Reglamento (UE) 2019/881 — Cybersecurity Act

Objeto y ámbito de aplicación

Con vistas a garantizar el correcto funcionamiento del mercado interior, aspirando al mismo tiempo a alcanzar un nivel elevado de ciberseguridad, ciberresiliencia y confianza dentro de la Unión, el presente Reglamento establece: a) los…

Definiciones

todas las actividades necesarias para la protección de las redes y sistemas de información, de los usuarios de tales sistemas y de otras personas afectadas por las ciberamenazas; 2) «redes y sistemas de información»: las redes y sistemas…

Mandato

ENISA desempeñará el cometido que le asigna el presente Reglamento con el fin de lograr un elevado nivel de ciberseguridad común en toda la Unión, especialmente mediante el apoyo activo a los Estados miembros, a las ins tituciones, órganos…

Objetivos

ENISA será un centro de conocimientos técnicos sobre ciberseguridad en virtud de su independencia, la calidad científica y técnica del asesoramiento y la asistencia prestados y la información ofrecida, la transparencia de sus proce…

Elaboración y ejecución de la política y del Derecho de la Unión

ENISA contribuirá a la elaboración y ejecución de la política y del Derecho de la Unión: 1.

Creación de capacidades

ENISA asistirá: a) a los Estados miembros en sus esfuerzos por mejorar la prevención, detección, análisis y capacidad de respuesta a ciberamenazas e incidentes, proporcionándoles los conocimientos teóricos y prácticos; b) con carácter…

Cooperación operativa a nivel de la Unión

ENISA apoyará la cooperación operativa entre los Estados miembros, las instituciones, órganos y organismos de la Unión y entre las partes interesadas.

Mercado, certificación de la ciberseguridad y normalización

ENISA apoyará y promoverá el desarrollo y la aplicación de la política de la Unión en materia de certificación de la ciberseguridad de, productos, servicios y procesos de TIC, según lo establecido en el título III del presente Reglamento,…

Conocimiento e información

preparará evaluaciones temáticas sobre los efectos esperados, de tipo social, jurídico, económico y reglamentario, de las innovaciones tecnológicas sobre la ciberseguridad; b) realizará análisis estratégicos a largo plazo de las…

Sensibilización y educación

relacionados con la ciberseguridad y facilitará orientaciones sobre buenas prácticas para usuarios individuales, dirigidas a ciudadanos, organizaciones y empresas, especialmente sobre ciberhi giene y ciberalfabetización; b) en cooperación…

Investigación e innovación

asesorará a las instituciones, órganos y organismos de la Unión y a los Estados miembros sobre las necesidades y prioridades de la investigación en el ámbito de la ciberseguridad, con miras a poder ofrecer respuestas eficaces a los riesgos…

Cooperación internacional

ENISA contribuirá a los esfuerzos de la Unión por cooperar con terceros países y organizaciones internacionales, así como dentro de los marcos de cooperación internacional pertinentes, a fin de promover la cooperación internacional en…

Estructura de ENISA

ENISA La estructura administrativa y de gestión de ENISA estará integrada por los siguientes elementos: a) un Consejo de Administración; b) un Comité Ejecutivo; c) un director ejecutivo; d) un Grupo Consultivo de ENISA; e) una red de…

Composición del Consejo de Administración

El Consejo de Administración estará compuesto por un miembro nombrado por cada Estado miembro y dos miembros nombrados por la Comisión.

Funciones del Consejo de Administración

El Consejo de Administración: a) definirá la orientación general del funcionamiento de ENISA y velará por que esta trabaje de conformidad con las normas y principios establecidos en el presente Reglamento; velará asimismo por la coherencia…

Presidente del Consejo de Administración

El Consejo de Administración elegirá entre sus miembros, por mayoría de dos tercios, a un presidente y a un vice presidente.

Reuniones del Consejo de Administración

Las reuniones del Consejo de Administración serán convocadas por su presidente.

Votaciones en el Consejo de Administración

El Consejo de Administración tomará sus decisiones por mayoría de sus miembros.

Comité Ejecutivo

El Consejo de Administración estará asistido por un Comité Ejecutivo.

Funciones del director ejecutivo

ENISA será gestionada por su director ejecutivo, que deberá actuar con independencia en el desempeño de sus funciones.

Grupo consultivo de ENISA

El Consejo de Administración establecerá de manera transparente, a propuesta del director ejecutivo, el Grupo Consultivo de ENISA compuesto por expertos reconocidos que representen a las partes interesadas pertinentes, tales como la…

Grupo de las Partes Interesadas sobre Certificación de la Ciberseguridad

Se establecerá el Grupo de las Partes Interesadas sobre Certificación de la Ciberseguridad.

Red de funcionarios de enlace nacionales

El Consejo de Administración, a propuesta del director ejecutivo, establecerá una red de funcionarios de enlace nacionales, compuesta por representantes de todos los Estados miembros (en lo sucesivo, «funcionarios de enlace nacionales»).

Documento único de programación

ENISA llevará a cabo sus operaciones de conformidad con un documento único de programación que contendrá su programación anual y plurianual, con inclusión de la totalidad de sus actividades previstas.

Declaración de intereses

Los miembros del Consejo de Administración, el director ejecutivo y los funcionarios enviados en comisión de servicios por los Estados miembros con carácter temporal deberán efectuar cada uno de ellos una declaración de compromisos y una…

Transparencia

ENISA llevará a cabo sus actividades con un alto grado de transparencia y de conformidad con el artículo 28.

Confidencialidad

Sin perjuicio de lo dispuesto en el artículo 28, ENISA no divulgará a terceros la información que trate o reciba para la que se haya presentado una solicitud motivada de tratamiento confidencial.

Acceso a los documentos

El Reglamento (CE) n.o 1049/2001 se aplicará a los documentos en poder de ENISA.

Establecimiento del presupuesto de ENISA

El director ejecutivo elaborará cada año un proyecto de estado de previsiones de ingresos y gastos de ENISA para el siguiente ejercicio financiero, y lo hará llegar al Consejo de Administración, junto con un proyecto de plantilla.

Estructura del presupuesto de ENISA

Sin perjuicio de otros recursos, los ingresos de ENISA consistirán en: a) una contribución procedente del presupuesto general de la Unión; b) ingresos asignados a partidas de gastos específicas de conformidad con las normas financieras…

Ejecución del presupuesto de ENISA

El director ejecutivo será responsable de la ejecución del presupuesto de ENISA.

Normas financieras

El Consejo de Administración adoptará las normas financieras aplicables a ENISA, previa consulta a la Comisión.

Lucha contra el fraude

Con el fin de facilitar la lucha contra el fraude, la corrupción y otras actividades ilegales con arreglo al Reglamento (UE, Euratom) n.o 883/2013 del Parlamento Europeo y del Consejo (29), ENISA, a más tardar el 28 de diciembre de 2019,…

Disposiciones generales

otros agentes, así como las normas adoptadas de común acuerdo entre las instituciones de la Unión con el fin de poner en práctica el Estatuto de los funcionarios y el Régimen aplicable a los otros agentes, se aplicarán al personal de ENISA.

Privilegios e inmunidades Se aplicará a

ENISA y a su personal el Protocolo n.o 7 sobre los privilegios y las inmunidades de la Unión Europea, anejo al TUE y al TFUE.

Director ejecutivo

El director ejecutivo será contratado como agente temporal de ENISA según lo dispuesto en el artículo 2, letra a), del Régimen aplicable a los otros agentes.

Expertos nacionales en comisión de servicios y otros agentes

ENISA podrá recurrir a expertos nacionales en comisión de servicios o a otro personal no contratado por ENISA.

Estatuto jurídico de ENISA

ENISA será un órgano de la Unión dotado de personalidad jurídica.

Responsabilidad de ENISA

La responsabilidad contractual de ENISA se regirá por la legislación aplicable al contrato de que se trate.

Régimen lingüístico

El Reglamento n.o 1 del Consejo será aplicable a ENISA (32).

Protección de los datos de carácter personal

El tratamiento de los datos de carácter personal por parte de ENISA deberá ajustarse al Reglamento (UE) 2018/1725.

Cooperación con terceros países y organizaciones internacionales

En la medida en que resulte necesario para el logro de los objetivos fijados en el presente Reglamento, ENISA podrá cooperar con las autoridades competentes de terceros países, con organizaciones internacionales, o con ambas.

Normas de seguridad aplicables a la protección de la información clasificada y de la información sensible no clasificada

información sensible no clasificada Previa consulta a la Comisión, ENISA adoptará sus normas de seguridad aplicando los principios de seguridad contenidos en las normas de seguridad de la Comisión para la protección de la información…

Acuerdo relativo a la sede y condiciones de funcionamiento

Las disposiciones necesarias relativas al alojamiento que debe proporcionarse a ENISA en el Estado miembro de acogida y las instalaciones que debe poner a disposición dicho Estado miembro, así como las normas específicas aplicables en el…

Control administrativo El funcionamiento de

ENISA será supervisado por el Defensor del Pueblo Europeo de conformidad con el artículo 228 del TFUE.

Marco europeo de certificación de la ciberseguridad

Se crea el marco europeo de certificación de la ciberseguridad con el fin de mejorar las condiciones de funciona miento del mercado interior incrementando el nivel de ciberseguridad dentro de la Unión y haciendo posible un planteamiento…

Programa de trabajo evolutivo de la Unión para la certificación europea de la ciberseguridad

ciberseguridad 1. La Comisión publicará un programa de trabajo evolutivo para los esquemas europeos de certificación de la ciberseguridad (en lo sucesivo, «programa de trabajo evolutivo de la Unión») que definirá las prioridades…

Solicitud de un esquema europeo de certificación de la ciberseguridad

La Comisión podrá solicitar a ENISA que prepare una propuesta de esquema o que revise un esquema europeo de certificación de la ciberseguridad existente basándose en el programa de trabajo evolutivo de la Unión.

Preparación, adopción y revisión de esquemas europeos de certificación de la ciberseguridad

ciberseguridad 1. Tras recibir una solicitud de la Comisión, con arreglo al artículo 48 ENISA preparará una propuesta de esquema que cumpla los requisitos establecidos en los artículos 51, 52 y 54. ESL 151/54 Diario Oficial de la Unión…

Sitio web de los esquemas europeos de certificación de la ciberseguridad

ENISA mantendrá un sitio web asignado al propósito de ofrecer información sobre los esquemas europeos de certificación de la ciberseguridad, los certificados europeos de la ciberseguridad y las declaraciones UE de conformidad y darles…

Objetivos de seguridad de los esquemas europeos de certificación de la ciberseguridad

Los esquemas europeos de certificación de la ciberseguridad deberán diseñarse para cumplir, según proceda, al menos los siguientes objetivos de seguridad: a) proteger los datos almacenados, transmitidos o tratados de otro modo frente al…

Niveles de garantía de los esquemas europeos de certificación de la ciberseguridad

Un esquema europeo de certificación de la ciberseguridad podrá especificar uno o más de los niveles de garantía siguientes para los productos, servicios y procesos de TIC: «básico», «sustancial» o «elevado».

Autoevaluación de la conformidad

Un esquema europeo de certificación de la ciberseguridad podrá permitir realizar una autoevaluación de la con formidad bajo la responsabilidad exclusiva del fabricante o proveedor de productos, servicios o procesos de TIC.

Elementos de los esquemas europeos de certificación de la ciberseguridad

Un esquema europeo de certificación de la ciberseguridad incluirá al menos los siguientes elementos: a) el objeto y alcance del esquema de certificación, incluido el tipo o categoría de productos, servicios y procesos de TIC cubiertos; b)…

Información complementaria sobre ciberseguridad de productos, servicios y procesos de TIC certificados

TIC certificados 1. El fabricante o proveedor de productos, servicios y procesos de TIC certificados o autoevaluados proporcionará la información sobre ciberseguridad complementaria siguiente: a) orientaciones y recomendaciones para ayudar…

Certificación de la ciberseguridad

Los productos, servicios y procesos de TIC que hayan sido certificados de conformidad con un esquema europeo de certificación de la ciberseguridad adoptado de conformidad con el artículo 49 se presumirán conformes con los requisitos de…

Esquemas y certificados nacionales de certificación de la ciberseguridad

Sin perjuicio de lo dispuesto en el apartado 3 del presente artículo, los esquemas nacionales de certificación de ciberseguridad y los procedimientos correspondientes para los productos, servicios y procesos de TIC cubiertos por un esquema…

Autoridades nacionales de certificación de la ciberseguridad

Cada Estado miembro designará a una o más autoridades nacionales de certificación de la ciberseguridad en su territorio o, de mutuo acuerdo con otro Estado miembro, designará a una o más autoridades nacionales de certificación de la…

Revisión interpares

Con vistas a alcanzar normas equivalentes en toda la Unión en lo que respecta a los certificados europeos de ciberseguridad expedidos y a las declaraciones de conformidad de la UE, las autoridades nacionales de certificación de la…

Organismos de evaluación de la conformidad

Los organismos de evaluación de la conformidad estarán acreditados por el organismo nacional de acreditación designado con arreglo al Reglamento (CE) n.o 765/2008.

Notificación

En relación con cada esquema europeo de certificación de la ciberseguridad adoptado, las autoridades nacionales de certificación de la ciberseguridad notificarán a la Comisión los correspondientes organismos de evaluación de la confor…

Grupo Europeo de Certificación de la Ciberseguridad

Queda establecido el Grupo Europeo de Certificación de la Ciberseguridad (en lo sucesivo, «GECC»).

Derecho a presentar una reclamación

Las personas físicas o jurídicas tendrán derecho a presentar una reclamación ante el responsable de expedir un certificado europeo de ciberseguridad o, cuando la reclamación esté relacionada con un certificado europeo de ciberse guridad…

Derecho a la tutela judicial efectiva

Sin perjuicio de cualquier otro recurso administrativo o extrajudicial, toda persona física o jurídica tendrá derecho a la tutela judicial efectiva en lo que respecta a: a) las decisiones de la autoridad u organismo mencionado en el…

Sanciones

incumplimientos del presente título y de los esquemas europeos de certificación de la ciberseguridad y adoptarán toda medida necesaria para garantizar su aplicación.

Procedimiento de comité

La Comisión estará asistida por un comité.

Evaluación y revisión

A más tardar el 28 de junio de 2024, y posteriormente cada cinco años, la Comisión evaluará el impacto, la eficacia y la eficiencia de ENISA y de sus prácticas de trabajo, así como la posible necesidad de modificar su mandato y las…

Derogación y sucesión

Queda derogado el Reglamento (UE) n.o 526/2013, con efecto a partir del 27 de junio de 2019.

Entrada en vigor

El presente Reglamento entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.