

Enmienda  13

 

Propuesta de Directiva

Considerando 12

 

Texto de la Comisión

Enmienda

(12) La legislación y los instrumentos sectoriales pueden contribuir a garantizar unos niveles elevados de ciberseguridad, al tiempo que se tienen plenamente en cuenta las especificidades y complejidades de dichos sectores. Cuando un acto jurídico de la Unión de carácter sectorial exija a las entidades esenciales o importantes adoptar medidas para la gestión de riesgos de ciberseguridad o notificar los incidentes o las ciberamenazas significativas con un efecto al menos equivalente al de las obligaciones establecidas en la presente Directiva, deberán aplicarse dichas disposiciones sectoriales, incluidas las relativas a la supervisión y la ejecución La Comisión puede publicar directrices en relación con la aplicación de la lex specialis. La presente Directiva no impide que se adopten actos sectoriales de la Unión adicionales que aborden las medidas para la gestión de los riesgos de ciberseguridad y las notificaciones de incidentes. Asimismo, la Directiva debe entenderse sin perjuicio de las competencias de ejecución existentes que se han conferido a la Comisión en varios sectores, como, por ejemplo, el del transporte y la energía.

(12) La legislación y los instrumentos sectoriales pueden contribuir a garantizar unos niveles elevados de ciberseguridad, al tiempo que se tienen plenamente en cuenta las especificidades y complejidades de dichos sectores. Los actos jurídicos de la Unión de carácter sectorial que exijan a las entidades esenciales o importantes adoptar medidas para la gestión de riesgos de ciberseguridad o notificar incidentes significativos deben, cuando sea posible, guardar coherencia con la terminología de la presente Directiva y remitirse a sus definiciones. Cuando un acto jurídico de la Unión de carácter sectorial exija a las entidades esenciales o importantes adoptar medidas para la gestión de riesgos de ciberseguridad o notificar los incidentes, y cuando dichos requisitos tengan un efecto al menos equivalente al de las obligaciones establecidas en la presente Directiva y se apliquen a la totalidad de los aspectos de seguridad de las operaciones y servicios a cargo de las entidades esenciales e importantes, deberán aplicarse dichas disposiciones sectoriales, incluidas las relativas a la supervisión y la ejecución. La Comisión debe publicar directrices exhaustivas en relación con la aplicación de la lex specialis, teniendo en cuenta los dictámenes, los conocimientos especializados y las buenas prácticas pertinentes de la ENISA y del Grupo de Cooperación. La presente Directiva no impide que se adopten actos sectoriales de la Unión adicionales que aborden las medidas para la gestión de los riesgos de ciberseguridad y las notificaciones de incidentes, que tengan debidamente en cuenta la necesidad de un marco de ciberseguridad global y coherente. Asimismo, la Directiva debe entenderse sin perjuicio de las competencias de ejecución existentes que se han conferido a la Comisión en varios sectores, como, por ejemplo, el del transporte y la energía.

Enmienda  14

 

Propuesta de Directiva

Considerando 14

 

Texto de la Comisión

Enmienda

(14) En vista de los vínculos que existen entre la ciberseguridad y la seguridad física de las entidades, debe garantizarse un enfoque coherente entre la Directiva (UE) XXX/XXX del Parlamento Europeo y del Consejo17 y la presente Directiva. Para ello, los Estados miembros han de velar por que las entidades críticas, y las entidades equivalentes conforme a lo dispuesto en la Directiva (UE) XXX/XXX, se consideren entidades esenciales a los efectos de la presente Directiva. Asimismo, los Estados miembros deben asegurarse de que sus estrategias de ciberseguridad prevean un marco político para una coordinación reforzada entre las autoridades competentes con arreglo a la presente Directiva y las competentes en virtud de la Directiva (UE) XXX/XXX en el contexto del intercambio de información sobre incidentes y ciberamenazas y el ejercicio de las tareas de supervisión. Las autoridades competentes al amparo de ambas Directivas deben cooperar e intercambiar información, en particular en relación con la identificación de las entidades críticas, las ciberamenazas, los riesgos de ciberseguridad y los incidentes que afecten a las entidades críticas, así como con las medidas de ciberseguridad adoptadas por estas entidades. A instancias de las autoridades competentes en virtud de la Directiva (UE) XXX/XXX, las autoridades competentes a los efectos de la presente Directiva deben poder ejercer sus facultades de supervisión y ejecución respecto a una entidad esencial identificada como crítica. Ambas autoridades deben cooperar e intercambiar información para tal fin.

(14) En vista de los vínculos que existen entre la ciberseguridad y la seguridad física de las entidades, debe garantizarse un enfoque coherente entre la Directiva (UE) XXX/XXX del Parlamento Europeo y del Consejo17 y la presente Directiva. Para ello, los Estados miembros han de velar por que las entidades críticas, y las entidades equivalentes conforme a lo dispuesto en la Directiva (UE) XXX/XXX, se consideren entidades esenciales a los efectos de la presente Directiva. Asimismo, los Estados miembros deben asegurarse de que sus estrategias de ciberseguridad prevean un marco político para una coordinación reforzada entre las autoridades competentes tanto dentro de los Estados miembros como entre estos con arreglo a la presente Directiva y las competentes en virtud de la Directiva (UE) XXX/XXX en el contexto del intercambio de información sobre incidentes y ciberamenazas y el ejercicio de las tareas de supervisión. Las autoridades competentes al amparo de ambas Directivas deben cooperar e intercambiar información sin demora indebida, en particular en relación con la identificación de las entidades críticas, las ciberamenazas, los riesgos de ciberseguridad y los incidentes que afecten a las entidades críticas, así como con las medidas de ciberseguridad adoptadas por estas entidades. A instancias de las autoridades competentes en virtud de la Directiva (UE) XXX/XXX, las autoridades competentes a los efectos de la presente Directiva deben poder ejercer sus facultades de supervisión y ejecución respecto a una entidad esencial identificada como crítica. Ambas autoridades deben cooperar e intercambiar información, si es posible en tiempo real, para tal fin.

__________________

__________________

17 [insértese el título completo y la referencia de publicación en el DO cuando se conozcan].

17 [insértese el título completo y la referencia de publicación en el DO cuando se conozcan].

Enmienda  15

 

Propuesta de Directiva

Considerando 15

 

Texto de la Comisión

Enmienda

(15) El mantenimiento y la conservación de un sistema de nombres de dominio (DNS) fiable, resiliente y seguro son factores clave para garantizar la integridad de internet y resultan fundamentales para que funcione con estabilidad y de manera ininterrumpida, de lo que depende la economía digital y la sociedad. Por consiguiente, la presente Directiva debe aplicarse a todos los proveedores de servicios de DNS a lo largo de la cadena de resolución de DNS, incluidos los operadores de servidores raíz, servidores de nombres de dominio de primer nivel, servidores de nombres autoritativos para nombres de dominio y solucionadores recursivos.

(15) El mantenimiento y la conservación de un sistema de nombres de dominio (DNS) fiable, resiliente y seguro son factores clave para garantizar la integridad de internet y resultan fundamentales para que funcione con estabilidad y de manera ininterrumpida, de lo que depende la economía digital y la sociedad. Por consiguiente, la presente Directiva debe aplicarse a los servidores de nombres de dominio de primer nivel, los servicios de resolución recursiva de nombres de dominio accesibles al público para los usuarios finales de internet y los servicios de resolución autoritativa de nombres de dominio. Esta Directiva no se aplicará a servidores raíz.

Enmienda  16

 

Propuesta de Directiva

Considerando 19

 

Texto de la Comisión

Enmienda

(19) Los proveedores de servicios postales en el sentido de la Directiva 97/67/CE del Parlamento Europeo y del Consejo18, así como los proveedores de servicios de envío urgente y mensajería, deben estar sujetos a la presente Directiva si se ocupan de al menos una de las fases de la cadena de distribución postal y en particular de la recogida, la clasificación o la distribución, incluida la recogida por el destinatario. Los servicios de transporte que no se lleven a cabo en combinación con alguna de estas etapas deben quedar excluidos del ámbito de los servicios postales.

(19) Los proveedores de servicios postales en el sentido de la Directiva 97/67/CE del Parlamento Europeo y del Consejo18, así como los proveedores de servicios de envío urgente y mensajería, deben estar sujetos a la presente Directiva si se ocupan de al menos una de las fases de la cadena de distribución postal y en particular de la recogida, la clasificación o la distribución, incluida la recogida por el destinatario, teniendo en cuenta al mismo tiempo su grado de dependencia de las redes y los sistemas de información. Los servicios de transporte que no se lleven a cabo en combinación con alguna de estas etapas deben quedar excluidos del ámbito de los servicios postales.

__________________

__________________

18 Directiva 97/67/CE del Parlamento Europeo y del Consejo, de 15 de diciembre de 1997, relativa a las normas comunes para el desarrollo del mercado interior de los servicios postales de la Comunidad y la mejora de la calidad del servicio (DO L 15 de 21.1.1998, p. 14).

18 Directiva 97/67/CE del Parlamento Europeo y del Consejo, de 15 de diciembre de 1997, relativa a las normas comunes para el desarrollo del mercado interior de los servicios postales de la Comunidad y la mejora de la calidad del servicio (DO L 15 de 21.1.1998, p. 14).

Enmienda  17

 

Propuesta de Directiva

Considerando 20

 

Texto de la Comisión

Enmienda

(20) Estas crecientes interdependencias obedecen a una red cada vez más transfronteriza e interdependiente de prestaciones de servicios que utilizan infraestructuras clave de toda la Unión en los sectores de la energía, el transporte, la infraestructura digital, el agua potable y las aguas residuales, la sanidad, determinados aspectos de la Administración pública, así como el espacio por lo que respecta a la prestación de determinados servicios que dependen de infraestructuras terrestres cuya propiedad, gestión y explotación residen en los Estados miembros o en entidades privadas, dejando al margen, por tanto, las infraestructuras cuya propiedad, gestión u explotación dependen de la Unión o se efectúan en su nombre como parte de sus programas espaciales. Tales interdependencias implican que cualquier perturbación, incluso aquellas que inicialmente se circunscriben a una entidad o un sector, puede tener efectos en cascada más amplios que pueden dar lugar a impactos con un gran alcance y duración en la prestación de servicios en todo el mercado interior. La pandemia de COVID-19 ha puesto de relieve la vulnerabilidad de nuestras sociedades, cada vez más interdependientes, ante riesgos con probabilidad baja.

(20) Estas crecientes interdependencias obedecen a una red cada vez más transfronteriza e interdependiente de prestaciones de servicios que utilizan infraestructuras clave de toda la Unión en los sectores de la energía, el transporte, la infraestructura digital, el agua potable y las aguas residuales, la sanidad, determinados aspectos de la Administración pública, así como el espacio por lo que respecta a la prestación de determinados servicios que dependen de infraestructuras terrestres cuya propiedad, gestión y explotación residen en los Estados miembros o en entidades privadas, dejando al margen, por tanto, las infraestructuras cuya propiedad, gestión u explotación dependen de la Unión o se efectúan en su nombre como parte de sus programas espaciales. Tales interdependencias implican que cualquier perturbación, incluso aquellas que inicialmente se circunscriben a una entidad o un sector, puede tener efectos en cascada más amplios que pueden dar lugar a impactos con un gran alcance y duración en la prestación de servicios en todo el mercado interior. La intensificación de los ataques contra las redes y sistemas de información durante la pandemia de COVID-19 ha puesto de relieve la vulnerabilidad de nuestras sociedades, cada vez más interdependientes, ante riesgos con probabilidad baja.

Enmienda  18

 

Propuesta de Directiva

Considerando 24

 

Texto de la Comisión

Enmienda

(24) Los Estados miembros deben disponer de capacidades técnicas y de organización adecuadas para poder adoptar medidas de prevención, detección, respuesta y reducción de los incidentes y riesgos que afecten a las redes y sistemas de información. Por tanto, los Estados miembros deben asegurarse de que disponen de CSIRT, también denominados equipos de respuesta a emergencias informáticas (CERT®, por sus siglas en inglés), que funcionen adecuadamente y cumplan los requisitos esenciales para así disponer de capacidades efectivas y compatibles que permitan hacer frente a incidentes y riesgos y garantizar una cooperación eficaz a escala de la Unión. Con vistas a reforzar la relación de confianza entre las entidades y los CSIRT, cuando un CSIRT forme parte de una autoridad competente, los Estados miembros deben considerar la posibilidad de establecer una separación funcional entre las tareas operativas desempeñadas por los CSIRT, en particular en relación con el intercambio de información y el apoyo prestado a las entidades, y las actividades de supervisión de las autoridades competentes.

(24) Los Estados miembros deben disponer de capacidades técnicas y de organización adecuadas para poder adoptar medidas de prevención, detección, respuesta y reducción de los incidentes y riesgos que afecten a las redes y sistemas de información. Por tanto, los Estados miembros deben designar uno o más CSIRT con arreglo a la presente Directiva y asegurarse de que funcionen adecuadamente y cumplan los requisitos esenciales para así disponer de capacidades efectivas y compatibles que permitan hacer frente a incidentes y riesgos y garantizar una cooperación eficaz a escala de la Unión. Los Estados miembros pueden designar como CSIRT a equipos de respuesta a emergencias informáticas (CERT®, por sus siglas en inglés) ya existentes. Con vistas a reforzar la relación de confianza entre las entidades y los CSIRT, cuando un CSIRT forme parte de una autoridad competente, los Estados miembros deben considerar la posibilidad de establecer una separación funcional entre las tareas operativas desempeñadas por los CSIRT, en particular en relación con el intercambio de información y el apoyo prestado a las entidades, y las actividades de supervisión de las autoridades competentes.

Enmienda  19

 

Propuesta de Directiva

Considerando 25

 

Texto de la Comisión

Enmienda

(25) Por lo que respecta a los datos personales, los CSIRT deben poder ofrecer, con arreglo al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo19 una exploración proactiva de las redes y los sistemas de información utilizados para la prestación de sus servicios en nombre de una entidad amparada por la presente Directiva y a petición de ella. Los Estados miembros deben tratar de garantizar el mismo nivel de capacidades técnicas para todos los CSIRT sectoriales. Los Estados miembros pueden solicitar la asistencia de la Agencia de la Unión Europea para la Ciberseguridad (ENISA) a la hora de crear CSIRT nacionales.

(25) Por lo que respecta a los datos personales, los CSIRT deben poder ofrecer, con arreglo al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo19 una exploración proactiva de las redes y los sistemas de información utilizados para la prestación de sus servicios en nombre de una entidad amparada por la presente Directiva y a petición de ella o en caso de amenaza grave para la seguridad nacional. Los Estados miembros deben tratar de garantizar el mismo nivel de capacidades técnicas para todos los CSIRT sectoriales. Los Estados miembros pueden solicitar la asistencia de la Agencia de la Unión Europea para la Ciberseguridad (ENISA) a la hora de crear CSIRT nacionales.

__________________

__________________

19 Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO L 119 de 4.5.2016, p. 1).

19 Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO L 119 de 4.5.2016, p. 1).

Enmienda  20

 

Propuesta de Directiva

Considerando 25 bis (nuevo)

 

Texto de la Comisión

Enmienda

 

(25 bis) A petición de una entidad, los CSIRT han de poder descubrir, gestionar y supervisar continuamente todos los elementos con acceso a internet, tanto dentro como fuera de las instalaciones, para comprender el riesgo general de la organización frente a los riesgos o vulnerabilidades críticas de la cadena de suministro recientemente descubiertos. Tener conocimiento de si una entidad opera una interfaz de gestión privilegiada afecta la velocidad con la que se toman las medidas de mitigación.

Enmienda  21

 

Propuesta de Directiva

Considerando 26

 

Texto de la Comisión

Enmienda

(26) Dada la importancia de la cooperación internacional en materia de ciberseguridad, los CSIRT deben tener la posibilidad de participar en redes internacionales de cooperación además de la red de CSIRT establecida en virtud de la presente Directiva.

(26) Dada la importancia de la cooperación internacional en materia de ciberseguridad, los CSIRT deben tener la posibilidad de participar en redes internacionales de cooperación, también con CSIRT de terceros países, cuando el intercambio de información sea recíproco y beneficioso para la seguridad de los ciudadanos y las entidades, además de la red de CSIRT establecida en virtud de la presente Directiva, con el fin de contribuir al desarrollo de unas normas de la Unión que puedan conformar el panorama de la ciberseguridad a escala internacional. Asimismo, los Estados miembros podrían estudiar la posibilidad de ampliar la cooperación con países socios afines y con organizaciones internacionales, con objeto de alcanzar acuerdos multilaterales sobre normas cibernéticas, un comportamiento estatal y no estatal responsable en el ciberespacio y una gobernanza digital global efectiva, así como de crear un ciberespacio abierto, libre, estable y seguro basado en el Derecho internacional.

Enmienda  22

 

Propuesta de Directiva

Considerando 26 bis (nuevo)

 

Texto de la Comisión

Enmienda

 

(26 bis) Las políticas de higiene cibernética proporcionan la base para proteger las infraestructuras de redes y de sistemas de información y la seguridad del hardware, el software y las aplicaciones en línea, así como los datos comerciales o de usuarios finales de los que dependen las entidades. Las políticas de higiene cibernética, que comprenden un conjunto de prácticas comunes, entre otras, actualizaciones de software y hardware, cambios de contraseña, administración de nuevas instalaciones, limitación de acceso con nivel de administrador a las cuentas y copias de seguridad de datos, permiten establecer un marco proactivo de preparación y seguridad en general en caso de incidentes o amenazas. La ENISA debe realizar un seguimiento y una evaluación de las políticas de higiene cibernética de los Estados miembros y explorar sistemas a escala de la Unión que permitan realizar controles transfronterizos que garanticen la equivalencia con independencia de los requisitos de los Estados miembros.

Enmienda  23

 

Propuesta de Directiva

Considerando 26 ter (nuevo)

 

Texto de la Comisión

Enmienda

 

(26 ter) El uso de inteligencia artificial (IA) en la ciberseguridad ofrece la posibilidad de mejorar la detección y la prevención de ataques contra las redes y sistemas de información, permitiendo así derivar los recursos hacia ataques más sofisticados. Los Estados miembros deben, por tanto, fomentar en sus estrategias nacionales el uso de herramientas (semi)automatizadas en materia de ciberseguridad y el intercambio de los datos necesarios para preparar y mejorar las herramientas automatizadas en materia de ciberseguridad. A fin de mitigar los riesgos de interferencia indebida con los derechos y libertades de las personas que puedan plantear los sistemas basados en la IA, se aplicarán los requisitos de protección de datos desde el diseño y por defecto establecidos en el artículo 25 del Reglamento (UE) 2016/679. La integración de salvaguardias adecuadas, como la seudonimización, el cifrado, la exactitud de los datos y la minimización de datos, también podría mitigar tales riesgos.

Enmienda  24

 

Propuesta de Directiva

Considerando 26 quater (nuevo)

 

Texto de la Comisión

Enmienda

 

(26 quater) Las herramientas y aplicaciones de ciberseguridad de código abierto pueden contribuir a un mayor grado de transparencia y repercutir positivamente en la eficiencia de la innovación industrial. Unos estándares abiertos facilitan la interoperabilidad entre herramientas de seguridad, contribuyendo así a la seguridad de las partes interesadas de la industria. Las herramientas y aplicaciones de ciberseguridad de código abierto pueden beneficiarse de la amplia comunidad de desarrolladores, permitiendo a las entidades llevar a cabo una diversificación de los proveedores y estrategias de seguridad abiertas. La seguridad abierta puede permitir un proceso de verificación más transparente de las herramientas relacionadas con la ciberseguridad y un proceso de detección de vulnerabilidades impulsado por la comunidad. Por consiguiente, los Estados miembros deben promover la adopción de software de código abierto y estándares abiertos mediante la aplicación de políticas relativas al uso de datos abiertos y de código abierto como parte de la estrategia de seguridad a través de la transparencia. Las políticas que promueven la adopción y el uso sostenible de herramientas de ciberseguridad de código abierto revisten especial importancia para las pequeñas y medianas empresas (pymes) que se enfrentan a costes significativos de aplicación, costes que pueden reducirse al mínimo si también se reduce la necesidad de aplicaciones o herramientas específicas.

Enmienda  25

 

Propuesta de Directiva

Considerando 26 quinquies (nuevo)

 

Texto de la Comisión

Enmienda

 

(26 quinquies) Las asociaciones entre el sector público y el privado en el ámbito de la ciberseguridad pueden proporcionar el marco adecuado para el intercambio de conocimientos y de buenas prácticas, así como para el establecimiento de un nivel común de entendimiento entre todas las partes interesadas. Los Estados miembros deben adoptar, como parte de sus estrategias nacionales de ciberseguridad, políticas que apoyen la creación de asociaciones entre el sector público y el privado específicas para la ciberseguridad. Estas políticas deben aclarar, entre otros aspectos, el alcance y las partes interesadas implicadas, el modelo de gobernanza, las opciones de financiación disponibles y la interacción entre las partes interesadas participantes. Las asociaciones entre el sector público y el privado pueden aprovechar la experiencia de las entidades del sector privado para apoyar a las autoridades competentes de los Estados miembros en el desarrollo de los servicios y procesos más avanzados, incluidos, entre otros, el intercambio de información, las alertas tempranas, ejercicios de ciberamenazas e incidentes, la gestión de crisis y la planificación de la resiliencia.

Enmienda  26

 

Propuesta de Directiva

Considerando 27

 

Texto de la Comisión

Enmienda

(27) De conformidad con al anexo de la Recomendación (UE) 2017/1548 de la Comisión, sobre la respuesta coordinada a los incidentes y crisis de ciberseguridad a gran escala (Plan director)20, por incidente a gran escala debe entenderse un incidente que cause perturbaciones que superen la capacidad de un Estado miembro para responder a él o que afecte significativamente por lo menos a dos Estados miembros. Dependiendo de su causa e impacto, los incidentes a gran escala pueden intensificarse y convertirse en una crisis propiamente dicha que impida el correcto funcionamiento del mercado interior. Habida cuenta de la amplitud del alcance y, en la mayoría de casos, de la naturaleza transfronteriza de tales incidentes, los Estados miembros y las instituciones, los órganos y los organismos de la Unión pertinentes deben cooperar a nivel técnico, operativo y político para coordinar convenientemente la respuesta en toda la Unión.

(27) De conformidad con al anexo de la Recomendación (UE) 2017/1548 de la Comisión, sobre la respuesta coordinada a los incidentes y crisis de ciberseguridad a gran escala (Plan director)20, por incidente a gran escala debe entenderse un incidente que cause perturbaciones que superen la capacidad de un Estado miembro para responder a él o que afecte significativamente por lo menos a dos Estados miembros. Dependiendo de su causa e impacto, los incidentes a gran escala pueden intensificarse y convertirse en una crisis propiamente dicha que impida el correcto funcionamiento del mercado interior o que plantee graves riesgos para la seguridad y la protección públicas de las entidades o los ciudadanos de varios Estados miembros o del conjunto de la Unión. Habida cuenta de la amplitud del alcance y, en la mayoría de casos, de la naturaleza transfronteriza de tales incidentes, los Estados miembros y las instituciones, los órganos y los organismos de la Unión pertinentes deben cooperar a nivel técnico, operativo y político para coordinar convenientemente la respuesta en toda la Unión.

__________________

__________________

20 Recomendación (UE) 2017/1584 de la Comisión, de 13 de septiembre de 2017, sobre la respuesta coordinada a los incidentes y crisis de ciberseguridad a gran escala (DO L 239 de 19.9.2017, p. 36).

20 Recomendación (UE) 2017/1584 de la Comisión, de 13 de septiembre de 2017, sobre la respuesta coordinada a los incidentes y crisis de ciberseguridad a gran escala (DO L 239 de 19.9.2017, p. 36).

Enmienda  27

 

Propuesta de Directiva

Considerando 27 bis (nuevo)

 

Texto de la Comisión

Enmienda

 

(27 bis) Los Estados miembros, en sus estrategias nacionales de ciberseguridad, deberían abordar las necesidades específicas de ciberseguridad de las pymes. Las pymes representan, en el contexto de la Unión, un gran porcentaje del mercado industrial y empresarial, y a menudo tienen problemas para adaptarse a las nuevas prácticas empresariales en un mundo más conectado, haciéndose camino en el entorno digital, con empleados que trabajan desde casa y negocios que se realizan cada vez más en línea. Algunas pymes se enfrentan a retos específicos en materia de ciberseguridad, como la escasa concienciación sobre el ciberespacio, la falta de seguridad informática a distancia, el elevado coste de las soluciones de ciberseguridad y un mayor nivel de amenazas, como el ransomware, para los que deberían recibir orientación y apoyo. Los Estados miembros deben contar con un único punto de contacto sobre ciberseguridad para las pymes, que les proporcione orientación y apoyo o las oriente hacia los órganos adecuados para recibir orientación y apoyo en cuestiones relacionadas con la ciberseguridad. Se anima a los Estados miembros a que también ofrezcan servicios como la configuración de sitios web y la habilitación de registros a las pequeñas empresas y microempresas que carezcan de esas capacidades.

Enmienda  28

 

Propuesta de Directiva

Considerando 27 ter (nuevo)

 

Texto de la Comisión

Enmienda

 

(27 ter) Los Estados miembros deberían adoptar políticas de fomento de la ciberdefensa activa como parte de sus estrategias nacionales de ciberseguridad. La ciberdefensa activa es la prevención proactiva, la detección, la supervisión, el análisis y la mitigación de las violaciones de seguridad de la red, en combinación con el uso de capacidades desplegadas dentro y fuera de la red víctima. La capacidad de compartir y comprender de forma rápida y automática la información y el análisis de las amenazas, las alertas de ciberactividad y las acciones de respuesta es fundamental para posibilitar la unión de esfuerzos a fin de detectar, prevenir y atajar con éxito los ataques contra las redes y sistemas de información. La ciberdefensa activa se basa en una estrategia defensiva que excluye medidas ofensivas contra las infraestructuras civiles críticas.

Enmienda  29

 

Propuesta de Directiva

Considerando 28

 

Texto de la Comisión

Enmienda

(28) Puesto que la explotación de las vulnerabilidades de las redes y sistemas de información puede causar perturbaciones y daños considerables, la determinación y subsanación rápidas de dichas vulnerabilidades son factores importantes para reducir los riesgos de ciberseguridad. En consecuencia, las entidades que desarrollen sistemas a tales efectos deben establecer procedimientos apropiados para manejar las vulnerabilidades cuando se detecten. Teniendo en cuenta que las vulnerabilidades suelen ser detectadas y notificadas (reveladas) por terceros (entidades notificantes), los fabricantes o proveedores de productos o servicios de TIC también deben implantar los procedimientos necesarios para recibir información sobre las vulnerabilidades de terceros. En este sentido, las normas internacionales ISO/IEC 30111 e ISO/IEC 29417 ofrecen orientación sobre el manejo de las vulnerabilidades y la divulgación de las vulnerabilidades respectivamente. Por lo que respecta a la divulgación de las vulnerabilidades, la coordinación entre las entidades notificantes y los fabricantes o proveedores de productos o servicios de TIC reviste una gran importancia. La divulgación coordinada de las vulnerabilidades especifica un proceso estructurado a través del cual las vulnerabilidades se notifican a las organizaciones de tal manera que estas puedan diagnosticar y subsanar las vulnerabilidades antes de revelar información detallada sobre ellas a terceros o al público. Asimismo, la divulgación coordinada de las vulnerabilidades debe comprender la coordinación entre la entidad notificante y la organización en lo tocante al momento de la subsanación y la publicación de las vulnerabilidades.

(28) Puesto que la explotación de las vulnerabilidades de las redes y sistemas de información puede causar perturbaciones y daños considerables, la determinación y subsanación rápidas de dichas vulnerabilidades son factores importantes para reducir los riesgos de ciberseguridad. En consecuencia, las entidades que desarrollen sistemas a tales efectos deben establecer procedimientos apropiados para manejar las vulnerabilidades cuando se detecten. Teniendo en cuenta que las vulnerabilidades suelen ser detectadas y notificadas (reveladas) por terceros (entidades notificantes), los fabricantes o proveedores de productos o servicios de TIC también deben implantar los procedimientos necesarios para recibir información sobre las vulnerabilidades de terceros. En este sentido, las normas internacionales ISO/IEC 30111 e ISO/IEC 29417 ofrecen orientación sobre el manejo de las vulnerabilidades y la divulgación de las vulnerabilidades respectivamente. Reforzar la coordinación entre las entidades notificantes y los fabricantes o proveedores de productos o servicios de TIC reviste una gran importancia para facilitar el establecimiento de un marco voluntario para la divulgación de vulnerabilidades. La divulgación coordinada de las vulnerabilidades especifica un proceso estructurado a través del cual las vulnerabilidades se notifican a las organizaciones de tal manera que estas puedan diagnosticar y subsanar las vulnerabilidades antes de revelar información detallada sobre ellas a terceros o al público. Asimismo, la divulgación coordinada de las vulnerabilidades debe comprender la coordinación entre la entidad notificante y la organización en lo tocante al momento de la subsanación y la publicación de las vulnerabilidades.

Enmienda  30

 

Propuesta de Directiva

Considerando 28 bis (nuevo)

 

Texto de la Comisión

Enmienda

 

(28 bis) La Comisión, la ENISA y los Estados miembros deben continuar promoviendo la alineación internacional con las normas y las mejores prácticas existentes en la industria en el ámbito de la gestión de riesgos, por ejemplo en las áreas de evaluación de la seguridad de la cadena de suministro, el intercambio de información y la divulgación de vulnerabilidades.

Enmienda  31

 

Propuesta de Directiva

Considerando 29

 

Texto de la Comisión

Enmienda

(29) Por consiguiente, los Estados miembros deben adoptar medidas para facilitar la divulgación coordinada de las vulnerabilidades mediante el establecimiento de la correspondiente política nacional. A este respecto, los Estados miembros deben designar un CSIRT que asuma el papel de «coordinador» y ejerza de intermediario entre las entidades notificantes y los fabricantes o proveedores de productos o servicios de TIC cuando sea necesario. Las tareas del CSIRT coordinador deben consistir, en particular, en identificar a las entidades afectadas y contactar con ellas, prestar apoyo a las entidades notificantes, negociar los plazos de divulgación y manejar las vulnerabilidades que afectan a múltiples organizaciones (divulgación de las vulnerabilidades con múltiples interesados). Cuando las vulnerabilidades afecten a múltiples fabricantes o proveedores de productos o servicios de TIC establecidos en más de un Estado miembro, los CSIRT designados de cada Estado miembro afectado deben cooperar en el marco de la red de CSIRT.

(29) Por consiguiente, los Estados miembros, en cooperación con la ENISA, deben adoptar medidas para facilitar la divulgación coordinada de las vulnerabilidades mediante el establecimiento de la correspondiente política nacional. En esa política nacional, los Estados miembros deben abordar los problemas a los que se enfrentan los investigadores de vulnerabilidades. En algunos Estados miembros, las entidades y las personas físicas que investigan las vulnerabilidades pueden incurrir en responsabilidad penal y civil. Por consiguiente, se anima a los Estados miembros a que publiquen directrices relativas al no enjuiciamiento de la investigación sobre la seguridad de la información y a la exención de responsabilidad civil con respecto a dichas actividades.

Enmienda  32

 

Propuesta de Directiva

Considerando 29 bis (nuevo)

 

Texto de la Comisión

Enmienda

 

(29 bis) Los Estados miembros deben designar un CSIRT que asuma el papel de «coordinador» y ejerza de intermediario entre las entidades notificantes y los fabricantes o proveedores de productos o servicios de TIC que probablemente se verán afectados por la vulnerabilidad, cuando sea necesario. Las tareas del CSIRT coordinador deben consistir, en particular, en identificar a las entidades afectadas y contactar con ellas, prestar apoyo a las entidades notificantes, negociar los plazos de divulgación y manejar las vulnerabilidades que afectan a múltiples organizaciones (divulgación de las vulnerabilidades con múltiples interesados). Cuando las vulnerabilidades afecten a múltiples fabricantes o proveedores de productos o servicios de TIC establecidos en más de un Estado miembro, los CSIRT designados de cada Estado miembro afectado deben cooperar en el marco de la red de CSIRT.

Enmienda  33

 

Propuesta de Directiva

Considerando 30

 

Texto de la Comisión

Enmienda

(30) El acceso a información correcta y oportuna sobre las vulnerabilidades que afectan a productos y servicios de TIC contribuye a reforzar la gestión de los riesgos de ciberseguridad. En este sentido, las fuentes de información sobre las vulnerabilidades disponibles para el público suponen una herramienta importante para las entidades y sus usuarios, pero también para las autoridades nacionales competentes y los CSIRT. Por este motivo, la ENISA debe crear un registro de vulnerabilidades en el que las entidades esenciales e importantes y sus proveedores, así como las entidades que no estén incluidas en el ámbito de aplicación de la presente Directiva, puedan, de manera voluntaria, revelar las vulnerabilidades y facilitar información sobre las mismas que permita a los usuarios adoptar las medidas de mitigación apropiadas.

(30) El acceso a información correcta y oportuna sobre las vulnerabilidades que afectan a productos y servicios de TIC contribuye a reforzar la gestión de los riesgos de ciberseguridad. Las fuentes de información sobre las vulnerabilidades disponibles para el público suponen una herramienta importante para las entidades y sus usuarios, pero también para las autoridades nacionales competentes y los CSIRT. Por este motivo, la ENISA debe crear una base de datos de vulnerabilidades en la que las entidades esenciales e importantes y sus proveedores, así como las entidades que no estén incluidas en el ámbito de aplicación de la presente Directiva, puedan, de manera voluntaria, revelar las vulnerabilidades y facilitar información sobre las mismas que permita a los usuarios adoptar las medidas de mitigación apropiadas. La finalidad de esa base de datos será abordar los desafíos únicos que plantean los riesgos de ciberseguridad para las entidades europeas. Además, la ENISA debe establecer un procedimiento responsable para el proceso de publicación, a fin de dar a las entidades tiempo para adoptar medidas de mitigación en lo que respecta a sus vulnerabilidades, y emplear medidas de ciberseguridad de última generación, así como conjuntos de datos legibles por ordenador y las interfaces correspondientes (API). En general, para fomentar una cultura de divulgación de vulnerabilidades, la divulgación no debe ir en detrimento de la entidad notificante.

Enmienda  34

 

Propuesta de Directiva

Considerando 31

 

Texto de la Comisión

Enmienda

(31) Aunque efectivamente existen registros o bases de datos de vulnerabilidades similares, su alojamiento y mantenimiento dependen de entidades que no están establecidas en la Unión. Con un Registro Europeo de Vulnerabilidades mantenido por la ENISA se conseguiría mejorar la transparencia del proceso de publicación antes de que la vulnerabilidad se revele oficialmente y la resiliencia en caso de perturbaciones o interrupciones de la prestación de servicios similares. A fin de evitar la duplicación de esfuerzos y lograr la complementariedad en la medida de lo posible, la ENISA debe estudiar la posibilidad de celebrar acuerdos de cooperación estructurada con registros similares en jurisdicciones de terceros países.

(31) La Base de Datos Europea de Vulnerabilidades mantenida por la ENISA debe aprovechar el Registro de Vulnerabilidades y Exposiciones Comunes (CVE) utilizando su marco para la identificación, el seguimiento y la valoración de las vulnerabilidades. Además, la ENISA debe estudiar la posibilidad de celebrar acuerdos de cooperación estructurada con otros registros o bases de datos similares en el marco de jurisdicciones de terceros países, a fin de evitar la duplicación de esfuerzos y lograr la complementariedad.

Enmienda  35

 

Propuesta de Directiva

Considerando 33

 

Texto de la Comisión

Enmienda

(33) A la hora de elaborar documentos de orientación, de manera sistemática el Grupo de Cooperación debe identificar las soluciones y experiencias nacionales, evaluar el impacto de los resultados concretos del Grupo de Cooperación en los enfoques nacionales, debatir los desafíos en materia de aplicación y formular recomendaciones específicas que deben incorporarse mediante la mejora de la aplicación de las normas vigentes.

(33) A la hora de elaborar documentos de orientación, de manera sistemática el Grupo de Cooperación debe identificar las soluciones y experiencias nacionales, evaluar el impacto de los resultados concretos del Grupo de Cooperación en los enfoques nacionales, debatir los desafíos en materia de aplicación y formular recomendaciones específicas, en particular para facilitar la armonización en la transposición de la presente Directiva entre los Estados miembros, que deben incorporarse mediante la mejora de la aplicación de las normas vigentes. El Grupo de Cooperación también debe identificar las soluciones nacionales para promover la compatibilidad de las soluciones de ciberseguridad aplicadas a cada sector específico en toda la Unión. Esto es especialmente importante en el caso de los sectores que tienen un carácter internacional y transfronterizo.

Enmienda  36

 

Propuesta de Directiva

Considerando 34

 

Texto de la Comisión

Enmienda

(34) El Grupo de Cooperación debe seguir siendo un foro flexible y capaz de responder a prioridades y desafíos políticos nuevos y cambiantes, teniendo en cuenta a la vez la disponibilidad de los recursos. Debe organizar reuniones conjuntas periódicas con las partes interesadas privadas pertinentes de toda la Unión para debatir las actividades realizadas por el Grupo y recabar apreciaciones sobre los desafíos políticos emergentes. Con vistas a reforzar la cooperación a escala de la Unión, el Grupo debe considerar la posibilidad de invitar a que participen en sus actividades a los órganos y las agencias de la Unión implicados en la política de ciberseguridad, como por ejemplo el Centro Europeo de Ciberdelincuencia (EC3), la Agencia de la Unión Europea para la Seguridad Aérea (AESA) y la Agencia de la Unión Europea para el Programa Espacial (EUSPA).

(34) El Grupo de Cooperación debe seguir siendo un foro flexible y capaz de responder a prioridades y desafíos políticos nuevos y cambiantes, teniendo en cuenta a la vez la disponibilidad de los recursos. Debe organizar reuniones conjuntas periódicas con las partes interesadas privadas pertinentes de toda la Unión para debatir las actividades realizadas por el Grupo y recabar apreciaciones sobre los desafíos políticos emergentes. Con vistas a reforzar la cooperación a escala de la Unión, el Grupo debe invitar a que participen en sus actividades a los órganos y las agencias de la Unión pertinentes implicados en la política de ciberseguridad, como por ejemplo Europol, la Agencia de la Unión Europea para la Seguridad Aérea (AESA) y la Agencia de la Unión Europea para el Programa Espacial (EUSPA).

Enmienda  37

 

Propuesta de Directiva

Considerando 35

 

Texto de la Comisión

Enmienda

(35) Las autoridades competentes y los CSIRT deben estar capacitados para participar en programas de intercambio para funcionarios de otros Estados miembros para mejorar la cooperación. Las autoridades competentes deben adoptar las medidas necesarias para que los funcionarios de otros Estados miembros puedan desempeñar un papel eficaz en las actividades de la autoridad competente de acogida.

(35) Las autoridades competentes y los CSIRT deben estar capacitados para participar en programas de intercambio para funcionarios de otros Estados miembros, con arreglo a normas y mecanismos estructurados que sustenten el alcance y, en su caso, la habilitación de seguridad necesaria de los funcionarios que participen en esos programas de intercambio, para mejorar la cooperación y fortalecer la confianza entre los Estados miembros. Las autoridades competentes deben adoptar las medidas necesarias para que los funcionarios de otros Estados miembros puedan desempeñar un papel eficaz en las actividades de la autoridad competente o el CSIRT de acogida.

Enmienda  38

 

Propuesta de Directiva

Considerando 36

 

Texto de la Comisión

Enmienda

(36) La Unión debe celebrar, cuando corresponda y de conformidad con el artículo 218 del TFUE, acuerdos internacionales con terceros países u organizaciones internacionales que hagan posible y organicen su participación en algunas actividades del Grupo de Cooperación y la red de CSIRT. Dichos acuerdos deben velar por una protección de datos adecuada.

(36) La Unión debe celebrar, cuando corresponda y de conformidad con el artículo 218 del TFUE, acuerdos internacionales con terceros países u organizaciones internacionales que hagan posible y organicen su participación en algunas actividades del Grupo de Cooperación y la red de CSIRT. Dichos acuerdos deben velar por los intereses de la Unión y por una protección de datos adecuada. Ello no impedirá a los Estados miembros ejercer su derecho a cooperar con terceros países afines en la gestión de vulnerabilidades y la gestión de riesgos en materia de ciberseguridad, facilitando la presentación de informes y el intercambio general de información de conformidad con el Derecho de la Unión.

Enmienda  39

 

Propuesta de Directiva

Considerando 38

 

Texto de la Comisión

Enmienda

(38) A los efectos de la presente Directiva, el término «riesgo» deben entenderse como las posibles pérdidas o perturbaciones causadas por un incidente de ciberseguridad y debe expresarse como una combinación de la magnitud de tales pérdidas o perturbaciones y la probabilidad de que se produzca dicho incidente.

suprimido

Enmienda  40

 

Propuesta de Directiva

Considerando 39

 

Texto de la Comisión

Enmienda

(39) Asimismo, el término «cuasiincidente» debe entenderse como cualquier suceso que podría haber causado daños, pero cuya materialización completa se previno de manera satisfactoria.

suprimido

Enmienda  41

 

Propuesta de Directiva

Considerando 40

 

Texto de la Comisión

Enmienda

(40) Entre las medidas de gestión del riesgo deben figurar aquellas cuya finalidad es determinar todo riesgo de incidentes, prevenir, detectar y gestionar incidentes y reducir sus repercusiones. La seguridad de las redes y los sistemas de información debe comprender la seguridad de los datos almacenados, transmitidos y tratados.

(40) Entre las medidas de gestión del riesgo deben figurar aquellas cuya finalidad es determinar todo riesgo de incidentes, prevenir, detectar, responder a incidentes, recuperarse de ellos y reducir sus repercusiones. La seguridad de las redes y los sistemas de información debe comprender la seguridad de los datos almacenados, transmitidos y tratados. Esos sistemas deben prever un análisis sistémico que desglose los distintos procesos e interacciones entre los subsistemas y tenga en cuenta el factor humano, a fin de tener una visión completa de la seguridad del sistema de información.

Enmienda  42

 

Propuesta de Directiva

Considerando 41

 

Texto de la Comisión

Enmienda

(41) Para evitar imponer una carga financiera y administrativa desproporcionada a las entidades esenciales e importantes, los requisitos de gestión de los riesgos de ciberseguridad han de ser proporcionados en relación con los riesgos que presentan la red y el sistema de información en cuestión, y tener en cuenta el estado de la técnica.

(41) Para evitar imponer una carga financiera y administrativa desproporcionada a las entidades esenciales e importantes, los requisitos de gestión de los riesgos de ciberseguridad han de ser proporcionados en relación con los riesgos que presentan la red y el sistema de información en cuestión, y tener en cuenta el estado de la técnica y las normas europeas o internacionales, como ISO 31000 e ISO/IEC 27005.

Enmienda  43

 

Propuesta de Directiva

Considerando 43

 

Texto de la Comisión

Enmienda

(43) Hacer frente a los riesgos de ciberseguridad provenientes de la cadena de suministro de una entidad y su relación con sus proveedores resulta especialmente importante, habida cuenta de la prevalencia de incidentes en los que las entidades han sido víctimas de ciberataques y los agentes malintencionados han podido comprometer la seguridad de las redes y los sistemas de información de una entidad aprovechándose de las vulnerabilidades que afectan a productos y servicios de terceros. Por ello, las entidades deben evaluar y tener en cuenta la calidad general de los productos y las prácticas en materia de ciberseguridad de sus proveedores y prestadores de servicios, incluidos sus procedimientos de desarrollo seguro.

(43) Hacer frente a los riesgos de ciberseguridad provenientes de la cadena de suministro de una entidad y su relación con sus proveedores, como los proveedores de servicios de almacenamiento y tratamiento de datos o servicios de seguridad administrada, resulta especialmente importante, habida cuenta de la prevalencia de incidentes en los que las entidades han sido víctimas de ataques contra las redes y los sistemas de información y los agentes malintencionados han podido comprometer la seguridad de las redes y los sistemas de información de una entidad aprovechándose de las vulnerabilidades que afectan a productos y servicios de terceros. Por ello, las entidades deben evaluar y tener en cuenta la calidad general y la resiliencia de los productos y los servicios, las medidas de ciberseguridad integradas en ellos y las prácticas en materia de ciberseguridad de sus proveedores y prestadores de servicios, incluidos sus procedimientos de desarrollo seguro. En particular, debe alentarse a las entidades a que incorporen medidas de ciberseguridad en los acuerdos contractuales con sus proveedores y prestadores de servicios de primer nivel. Las entidades podrían tomar en consideración los riesgos de ciberseguridad provenientes de otros niveles de proveedores y prestadores de servicios.

Enmienda  44

 

Propuesta de Directiva

Considerando 44

 

Texto de la Comisión

Enmienda

(44) Entre los proveedores de servicios, los proveedores de servicios de seguridad administrada en ámbitos como la respuesta a incidentes, las pruebas de penetración, las auditorías de seguridad y la consultoría desempeñan un papel especialmente importante al prestar asistencia a las entidades en sus esfuerzos por detectar los incidentes y responder a ellos. No obstante, los propios proveedores de servicios de seguridad administrada también han sido objetivo de ciberataques y plantean un riesgo de ciberseguridad especial como consecuencia de su estrecha integración en los procesos de los operadores. En consecuencia, las entidades deben redoblar su diligencia a la hora de seleccionar un proveedor de servicios de seguridad administrada.

(44) Entre los proveedores de servicios, los proveedores de servicios de seguridad administrada en ámbitos como la respuesta a incidentes, las pruebas de penetración, las auditorías de seguridad y la consultoría desempeñan un papel especialmente importante al prestar asistencia a las entidades en sus esfuerzos por prevenir, detectar, responder a los incidentes y recuperarse de ellos. No obstante, los propios proveedores de servicios de seguridad administrada también han sido objetivo de ciberataques y plantean un riesgo de ciberseguridad especial como consecuencia de su estrecha integración en los procesos de los operadores. En consecuencia, las entidades deben redoblar su diligencia a la hora de seleccionar un proveedor de servicios de seguridad administrada.

Enmienda  45

 

Propuesta de Directiva

Considerando 45

 

Texto de la Comisión

Enmienda

(45) Asimismo, las entidades deben abordar los riesgos de ciberseguridad derivados de sus interacciones y relaciones con otras partes interesadas dentro de un ecosistema más amplio. Concretamente, las entidades han de adoptar las medidas oportunas para garantizar que su cooperación con las instituciones académicas y de investigación se desarrolle de acuerdo con sus políticas de ciberseguridad y siga buenas prácticas por lo que respecta a la seguridad del acceso y la divulgación de información en general y la protección de la propiedad intelectual en particular. De igual manera, dada la importancia y el valor de los datos para las actividades de las entidades, estas deben adoptar todas las medidas de ciberseguridad apropiadas cuando recurran a servicios de transformación de datos y análisis de datos de terceros.

(45) Asimismo, las entidades deben abordar los riesgos de ciberseguridad derivados de sus interacciones y relaciones con otras partes interesadas dentro de un ecosistema más amplio, en particular para luchar contra el espionaje industrial y proteger los secretos comerciales. Concretamente, las entidades han de adoptar las medidas oportunas para garantizar que su cooperación con las instituciones académicas y de investigación se desarrolle de acuerdo con sus políticas de ciberseguridad y siga buenas prácticas por lo que respecta a la seguridad del acceso y la divulgación de información en general y la protección de la propiedad intelectual en particular. De igual manera, dada la importancia y el valor de los datos para las actividades de las entidades, estas deben adoptar todas las medidas de ciberseguridad apropiadas cuando recurran a servicios de transformación de datos y análisis de datos de terceros.

Enmienda  46

 

Propuesta de Directiva

Considerando 45 bis (nuevo)

 

Texto de la Comisión

Enmienda

 

(45 bis) Las entidades deben adoptar un amplio abanico de prácticas básicas de ciberhigiene, como una arquitectura de confianza cero, actualizaciones de soportes lógicos, configuración de dispositivos, segmentación de la red, gestión de la identidad y el acceso o concienciación de los usuarios, y han de organizar formaciones para su personal en lo relativo a las ciberamenazas para el correo electrónico de las empresas, los ataques por suplantación de identidad o las técnicas de ingeniería social. Por otra parte, las entidades deben evaluar sus propias capacidades de ciberseguridad y, en su caso, velar por la integración de las tecnologías de mejora de la ciberseguridad impulsadas por sistemas de inteligencia artificial o de aprendizaje automático para automatizar sus capacidades y la protección de las arquitecturas de red.

Enmienda  47

 

Propuesta de Directiva

Considerando 46

 

Texto de la Comisión

Enmienda

(46) Para abordar en mayor profundidad los principales riesgos de la cadena de suministro y ayudar a las entidades que operan en los sectores incluidos en el ámbito de aplicación de la presente Directiva a gestionar adecuadamente los riesgos de ciberseguridad asociados a la cadena de suministro y los proveedores, el Grupo de Cooperación, con la participación de las autoridades nacionales pertinentes y en colaboración con la Comisión y la ENISA, debe llevar a cabo evaluaciones coordinadas sectoriales de los riesgos de la cadena de suministro, como ya se hizo en el caso de las redes 5G21 a raíz de la Recomendación (UE) 2019/534 sobre la ciberseguridad de las redes 5G, con el objetivo de identificar cuáles son los servicios, sistemas o productos de TIC críticos, las correspondientes amenazas y las vulnerabilidades de cada sector.

(46) Para abordar en mayor profundidad los principales riesgos de la cadena de suministro y ayudar a las entidades que operan en los sectores incluidos en el ámbito de aplicación de la presente Directiva a gestionar adecuadamente los riesgos de ciberseguridad asociados a la cadena de suministro y los proveedores, el Grupo de Cooperación, con la participación de las autoridades nacionales pertinentes y en colaboración con la Comisión y la ENISA, debe llevar a cabo evaluaciones coordinadas de los riesgos de la cadena de suministro, como ya se hizo en el caso de las redes 5G21 a raíz de la Recomendación (UE) 2019/534 sobre la ciberseguridad de las redes 5G, con el objetivo de identificar cuáles son los servicios, sistemas o productos de TIC e ICS críticos, las correspondientes amenazas y las vulnerabilidades de cada sector. Esas evaluaciones de los riesgos deben determinar las medidas, los planes de mitigación y las mejores prácticas frente a dependencias críticas, posibles fallos puntuales simples, amenazas, vulnerabilidades y otros riesgos asociados a la cadena de suministro, y deben explorar formas de fomentar en mayor medida su adopción por parte de las entidades. Entre los posibles factores de riesgo no técnicos, como la influencia indebida de un tercer país en los proveedores y prestadores de servicios, en particular en el caso de modelos de gobernanza alternativos, figuran las vulnerabilidades ocultas o las puertas traseras y posibles perturbaciones sistémicas del suministro, especialmente en caso de bloqueo tecnológico o dependencia de proveedores de servicios.

__________________

__________________

21 Recomendación (UE) 2019/534 de la Comisión, de 26 de marzo de 2019, Ciberseguridad de las redes 5G (DO L 88 de 29.3.2019, p. 42).

21 Recomendación (UE) 2019/534 de la Comisión, de 26 de marzo de 2019, Ciberseguridad de las redes 5G (DO L 88 de 29.3.2019, p. 42).

Enmienda  48

 

Propuesta de Directiva

Considerando 47

 

Texto de la Comisión

Enmienda

(47) Las evaluaciones de los riesgos de la cadena de suministro, en función de las características del sector afectado, deben tener en cuenta tanto los factores técnicos como, en su caso, los de otra índole, en particular los definidos en la Recomendación (UE) 2019/534, en la evaluación de riesgos coordinada a escala de la UE de la seguridad de las redes 5G y en el conjunto de instrumentos de la UE para la seguridad de las redes 5G acordado por el Grupo de Cooperación. A fin de identificar las cadenas de suministro que deben ser objeto de una evaluación de riesgo coordinada, han de tenerse en cuenta los siguientes criterios: i) la medida en que las entidades esenciales e importantes utilizan servicios, sistemas o productos de TIC críticos y dependen de ellos, ii) la importancia de servicios, sistemas o productos de TIC críticos específicos para desempeñar funciones críticas o sensibles, en particular el tratamiento de datos personales, iii) la disponibilidad de servicios, sistemas o productos de TIC alternativos, iv) la resiliencia de la cadena de suministro global de servicios, sistemas o productos de TIC frente a las perturbaciones, y v) en el caso de los servicios, sistemas o productos de TIC emergentes, el peso que pueden tener en el futuro para las actividades de las entidades.

(47) Las evaluaciones de los riesgos de la cadena de suministro, en función de las características del sector afectado, deben tener en cuenta tanto los factores técnicos como, en su caso, los de otra índole, en particular los definidos en la Recomendación (UE) 2019/534, en la evaluación de riesgos coordinada a escala de la UE de la seguridad de las redes 5G y en el conjunto de instrumentos de la UE para la seguridad de las redes 5G acordado por el Grupo de Cooperación. A fin de identificar las cadenas de suministro que deben ser objeto de una evaluación de riesgo coordinada, han de tenerse en cuenta los siguientes criterios: i) la medida en que las entidades esenciales e importantes utilizan servicios, sistemas o productos de TIC críticos y dependen de ellos, ii) la importancia de servicios, sistemas o productos de TIC críticos específicos para desempeñar funciones críticas o sensibles, en particular el tratamiento de datos personales, iii) la disponibilidad de servicios, sistemas o productos de TIC alternativos, iv) la resiliencia de la cadena de suministro global de servicios, sistemas o productos de TIC a lo largo de todo su ciclo de vida frente a las perturbaciones, y v) en el caso de los servicios, sistemas o productos de TIC emergentes, el peso que pueden tener en el futuro para las actividades de las entidades. Además, debe hacerse especial hincapié en los servicios, sistemas o productos de TIC sujetos a requisitos específicos provenientes de terceros países.

Enmienda  49

 

Propuesta de Directiva

Considerando 47 bis (nuevo)

 

Texto de la Comisión

Enmienda

 

(47 bis) El Grupo de las Partes Interesadas sobre Certificación de la Ciberseguridad creado con arreglo al artículo 22 del Reglamento (UE) 2019/881 del Parlamento Europeo y del Consejo1 bis debe emitir un dictamen sobre las evaluaciones de los riesgos de seguridad de las cadenas de suministro de servicios, sistemas o productos de TIC e ICS críticos específicos. El Grupo de Cooperación y la ENISA deben tener en cuenta dicho dictamen.

 

__________________

 

1 bis Reglamento (UE) 2019/881 del Parlamento Europeo y del Consejo, de 17 de abril de 2019, relativo a ENISA (Agencia de la Unión Europea para la Ciberseguridad) y a la certificación de la ciberseguridad de las tecnologías de la información y la comunicación y por el que se deroga el Reglamento (UE) n.º 526/2013 («Reglamento sobre la Ciberseguridad») (DO L 151 de 7.6.2019, p. 15).

Enmienda  50

 

Propuesta de Directiva

Considerando 50

 

Texto de la Comisión

Enmienda

(50) Dada la importancia que están adquiriendo los servicios de comunicaciones interpersonales independientes de la numeración, es necesario garantizar que estos servicios también estén sujetos a requisitos de seguridad apropiados a la vista de su naturaleza específica e importancia económica. Así, los proveedores de este tipo de servicios deben garantizar un nivel de seguridad de las redes y los sistemas de información adecuado en relación con el riesgo planteado. Puesto que los proveedores de servicios de comunicaciones interpersonales independientes de la numeración no suelen ejercer un control real sobre la transmisión de las señales a través de las redes, en ciertos sentidos puede considerarse que el grado de riesgo de estos servicios es inferior al de los servicios de comunicaciones electrónicas tradicionales. Lo mismo puede decirse de los servicios de comunicaciones interpersonales que utilizan números y que no ejercen un control real sobre la transmisión de la señal.

(50) Dada la importancia que están adquiriendo los servicios de comunicaciones interpersonales independientes de la numeración, es necesario garantizar que estos servicios también estén sujetos a requisitos de seguridad apropiados a la vista de su naturaleza específica e importancia económica. Así, los proveedores de este tipo de servicios deben garantizar un nivel de seguridad de las redes y los sistemas de información adecuado en relación con el riesgo planteado. Puesto que los proveedores de servicios de comunicaciones interpersonales independientes de la numeración no suelen ejercer un control real sobre la transmisión de las señales a través de las redes, en ciertos sentidos puede considerarse que el grado de riesgo para la seguridad de la red de estos servicios es inferior al de los servicios de comunicaciones electrónicas tradicionales. Lo mismo puede decirse de los servicios de comunicaciones interpersonales que utilizan números y que no ejercen un control real sobre la transmisión de la señal. Sin embargo, a medida que la superficie de ataque sigue aumentando, los servicios de comunicaciones interpersonales independientes de la numeración, incluidos, entre otros, los mensajes de las redes sociales, se están convirtiendo en vectores populares de ataques. Los agentes malintencionados utilizan plataformas para comunicar y atraer a las víctimas a páginas web comprometidas, aumentando así la probabilidad de que se produzcan incidentes que conlleven la explotación de datos personales y, por extensión, afecten a la seguridad de los sistemas de información.

Enmienda  51

 

Propuesta de Directiva

Considerando 51

 

Texto de la Comisión

Enmienda

(51) Hasta ahora, el mercado interior nunca había dependido tanto del funcionamiento de internet. Los servicios de prácticamente todas las entidades esenciales e importantes dependen de servicios prestados por internet. Para garantizar que la prestación de los servicios suministrados por entidades esenciales e importantes se desarrolle sin problemas, es importante que las redes públicas de comunicaciones electrónicas, tales como las redes troncales de internet o los cables de comunicaciones submarinos, cuenten con medidas de ciberseguridad apropiadas y notifiquen los incidentes en este ámbito.

(51) Hasta ahora, el mercado interior nunca había dependido tanto del funcionamiento de internet. Los servicios de prácticamente todas las entidades esenciales e importantes dependen de servicios prestados por internet. Para garantizar que la prestación de los servicios suministrados por entidades esenciales e importantes se desarrolle sin problemas, es importante que todas las redes públicas de comunicaciones electrónicas, tales como las redes troncales de internet o los cables de comunicaciones submarinos, cuenten con medidas de ciberseguridad apropiadas y notifiquen los incidentes significativos en este ámbito. Los Estados miembros deben velar por que se mantenga la integridad y disponibilidad de dichas redes públicas de comunicaciones electrónicas y deben considerar que su protección frente al sabotaje y el espionaje reviste un interés vital para la seguridad. La información sobre incidentes en relación con los cables de comunicaciones submarinos, por ejemplo, se debe compartir activamente entre los Estados miembros.

Enmienda  52

 

Propuesta de Directiva

Considerando 52

 

Texto de la Comisión

Enmienda

(52) Cuando corresponda, las entidades deben informar a los destinatarios de su servicio de amenazas concretas y significativas y de las medidas que pueden aplicar para reducir el consiguiente riesgo para ellos mismos. La exigencia de informar a los destinatarios de tales amenazas no exime a las entidades de la obligación de tomar a sus expensas medidas inmediatas y adecuadas para prevenir o subsanar cualquier ciberamenaza y restablecer el nivel normal de seguridad del servicio. El suministro de la mencionada información sobre las amenazas de seguridad a los destinatarios debe ser gratuito.

(52) Cuando corresponda, las entidades deben informar a los destinatarios de su servicio de amenazas concretas y significativas y de las medidas que pueden aplicar para reducir el consiguiente riesgo para ellos mismos. Esto no exime a las entidades de la obligación de tomar a sus expensas medidas inmediatas y adecuadas para prevenir o subsanar cualquier ciberamenaza y restablecer el nivel normal de seguridad del servicio. El suministro de la mencionada información sobre las amenazas de seguridad a los destinatarios debe ser gratuito y la información debe estar redactada en un lenguaje fácil de comprender.

Enmienda  53

 

Propuesta de Directiva

Considerando 53

 

Texto de la Comisión

Enmienda

(53) Concretamente, los proveedores de redes públicas de comunicaciones electrónicas o de servicios de comunicaciones electrónicas disponibles al público deben informar a los destinatarios del servicio de ciberamenazas concretas y significativas y de las medidas que pueden adoptar para proteger la seguridad de sus comunicaciones, por ejemplo, utilizar determinados tipos de soporte lógico o tecnologías de cifrado.

(53) Los proveedores de redes públicas de comunicaciones electrónicas o de servicios de comunicaciones electrónicas disponibles al público deben aplicar la seguridad desde el diseño y por defecto, e informar a los destinatarios del servicio de ciberamenazas concretas y significativas y de las medidas que pueden adoptar para proteger la seguridad de sus dispositivos y comunicaciones, por ejemplo, utilizar determinados tipos de soporte lógico de cifrado u otras tecnologías de seguridad centradas en datos.

Enmienda  54

 

Propuesta de Directiva

Considerando 54

 

Texto de la Comisión

Enmienda

(54) Para salvaguardar la seguridad de las redes y servicios de comunicaciones electrónicas, debe promoverse el uso del cifrado, y en particular el cifrado de extremo a extremo, y, cuando sea necesario, debe ser obligatorio para los proveedores de tales servicios y redes de conformidad con los principios de seguridad y protección de la privacidad por defecto y desde el diseño a efectos del artículo 18. El uso de cifrado de extremo a extremo debe entenderse sin perjuicio de las facultades del Estado miembro para garantizar la protección de sus intereses de seguridad esenciales y la seguridad pública, y para permitir la investigación, detección y enjuiciamiento de infracciones penales con arreglo al Derecho de la Unión. Las soluciones que permitan acceder de manera lícita a la información contenida en comunicaciones cifradas de extremo a extremo deben mantener la eficacia del cifrado en la protección de la privacidad y la seguridad de las comunicaciones, al tiempo que proporcionan una respuesta efectiva a la delincuencia.

(54) Para salvaguardar la seguridad de las redes y servicios de comunicaciones electrónicas, debe promoverse el uso del cifrado y de otras técnicas de seguridad centradas en datos, como la toquenización, la segmentación, el acceso limitado, el marcado, el etiquetado, la gestión rigurosa de la identidad y el acceso, y las decisiones de acceso automatizadas, y, cuando sea necesario, debe ser obligatorio para los proveedores de tales servicios y redes de conformidad con los principios de seguridad y protección de la privacidad por defecto y desde el diseño a efectos del artículo 18. El uso de cifrado de extremo a extremo debe entenderse sin perjuicio de las facultades del Estado miembro para garantizar la protección de sus intereses de seguridad esenciales y la seguridad pública, y para permitir la investigación, detección y enjuiciamiento de infracciones penales con arreglo al Derecho de la Unión. Sin embargo, esto no debe conducir a intentos de debilitar el cifrado de extremo a extremo, que es una tecnología crítica para la protección eficaz de los datos y la privacidad.

Enmienda  55

 

Propuesta de Directiva

Considerando 54 bis (nuevo)

 

Texto de la Comisión

Enmienda

 

(54 bis) Para salvaguardar la seguridad y evitar los abusos y la manipulación de las redes y servicios de comunicaciones electrónicas, debe promoverse el uso de normas de encaminamiento seguras e interoperables con el fin de garantizar la integridad y la solidez de las funciones de encaminamiento en todo el ecosistema de operadores de internet.

Enmienda  56

 

Propuesta de Directiva

Considerando 54 ter (nuevo)

 

Texto de la Comisión

Enmienda

 

(54 quinquies) Para salvaguardar la funcionalidad y la integridad de internet y reducir los problemas de seguridad relacionados con el DNS, debe animarse a las partes interesadas, incluidos las empresas de la Unión, los proveedores de servicios de internet y los proveedores de navegadores, a adoptar una estrategia de diversificación de la resolución de DNS. Además, los Estados miembros deben promover el desarrollo y la utilización de un servicio de resolución de DNS europeo público y seguro.

Enmienda  57

 

Propuesta de Directiva

Considerando 55

 

Texto de la Comisión

Enmienda

(55) La presente Directiva establece un enfoque en dos etapas respecto a la notificación de incidentes a fin de alcanzar el equilibrio adecuado entre, por un lado, una notificación ágil que ayude a mitigar la posible propagación de incidentes y permita a las entidades buscar apoyo, y, por el otro, una notificación en profundidad que extraiga lecciones valiosas de incidentes individuales y mejore con el tiempo la resiliencia frente a las ciberamenazas de empresas concretas y sectores completos. Cuando las entidades tengan conocimiento de un incidente, deben estar obligadas a presentar una notificación inicial en el plazo de veinticuatro horas, seguida de un informe final a más tardar un mes después. La notificación inicial solo debe incluir la información que sea estrictamente necesaria para que las autoridades competentes tengan constancia del incidente y la entidad pueda solicitar asistencia, en caso de que sea necesario. Cuando proceda, dicha notificación debe indicar si el incidente se debe a una acción presuntamente ilícita o maliciosa. Los Estados miembros deben velar por que el requisito de presentar esta notificación inicial no desvíe los recursos de la entidad notificante de actividades relacionadas con la gestión de incidentes que deban priorizarse. Por otra parte, para evitar que las obligaciones de notificación de incidentes desvíen recursos de la gestión de la respuesta al incidente o puedan comprometer de cualquier otra forma los esfuerzos de las entidades en este sentido, los Estados miembros deben prever también que, en casos debidamente justificados y de acuerdo con las autoridades competentes o el CSIRT, la entidad afectada pueda incumplir los plazos de veinticuatro horas para la notificación inicial y de un mes para el informe final.

(55) La presente Directiva establece un enfoque en dos etapas respecto a la notificación de incidentes a fin de alcanzar el equilibrio adecuado entre, por un lado, una notificación ágil que ayude a mitigar la posible propagación de incidentes y permita a las entidades buscar apoyo, y, por el otro, una notificación en profundidad que extraiga lecciones valiosas de incidentes individuales y mejore con el tiempo la resiliencia frente a las ciberamenazas de empresas concretas y sectores completos. Cuando las entidades tengan conocimiento de un incidente, deben estar obligadas a presentar una notificación inicial, seguida de un informe exhaustivo a más tardar un mes después de la presentación de la notificación oficial. El plazo de notificación inicial de incidentes no debe impedir que las entidades notifiquen incidentes antes, lo que les permitirá solicitar rápidamente el apoyo de los CSIRT y mitigar así la posible propagación del incidente notificado. Los CSIRT pueden solicitar un informe intermedio con las actualizaciones pertinentes sobre la situación, teniendo en cuenta al mismo tiempo la respuesta al incidente y los esfuerzos de corrección de la entidad notificante.

Enmienda  58

 

Propuesta de Directiva

Considerando 55 bis (nuevo)

 

Texto de la Comisión

Enmienda

 

(55 bis) Un incidente significativo puede afectar a la confidencialidad, integridad o disponibilidad del servicio. Las entidades esenciales e importantes deben notificar a los CSIRT los incidentes significativos que afecten a la disponibilidad de su servicio en un plazo de 24 horas a partir del momento en que tengan constancia del incidente. Deben notificar a los CIRT los incidentes significativos que vulneren la confidencialidad y la integridad de sus servicios en un plazo de 72 horas a partir del momento en que tengan constancia del incidente. La distinción entre los tipos de incidentes no se basa en la gravedad del incidente, sino en la dificultad de la entidad notificante para evaluar el incidente, su importancia y la capacidad de comunicar información que pueda ser útil para el CSIRT. La notificación inicial debe incluir la información necesaria para que el CSIRT tenga constancia del incidente y la entidad pueda solicitar asistencia, en caso de que sea necesario. Los Estados miembros deben velar por que el requisito de presentar esta notificación inicial no desvíe los recursos de la entidad notificante de actividades relacionadas con la gestión de incidentes que deban priorizarse. Por otra parte, para evitar que las obligaciones de notificación de incidentes desvíen recursos de la gestión de la respuesta al incidente o puedan comprometer de cualquier otra forma los esfuerzos de las entidades en este sentido, los Estados miembros deben prever también que, en casos debidamente justificados y de acuerdo con el CSIRT, la entidad afectada pueda incumplir los plazos para la notificación inicial y para el informe exhaustivo.

Enmienda  59

 

Propuesta de Directiva

Considerando 59

 

Texto de la Comisión

Enmienda

(59) Mantener bases de datos precisas y completas con los nombres de dominio y los datos de registro (los denominado «datos WHOIS») y proporcionar un acceso lícito a tales datos es fundamental para garantizar la seguridad, estabilidad y resiliencia del DNS, lo que a su vez contribuye a garantizar un elevado nivel común de ciberseguridad en el seno de la Unión. Cuando el tratamiento comprenda datos personales, dicho tratamiento debe ajustarse a la legislación de la Unión en materia de protección de datos.

(59) Mantener bases de datos precisas, verificadas y completas con los datos de registro de los nombres de dominio (los denominados «datos WHOIS») es fundamental para garantizar la seguridad, estabilidad y resiliencia del DNS, lo que a su vez contribuye a garantizar un elevado nivel común de ciberseguridad en el seno de la Unión, así como para luchar contra las actividades ilegales. Por lo tanto, los registros de dominios de primer nivel y las entidades que prestan servicios de registro de nombres de dominio deben estar obligados a recopilar datos de registro de nombres de dominio, que deben incluir al menos el nombre de los declarantes, su dirección física y de correo electrónico y su número de teléfono. Aunque es posible que, en la práctica, los datos recopilados no sean siempre totalmente exactos, los registros de dominios de primer nivel y las entidades que prestan servicios de registro de nombres de dominio deben adoptar y utilizar procesos proporcionados para verificar que las personas físicas o jurídicas que soliciten o sean titulares de un nombre de dominio han facilitado datos de contacto con los que se les puede localizar y a través de los que se espera que respondan. Gracias al enfoque consistente en «hacer todo lo posible», estos procesos de verificación deben reflejar las mejores prácticas actuales utilizadas en el sector. Estas mejores prácticas aplicadas en el proceso de verificación deben reflejar los avances realizados en el proceso de identificación electrónica. Los registros de dominios de primer nivel y las entidades que prestan servicios de registro de nombres de dominio deben poner a disposición del público sus políticas y procedimientos con el fin de garantizar la integridad y disponibilidad de los datos sobre el registro de nombres de dominio. Cuando el tratamiento comprenda datos personales, dicho tratamiento debe ajustarse a la legislación de la Unión en materia de protección de datos.

Enmienda  60

 

Propuesta de Directiva

Considerando 60

 

Texto de la Comisión

Enmienda

(60) La disponibilidad y accesibilidad oportuna de estos datos para las autoridades públicas, incluidas las autoridades competentes en virtud del Derecho nacional o de la Unión para la prevención, la investigación o el enjuiciamiento de infracciones penales, los CERT, los CSIRT y, por lo que respecta a los datos de sus clientes, los proveedores de redes y servicios de comunicaciones electrónicas y los proveedores de tecnologías y servicios de ciberseguridad que actúen en nombre de dichos clientes, son fundamentales para evitar y combatir los abusos del sistema de nombres de dominio, en particular para prevenir, detectar y responder a incidentes de ciberseguridad. Dicho acceso debe ser conforme con la legislación de la Unión en materia de protección de datos en la medida en que haya datos personales implicados.

(60) La disponibilidad y accesibilidad oportuna de los datos de registro de nombres de dominio para los solicitantes de acceso legítimos es esencial con miras a la ciberseguridad y la lucha contra las actividades ilegales en el ecosistema en línea. Por consiguiente, los registros de dominios de primer nivel y las entidades que prestan servicios de registro de nombres de dominio también deben permitir el acceso lícito a datos específicos sobre el registro de nombres de dominio, incluidos datos personales, a los solicitantes de acceso legítimos, de conformidad con el Derecho de la Unión en materia de protección de datos. Los solicitantes de acceso legítimos deben presentar una solicitud debidamente justificada de acceso a los datos de registro de nombres de dominio sobre la base del Derecho de la Unión o nacional, y podrían incluir a las autoridades competentes en virtud del Derecho nacional o de la Unión para la prevención, la investigación o el enjuiciamiento de infracciones penales, y a los CERT o CSIRT nacionales. Los Estados miembros deben velar por que los registros de dominios de primer nivel y las entidades que prestan servicios de registro de nombres de dominio respondan sin demora indebida y, en cualquier caso, en un plazo de 72 horas a las solicitudes de divulgación de datos de registro de nombres de dominio provenientes de solicitantes de acceso legítimos. Los registros de dominios de primer nivel y las entidades que prestan servicios de registro de nombres de dominio han de establecer políticas y procedimientos para la publicación y divulgación de datos de registro, en particular acuerdos de nivel de servicio para tramitar las solicitudes de acceso de solicitantes de acceso legítimos. El procedimiento de acceso también puede incluir el uso de una interfaz, un portal u otras herramientas técnicas que proporcionen un sistema eficiente para la solicitud de datos de registro y el acceso a ellos. Con vistas a promover prácticas armonizadas en todo el mercado interior, la Comisión podrá adoptar directrices sobre dichos procedimientos sin perjuicio de las competencias del Comité Europeo de Protección de Datos.

Enmienda  61

Propuesta de Directiva

Considerando 61

 

Texto de la Comisión

Enmienda

(61) Al objeto de garantizar la disponibilidad de datos precisos y completos sobre el registro de nombres de dominio, los registros de dominios de primer nivel y las entidades que prestan servicios de registro de nombres de dominio de primer nivel (los denominados «registradores») deben recabar y garantizar la integridad y disponibilidad de los datos de registro de nombres de dominio. Concretamente, los registros de dominios de primer nivel y las entidades que presten servicios de registro de nombres de dominio de primer nivel deben establecer políticas y procedimientos para recoger y mantener datos de registro precisos y completos, así como para prevenir y corregir datos de registro imprecisos con arreglo a las normas de protección de datos de la Unión.

suprimido

Enmienda  62

 

Propuesta de Directiva

Considerando 62

 

Texto de la Comisión

Enmienda

(62) Los registros de dominios de primer nivel y las entidades que prestan servicios de registro de nombres de dominio para ellos deben poner a disposición del público los datos de registro de nombres de dominio que queden fuera del ámbito de aplicación de las normas de protección de datos de la Unión, como por ejemplo los datos referentes a personas jurídicas25. Los registros de dominios de primer nivel y las entidades que presten servicios de registro de nombres de dominio de primer nivel también deben permitir el acceso lícito a datos específicos sobre el registro de nombres de dominio referentes a personas físicas a solicitantes de acceso legítimos, de conformidad con el Derecho de la Unión en materia de protección de datos. Los Estados miembros deben velar por que los registros de dominios de primer nivel y las entidades que presten servicios de registro de nombres de dominio de primer nivel para ellos respondan sin demora indebida a las solicitudes de divulgación de datos de registro de nombres de dominio provenientes de solicitantes de acceso legítimos. Los registros de dominios de primer nivel y las entidades que presten servicios de registro de nombres de dominio de primer nivel para ellos han de establecer políticas y procedimientos para la publicación y divulgación de datos de registro, en particular acuerdos de nivel de servicio para tramitar las solicitudes de acceso de solicitantes de acceso legítimos. El procedimiento de acceso también puede incluir el uso de una interfaz, un portal u otra herramienta técnica que proporcione un sistema eficiente para la solicitud de datos de registro y el acceso a ellos. Con vistas a promover prácticas armonizadas en todo el mercado interior, la Comisión podrá adoptar directrices sobre dichos procedimientos sin perjuicio de las competencias del Comité Europeo de Protección de Datos.

(62) Los registros de dominios de primer nivel y las entidades que prestan servicios de registro de nombres de dominio deben estar obligados a poner a disposición del público los datos de registro de nombres de dominio que no contengan datos personales. Debe distinguirse entre personas físicas y personas jurídicas25. En el caso de las personas jurídicas, los registros de dominios de primer nivel y las entidades deben poner a disposición del público, como mínimo, el nombre de los declarantes, su dirección física y de correo electrónico y su número de teléfono. Debe exigirse a la persona jurídica que facilite una dirección de correo electrónico genérica que pueda ponerse a disposición del público o que dé su consentimiento para la publicación de una dirección de correo electrónico personal. La persona jurídica debe poder demostrar dicho consentimiento a petición de los registros de dominios de primer nivel y las entidades que prestan servicios de registro de nombres de dominio de primer nivel.

__________________

__________________

25 REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO, considerando 14, que dispone que «[e]l presente Reglamento no regula el tratamiento de datos personales relativos a personas jurídicas y en particular a empresas constituidas como personas jurídicas, incluido el nombre y la forma de la persona jurídica y sus datos de contacto».

25 REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO, considerando 14, que dispone que «[e]l presente Reglamento no regula el tratamiento de datos personales relativos a personas jurídicas y en particular a empresas constituidas como personas jurídicas, incluido el nombre y la forma de la persona jurídica y sus datos de contacto».

Enmienda  63

 

Propuesta de Directiva

Considerando 63

 

Texto de la Comisión

Enmienda

(63) Todas las entidades esenciales e importantes en virtud de la presente Directiva deben estar sometidas a la jurisdicción del Estado miembro en el que prestan sus servicios. Si la entidad presta servicios en más de un Estado miembro, debe estar sometida a la jurisdicción separada y concurrente de cada uno de ellos. Las autoridades competentes de estos Estados miembros deben cooperar, prestarse asistencia mutua y, cuando proceda, emprender medidas conjuntas de supervisión.

(63) Todas las entidades esenciales e importantes en virtud de la presente Directiva deben estar sometidas a la jurisdicción del Estado miembro en el que prestan sus servicios o llevan a cabo sus actividades. Si la entidad presta servicios en más de un Estado miembro, debe estar sometida a la jurisdicción separada y concurrente de cada uno de ellos. Las autoridades competentes de estos Estados miembros deben cooperar, prestarse asistencia mutua y, cuando proceda, emprender medidas conjuntas de supervisión.

Enmienda  64

 

Propuesta de Directiva

Considerando 64

 

Texto de la Comisión

Enmienda

(64) A fin de tener en cuenta la naturaleza transfronteriza de los servicios y operaciones de los proveedores de servicios de DNS, los registros de nombres de dominio de primer nivel, los proveedores de redes de distribución de contenidos, los proveedores de servicios de computación en nube, los proveedores de servicios de centro de datos y los proveedores de servicios digitales, solo un Estado miembro debe tener jurisdicción sobre estas entidades. La jurisdicción debe atribuirse al Estado miembro en el que se encuentre el establecimiento principal en la Unión de la respectiva entidad. El criterio de establecimiento a los efectos de la presente Directiva implica el ejercicio efectivo de una actividad mediante una organización estable. La forma jurídica de dicha organización, ya sea a través de una sucursal o una filial con personalidad jurídica, no es el factor determinante a este respecto. El cumplimiento de este criterio no debe depender de que las redes y sistemas de información se encuentren físicamente en un lugar determinado; la presencia y utilización de tales sistemas no constituyen, por sí mismas, dicho establecimiento principal y, por tanto, no son criterios decisivos para determinar el establecimiento principal. El establecimiento principal debe ser el lugar en el que se toman las decisiones relativas a las medidas para la gestión de riesgos de ciberseguridad dentro de la Unión, que habitualmente coincidirá con el lugar en que se encuentra la administración central de las empresas en la Unión. En caso de que dichas decisiones no se adopten dentro de la Unión, debe considerarse que el establecimiento principal se encuentra en el Estado miembro en el que la entidad tiene el establecimiento con mayor número de trabajadores en la Unión. Cuando los servicios los preste un grupo empresarial, el establecimiento principal de la empresa que ejerce el control debe considerarse el establecimiento principal del grupo empresarial.

(64) A fin de tener en cuenta la naturaleza transfronteriza de los servicios y operaciones de los proveedores de servicios de DNS, los registros de nombres de dominio de primer nivel, los proveedores de redes de distribución de contenidos, los proveedores de servicios de computación en nube, los proveedores de servicios de centro de datos y los proveedores de servicios digitales, solo un Estado miembro debe tener jurisdicción sobre estas entidades. La jurisdicción debe atribuirse al Estado miembro en el que se encuentre el establecimiento principal en la Unión de la respectiva entidad. El criterio de establecimiento a los efectos de la presente Directiva implica el ejercicio efectivo de una actividad mediante una organización estable. La forma jurídica de dicha organización, ya sea a través de una sucursal o una filial con personalidad jurídica, no es el factor determinante a este respecto. El cumplimiento de este criterio no debe depender de que las redes y sistemas de información se encuentren físicamente en un lugar determinado; la presencia y utilización de tales sistemas no constituyen, por sí mismas, dicho establecimiento principal y, por tanto, no son criterios decisivos para determinar el establecimiento principal. El establecimiento principal debe ser el lugar en el que se toman las decisiones relativas a las medidas para la gestión de riesgos de ciberseguridad dentro de la Unión, que habitualmente coincidirá con el lugar en que se encuentra la administración central de las empresas en la Unión. En caso de que dichas decisiones no se adopten dentro de la Unión, debe considerarse que el establecimiento principal se encuentra en el Estado miembro en el que la entidad tiene el establecimiento con mayor número de trabajadores en la Unión o bien el establecimiento en el que se realizan las operaciones de ciberseguridad. Cuando los servicios los preste un grupo empresarial, el establecimiento principal de la empresa que ejerce el control debe considerarse el establecimiento principal del grupo empresarial.

Enmienda  65

 

Propuesta de Directiva

Considerando 65 bis (nuevo)

 

Texto de la Comisión

Enmienda

 

(65 bis) La ENISA debe crear y mantener un registro que contenga información sobre las entidades esenciales e importantes que se componga de proveedores de servicios de DNS, registros de nombres de dominio de primer nivel y proveedores de servicios de computación en nube, servicios de centros de datos, redes de entrega de contenidos, mercados en línea, motores de búsqueda en línea y plataformas de redes sociales. Esas entidades esenciales e importantes deben remitir a la ENISA sus nombres, direcciones y datos de contacto actualizados. Deben notificar a la ENISA cualquier cambio que se produzca en la información remitida sin demora y, en cualquier caso, en el plazo de dos semanas a partir de la fecha en que se produjo el cambio. La ENISA debe transmitir la información al punto de contacto único pertinente. Por lo tanto, las entidades esenciales e importantes que presentan su información a la ENISA no están obligadas a informar por separado a la autoridad competente del Estado miembro. La ENISA debe desarrollar un programa de aplicación sencillo y disponible para el público que dichas entidades puedan usar para actualizar su información. Por otra parte, la ENISA debe establecer protocolos adecuados de clasificación y gestión de la información con objeto de garantizar la seguridad y confidencialidad de la información divulgada, y ha de restringir el acceso, el almacenamiento y la transmisión de dicha información a los usuarios previstos.

Enmienda  66

 

Propuesta de Directiva

Considerando 66

 

Texto de la Comisión

Enmienda

(66) Cuando se intercambie, notifique o comparta de cualquiera forma en virtud de las disposiciones de la presente Directiva información que se considere clasificada de acuerdo con el Derecho nacional o de la Unión, deben aplicarse las correspondientes normas específicas sobre el tratamiento de información clasificada.

(66) Cuando se intercambie, notifique o comparta de cualquiera forma en virtud de las disposiciones de la presente Directiva información que se considere clasificada de acuerdo con el Derecho nacional o de la Unión, deben aplicarse las correspondientes normas específicas sobre el tratamiento de información clasificada. Además, la ENISA debe contar con la infraestructura, los procedimientos y las normas necesarias para tratar la información sensible y clasificada de conformidad con las normas de seguridad aplicables para proteger la información clasificada de la Unión.

Enmienda  67

 

Propuesta de Directiva

Considerando 68

 

Texto de la Comisión

Enmienda

(68) Debe animarse a las entidades a aprovechar colectivamente sus conocimientos y experiencias prácticas individuales a nivel estratégico, táctico y operativo para reforzar sus capacidades a fin de evaluar y realizar un seguimiento de las ciberamenazas, defenderse de ellas y reaccionar en consecuencia. Por consiguiente, es necesario propiciar la creación a nivel de la Unión de mecanismos para los acuerdos voluntarios de intercambio de información. Para ello, los Estados miembros también deben apoyar y alentar activamente a las entidades pertinentes que no estén incluidas en el ámbito de aplicación de la presente Directiva para que participen en tales mecanismos de intercambio de información. El funcionamiento de dichos mecanismos debe ajustarse plenamente a las normas en materia de competencia de la Unión, así como a las normas del Derecho de la Unión relativas a la protección de datos.

(68) Debe animarse a las entidades, con el apoyo de los Estados miembros, para que aprovechen colectivamente sus conocimientos y experiencias prácticas individuales a nivel estratégico, táctico y operativo para reforzar sus capacidades a fin de evaluar y realizar un seguimiento de las ciberamenazas, defenderse de ellas y reaccionar en consecuencia. Por consiguiente, es necesario propiciar la creación a nivel de la Unión de mecanismos para los acuerdos voluntarios de intercambio de información. Para ello, los Estados miembros también deben apoyar y alentar activamente a las entidades pertinentes que no estén incluidas en el ámbito de aplicación de la presente Directiva, como las entidades cuya actividad se centra en los servicios y la investigación en el ámbito de la ciberseguridad, para que participen en tales mecanismos de intercambio de información. El funcionamiento de dichos mecanismos debe ajustarse plenamente a las normas en materia de competencia de la Unión, así como a las normas del Derecho de la Unión relativas a la protección de datos.

Enmienda  68

 

Propuesta de Directiva

Considerando 69

 

Texto de la Comisión

Enmienda

(69) El tratamiento de datos personales, en la medida en que sea estrictamente necesario y proporcionado a efectos de garantizar la seguridad de las redes y de la información por parte de entidades, autoridades públicas, CERT, CSIRT y proveedores de tecnologías y servicios de seguridad, debe constituir un interés legítimo del responsable del tratamiento de que se trate, tal como se contempla en el Reglamento (UE) 2016/679. Ello debe incluir medidas relacionadas con la prevención, la detección y el análisis de incidentes y la respuesta ante estos, medidas para incrementar el conocimiento relacionado con ciberamenazas específicas, el intercambio de información en el contexto de la corrección y divulgación coordinada de las vulnerabilidades, incluido el intercambio voluntario de información sobre dichos incidentes, así como ciberamenazas y vulnerabilidades, indicadores de compromiso, tácticas, técnicas y procedimientos, alertas de ciberseguridad y herramientas de configuración. Dichas medidas pueden requerir el tratamiento de los siguientes tipos de datos personales: direcciones IP, localizadores unificados de recursos (URL), nombres de dominio y direcciones de correo electrónico.

(69) El tratamiento de datos personales, en la medida en que sea estrictamente necesario y proporcionado a efectos de garantizar la seguridad de las redes y de la información por parte de entidades esenciales e importantes, CSIRT y proveedores de tecnologías y servicios de seguridad, es necesario para el cumplimiento de las obligaciones legales previstas en la presente Directiva. Este tratamiento de datos personales también puede ser necesario para la satisfacción de intereses legítimos perseguidos por las entidades esenciales e importantes. Cuando la presente Directiva requiera el tratamiento de datos personales con fines de ciberseguridad y seguridad de las redes y la información, de conformidad con lo dispuesto en los artículos 18, 20 y 23 de la Directiva, dicho tratamiento se considerará necesario para el cumplimiento de una obligación legal, tal como se contempla en el artículo 6, apartado 1, letra c), del Reglamento (UE) 2016/679. A efectos de los artículos 26 y 27 de la presente Directiva, el tratamiento, tal como se contempla en el artículo 6, apartado 1, letra f), del Reglamento (UE) 2016/679, se considera necesario para la satisfacción de intereses legítimos perseguidos por las entidades esenciales e importantes. Las medidas relacionadas con la prevención, la detección, la identificación, la limitación y el análisis de incidentes y la respuesta ante estos, las medidas para incrementar el conocimiento relacionado con ciberamenazas específicas, el intercambio de información en el contexto de la corrección y divulgación coordinada de las vulnerabilidades, incluido el intercambio voluntario de información sobre dichos incidentes, así como ciberamenazas y vulnerabilidades, indicadores de compromiso, tácticas, técnicas y procedimientos, alertas de ciberseguridad y herramientas de configuración, requieren el tratamiento de determinadas categorías de datos personales, como direcciones IP, localizadores unificados de recursos (URL), nombres de dominio, direcciones de correo electrónico, sellos de tiempo, información relacionada con el sistema operativo o el navegador, cookies u otra información que indique el modus operandi.

Enmienda  69

 

Propuesta de Directiva

Considerando 71

 

Texto de la Comisión

Enmienda

(71) A fin de garantizar el cumplimiento efectivo, debe fijarse una lista mínima de sanciones administrativas por la infracción de las obligaciones de gestión de riesgos de ciberseguridad y notificación previstas en la presente Directiva, mediante el establecimiento de un marco claro y coherente para tales sanciones en toda la Unión. Debe prestarse la debida atención a la naturaleza, gravedad y duración de la infracción, los perjuicios o las pérdidas reales originados, o los perjuicios o las pérdidas que podrían haberse originado, la intencionalidad o negligencia en la infracción, las medidas adoptadas para prevenir o paliar los perjuicios o las pérdidas sufridos, el grado de responsabilidad o cualquier infracción anterior pertinente. el grado de cooperación con la autoridad competente y cualquier otra circunstancia agravante o atenuante. La imposición de sanciones, incluidas las multas administrativas, debe estar sujeta a las garantías procesales adecuadas conforme a los principios generales del Derecho de la Unión y de la Carta de los Derechos Fundamentales de la Unión Europea, entre ellas el derecho a la tutela judicial efectiva y a un proceso con todas las garantías.

(71) A fin de garantizar el cumplimiento efectivo, debe fijarse una lista mínima de sanciones administrativas por la infracción de las obligaciones de gestión de riesgos de ciberseguridad y notificación previstas en la presente Directiva, mediante el establecimiento de un marco claro y coherente para tales sanciones en toda la Unión. Debe prestarse la debida atención a la naturaleza, gravedad y duración de la infracción, los perjuicios o las pérdidas originados, la intencionalidad o negligencia en la infracción, las medidas adoptadas para prevenir o paliar los perjuicios o las pérdidas sufridos, el grado de responsabilidad o cualquier infracción anterior pertinente, el grado de cooperación con la autoridad competente y cualquier otra circunstancia agravante o atenuante. Las sanciones, incluidas las multas administrativas, deben ser proporcionadas y su imposición debe estar sujeta a las garantías procesales adecuadas conforme a los principios generales del Derecho de la Unión y de la Carta de los Derechos Fundamentales de la Unión Europea («la Carta»), entre ellas el derecho a la tutela judicial efectiva, a un proceso con todas las garantías y a la presunción de inocencia y los derechos de la defensa.

Enmienda  70

 

Propuesta de Directiva

Considerando 72

 

Texto de la Comisión

Enmienda

(72) A fin de garantizar el cumplimiento efectivo de las obligaciones contempladas en la presente Directiva, cada autoridad competente debe estar facultada para imponer multas administrativas o solicitar su imposición.

(72) A fin de garantizar el cumplimiento efectivo de las obligaciones contempladas en la presente Directiva, cada autoridad competente debe estar facultada para imponer multas administrativas o solicitar su imposición si la infracción se cometió de forma intencionada o con negligencia o si el incumplimiento se había puesto en conocimiento de la entidad.

Enmienda  71

 

Propuesta de Directiva

Considerando 76

 

Texto de la Comisión

Enmienda

(76) Con vistas a reforzar más aun la eficacia y el carácter disuasorio de las sanciones aplicables por la infracción de las obligaciones establecidas en virtud de la presente Directiva, las autoridades competentes deben estar facultadas para aplicar sanciones que consistan en la suspensión de una certificación o autorización referente a una parte o la totalidad de los servicios prestados por una entidad esencial y la imposición de una prohibición temporal de que una persona física ejerza funciones de dirección. Habida cuenta de su gravedad y repercusión en las actividades de las entidades y, en última instancia, en sus consumidores, dichas sanciones deben aplicarse exclusivamente de manera proporcional a la gravedad de la infracción y teniendo en cuenta las circunstancias específicas de cada caso, incluida la intencionalidad o negligencia en la infracción y las medidas adoptadas para prevenir o paliar los daños o perjuicios sufridos. Las sanciones solo deben aplicarse como ultima ratio, es decir, únicamente después de haber agotado el resto de medidas de ejecución pertinentes establecidas por la presente Directiva y exclusivamente por el tiempo hasta que las entidades a las que se aplican adopten las medidas necesarias para subsanar las deficiencias o cumplir los requisitos de la autoridad competente en nombre de la que se aplicaron dichas sanciones. La imposición de tales sanciones estará sujeta a las garantías procesales adecuadas conforme a los principios generales del Derecho de la Unión y de la Carta de los Derechos Fundamentales de la Unión Europea, entre ellas el derecho a la tutela judicial efectiva, a la presunción de inocencia y a un proceso con todas las garantías.

(76) Con vistas a reforzar más aun la eficacia y el carácter disuasorio de las sanciones aplicables por la infracción de las obligaciones establecidas en virtud de la presente Directiva, las autoridades competentes deben estar facultadas para proceder a la suspensión temporal de una certificación o autorización referente a una parte o la totalidad de los servicios pertinentes prestados por una entidad esencial y a la petición de imposición de una prohibición temporal de que una persona física ejerza funciones de dirección a nivel de director general o representante legal. Los Estados miembros deben establecer procedimientos y normas que se refieran específicamente a la prohibición temporal del ejercicio de funciones de dirección por parte de una persona física a nivel de director general o representante legal en entidades de la Administración pública. En el proceso de establecimiento de dichos procedimientos y normas, los Estados miembros deben tener en cuenta las particularidades de los niveles y sistemas de gobernanza en sus Administraciones públicas. Habida cuenta de su gravedad y repercusión en las actividades de las entidades y, en última instancia, en sus consumidores, dichas suspensiones o prohibiciones temporales deben aplicarse exclusivamente de manera proporcional a la gravedad de la infracción y teniendo en cuenta las circunstancias específicas de cada caso, incluida la intencionalidad o negligencia en la infracción y las medidas adoptadas para prevenir o paliar los daños o perjuicios sufridos. Las suspensiones o prohibiciones temporales solo deben aplicarse como ultima ratio, es decir, únicamente después de haber agotado el resto de medidas de ejecución pertinentes establecidas por la presente Directiva y exclusivamente por el tiempo hasta que las entidades a las que se aplican adopten las medidas necesarias para subsanar las deficiencias o cumplir los requisitos de la autoridad competente en nombre de la que se aplicaron dichas suspensiones o prohibiciones temporales. La imposición de tales suspensiones o prohibiciones temporales estará sujeta a las garantías procesales adecuadas conforme a los principios generales del Derecho de la Unión y de la Carta, entre ellas el derecho a la tutela judicial efectiva, a la presunción de inocencia y a un proceso con todas las garantías.

Enmienda  72

 

Propuesta de Directiva

Considerando 79

 

Texto de la Comisión

Enmienda

(79) Debe introducirse un mecanismo de revisión interpares que permita que los expertos designados por los Estados miembros evalúen la aplicación de las políticas de ciberseguridad, incluido el nivel de capacidades y recursos disponibles de los Estados miembros.

(79) Debe introducirse un mecanismo de revisión interpares que permita que los expertos independientes designados por los Estados miembros evalúen la aplicación de las políticas de ciberseguridad, incluido el nivel de capacidades y recursos disponibles de los Estados miembros. Las revisiones interpares pueden ofrecer valiosas observaciones y recomendaciones que refuercen las capacidades generales de ciberseguridad. En particular, pueden contribuir a facilitar la transferencia de tecnologías, herramientas, medidas y procesos entre los Estados miembros que participan en la revisión interpares, creando un cauce funcional para el intercambio de mejores prácticas entre Estados miembros con diferentes niveles de madurez en materia de ciberseguridad y permitiendo la consecución de un elevado nivel común de ciberseguridad en toda la Unión. La revisión interpares debe ir precedida de una autoevaluación por parte del Estado miembro objeto de la revisión, que abarque los aspectos examinados y cualquier otra cuestión específica comunicada por los expertos designados a dicho Estado miembro antes del inicio del proceso. La Comisión, en cooperación con la ENISA y el Grupo de Cooperación, debe elaborar plantillas de autoevaluación de los aspectos revisados con el fin de agilizar el proceso y evitar incoherencias y retrasos en los procedimientos, plantillas que los Estados miembros sometidos a la revisión interpares deben cumplimentar y entregar a los expertos designados que lleven a cabo la revisión interpares antes del inicio del proceso de revisión.

Enmienda  73

 

Propuesta de Directiva

Considerando 80

 

Texto de la Comisión

Enmienda

(80) A fin de tener en cuenta ciberamenazas nuevas, la evolución tecnológica o las especificidades sectoriales, procede delegar en la Comisión la facultad de adoptar actos de conformidad con el artículo 290 del TFUE por lo que respecta a los elementos asociados a las medidas de gestión de riesgos requeridas por la presente Directiva. Asimismo, la Comisión debe estar facultada para adoptar actos delegados que establezcan qué categorías de entidades esenciales estarán obligadas a obtener una certificación y en virtud de qué esquemas europeos de certificación de la ciberseguridad específicos. Reviste especial importancia que la Comisión lleve a cabo las consultas oportunas durante la fase preparatoria, en particular con expertos, y que esas consultas se realicen de conformidad con los principios establecidos en el Acuerdo Interinstitucional sobre la Mejora de la Legislación de 13 de abril de 201626. En particular, a fin de garantizar una participación equitativa en la preparación de los actos delegados, el Parlamento Europeo y el Consejo reciben toda la documentación al mismo tiempo que los expertos de los Estados miembros, y sus expertos tienen acceso sistemáticamente a las reuniones de los grupos de expertos de la Comisión que se ocupen de la preparación de actos delegados.

(80) A fin de tener en cuenta ciberamenazas nuevas, la evolución tecnológica o las especificidades sectoriales, procede delegar en la Comisión la facultad de adoptar actos de conformidad con el artículo 290 del TFUE por lo que respecta a los elementos asociados a las medidas de gestión de riesgos de ciberseguridad y las obligaciones de notificación requeridas por la presente Directiva. Asimismo, la Comisión debe estar facultada para adoptar actos delegados que establezcan qué categorías de entidades esenciales e importantes estarán obligadas a obtener una certificación y en virtud de qué esquemas europeos de certificación de la ciberseguridad específicos. Reviste especial importancia que la Comisión lleve a cabo las consultas oportunas durante la fase preparatoria, en particular con expertos, y que esas consultas se realicen de conformidad con los principios establecidos en el Acuerdo Interinstitucional sobre la Mejora de la Legislación de 13 de abril de 2016. En particular, a fin de garantizar una participación equitativa en la preparación de los actos delegados, el Parlamento Europeo y el Consejo reciben toda la documentación al mismo tiempo que los expertos de los Estados miembros, y sus expertos tienen acceso sistemáticamente a las reuniones de los grupos de expertos de la Comisión que se ocupen de la preparación de actos delegados.

__________________

 

26 DO L 123 de 12.5.2016, p. 1.

 

Enmienda  74

 

Propuesta de Directiva

Considerando 81

 

Texto de la Comisión

Enmienda

(81) A fin de garantizar condiciones uniformes de ejecución de las disposiciones pertinentes de la presente Directiva sobre las disposiciones de procedimiento necesarias para el funcionamiento del Grupo de Cooperación, los elementos técnicos relacionados con las medidas de gestión de riesgos o el tipo de información, el formato y el procedimiento de las notificaciones de los incidentes, deben conferirse a la Comisión competencias de ejecución. Dichas competencias deben ejercerse de conformidad con el Reglamento (UE) n.º 182/2011 del Parlamento Europeo y del Consejo27.

(81) A fin de garantizar condiciones uniformes de ejecución de las disposiciones pertinentes de la presente Directiva sobre las disposiciones de procedimiento necesarias para el funcionamiento del Grupo de Cooperación y el procedimiento de las notificaciones de los incidentes, deben conferirse a la Comisión competencias de ejecución. Dichas competencias deben ejercerse de conformidad con el Reglamento (UE) n.º 182/2011 del Parlamento Europeo y del Consejo27.

__________________

__________________

27 Reglamento (UE) n.º 182/2011 del Parlamento Europeo y del Consejo, de 16 de febrero de 2011, por el que se establecen las normas y los principios generales relativos a las modalidades de control por parte de los Estados miembros del ejercicio de las competencias de ejecución por la Comisión (DO L 55 de 28.2.2011, p. 13).

27 Reglamento (UE) n.º 182/2011 del Parlamento Europeo y del Consejo, de 16 de febrero de 2011, por el que se establecen las normas y los principios generales relativos a las modalidades de control por parte de los Estados miembros del ejercicio de las competencias de ejecución por la Comisión (DO L 55 de 28.2.2011, p. 13).

Enmienda  75

 

Propuesta de Directiva

Considerando 82

 

Texto de la Comisión

Enmienda

(82) La Comisión debe revisar periódicamente lo dispuesto en la presente Directiva, en consulta con las partes interesadas, en particular para determinar si se precisa alguna modificación a raíz de cambios en la situación social, política, de la tecnología o el mercado.

(82) La Comisión debe revisar periódicamente lo dispuesto en la presente Directiva, en consulta con las partes interesadas, en particular para determinar si resulta conveniente proponer modificaciones a raíz de cambios en la situación social, política, de la tecnología o el mercado. Como parte de esas revisiones, la Comisión debe evaluar la importancia de los sectores, los subsectores y los tipos de entidades a que se refieren los anexos para el funcionamiento de la economía y la sociedad por lo que respecta a la ciberseguridad. La Comisión debe evaluar, entre otras aspectos, si los proveedores de servicios digitales clasificados como plataformas en línea de muy gran tamaño en el sentido del artículo 25 del Reglamento (UE) XXXX/XXXX [Mercado único para los servicios digitales (Ley de Servicios Digitales)] o como guardianes de acceso tal como se definen en el artículo 2, punto 1, del Reglamento (UE) XXXX/XXXX [Mercados disputables y equitativos en el sector digital (Ley de Mercados Digitales)] deben ser designados como entidades esenciales con arreglo a la presente Directiva. Además, la Comisión debe evaluar si conviene modificar el anexo I de la Directiva 2020/1828 del Parlamento Europeo y del Consejo1bis para añadir una referencia a la presente Directiva.

 

__________________

 

1 bis Directiva (UE) 2020/1828 del Parlamento Europeo y del Consejo, de 25 de noviembre de 2020, relativa a las acciones de representación para la protección de los intereses colectivos de los consumidores, y por la que se deroga la Directiva 2009/22/CE (DO L 409 de 4.12.2020, p. 1).

Enmienda  76 

Propuesta de Directiva

Considerando 82 bis (nuevo)

 

Texto de la Comisión

Enmienda

 

(82 bis) La presente Directiva establece requisitos en materia de ciberseguridad para los Estados miembros, así como para las entidades esenciales e importantes establecidas en la Unión. Estos requisitos de ciberseguridad también deben ser aplicados por las instituciones, órganos y organismos de la Unión sobre la base de un acto legislativo de la Unión.

Enmienda  77

 

Propuesta de Directiva

Considerando 82 ter (nuevo)

 

Texto de la Comisión

Enmienda

 

(82 ter) La presente Directiva crea nuevos cometidos para la ENISA, reforzando así su papel, y también podría dar lugar a que la ENISA tenga que desempeñar los cometidos que actualmente le atribuye el Reglamento (UE) 2019/881 con un mayor nivel de exigencia. A fin de garantizar que la ENISA disponga de los recursos financieros y humanos necesarios para llevar a cabo sus cometidos actuales y sus nuevos cometidos, así como para cumplir el mayor nivel de exigencia que pueda resultar de su papel reforzado, debe incrementarse su presupuesto en consecuencia. Además, a fin de garantizar un uso eficiente de los recursos, la ENISA debe tener mayor flexibilidad en la forma en que se le permite asignar recursos internamente, de modo que pueda desempeñar sus cometidos y satisfacer las expectativas de manera eficaz.

Enmienda  78

 

Propuesta de Directiva

Considerando 84

 

Texto de la Comisión

Enmienda

(84) La presente Directiva observa los derechos fundamentales y los principios reconocidos por la Carta de los Derechos Fundamentales de la Unión Europea, en particular, el derecho al respeto de la vida privada y las comunicaciones, el derecho a la protección de los datos de carácter personal, la libertad de empresa, el derecho a la propiedad, el derecho a una tutela judicial efectiva y el derecho a ser oído. La presente Directiva debe aplicarse con arreglo a esos derechos y principios.

(84) La presente Directiva observa los derechos fundamentales y los principios reconocidos por la Carta, en particular, el derecho al respeto de la vida privada y las comunicaciones, el derecho a la protección de los datos de carácter personal, la libertad de empresa, el derecho a la propiedad, el derecho a una tutela judicial efectiva y el derecho a ser oído. Esto incluye el derecho de los destinatarios de los servicios prestados por entidades esenciales e importantes a interponer un recurso efectivo ante un órgano jurisdiccional. La presente Directiva debe aplicarse de conformidad con estos derechos y principios.

Enmienda  79

 

Propuesta de Directiva

Artículo 1 – apartado 2 – letra c bis (nueva)

 

Texto de la Comisión

Enmienda

 

c bis) establece obligaciones de supervisión y ejecución para los Estados miembros.

Enmienda  80

 

Propuesta de Directiva

Artículo 2 – apartado 1

 

Texto de la Comisión

Enmienda

1. La presente Directiva se aplicará a las entidades públicas y privadas cuyo tipo se enmarque en el de las entidades esenciales del anexo I y en el de las entidades importantes del anexo II. La presente Directiva no se aplicará a las entidades que se consideren microempresas o pequeñas empresas en el sentido de la Recomendación 2003/361/CE de la Comisión28.

1. La presente Directiva se aplicará a las entidades esenciales e importantes tanto públicas como privadas cuyo tipo se enmarque en el de las entidades esenciales del anexo I y en el de las entidades importantes del anexo II y que presten sus servicios o lleven a cabo sus actividades dentro de la Unión. La presente Directiva no se aplicará a las pequeñas empresas o microempresas en el sentido del artículo 2, apartados 2 y 3, del anexo de la Recomendación 2003/361/CE de la Comisión28. No será de aplicación el artículo 3, apartado 4, del anexo de dicha Recomendación.

__________________

__________________

28 Recomendación 2003/361/CE de la Comisión, de 6 de mayo de 2003, sobre la definición de microempresas, pequeñas y medianas empresas (DO L 124 de 20.5.2003, p. 36).

28 Recomendación 2003/361/CE de la Comisión, de 6 de mayo de 2003, sobre la definición de microempresas, pequeñas y medianas empresas (DO L 124 de 20.5.2003, p. 36).

Enmienda  81

 

Propuesta de Directiva

Artículo 2 – apartado 2 – párrafo 1 – parte introductoria

 

Texto de la Comisión

Enmienda

No obstante lo dispuesto, independientemente de su tamaño, la presente Directiva también se aplicará a las entidades contempladas en los anexos I y II cuando:

Independientemente de su tamaño, la presente Directiva también se aplicará a las entidades esenciales e importantes cuando:

Enmienda  82

 

Propuesta de Directiva

Artículo 2 – apartado 2 – párrafo 1 – letra d

 

Texto de la Comisión

Enmienda

d) una posible perturbación del servicio prestado por la entidad pudiera tener repercusiones sobre la seguridad pública, el orden público o la salud pública;

d) una perturbación del servicio prestado por la entidad pudiera tener repercusiones sobre la seguridad pública, el orden público o la salud pública;

Enmienda  83

 

Propuesta de Directiva

Artículo 2 – apartado 2 – párrafo 1 – letra e

 

Texto de la Comisión

Enmienda

e) una posible perturbación del servicio prestado por la entidad pudiera inducir riesgos sistémicos, en particular para los sectores en los que tal perturbación podría tener repercusiones de carácter transfronterizo;

e) una perturbación del servicio prestado por la entidad pudiera inducir riesgos sistémicos, en particular para los sectores en los que tal perturbación podría tener repercusiones de carácter transfronterizo;

Enmienda  84

 

Propuesta de Directiva

Artículo 2 – apartado 2 – párrafo 2

 

Texto de la Comisión

Enmienda

Los Estados miembros establecerán una lista de las entidades identificadas al amparo de las letras b) a f) y la presentarán a la Comisión en el plazo de [seis meses después del plazo de transposición]. Posteriormente, los Estados miembros revisarán periódicamente la lista, al menos cada dos años, y la actualizarán cuando proceda.

suprimido

Enmienda  85

 

Propuesta de Directiva

Artículo 2 – apartado 2 bis (nuevo)

 

Texto de la Comisión

Enmienda

 

2 bis. A más tardar, el ... [6 meses después de la fecha límite de transposición], los Estados miembros elaborarán una lista de entidades esenciales e importantes, incluidas las entidades a que se refiere el apartado 1 y las entidades determinadas con arreglo al apartado 2, letras b) a f), y al artículo 24, apartado 1. Posteriormente, los Estados miembros revisarán la lista con regularidad y al menos cada dos años y la actualizarán cuando proceda.

Enmienda  86

 

Propuesta de Directiva

Artículo 2 – apartado 2 ter (nuevo)

 

Texto de la Comisión

Enmienda

 

2 ter. Los Estados miembros velarán por que las entidades esenciales e importantes presenten al menos la siguiente información a las autoridades competentes:

 

a) el nombre de la entidad;

 

b) la dirección y los datos de contacto actualizados, incluidas las direcciones de correo electrónico, los rangos IP, los números de teléfono; y

 

c) el sector o sectores y el subsector o subsectores pertinentes a que se refieren los anexos I y II.

 

Las entidades esenciales e importantes notificarán sin demora cualquier cambio en la información presentada con arreglo al párrafo primero y, en cualquier caso, en el plazo de dos semanas desde la fecha en que se produjo el cambio. A tal fin, la Comisión, con la asistencia de la ENISA, publicará sin demora indebida directrices y plantillas relativas a las obligaciones establecidas en el presente apartado.

Enmienda  87

 

Propuesta de Directiva

Artículo 2 – apartado 2 quater (nuevo)

 

Texto de la Comisión

Enmienda

 

2 quater. A más tardar el... [6 meses después de la fecha límite de transposición] y posteriormente cada dos años, los Estados miembros notificarán:

 

a) a la Comisión y al Grupo de Cooperación, el número de todas las entidades esenciales e importantes determinadas en cada sector y subsector a que se refieren los anexos I y II, y

 

b) a la Comisión, los nombres de las entidades determinadas con arreglo al apartado 2, letras b) a f).

Enmienda  88

 

Propuesta de Directiva

Artículo 2 – apartado 4

 

Texto de la Comisión

Enmienda

4. La presente Directiva se entenderá sin perjuicio de la Directiva 2008/114/CE del Consejo30 y las Directivas 2011/93/UE31 y 2013/40/UE32 del Parlamento Europeo y del Consejo.

4. La presente Directiva se entenderá sin perjuicio de la Directiva 2008/114/CE del Consejo30 y las Directivas 2011/93/UE31, 2013/40/UE32 y 2002/58/CE32 bis del Parlamento Europeo y del Consejo.

__________________

__________________

30 Directiva 2008/114/CE del Consejo, de 8 de diciembre de 2008, sobre la identificación y designación de infraestructuras críticas europeas y la evaluación de la necesidad de mejorar su protección (DO L 345 de 23.12.2008, p. 75).

30 Directiva 2008/114/CE del Consejo, de 8 de diciembre de 2008, sobre la identificación y designación de infraestructuras críticas europeas y la evaluación de la necesidad de mejorar su protección (DO L 345 de 23.12.2008, p. 75).

31 Directiva 2011/93/UE del Parlamento Europeo y del Consejo, de 13 de diciembre de 2011, relativa a la lucha contra los abusos sexuales y la explotación sexual de los menores y la pornografía infantil y por la que se sustituye la Decisión marco 2004/68/JAI del Consejo (DO L 335 de 17.12.2011, p. 1).

31 Directiva 2011/93/UE del Parlamento Europeo y del Consejo, de 13 de diciembre de 2011, relativa a la lucha contra los abusos sexuales y la explotación sexual de los menores y la pornografía infantil y por la que se sustituye la Decisión marco 2004/68/JAI del Consejo (DO L 335 de 17.12.2011, p. 1).

32 Directiva 2013/40/UE del Parlamento Europeo y del Consejo, de 12 de agosto de 2013, relativa a los ataques contra los sistemas de información y por la que se sustituye la Decisión marco 2005/222/JAI del Consejo (DO L 218 de 14.8.2013, p. 8).

32 Directiva 2013/40/UE del Parlamento Europeo y del Consejo, de 12 de agosto de 2013, relativa a los ataques contra los sistemas de información y por la que se sustituye la Decisión marco 2005/222/JAI del Consejo (DO L 218 de 14.8.2013, p. 8).

 

32 bis Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas) (DO L 201 de 31.7.2002, p. 37).

Enmienda  89

 

Propuesta de Directiva

Artículo 2 – apartado 6

 

Texto de la Comisión

Enmienda

6. Cuando las disposiciones de un acto jurídico de la Unión de carácter sectorial exijan que las entidades esenciales o importantes adopten medidas para la gestión de riesgos de ciberseguridad o notifiquen los incidentes o las ciberamenazas significativas y dichos requisitos tengan un efecto al menos equivalente al de las obligaciones establecidas en la presente Directiva, no se aplicarán las disposiciones pertinentes de la presente Directiva, incluidas las relativas a la supervisión y la ejecución recogidas en el capítulo VI.

6. Cuando las disposiciones de un acto jurídico de la Unión de carácter sectorial exijan que las entidades esenciales o importantes adopten medidas para la gestión de riesgos de ciberseguridad o notifiquen incidentes y dichos requisitos tengan un efecto al menos equivalente al de las obligaciones establecidas en la presente Directiva, no se aplicarán las disposiciones pertinentes de la presente Directiva, incluidas las relativas a la supervisión y la ejecución recogidas en el capítulo VI. La Comisión publicará sin demora indebida directrices para la aplicación de los actos del Derecho de la Unión de carácter sectorial a fin de garantizar que dichos actos cumplan los requisitos de ciberseguridad establecidos en la presente Directiva y que no existan solapamientos ni inseguridad jurídica. Al elaborar dichas directrices, la Comisión tomará en cuenta las buenas prácticas y los conocimientos especializados de la ENISA y del Grupo de Cooperación.

Enmienda  90

 

Propuesta de Directiva

Artículo 2 – apartado 6 bis (nuevo)

 

Texto de la Comisión

Enmienda

 

6 bis. Las entidades esenciales e importantes, los CSIRT y los proveedores de tecnologías y servicios de seguridad tratarán los datos personales, en la medida estrictamente necesaria y de forma proporcionada habida cuenta de los fines de ciberseguridad perseguidos y la seguridad de las redes y de la información, al objeto de cumplir las obligaciones establecidas en la presente Directiva. El tratamiento de datos personales con arreglo a la presente Directiva se llevará a cabo de conformidad con el Reglamento (UE) 2016/679/CE, y en particular con su artículo 6.

Enmienda  91

 

Propuesta de Directiva

Artículo 2 – apartado 6 ter (nuevo)

 

Texto de la Comisión

Enmienda

 

6 ter. El tratamiento de datos personales con arreglo a la presente Directiva por parte de los proveedores de redes públicas de comunicaciones electrónicas o los proveedores de servicios de comunicaciones electrónicas disponibles para el público a que se refiere el anexo I, punto 8, se llevarán a cabo de conformidad con la Directiva 2002/58/CE.

Enmienda  92

 

Propuesta de Directiva

Artículo 4 – párrafo 1 – punto 4 bis (nuevo)

 

Texto de la Comisión

Enmienda

 

4 bis) «cuasiincidente»: hecho que podría haber comprometido la disponibilidad, autenticidad, integridad o confidencialidad de los datos, o podría haber causado un perjuicio, pero al que se impidió producir sus efectos negativos;

Enmienda  93

 

Propuesta de Directiva

Artículo 4 – párrafo 1 – punto 6

 

Texto de la Comisión

Enmienda

(6) «gestión de incidentes»: conjunto de medidas y procedimientos destinados a detectar, analizar y limitar un incidente y responder ante este;

(6) «gestión de incidentes»: conjunto de medidas y procedimientos destinados a prevenir, detectar, analizar y limitar un incidente y responder ante este;

Enmienda  94

 

Propuesta de Directiva

Artículo 4 – párrafo 1 – punto 7 bis (nuevo)

 

Texto de la Comisión

Enmienda

 

7 bis) «riesgo»: la posible pérdida o perturbación causada por un incidente expresada como una combinación de la magnitud de tal pérdida o perturbación y la probabilidad de que se produzca dicho incidente;

Enmienda  95

 

Propuesta de Directiva

Artículo 4 – párrafo 1 – punto 11

 

Texto de la Comisión

Enmienda

(11) «especificación técnica»: una especificación técnica en el sentido del artículo 2, punto 4, del Reglamento (UE) n.º 1025/2012;

(11) «especificación técnica»: una especificación técnica tal como se define en el artículo 2, punto 20, del Reglamento (UE) n.º 2019/881;

Enmienda  96

 

Propuesta de Directiva

Artículo 4 – párrafo 1 – punto 13

 

Texto de la Comisión

Enmienda

(13) «sistema de nombres de dominio (DNS)»: un sistema de nombres distribuido jerárquicamente que permite a los usuarios finales acceder a los servicios y recursos de internet;

(13) «sistema de nombres de dominio (DNS)»: un sistema de nombres distribuido jerárquicamente que posibilita la identificación de servicios y recursos de internet, permitiendo a los dispositivos de los usuarios finales utilizar servicios de encaminamiento y conectividad de internet para acceder a dichos servicios y recursos;

Enmienda  97

 

Propuesta de Directiva

Artículo 4 – párrafo 1 – punto 14

 

Texto de la Comisión

Enmienda

(14) «proveedor de servicios de DNS»: una entidad que presta servicios de resolución recursiva o autoritativa de nombres de dominio a los usuarios finales de internet y a otros proveedores de servicios de DNS;

(14) «proveedor de servicios de DNS»: una entidad que presta:

Enmienda  98

 

Propuesta de Directiva

Artículo 4 – párrafo 1 – punto 14 – letra a bis (nueva)

 

Texto de la Comisión

Enmienda

 

a) servicios abiertos y públicos de resolución recursiva de nombres de dominio a los usuarios finales de internet; o

Enmienda  99

 

Propuesta de Directiva

Artículo 4 – párrafo 1 – punto 14 – letra b bis (nueva)

 

Texto de la Comisión

Enmienda

 

b) servicios de resolución autoritativa de nombres de dominio como servicio que pueden contratar entidades terceras;

Enmienda  100

 

Propuesta de Directiva

Artículo 4 – párrafo 1 – punto 15

 

Texto de la Comisión

Enmienda

(15) una entidad en la que se ha delegado un dominio de primer nivel específico y que es responsable de administrar dicho dominio, incluido el registro de nombres de dominio en el dominio de primer nivel y el funcionamiento técnico del dominio de primer nivel, en particular la explotación de sus servidores de nombre, el mantenimiento de sus bases de datos y la distribución de los archivos de zona del dominio de primer nivel entre los servidores de nombre;

(15) «registro de nombres de dominio de primer nivel»: una entidad en la que se ha delegado un dominio de primer nivel específico y que es responsable de administrar dicho dominio, incluido el registro de nombres de dominio en el dominio de primer nivel y el funcionamiento técnico del dominio de primer nivel, en particular la explotación de sus servidores de nombre, el mantenimiento de sus bases de datos y la distribución de los archivos de zona del dominio de primer nivel entre los servidores de nombre, independientemente de que cualquiera de esas operaciones sea realizada por la entidad o se haya externalizado;

Enmienda  101

 

Propuesta de Directiva

Artículo 4 – párrafo 1 – punto 15 bis (nuevo)

 

Texto de la Comisión

Enmienda

 

15 bis) «servicios de registro de nombres de dominio»: servicios prestados por registros y registradores de nombres de dominio, proveedores de servicios de privacidad o representación (proxy) en esta materia, intermediarios o revendedores de dominios, y cualquier otro servicio relacionado con el registro de nombres de dominio;

Enmienda  102

 

Propuesta de Directiva

Artículo 4 – párrafo 1 – punto 23 bis (nuevo)

 

Texto de la Comisión

Enmienda

 

23 bis) «red pública de comunicaciones electrónicas»: una red pública de comunicaciones electrónicas tal como se define en el artículo 2, punto 8, de la Directiva (UE) 2018/1972;

Enmienda  103

 

Propuesta de Directiva

Artículo 4 – párrafo 1 – punto 23 ter (nuevo)

 

Texto de la Comisión

Enmienda

 

23 ter) «servicio de comunicaciones electrónicas»: un servicio de comunicaciones electrónicas tal como se define en el artículo 2, punto 4, de la Directiva (UE) 2018/1972;

Enmienda  104

 

Propuesta de Directiva

Artículo 5 – apartado 1 – parte introductoria

 

Texto de la Comisión

Enmienda

1. Cada Estado miembro adoptará una estrategia nacional de ciberseguridad en la que se establecerán los objetivos estratégicos y las medidas políticas y normativas adecuadas con objeto de alcanzar y mantener un elevado nivel de ciberseguridad. La estrategia nacional de ciberseguridad incluirá, en particular, los aspectos siguientes:

1. Cada Estado miembro adoptará una estrategia nacional de ciberseguridad en la que se establecerán los objetivos estratégicos, los recursos técnicos, organizativos y financieros necesarios para alcanzar dichos objetivos, y las medidas políticas y normativas adecuadas con objeto de alcanzar y mantener un elevado nivel de ciberseguridad. La estrategia nacional de ciberseguridad incluirá, en particular, los aspectos siguientes:

Enmienda  105

 

Propuesta de Directiva

Artículo 5 – apartado 1 – letra a

 

Texto de la Comisión

Enmienda

a) una definición de los objetivos y las prioridades de la estrategia de ciberseguridad de los Estados miembros;

a) una definición de los objetivos y las prioridades de la estrategia de ciberseguridad del Estado miembro;

Enmienda  106

 

Propuesta de Directiva

Artículo 5 – apartado 1 – letra b

 

Texto de la Comisión

Enmienda

b) un marco de gobernanza para lograr dichos objetivos y prioridades, incluidas las políticas a que se refiere el apartado 2 y las funciones y responsabilidades de las entidades y los organismos públicos y de los demás actores pertinentes;

b) un marco de gobernanza para lograr dichos objetivos y prioridades, incluidas las políticas a que se refiere el apartado 2;

Enmienda  107

 

Propuesta de Directiva

Artículo 5 – apartado 1 – letra b bis (nueva)

 

Texto de la Comisión

Enmienda

 

b bis) un marco para asignar las funciones y responsabilidades de los organismos y entidades públicos y de los demás actores pertinentes, en el que se base la cooperación y la coordinación, a nivel nacional, entre las autoridades competentes designadas con arreglo al artículo 7, apartado 1, y al artículo 8, apartado 1, el punto de contacto único designado con arreglo al artículo 8, apartado 3, y los CSIRT designados con arreglo al artículo 9;

Enmienda  108

 

Propuesta de Directiva

Artículo 5 – apartado 1 – letra e

 

Texto de la Comisión

Enmienda

e) una lista de los diversos actores y autoridades que participan en la ejecución de la estrategia nacional de ciberseguridad;

e) una lista de los diversos actores y autoridades que participan en la ejecución de la estrategia nacional de ciberseguridad, incluido un punto de contacto único en materia de ciberseguridad para las pymes que les apoye en la aplicación de medidas de ciberseguridad específicas;

Enmienda  109

 

Propuesta de Directiva

Artículo 5 – apartado 1 – letra f

 

Texto de la Comisión

Enmienda

f) un marco político para la coordinación reforzada entre las autoridades competentes en virtud de la presente Directiva y la Directiva (UE) XXXX/XXXX del Parlamento Europeo y del Consejo38 [Directiva sobre la resiliencia de las entidades críticas] a efectos del intercambio de información sobre incidentes y ciberamenazas y el ejercicio de las tareas de supervisión.

f) un marco político para la coordinación reforzada entre las autoridades competentes en virtud de la presente Directiva y la Directiva (UE) XXXX/XXXX del Parlamento Europeo y del Consejo38 [Directiva sobre la resiliencia de las entidades críticas], tanto dentro de los Estados miembros como entre ellos, a efectos del intercambio de información sobre incidentes y ciberamenazas y el ejercicio de las tareas de supervisión.

__________________

__________________

38 [insértese el título completo y la referencia de publicación en el DO cuando se conozcan].

38 [insértese el título completo y la referencia de publicación en el DO cuando se conozcan].

Enmienda  110

 

Propuesta de Directiva

Artículo 5 – apartado 1 – letra f bis (nueva)

 

Texto de la Comisión

Enmienda

 

f bis) una evaluación del nivel general de concienciación de los ciudadanos en materia de ciberseguridad.

Enmienda  111

 

Propuesta de Directiva

Artículo 5 – apartado 2 – letra a bis (nueva)

 

Texto de la Comisión

Enmienda

 

-a) una política que aborde la ciberseguridad en cada sector cubierto por la presente Directiva;

Enmienda  112

 

Propuesta de Directiva

Artículo 5 – apartado 2 – letra b

 

Texto de la Comisión

Enmienda

b) directrices relativas a la inclusión y especificación de los requisitos en materia de ciberseguridad aplicables a los productos y servicios de TIC en la contratación pública;

b) directrices relativas a la inclusión y especificación de los requisitos en materia de ciberseguridad aplicables a los productos y servicios de TIC en la contratación pública, incluidos requisitos de cifrado y el uso de productos de ciberseguridad de código abierto;

Enmienda  113

 

Propuesta de Directiva

Artículo 5 – apartado 2 – letra d

 

Texto de la Comisión

Enmienda

d) una política orientada a mantener la disponibilidad general y la integridad del núcleo público de la internet abierta;

d) una política orientada a mantener la disponibilidad general y la integridad del núcleo público de la internet abierta, incluida la ciberseguridad de los cables de comunicaciones submarinos;

Enmienda  114

 

Propuesta de Directiva

Artículo 5 – apartado 2 – letra d bis (nueva)

 

Texto de la Comisión

Enmienda

 

d bis) una política para promover y apoyar el desarrollo y la integración de tecnologías emergentes, como la inteligencia artificial, en las herramientas y aplicaciones que aumentan la ciberseguridad;

Enmienda  115

 

Propuesta de Directiva

Artículo 5 – apartado 2 – letra d ter (nueva)

 

Texto de la Comisión

Enmienda

 

d ter) una política para promover la integración de herramientas y aplicaciones de código abierto;

Enmienda  116

 

Propuesta de Directiva

Artículo 5 – apartado 2 – letra f

 

Texto de la Comisión

Enmienda

f) una política destinada a prestar apoyo a las instituciones académicas y de investigación para que desarrollen herramientas de ciberseguridad e infraestructuras de red seguras;

f) una política destinada a prestar apoyo a las instituciones académicas y de investigación para el desarrollo, la mejora y la implantación de herramientas de ciberseguridad e infraestructuras de red seguras;

Enmienda  117

 

Propuesta de Directiva

Artículo 5 – apartado 2 – letra h

 

Texto de la Comisión

Enmienda

h) una política que atienda a las necesidades específicas de las pymes, especialmente de las excluidas del ámbito de aplicación de la presente Directiva, por lo que respecta a orientaciones y apoyo para mejorar su resiliencia frente a las amenazas de ciberseguridad.

h) una política que promueva la ciberseguridad de las pymes, incluso las excluidas del ámbito de aplicación de la presente Directiva, atendiendo a sus necesidades específicas y ofreciendo orientaciones y apoyo de fácil acceso, incluidas orientaciones para afrontar problemas en la cadena de suministro;

Enmienda  118

 

Propuesta de Directiva

Artículo 5 – apartado 2 – letra h bis (nueva)

 

Texto de la Comisión

Enmienda

 

h bis) una política de fomento de la ciberhigiene que incluya un conjunto básico de prácticas y controles y mejore la concienciación general de los ciudadanos sobre la ciberseguridad por lo que respecta a las amenazas y las mejores prácticas en materia de ciberseguridad;

Enmienda  119

 

Propuesta de Directiva

Artículo 5 – apartado 2 – letra h ter (nueva)

 

Texto de la Comisión

Enmienda

 

h ter) una política de fomento de la ciberdefensa activa;

Enmienda  120

 

Propuesta de Directiva

Artículo 5 – apartado 2 – letra h quater (nueva)

 

Texto de la Comisión

Enmienda

 

h quater) una política que ayude a las autoridades a desarrollar competencias y comprender las consideraciones de seguridad necesarias para diseñar, construir y gestionar los lugares conectados;

Enmienda  121

 

Propuesta de Directiva

Artículo 5 – apartado 2 – letra h quinquies (nueva)

 

Texto de la Comisión

Enmienda

 

h quinquies) una política que aborde específicamente la amenaza de los programas de secuestro e imposibilite el modelo de negocio de estos programas;

Enmienda  122

 

Propuesta de Directiva

Artículo 5 – apartado 2 – letra h sexies (nueva)

 

Texto de la Comisión

Enmienda

 

h sexies) una política, incluidos los procedimientos y marcos de gobernanza pertinentes, para apoyar y promover el establecimiento de asociaciones público-privadas en materia de ciberseguridad.

Enmienda  123

 

Propuesta de Directiva

Artículo 5 – apartado 3

 

Texto de la Comisión

Enmienda

3. Los Estados miembros notificarán sus estrategias nacionales de ciberseguridad a la Comisión en el plazo de tres meses a partir de su adopción. Los Estados miembros podrán excluir información específica de la notificación cuando y en la medida en que sea estrictamente necesario para preservar la seguridad nacional.

3. Los Estados miembros notificarán sus estrategias nacionales de ciberseguridad a la Comisión en el plazo de tres meses a partir de su adopción. Los Estados miembros podrán excluir información específica de la notificación cuando y en la medida en que sea necesario para preservar la seguridad nacional.

Enmienda  124

 

Propuesta de Directiva

Artículo 5 – apartado 4

 

Texto de la Comisión

Enmienda

4. Los Estados miembros evaluarán sus estrategias nacionales de ciberseguridad al menos cada cuatro años en función de unos indicadores de rendimiento clave y las modificarán cuando proceda. La Agencia de la Unión Europea para la Ciberseguridad (ENISA) prestará asistencia a los Estados miembros, cuando así lo soliciten, a la hora de elaborar una estrategia nacional y los indicadores de rendimiento clave para su evaluación.

4. Los Estados miembros evaluarán sus estrategias nacionales de ciberseguridad al menos cada cuatro años en función de unos indicadores de rendimiento clave y las modificarán cuando proceda. La Agencia de la Unión Europea para la Ciberseguridad (ENISA) prestará asistencia a los Estados miembros, cuando así lo soliciten, a la hora de elaborar una estrategia nacional y los indicadores de rendimiento clave para su evaluación. La ENISA ofrecerá a los Estados miembros orientaciones para adaptar las estrategias nacionales de ciberseguridad que ya hayan formulado a las obligaciones y requisitos establecidos en la presente Directiva.

Enmienda  125

 

Propuesta de Directiva

Artículo 6 – título

 

Texto de la Comisión

Enmienda

Divulgación coordinada de las vulnerabilidades y un Registro Europeo de Vulnerabilidades

Divulgación coordinada de las vulnerabilidades y una base de datos europea de vulnerabilidades

Enmienda  126

 

Propuesta de Directiva

Artículo 6 – apartado 1

 

Texto de la Comisión

Enmienda

1. Cada Estado miembros designará a uno de sus CSIRT referidos en el artículo 9 como coordinador a efectos de la divulgación coordinada de las vulnerabilidades. El CSIRT designado ejercerá de intermediario de confianza y facilitará, cuando sea necesario, la interacción entre la entidad notificante y el fabricante o proveedor de productos o servicios de TIC. Cuando la vulnerabilidad notificada afecte a varios fabricantes o proveedores de productos o servicios de TIC de la Unión, el CSIRT designado de cada Estado miembro afectado cooperará con la red de CSIRT.

1. Cada Estado miembros designará a uno de sus CSIRT referidos en el artículo 9 como coordinador a efectos de la divulgación coordinada de las vulnerabilidades. El CSIRT designado ejercerá de intermediario de confianza y facilitará, a petición de la entidad notificante, la interacción entre la entidad notificante y el fabricante o proveedor de productos o servicios de TIC. Cuando la vulnerabilidad notificada afecte a varios fabricantes o proveedores de productos o servicios de TIC de la Unión, el CSIRT designado de cada Estado miembro afectado cooperará con la red de CSIRT.

Enmienda  127

 

Propuesta de Directiva

Artículo 6 – apartado 2

 

Texto de la Comisión

Enmienda

2. La ENISA desarrollará y mantendrá un Registro Europeo de Vulnerabilidades. Para ello, la Agencia establecerá y mantendrá los sistemas de información, las políticas y los procedimientos apropiados con vistas, en particular, a permitir que las entidades importantes y esenciales y sus proveedores de redes y sistemas de información divulguen y registren vulnerabilidades presentes en los productos o servicios de TIC, así como a facilitar a todas las partes interesadas acceso a la información sobre las vulnerabilidades que figura en el registro. Concretamente, el registro incluirá información que describa la vulnerabilidad, los productos o servicios de TIC afectados y la gravedad de la vulnerabilidad por lo que respecta a las circunstancias en que puede explotarse, la disponibilidad de los parches de seguridad asociados y, a falta de ellos, orientaciones dirigidas a los usuarios de productos y servicios vulnerables sobre la forma de reducir los riesgos derivados de las vulnerabilidades reveladas.

2. La ENISA desarrollará y mantendrá una base de datos europea de vulnerabilidades que aproveche el sistema mundial Common Vulnerabilities and Exposures (CVE). Para ello, la Agencia establecerá y mantendrá los sistemas de información, las políticas y los procedimientos apropiados, y adoptará las medidas técnicas y organizativas necesarias para garantizar la seguridad y la integridad de la base de datos, con vistas, en particular, a permitir que las entidades importantes y esenciales y sus proveedores de redes y sistemas de información, así como las entidades que no están comprendidas en el ámbito de aplicación de la presente Directiva, y sus proveedores, divulguen y registren vulnerabilidades presentes en los productos o servicios de TIC. Se facilitará a todas las partes interesadas acceso a la información sobre las vulnerabilidades que figura en la base de datos para las que se disponga de parches de seguridad o medidas de mitigación. Concretamente, la base de datos incluirá información que describa la vulnerabilidad, los productos o servicios de TIC afectados y la gravedad de la vulnerabilidad por lo que respecta a las circunstancias en que puede explotarse y la disponibilidad de los parches de seguridad asociados. A falta de ellos, en la base de datos se incluirán orientaciones dirigidas a los usuarios de productos y servicios de TIC vulnerables sobre la forma de reducir los riesgos derivados de las vulnerabilidades reveladas.

Enmienda  128

 

Propuesta de Directiva

Artículo 7 – apartado 1 bis (nuevo)

 

Texto de la Comisión

Enmienda

 

1 bis. Cuando un Estado miembro designe a más de una autoridad competente contemplada en el apartado 1, indicará claramente cuál de dichas autoridades competentes servirá de coordinador para la gestión de incidentes y crisis a gran escala.

Enmienda  129

 

Propuesta de Directiva

Artículo 7 – apartado 2

 

Texto de la Comisión

Enmienda

2. Cada Estado miembro determinará las capacidades, los activos y los procedimientos que se pueden desplegar en caso de que se produzca una crisis a los efectos de la presente Directiva.

(No afecta a la versión española). 

Enmienda  130

 

Propuesta de Directiva

Artículo 7 – apartado 4

 

Texto de la Comisión

Enmienda

4. Los Estados miembros comunicarán a la Comisión la designación de sus autoridades competentes referidas en el apartado 1 y presentarán sus planes nacionales de respuesta a incidentes y crisis de ciberseguridad contemplados en el apartado 3 en el plazo de tres meses a partir de tal designación y la adopción de dichos planes. Los Estados miembros podrán excluir información específica del plan cuando y en la medida en que sea estrictamente necesario para su seguridad nacional.

4. Los Estados miembros comunicarán a la Comisión la designación de sus autoridades competentes referidas en el apartado 1 y presentarán a la EU-CyCLONe sus planes nacionales de respuesta a incidentes y crisis de ciberseguridad contemplados en el apartado 3 en el plazo de tres meses a partir de tal designación y la adopción de dichos planes. Los Estados miembros podrán excluir información específica del plan cuando y en la medida en que sea estrictamente necesario para su seguridad nacional.

Enmienda  131

 

Propuesta de Directiva

Artículo 8 – apartado 3

 

Texto de la Comisión

Enmienda

3. Cada Estado miembro designará un punto de contacto único en materia de ciberseguridad (en lo sucesivo, «punto de contacto único»). Si un Estado miembro designa únicamente una autoridad competente, dicha autoridad también será el punto de contacto único correspondiente a dicho Estado miembro.

3. Cada Estado miembro designará una de las autoridades competentes a que se refiere el apartado 1 como punto de contacto único en materia de ciberseguridad (en lo sucesivo, «punto de contacto único»). Si un Estado miembro designa únicamente una autoridad competente, dicha autoridad también será el punto de contacto único correspondiente a dicho Estado miembro.

Enmienda  132

 

Propuesta de Directiva

Artículo 8 – apartado 4

 

Texto de la Comisión

Enmienda

4. Cada punto de contacto único ejercerá una función de enlace para garantizar la cooperación transfronteriza de las autoridades de su Estado miembro con las autoridades competentes en otros Estados miembros, así como para garantizar la cooperación intersectorial con otras autoridades nacionales competentes dentro de su Estado miembro.

4. Cada punto de contacto único ejercerá una función de enlace para garantizar la cooperación transfronteriza de las autoridades de su Estado miembro con las autoridades competentes en otros Estados miembros, la Comisión y la ENISA, así como para garantizar la cooperación intersectorial con otras autoridades nacionales competentes dentro de su Estado miembro.

Enmienda  133

 

Propuesta de Directiva

Artículo 9 – apartado 2

 

Texto de la Comisión

Enmienda

2. Los Estados miembros velarán por que cada CSIRT disponga de los recursos adecuados para llevar a cabo eficazmente sus tareas, tal como se establece en el artículo 10, apartado 2.

2. Los Estados miembros velarán por que cada CSIRT disponga de los recursos adecuados y las capacidades técnicas necesarias para llevar a cabo eficazmente sus tareas, tal como se establece en el artículo 10, apartado 2.

Enmienda  134

 

Propuesta de Directiva

Artículo 9 – apartado 6 bis (nuevo)

 

Texto de la Comisión

Enmienda

 

6 bis. Los Estados miembros garantizarán la posibilidad de un intercambio de información eficaz, eficiente y seguro en todos los niveles de clasificación entre sus propios CSIRT y CSIRT de terceros países que se encuentren en el mismo nivel de clasificación.

Enmienda  135

 

Propuesta de Directiva

Artículo 9 – apartado 6 ter (nuevo)

 

Texto de la Comisión

Enmienda

 

6 ter. Sin perjuicio de lo dispuesto en el Derecho de la Unión, y en particular en el Reglamento (UE) 2016/679, los CSIRT cooperarán con otros CSIRT u organismos equivalentes en los países candidatos a la adhesión y otros terceros países de los Balcanes Occidentales y de la Asociación Oriental y, cuando sea posible, les prestarán asistencia en materia de ciberseguridad.

Enmienda  136

 

Propuesta de Directiva

Artículo 9 – apartado 7

 

Texto de la Comisión

Enmienda

7. Los Estados miembros comunicarán a la Comisión sin demora indebida los CSIRT designados de conformidad con el apartado 1, el CSIRT coordinador designado con arreglo al artículo 6, apartado 1, y sus respectivas tareas desempeñadas en relación con las entidades contempladas en los anexos I y II.

7. Los Estados miembros comunicarán a la Comisión sin demora indebida los CSIRT designados de conformidad con el apartado 1 y el CSIRT coordinador designado con arreglo al artículo 6, apartado 1, en particular sus respectivas tareas desempeñadas en relación con las entidades esenciales e importantes.

Enmienda  137

 

Propuesta de Directiva

Artículo 10 – título

 

Texto de la Comisión

Enmienda

Obligaciones y tareas de los CSIRT

Obligaciones, capacidades técnicas y tareas de los CSIRT

Enmienda  138

 

Propuesta de Directiva

Artículo 10 – apartado 1 – letra c

 

Texto de la Comisión

Enmienda

c) los CSIRT estarán dotados de un sistema adecuado para gestionar y canalizar las solicitudes, en particular, con el fin de facilitar la efectividad y eficiencia de los traspasos;

c) los CSIRT estarán dotados de un sistema adecuado para clasificar, canalizar y hacer un seguimiento de las solicitudes, en particular, con el fin de facilitar la efectividad y eficiencia de los traspasos;

Enmienda  139

 

Propuesta de Directiva

Artículo 10 – apartado 1 – letra c bis (nueva)

 

Texto de la Comisión

Enmienda

 

c bis) los CSIRT dispondrán de códigos de conducta adecuados para garantizar la confidencialidad y fiabilidad de sus operaciones;

Enmienda  140

 

Propuesta de Directiva

Artículo 10 – apartado 1 – letra d

 

Texto de la Comisión

Enmienda

d) los CSIRT contarán con personal suficiente para garantizar su disponibilidad en todo momento;

d) los CSIRT contarán con personal suficiente para garantizar su disponibilidad en todo momento y proporcionar unos marcos de formación adecuados para su personal;

Enmienda  141

 

Propuesta de Directiva

Artículo 10 – apartado 1 – letra e

 

Texto de la Comisión

Enmienda

e) los CSIRT estarán dotados de sistemas redundantes y espacios de trabajo de reserva para garantizar la continuidad de sus servicios;

e) los CSIRT estarán dotados de sistemas redundantes y espacios de trabajo de reserva para garantizar la continuidad de sus servicios, incluida una amplia conectividad con todas las redes, sistemas de información, servicios y dispositivos;

Enmienda  142

 

Propuesta de Directiva

Artículo 10 – apartado 1 bis (nuevo)

 

Texto de la Comisión

Enmienda

 

1 bis. Los CSIRT desarrollarán al menos las siguientes capacidades técnicas:

 

a) la capacidad de llevar a cabo un seguimiento en tiempo real o cuasirreal de las redes y los sistemas de información, y de detectar anomalías;

 

b) la capacidad de apoyar la prevención y la detección de intrusiones;

 

c) la capacidad de recopilar y llevar a cabo análisis de datos forenses complejos e ingeniería inversa de las ciberamenazas;

 

d) la capacidad de filtrar el tráfico malintencionado;

 

e) la capacidad de imponer privilegios y controles de autenticación y acceso reforzados; y

 

f) la capacidad de analizar las ciberamenazas.

Enmienda  143

 

Propuesta de Directiva

Artículo 10 – apartado 2 – letra a

 

Texto de la Comisión

Enmienda

a) supervisar las ciberamenazas, las vulnerabilidades y los incidentes a escala nacional;

a) supervisar las ciberamenazas, las vulnerabilidades y los incidentes a escala nacional y adquirir inteligencia en tiempo real sobre amenazas;

Enmienda  144

 

Propuesta de Directiva

Artículo10 – apartado 2 – letra b

 

Texto de la Comisión

Enmienda

b) difundir alertas tempranas, alertas, avisos e información sobre las ciberamenazas, las vulnerabilidades y los incidentes entre las entidades esenciales e importantes y otras partes interesadas pertinentes;

b) difundir alertas tempranas, alertas, avisos e información sobre las ciberamenazas, las vulnerabilidades y los incidentes entre las entidades esenciales e importantes y otras partes interesadas pertinentes, a ser posible en tiempo cuasirreal;

Enmienda  145

 

Propuesta de Directiva

Artículo 10 – apartado 2 – letra c

 

Texto de la Comisión

Enmienda

c) responder a incidentes;

c) responder a incidentes y prestar asistencia a las entidades implicadas;

Enmienda  146

 

Propuesta de Directiva

Artículo 10 – apartado 2 – letra e

 

Texto de la Comisión

Enmienda

e) llevar a cabo, a petición de una entidad, una exploración proactiva de las redes y los sistemas de información utilizados para la prestación de sus servicios;

e) llevar a cabo, a petición de una entidad o en caso de una grave amenaza a la seguridad nacional, una exploración proactiva de las redes y los sistemas de información utilizados para la prestación de sus servicios;

Enmienda  147

 

Propuesta de Directiva

Artículo 10 – apartado 2 – letra f bis (nueva)

 

Texto de la Comisión

Enmienda

 

f bis) facilitar, a petición de una entidad, la habilitación y la configuración del registro en la red para proteger los datos, en particular los datos personales, de la exfiltración no autorizada;

Enmienda  148

 

Propuesta de Directiva

Artículo 10 – apartado 2 – letra f ter (nueva)

 

Texto de la Comisión

Enmienda

 

f ter) contribuir al despliegue de herramientas seguras de intercambio de información de conformidad con el artículo 9, apartado 3.

Enmienda  149

 

Propuesta de Directiva

Artículo 10 – apartado 4 – parte introductoria

 

Texto de la Comisión

Enmienda

4. A fin de facilitar la cooperación, los CSIRT fomentarán la adopción y utilización de prácticas comunes o normalizadas, sistemas de clasificación y taxonomías en relación con los siguientes aspectos:

4. A fin de facilitar la cooperación, los CSIRT fomentarán la automatización del intercambio de información, la adopción y utilización de prácticas comunes o normalizadas, sistemas de clasificación y taxonomías en relación con los siguientes aspectos:

Enmienda  150

 

Propuesta de Directiva

Artículo 11 – apartado 2

 

Texto de la Comisión

Enmienda

2. Los Estados miembros velarán por que sus autoridades competentes o sus CSIRT reciban las notificaciones sobre los incidentes y los cuasiincidentes y ciberamenazas significativos presentadas en el marco de la presente Directiva. Cuando un Estado miembro decida que sus CSIRT no recibirán dichas notificaciones, se dará a estos últimos, en la medida necesaria para que lleven a cabo sus tareas, el acceso a los datos sobre incidentes notificados por las entidades esenciales o importantes, con arreglo al artículo 20.

2. Los Estados miembros velarán por que sus CSIRT reciban las notificaciones sobre los incidentes significativos, de conformidad con el artículo 20, y los cuasiincidentes y ciberamenazas, tal y como establece el artículo 27, a través del punto de entrada único a que se refiere el artículo 20, apartado 4 bis.

Enmienda  151

 

Propuesta de Directiva

Artículo 11 – apartado 4

 

Texto de la Comisión

Enmienda

4. En la medida necesaria para cumplir de manera efectiva las tareas y las obligaciones establecidas en la presente Directiva, los Estados miembros garantizarán una cooperación apropiada entre las autoridades competentes y los puntos de contacto únicos y las autoridades policiales, las autoridades de protección de datos y las autoridades responsables de infraestructuras críticas con arreglo a la Directiva (UE) XXXX/XXXX [Directiva sobre la resiliencia de las entidades críticas], así como las autoridades financieras nacionales designadas de conformidad con el Reglamento (UE) XXXX/XXXX del Parlamento Europeo y del Consejo39 [Reglamento sobre la resiliencia operativa digital del sector financiero] dentro de dicho Estado miembro.

4. En la medida necesaria para cumplir de manera efectiva las tareas y las obligaciones establecidas en la presente Directiva, los Estados miembros garantizarán una cooperación apropiada entre las autoridades competentes, los puntos de contacto únicos, los CSIRT, las autoridades policiales, las autoridades nacionales de regulación u otras autoridades competentes responsables de las redes de comunicaciones electrónicas o de los servicios de comunicaciones electrónicas disponibles para el público con arreglo a la Directiva (UE) 2018/1972, las autoridades de protección de datos, las autoridades responsables de infraestructuras críticas con arreglo a la Directiva (UE) XXXX/XXXX [Directiva sobre la resiliencia de las entidades críticas], así como las autoridades financieras nacionales designadas de conformidad con el Reglamento (UE) XXXX/XXXX del Parlamento Europeo y del Consejo39 [Reglamento sobre la resiliencia operativa digital del sector financiero] dentro de dicho Estado miembro de acuerdo con sus respectivas competencias.

__________________

__________________

39 [insértese el título completo y la referencia de publicación en el DO cuando se conozcan].

39 [insértese el título completo y la referencia de publicación en el DO cuando se conozcan].

Enmienda  152

 

Propuesta de Directiva

Artículo 11 – apartado 5

 

Texto de la Comisión

Enmienda

5. Los Estados miembros velarán por que sus autoridades competentes faciliten periódicamente información a las autoridades competentes designadas en virtud de la Directiva (UE) XXXX/XXXX [Directiva sobre la resiliencia de las entidades críticas] sobre los riesgos de ciberseguridad, las ciberamenazas y los incidentes que afecten a entidades esenciales identificadas como críticas, o como entidades equivalentes a entidades críticas, con arreglo a dicha Directiva, así como las medidas adoptadas por las autoridades competentes en respuesta a estos riesgos e incidentes.

5. Los Estados miembros velarán por que sus autoridades competentes faciliten periódicamente información oportuna a las autoridades competentes designadas en virtud de la Directiva (UE) XXXX/XXXX [Directiva sobre la resiliencia de las entidades críticas] sobre los riesgos de ciberseguridad, las ciberamenazas y los incidentes que afecten a entidades esenciales identificadas como críticas, o como entidades equivalentes a entidades críticas, con arreglo a dicha Directiva, así como las medidas adoptadas por las autoridades competentes en respuesta a estos riesgos e incidentes.

Enmienda  153

 

Propuesta de Directiva

Artículo 12 – apartado 3 – párrafo 1

 

Texto de la Comisión

Enmienda

El Grupo de Cooperación estará formado por representantes de los Estados miembros, la Comisión y la ENISA. El Servicio Europeo de Acción Exterior participará en las actividades del Grupo de Cooperación en calidad de observador. Las Autoridades Europeas de Supervisión (AES) con arreglo a lo dispuesto en el artículo 17, apartado 5, letra c), del Reglamento (UE) XXXX/XXXX [Reglamento sobre la resiliencia operativa digital del sector financiero] podrán participar en las actividades del Grupo de Cooperación.

El Grupo de Cooperación estará formado por representantes de los Estados miembros, la Comisión y la ENISA. El Parlamento Europeo y el Servicio Europeo de Acción Exterior participarán en las actividades del Grupo de Cooperación en calidad de observadores. Las Autoridades Europeas de Supervisión (AES) con arreglo a lo dispuesto en el artículo 17, apartado 5, letra c), del Reglamento (UE) XXXX/XXXX [Reglamento sobre la resiliencia operativa digital del sector financiero] podrán participar en las actividades del Grupo de Cooperación.

Enmienda  154

 

Propuesta de Directiva

Artículo 12 – apartado 3 – párrafo 2

 

Texto de la Comisión

Enmienda

Cuando proceda, el Grupo de Cooperación podrá invitar a representantes de las partes interesadas pertinentes a que participen en su labor.

Cuando proceda, el Grupo de Cooperación podrá invitar a representantes de las partes interesadas pertinentes, como el Comité Europeo de Protección de Datos y los representantes del sector, a que participen en su labor.

Enmienda  155

 

Propuesta de Directiva

Artículo 12 – apartado 4 – letra b

 

Texto de la Comisión

Enmienda

b) intercambiar buenas prácticas e información en relación con la aplicación de la presente Directiva, también por lo que respecta a las ciberamenazas, los incidentes, las vulnerabilidades, los cuasiincidentes, las iniciativas de concienciación, las formaciones, los ejercicios y las habilidades, el desarrollo de capacidades, así como las normas y especificaciones técnicas;

b) intercambiar buenas prácticas e información en relación con la aplicación de la presente Directiva, también por lo que respecta a las ciberamenazas, los incidentes, las vulnerabilidades, los cuasiincidentes, las iniciativas de concienciación, las formaciones, los ejercicios y las habilidades, el desarrollo de capacidades, las normas y especificaciones técnicas, así como la identificación de entidades esenciales e importantes;

Enmienda  156

 

Propuesta de Directiva

Artículo 12 – apartado 4 – letra b bis (nueva)

 

Texto de la Comisión

Enmienda

 

b bis) identificar las soluciones nacionales para promover la compatibilidad de las soluciones de ciberseguridad aplicadas a cada sector específico en toda la Unión;

Enmienda  157

 

Propuesta de Directiva

Artículo 12 – apartado 4 – letra c

 

Texto de la Comisión

Enmienda

c) intercambiar recomendaciones y cooperar con la Comisión en iniciativas políticas sobre aspectos emergentes de la ciberseguridad;

c) intercambiar recomendaciones y cooperar con la Comisión en iniciativas políticas sobre aspectos emergentes de la ciberseguridad y la coherencia general de los requisitos sectoriales en este ámbito;

Enmienda  158

 

Propuesta de Directiva

Artículo 12 – apartado 4 – letra f

 

Texto de la Comisión

Enmienda

f) analizar los informes sobre la revisión interpares a que se refiere el artículo 16, apartado 7;

f) analizar los informes sobre la revisión interpares a que se refiere el artículo 16, apartado 7 y extraer conclusiones y recomendaciones;

Enmienda  159

 

Propuesta de Directiva

Artículo 12 – apartado 4 – letra f bis (nueva)

 

Texto de la Comisión

Enmienda

 

f bis) llevar a cabo evaluaciones coordinadas de los riesgos de seguridad que puedan iniciarse de conformidad con el artículo 19, apartado 1, en cooperación con la Comisión y la ENISA;

Enmienda  160

 

Propuesta de Directiva

Artículo 12 – apartado 4 – letra k bis (nueva)

 

Texto de la Comisión

Enmienda

 

k bis) presentar a la Comisión, a efectos de la revisión que contempla el artículo 35, informes sobre la experiencia adquirida a nivel estratégico y operativo;

Enmienda  161

 

Propuesta de Directiva

Artículo 12 – apartado 4 – letra k ter (nueva)

 

Texto de la Comisión

Enmienda

 

k ter) proporcionar una evaluación anual, en cooperación con la ENISA, Europol y las instituciones policiales nacionales sobre qué terceros países acogen a secuestradores de datos.

Enmienda  162

 

Propuesta de Directiva

Artículo 12 – apartado 8

 

Texto de la Comisión

Enmienda

8. El Grupo de Cooperación se reunirá periódicamente, y por lo menos una vez al año, con el Grupo de resiliencia de las entidades críticas establecido en virtud de la Directiva (UE) XXXX/XXXX [Directiva sobre la resiliencia de las entidades críticas] para promover la cooperación estratégica y el intercambio de información.

8. El Grupo de Cooperación se reunirá periódicamente, y por lo menos dos veces al año, con el Grupo de resiliencia de las entidades críticas establecido en virtud de la Directiva (UE) XXXX/XXXX [Directiva sobre la resiliencia de las entidades críticas] para facilitar la cooperación estratégica y el intercambio de información.

Enmienda  163

 

Propuesta de Directiva

Artículo 13 – apartado 3 – letra a bis (nueva)

 

Texto de la Comisión

Enmienda

 

a bis) facilitar el intercambio y la transferencia de tecnología y las medidas, políticas, mejores prácticas y marcos pertinentes entre los CSIRT;

Enmienda  164

 

Propuesta de Directiva

Artículo 13 – apartado 3 – letra b bis (nueva)

 

Texto de la Comisión

Enmienda

 

b bis) garantizar la interoperabilidad en lo que respecta a las normas de intercambio de información;

Enmienda  165

 

Propuesta de Directiva

Artículo 14 – apartado 1

 

Texto de la Comisión

Enmienda

1. De cara a respaldar la gestión coordinada de los incidentes y las crisis de ciberseguridad a gran escala en el ámbito operativo y de garantizar el intercambio regular de información entre los Estados miembros y las instituciones, los órganos y los organismos de la Unión, se crea la red de funcionarios de enlace nacionales para la gestión de cibercrisis (EU-CyCLONe).

1. De cara a respaldar la gestión coordinada de los incidentes y las crisis de ciberseguridad a gran escala en el ámbito operativo y de garantizar el intercambio regular de información pertinente entre los Estados miembros y las instituciones, los órganos y los organismos de la Unión, se crea la red de funcionarios de enlace nacionales para la gestión de cibercrisis (EU-CyCLONe).

Enmienda  166

 

Propuesta de Directiva

Artículo 14 – apartado 2

 

Texto de la Comisión

Enmienda

2. EU-CyCLONe estará formada por representantes de las autoridades de gestión de crisis de los Estados miembros designadas con arreglo al artículo 7, la Comisión y la ENISA. La ENISA se hará cargo de la secretaría de la red y promoverá el intercambio seguro de información.

2. EU-CyCLONe estará formada por representantes de las autoridades de gestión de crisis de los Estados miembros designadas con arreglo al artículo 7, la Comisión y la ENISA. La ENISA se hará cargo de la secretaría de EU-CyCLONe y promoverá el intercambio seguro de información.

Enmienda  167

 

Propuesta de Directiva

Artículo 14 – apartado 5

 

Texto de la Comisión

Enmienda

5. EU-CyCLONe informará periódicamente al Grupo de Cooperación de las ciberamenazas, los incidentes y las tendencias, con atención especial a las correspondientes repercusiones para las entidades esenciales e importantes.

5. EU-CyCLONe informará periódicamente al Grupo de Cooperación de los incidentes y las crisis a gran escala, así como de las tendencias, con atención especial a las correspondientes repercusiones para las entidades esenciales e importantes.

Enmienda  168

 

Propuesta de Directiva

Artículo 15 – apartado 1 – parte introductoria

 

Texto de la Comisión

Enmienda

1. La ENISA publicará, en cooperación con la Comisión, un informe bienal sobre la situación de la ciberseguridad en la Unión. En el informe se recogerá, en particular, una evaluación de los siguientes aspectos:

1. La ENISA publicará, en cooperación con la Comisión, un informe bienal sobre la situación de la ciberseguridad en la Unión y lo entregará y presentará en el Parlamento Europeo. El informe se presentará en un formato legible electrónicamente y recogerá, en particular, una evaluación de los siguientes aspectos:

Enmienda  169

 

Propuesta de Directiva

Artículo 15 – apartado 1 – letra a bis (nueva)

 

Texto de la Comisión

Enmienda

 

a bis) el nivel general de concienciación e higiene en materia de ciberseguridad entre los ciudadanos y las entidades, en particular las pymes, así como el nivel general de seguridad de los dispositivos conectados;

Enmienda  170

 

Propuesta de Directiva

Artículo 15 – apartado 1 – letra c

 

Texto de la Comisión

Enmienda

c) un índice de ciberseguridad que proporcione una evaluación agregada del nivel de madurez de las capacidades de ciberseguridad.

c) un índice de ciberseguridad que proporcione una evaluación agregada del nivel de madurez de las capacidades de ciberseguridad en toda la Unión, en particular la armonización de las estrategias nacionales de ciberseguridad de los Estados miembros.

Enmienda  171

 

Propuesta de Directiva

Artículo 15 – apartado 2

 

Texto de la Comisión

Enmienda

2. El informe incluirá recomendaciones políticas concretas para incrementar el nivel de ciberseguridad en toda la Unión y un resumen de las conclusiones correspondientes al período de que se trate de los informes sobre la situación técnica de la ciberseguridad en la UE publicados por la ENISA de conformidad con el artículo 7, apartado 6, del Reglamento (UE) 2019/881.

2. El informe incluirá la detección de obstáculos y recomendaciones políticas concretas para incrementar el nivel de ciberseguridad en toda la Unión y un resumen de las conclusiones correspondientes al período de que se trate de los informes sobre la situación técnica de la ciberseguridad en la UE publicados por la ENISA de conformidad con el artículo 7, apartado 6, del Reglamento (UE) 2019/881.

Enmienda  172

 

Propuesta de Directiva

Artículo 15 – apartado 2 bis (nuevo)

 

Texto de la Comisión

Enmienda

 

2 bis. La ENISA, en cooperación con la Comisión y con la orientación del Grupo de Cooperación y la red de CSIRT, preparará la metodología, en particular las variables pertinentes del índice de ciberseguridad mencionado en el apartado 1, letra c).

Enmienda  173

 

Propuesta de Directiva

Artículo 16 – apartado 1 – parte introductoria

 

Texto de la Comisión

Enmienda

1. A más tardar dieciocho meses después de la entrada en vigor de la presente Directiva, la Comisión establecerá, tras consultar al Grupo de Cooperación y a la ENISA, la metodología y el contenido de un sistema de revisión interpares para evaluar la eficacia de las políticas de ciberseguridad de los Estados miembros. Las revisiones serán realizadas por expertos técnicos en ciberseguridad procedentes de Estados miembros que no sean el examinado y abarcarán, por lo menos, los siguientes aspectos:

1. A más tardar [...] [dieciocho meses después de la entrada en vigor de la presente Directiva], la Comisión establecerá, tras consultar al Grupo de Cooperación y a la ENISA, la metodología y el contenido de un sistema de revisión interpares para evaluar la eficacia de las políticas de ciberseguridad de los Estados miembros. Las revisiones interpares serán realizadas, en consulta con la ENISA, por expertos técnicos en ciberseguridad procedentes de por lo menos dos Estados miembros que no sean el examinado y abarcarán, por lo menos, los siguientes aspectos:

Enmienda  174

 

Propuesta de Directiva

Artículo 16 – apartado 1 – inciso iii

 

Texto de la Comisión

Enmienda

iii) las capacidades operativas y la eficacia de los CSIRT;

iii) las capacidades operativas y la eficacia de los CSIRT en la realización de sus tareas;

Enmienda  175

 

Propuesta de Directiva

Artículo 16 – apartado 3

 

Texto de la Comisión

Enmienda

3. Los aspectos organizativos de las revisiones interpares serán decididos por la Comisión, con el apoyo de la ENISA, y se basarán, previa consulta con el Grupo de Cooperación, en los criterios definidos en la metodología a que se refiere el apartado 1. Las revisiones interpares evaluarán los aspectos mencionados en el apartado 1 respecto a todos los Estados miembros y sectores, en particular las cuestiones concretas específicas de uno o varios Estados miembros o de uno o varios sectores.

3. Los aspectos organizativos de las revisiones interpares serán decididos por la Comisión, con el apoyo de la ENISA, y se basarán, previa consulta con el Grupo de Cooperación, en los criterios definidos en la metodología a que se refiere el apartado 1. Las revisiones interpares evaluarán los aspectos mencionados en el apartado 1 respecto a todos los Estados miembros y sectores, en particular las cuestiones concretas específicas de uno o varios Estados miembros o de uno o varios sectores. Los expertos designados que lleven a cabo la revisión comunicarán estas cuestiones concretas al Estado miembro objeto de la revisión interpares antes de su inicio.

Enmienda  176

 

Propuesta de Directiva

Artículo 16 – apartado 3 bis (nuevo)

 

Texto de la Comisión

Enmienda

 

3 bis. Antes del inicio del proceso de revisión interpares, el Estado miembro objeto de esta llevará a cabo una autoevaluación de los aspectos revisados, que facilitará a los expertos designados.

Enmienda  177

 

Propuesta de Directiva

Artículo 16 – apartado 4

 

Texto de la Comisión

Enmienda

4. Las revisiones interpares conllevarán visitas in situ presenciales o virtuales e intercambios a distancia. En consideración del principio de buena cooperación, los Estados miembros objeto de la revisión facilitarán a los expertos designados la información requerida que sea necesaria para la evaluación de los aspectos examinados. Cualquier información obtenida a través del proceso de revisión interpares se utilizará exclusivamente para tal finalidad. Los expertos que participen en la revisión interpares no divulgarán a terceros ninguna información sensible o confidencial obtenida en el transcurso de dicha revisión.

4. Las revisiones interpares conllevarán visitas in situ presenciales o virtuales e intercambios a distancia. En consideración del principio de buena cooperación, los Estados miembros objeto de la revisión facilitarán a los expertos designados la información requerida que sea necesaria para la evaluación de los aspectos examinados. La Comisión, en cooperación con la ENISA, elaborará códigos de conducta adecuados que sustenten los métodos de trabajo de los expertos designados. Cualquier información obtenida a través del proceso de revisión interpares se utilizará exclusivamente para tal finalidad. Los expertos que participen en la revisión interpares no divulgarán a terceros ninguna información sensible o confidencial obtenida en el transcurso de dicha revisión.

Enmienda  178

 

Propuesta de Directiva

Artículo 16 – apartado 6

 

Texto de la Comisión

Enmienda

6. El Estado miembro velará por que cualquier riesgo de conflicto de intereses que afecte a los expertos designados se comunique a los otros Estados miembros, la Comisión y la ENISA sin demora indebida.

6. El Estado miembro velará por que cualquier riesgo de conflicto de intereses que afecte a los expertos designados se comunique a los otros Estados miembros, la Comisión y la ENISA, antes del inicio del procedimiento de revisión interpares.

Enmienda  179

 

Propuesta de Directiva

Artículo 16 – apartado 7

 

Texto de la Comisión

Enmienda

7. Los expertos que participen en revisiones interpares elaborarán informes sobre las constataciones y conclusiones de las revisiones. Los informes se presentarán a la Comisión, el Grupo de Cooperación, la red de CSIRT y la ENISA. Los informes se analizarán en el Grupo de Cooperación y la red de CSIRT. Los informes podrán publicarse en el sitio web específico del Grupo de Cooperación.

7. Los expertos que participen en revisiones interpares elaborarán informes sobre las constataciones y conclusiones de las revisiones. Los informes incluirán recomendaciones para mejorar los aspectos cubiertos por el procedimiento de revisión interpares. Los informes se presentarán a la Comisión, el Grupo de Cooperación, la red de CSIRT y la ENISA. Los informes se analizarán en el Grupo de Cooperación y la red de CSIRT. Los informes podrán publicarse en el sitio web específico del Grupo de Cooperación, excluyendo la información sensible y confidencial.

Enmienda  180

 

Propuesta de Directiva

Artículo 17 – apartado 2

 

Texto de la Comisión

Enmienda

2. Los Estados miembros garantizarán que los miembros del órgano de dirección asistan periódicamente a formaciones específicas para adquirir conocimientos y destrezas suficientes que permitan comprender y evaluar los riesgos de ciberseguridad y las prácticas de gestión y su impacto en las operaciones de la entidad.

2. Los Estados miembros garantizarán que los miembros del órgano de dirección de las entidades esenciales e importantes asistan a formaciones específicas, y alentarán a estas entidades para que ofrezcan formaciones similares a todos los empleados, periódicamente, para adquirir conocimientos y destrezas suficientes que permitan comprender y evaluar los riesgos de ciberseguridad y las prácticas de gestión y su impacto en los servicios proporcionados por la entidad.

Enmienda  181

 

Propuesta de Directiva

Artículo 18 – apartado 1

 

Texto de la Comisión

Enmienda

1. Los Estados miembros velarán por que las entidades esenciales e importantes tomen las medidas técnicas y de organización adecuadas y proporcionadas para gestionar los riesgos que se planteen para la seguridad de las redes y sistemas de información que utilizan dichas entidades para la prestación de sus servicios. Habida cuenta de la situación, dichas medidas garantizarán un nivel de seguridad de las redes y sistemas de información adecuado en relación con el riesgo planteado.