Agencia Estatal Boletín Oficial del Estado

(1)

En lo que se refiere a los proveedores de servicios de DNS, los registros de nombres de dominio de primer nivel, los proveedores de servicios de computación en nube, los proveedores de servicios de centros de datos, los proveedores de redes de distribución de contenidos, los proveedores de servicios gestionados, los proveedores de servicios de seguridad gestionados, los proveedores de mercados en línea, motores de búsqueda en línea y plataformas de servicios de redes sociales, así como los prestadores de servicios de confianza, tal como los contempla el artículo 3 de la Directiva (UE) 2022/2555 (en lo sucesivo, «las entidades pertinentes»), el presente Reglamento tiene por objeto establecer los requisitos técnicos y metodológicos de las medidas previstas en el artículo 21, apartado 2, de la Directiva (UE) 2022/2555 y detallar en qué casos un incidente debe considerarse significativo a tenor del artículo 23, apartado 3, de la Directiva (UE) 2022/2555.

(2)

Teniendo en cuenta el carácter transfronterizo de las actividades y a fin de garantizar un marco coherente para los prestadores de servicios de confianza, el presente Reglamento debe, con respecto a los prestadores de servicios de confianza, precisar en qué casos un incidente se considerará significativo y establecer los requisitos técnicos y metodológicos de las medidas para la gestión de riesgos de ciberseguridad.

(3)

De conformidad con el artículo 21, apartado 5, párrafo tercero, de la Directiva (UE) 2022/2555, los requisitos técnicos y metodológicos de las medidas para la gestión de riesgos de ciberseguridad previstos en el anexo del presente Reglamento se basan en normas europeas e internacionales, como las normas ISO/IEC 27001, ISO/IEC 27002 y ETSI EN 319401, o en especificaciones técnicas, como CEN/TS 18026: 2024, pertinentes para la seguridad de las redes y los sistemas de información.

(4)

En lo que se refiere a la ejecución y la aplicación de los requisitos técnicos y metodológicos de las medidas para la gestión de riesgos de ciberseguridad establecidos en el anexo del presente Reglamento, de acuerdo con el principio de proporcionalidad, ha de tenerse debidamente en cuenta la distinta exposición al riesgo de las entidades pertinentes, en función de su carácter esencial, de los riesgos a los que estén expuestas, de su tamaño y estructura, o de la probabilidad de que se produzcan incidentes y su gravedad, incluidas las repercusiones sociales y económicas, cuando se cumplan los requisitos técnicos y metodológicos de las medidas para la gestión de riesgos que se establecen en el anexo del presente Reglamento.

(5)

En consonancia con el principio de proporcionalidad, cuando las entidades pertinentes no puedan aplicar algunos de los requisitos técnicos y metodológicos de las medidas para la gestión de riesgos de ciberseguridad debido a su tamaño, dichas entidades deben poder adoptar otras medidas compensatorias que sean adecuadas para alcanzar los objetivos de dichos requisitos. Por ejemplo, a la hora de designar los roles, responsabilidades y autoridades relativos a la seguridad de los sistemas de redes y de información dentro de la entidad pertinente, las microentidades pueden toparse con dificultades para separar cometidos o áreas de responsabilidad que puedan entrar en conflicto. Dichas entidades deben poder considerar medidas compensatorias, como, por ejemplo, una supervisión específica por parte de la dirección de la entidad, o un mayor seguimiento y registro.

(6)

Las entidades pertinentes deben aplicar determinados requisitos técnicos y metodológicos establecidos en el anexo del presente Reglamento según proceda, cuando proceda o en la medida de lo posible. Cuando una entidad pertinente considere que no procede, que no resulta de aplicación o que no es posible aplicar determinados requisitos técnicos y metodológicos de acuerdo con lo previsto en el anexo del presente Reglamento, dicha entidad pertinente debe documentar de manera comprensible su razonamiento a tal efecto. Las autoridades nacionales competentes podrán, cuando ejerzan la supervisión, tener en cuenta el tiempo necesario para que las entidades pertinentes pongan en marcha los requisitos técnicos y metodológicos de las medidas para la gestión de riesgos de ciberseguridad.

(7)

La ENISA o las autoridades nacionales competentes contempladas en la Directiva (UE) 2022/2555 pueden proporcionar orientaciones de apoyo a las entidades pertinentes en la detección, el análisis y la evaluación de riesgos a efectos de poner en práctica los requisitos técnicos y metodológicos relativos al establecimiento y mantenimiento de un marco de gestión de riesgos adecuado. Estas orientaciones pueden consistir, en particular, en evaluaciones de riesgos nacionales y sectoriales, así como en evaluaciones de riesgos específicas relativas a un determinado tipo de entidad. Las orientaciones también pueden facilitar herramientas o plantillas para el desarrollo del marco de gestión de riesgos a escala de las entidades pertinentes. Los marcos, las orientaciones u otros mecanismos previstos por la legislación de los Estados miembros, así como las normas europeas e internacionales correspondientes, también pueden servir de respaldo a las entidades pertinentes para demostrar el cumplimiento del presente Reglamento de ejecución. Además, la ENISA o las autoridades nacionales competentes contempladas en la Directiva (UE) 2022/2555 pueden respaldar a las entidades pertinentes en la búsqueda y puesta en marcha de soluciones adecuadas para tratar los riesgos detectados en las evaluaciones correspondientes. Las orientaciones deben entenderse sin perjuicio de la obligación de las entidades pertinentes de señalar y documentar los riesgos para la seguridad de los sistemas de redes y de información, ni de la obligación de dichas entidades de aplicar los requisitos técnicos y metodológicos de las medidas para la gestión de riesgos de ciberseguridad establecidos en el anexo del presente Reglamento, de conformidad con sus necesidades y recursos.

(8)

Las medidas de seguridad de las redes en relación con: i) la transición hacia protocolos de comunicación de la capa de red de última generación, ii) el desarrollo de normas sobre las comunicaciones por correo electrónico modernas, interoperables y aprobadas a escala internacional, y iii) la aplicación de las mejores prácticas sobre seguridad del DNS, la seguridad del enrutamiento de internet y la higiene de enrutamiento conllevan riesgos específicos en lo que se refiere a la designación de las mejores normas disponibles y las técnicas de implantación. A fin de alcanzar lo antes posible un elevado nivel común de ciberseguridad en todas las redes, la Comisión, con la ayuda de la Agencia de la Unión Europea para la Ciberseguridad (ENISA) y, en colaboración con las autoridades competentes, la industria (especialmente la industria de las telecomunicaciones) y otras partes interesadas, debe respaldar el desarrollo de un foro multilateral encargado de determinar las mejores normas y técnicas de implantación disponibles. Estas orientaciones multilaterales deben entenderse sin perjuicio de la obligación de las entidades pertinentes de aplicar los requisitos técnicos y metodológicos de las medidas para la gestión de riesgos que se establecen en el anexo del presente Reglamento.

(9)

De conformidad con el artículo 21, apartado 2, letra a), de la Directiva (UE) 2022/2555, además de contar con políticas de análisis de riesgos, las entidades esenciales e importantes deben disponer de políticas de seguridad de los sistemas de información. A tal efecto, las entidades pertinentes deben establecer políticas de seguridad de los sistemas de redes y de información y políticas temáticas (como, por ejemplo, políticas de control de acceso), que han de ser coherentes con las primeras. La política de seguridad de los sistemas de redes y de información debe ser el documento de más alto nivel en el que se establezca el enfoque global de las entidades pertinentes con respecto a la seguridad de sus sistemas de redes y de información y deben aprobarla los órganos de dirección de las entidades pertinentes. Las políticas temáticas debe aprobarlas el nivel de dirección adecuado. La política de seguridad debe establecer indicadores y medidas para supervisar su aplicación y el estado de madurez actual de la seguridad de los sistemas de redes y de información de las entidades pertinentes, en concreto para facilitar el control de la ejecución de las medidas para la gestión de riesgos de ciberseguridad por parte de los órganos de dirección.

(10)

En lo que se refiere a los requisitos técnicos y metodológicos establecidos en el anexo del presente Reglamento, el término «usuario» debe englobar a todas las personas físicas y jurídicas que tengan acceso a los sistemas de redes y de información de la entidad.

(11)

A fin de detectar y abordar los riesgos que se planteen para la seguridad de los sistemas de redes y de información, las entidades pertinentes deben establecer y mantener un marco de gestión de riesgos adecuado. Como parte de este marco de gestión de riesgos, las entidades pertinentes deben establecer, poner en marcha y supervisar un plan de tratamiento de los riesgos. Las entidades pertinentes podrán utilizar el plan de tratamiento de los riesgos para detectar y priorizar las opciones y medidas de tratamiento de los riesgos. Las opciones para el tratamiento de los riesgos incluyen, en concreto, evitar, reducir o, en casos excepcionales, aceptar los riesgos. Las alternativas de tratamiento de los riesgos deben tener en cuenta los resultados de la evaluación de riesgos realizada por parte de la entidad pertinente y de conformidad con la política de esta última sobre la seguridad de los sistemas de redes y de información. Para hacer efectivas las opciones de tratamiento de riesgos elegidas, las entidades pertinentes deben adoptar las medidas oportunas de tratamiento de los riesgos.

(12)

A fin de detectar sucesos, cuasiincidentes e incidentes, las entidades pertinentes deben supervisar sus sistemas de información y de redes y deben adoptar medidas para evaluar dichos sucesos, cuasiincidentes e incidentes. Estas medidas deben permitir la detección a su debido tiempo de ataques en la red utilizando patrones anómalos del tráfico de entrada o salida y ataques de denegación de servicio.

(13)

Se anima a las entidades pertinentes a que, cuando lleven a cabo un análisis de impacto empresarial, este sea exhaustivo y establezca, según proceda, un tiempo de interrupción máximo tolerable, los objetivos de tiempo de recuperación y de punto de recuperación, y los objetivos de prestación de servicios.

(14)

A fin de mitigar los riesgos derivados de la cadena de suministro de la entidad pertinente y de su relación con los proveedores, la entidad debe establecer una política de seguridad de la cadena de suministro que rija sus relaciones con los proveedores y prestadores de servicios directos. Además, las entidades deben establecer, en los contratos con los proveedores y los prestadores de servicios directos, cláusulas de seguridad adecuadas que exijan, cuando proceda, medidas para la gestión de los riesgos de ciberseguridad conforme al artículo 21, apartado 2, de la Directiva (UE) 2022/2555, u otras disposiciones legales similares.

(15)

Las entidades pertinentes deben realizar pruebas de seguridad regulares, basadas en unas políticas y unos procedimientos específicos, para comprobar que las medidas para la gestión de riesgos de ciberseguridad se están aplicando y están funcionando adecuadamente. Las pruebas de seguridad podrán realizarse en sistemas de redes y de información concretos o en la entidad pertinente en su conjunto, y podrán incluir tests automáticos o manuales, pruebas de penetración, la exploración de vulnerabilidades, pruebas de seguridad de aplicaciones estáticas y dinámicas, pruebas de configuración o auditorías de seguridad. Las entidades pertinentes podrán efectuar las pruebas de seguridad de sus sistemas de redes y de información en el momento de instalarlos, después de mejoras en la infraestructura o de actualizaciones de las aplicaciones o de otras modificaciones que puedan resultar significativas, o tras una operación de mantenimiento. Las conclusiones de las pruebas de seguridad deben servir de referencia a las entidades pertinentes en sus políticas y procedimientos para evaluar la eficacia de las medidas para la gestión de riesgos de ciberseguridad, así como en las revisiones independientes de sus políticas de seguridad de las redes y de la información.

(16)

A fin de evitar perturbaciones y daños significativos causados por la explotación de vulnerabilidades no subsanadas en los sistemas de redes y de información, las entidades pertinentes deben establecer y aplicar procedimientos adecuados para la gestión de los parches de seguridad que sean acordes a sus procedimientos de gestión de cambios, gestión de vulnerabilidades, gestión de riesgos u otros procedimientos relevantes. Las entidades pertinentes deben adoptar medidas proporcionales a sus recursos y asegurarse de que los parches de seguridad no introduzcan vulnerabilidades o inestabilidades adicionales. En caso de que se prevea la inaccesibilidad del servicio a causa de la aplicación de parches de seguridad, se anima a las entidades pertinentes a que informen de antemano a sus clientes.

(17)

Las entidades pertinentes deben gestionar los riesgos derivados de la adquisición de productos o servicios TIC por parte de sus proveedores o de los prestadores de servicios y deben obtener garantías de que los productos o servicios TIC que van a adquirir alcanzan determinados niveles de protección de la ciberseguridad mediante, por ejemplo, certificados europeos de ciberseguridad o declaraciones de conformidad de la UE para servicios o productos TIC expedidos con arreglo a un régimen europeo de certificación de la ciberseguridad, según lo establecido en el artículo 49 del Reglamento (UE) 2019/881 del Parlamento Europeo y del Consejo (2). Cuando las entidades pertinentes establezcan requisitos de seguridad para aplicarlos a los productos TIC que vayan a adquirir, deben tener en cuenta los requisitos de ciberseguridad clave establecidos en el Reglamento del Parlamento Europeo y del Consejo relativo a los requisitos horizontales de ciberseguridad para los productos con elementos digitales.

(18)

Para protegerse contra las ciberamenazas y apoyar la prevención y contención de las violaciones de la seguridad de los datos, las entidades pertinentes deben aplicar soluciones de seguridad de la red. Las soluciones típicas de seguridad de la red pasan por utilizar cortafuegos para proteger las redes internas de las entidades pertinentes, limitar la conexión y el acceso a los servicios en los que dicha conexión y dicho acceso sean imprescindibles, utilizar redes privadas virtuales para el acceso remoto y conceder premisos de conexión a los prestadores de servicios previa solicitud de autorización y durante un período de tiempo limitado (por ejemplo, la duración de una operación de mantenimiento).

(19)

A fin de proteger sus redes y sistemas de información frente a programas maliciosos o no autorizados, las entidades pertinentes deben aplicar controles para impedir o detectar el uso de programas informáticos no autorizados y deben, cuando proceda, utilizar programas de detección y de respuesta. Las entidades pertinentes también deben considerar la aplicación de medidas para reducir la superficie de ataque, disminuir las vulnerabilidades que puedan ser explotadas por los atacantes, controlar el funcionamiento de las aplicaciones en los dispositivos finales, e introducir filtros de correo electrónico y de aplicación web para reducir la exposición a contenidos malintencionados.

(20)

De conformidad con el artículo 21, apartado 2, letra g), de la Directiva (UE) 2022/2555, corresponde a los Estados miembros velar por que las entidades esenciales e importantes apliquen prácticas básicas de ciberhigiene y ofrezcan formación en ciberseguridad. Las prácticas básicas de ciberhigiene pueden incluir principios de confianza cero, actualizaciones de programas, configuración de dispositivos, segmentación de la red, controles de identidad y acceso y sensibilización de los usuarios, organización de formaciones para el personal y una mejor concienciación en torno a las ciberamenazas, el phising o las técnicas de ingeniería social. Las prácticas de ciberhigiene forman parte de los diferentes requisitos metodológicos y técnicos de las medidas para la gestión de riesgos de ciberseguridad establecidos en el anexo del presente Reglamento. En lo que se refiere a las prácticas básicas de ciberhigiene para los usuarios, las entidades pertinentes deben considerar, por ejemplo, una estrategia de escritorios y pantallas despejados, el uso de medios de autenticación multifactorial u otros, el uso seguro del correo electrónico y la navegación web, la protección frente a la suplantación de identidad y la ingeniería social, o unas prácticas seguras de trabajo a distancia.

(21)

A fin de evitar el acceso no autorizado a los activos de las entidades pertinentes, estas últimas deben establecer y aplicar políticas temáticas que aborden la cuestión del acceso tanto de personas como de sistemas de redes y de información (como las aplicaciones).

(22)

Para evitar que los empleados puedan, por ejemplo, hacer un uso indebido de sus derechos de acceso dentro de la entidad pertinente y provocar daños y perjuicios, estas entidades deben valorar la adopción de medidas adecuadas para la gestión de la seguridad de los empleados y mejorar la concienciación de su personal en torno a estos riesgos. Las entidades pertinentes deben establecer, comunicar y mantener un procedimiento disciplinario para responder a los incumplimientos de las políticas de seguridad de los sistemas de redes y de información de las entidades pertinentes, que podrá estar integrado en otros procedimientos disciplinarios establecidos por estas últimas. La verificación de los antecedentes personales realizada en el caso de los empleados y, cuando proceda, los proveedores o prestadores de servicios directos de las entidades pertinentes debe contribuir al objetivo de la seguridad de los recursos humanos en las entidades pertinentes, y podrá incluir medidas como la comprobación de los antecedentes penales o del desempeño profesional previo de la persona, según se requiera con relación a las funciones de esta persona en la entidad pertinente y de conformidad con la política de esta última en materia de seguridad de los sistemas de redes y de información.

(23)

La autenticación multifactorial puede mejorar la ciberseguridad de las entidades, y estas deben tenerla en cuenta, especialmente, cuando los usuarios accedan a los sistemas de redes y de información desde lugares remotos, o cuando tengan acceso a información sensible o a cuentas privilegiadas o de administración del sistema. La autenticación multifactorial puede combinarse con otras técnicas que requieran factores adicionales en circunstancias específicas a partir de unas normas y unos patrones predefinidos; por ejemplo, si el acceso se produce desde una ubicación o un dispositivo inusual, o a una hora poco habitual.

(24)

Las entidades pertinentes deben gestionar y proteger los activos que posean un valor para ellos a través de una buena gestión de activos, que a su vez sirva de base para el análisis de riesgos y la continuidad de la actividad. Las entidades pertinentes deben gestionar tanto los activos tangibles como los intangibles, crear un inventario de activos, asociar estos últimos a una categoría de clasificación definida, manejar los activos y hacer un seguimiento de los mismos, y adoptar las medidas necesarias para protegerlos a lo largo de todo su ciclo de vida.

(25)

La gestión de activos debe llevar aparejada su clasificación según el tipo, la sensibilidad, el nivel de riesgo y los requisitos de seguridad, y la aplicación de medidas y controles adecuados que aseguren su disponibilidad, integridad, confidencialidad y autenticidad. Cuando clasifiquen los activos según su nivel de riesgo, las entidades pertinentes deben poder aplicar medidas y controles de seguridad adecuados para protegerlos, tales como el cifrado, el control de acceso (incluido el control del acceso perimetral, físico y lógico), las copias de seguridad, los registros y el seguimiento, la retención y la eliminación. Cuando realicen un análisis de impacto empresarial, las entidades pertinentes podrán determinar la categoría de clasificación en función de las consecuencias de la perturbación de los activos para las entidades. Todo empleado de la entidad que gestione activos debe estar familiarizado con las políticas de manejo de activos y las instrucciones correspondientes.

(26)

La granularidad del inventario de activos debe ser adecuada a las necesidades de las entidades pertinentes. Un inventario exhaustivo de activos puede incluir, con relación a cada activo, al menos un identificador único, el propietario del activo, una descripción del activo, su ubicación, su tipo y la clasificación de la información tratada en el mismo, la fecha de la última actualización o parche, la clasificación del activo en la evaluación de riesgos, y el final de la vida útil del activo. Al identificar al propietario de un activo, las entidades pertinentes también deben designar a la persona responsable de proteger dicho activo.

(27)

La asignación y organización de los roles, responsabilidades y autoridades en materia de ciberseguridad deben dar lugar a una estructura fiable para la gobernanza de esta última y su puesta en marcha dentro de las entidades pertinentes, y debe velar por una comunicación eficaz en caso de que se produzcan incidentes. Cuando se definan y designen las responsabilidades correspondientes a determinados roles, las entidades pertinentes deben considerar roles del tipo: jefe de seguridad de la información, responsable de la seguridad de la información, encargado de la gestión de incidentes, auditor u otros similares. Las entidades pertinentes podrán asignar roles y responsabilidades a terceros, como los proveedores terceros de servicios TIC.

(28)

De conformidad con el artículo 21, apartado 2, de la Directiva (UE) 2022/2555, las medidas para la gestión de riesgos de ciberseguridad se fundamentarán en un enfoque basado en todos los peligros que tenga por objeto proteger los sistemas de redes y de información y el entorno físico de dichos sistemas frente a sucesos como robos, incendios, inundaciones, fallos en las telecomunicaciones o de suministro de electricidad, acceso físico no autorizado o daños a la información que posee la entidad esencial o importante y las instalaciones de procesamiento de información de la entidad, o frente a cualquier tipo de interferencia con dicha información e instalaciones, que puedan poner en peligro la disponibilidad, la autenticidad, la integridad o la confidencialidad de los datos almacenados, transmitidos o tratados, o de los servicios ofrecidos por tales sistemas de redes y de información o accesibles a través de ellos. Por consiguiente, los requisitos técnicos y metodológicos de las medidas para la gestión de riesgos de ciberseguridad deben abordar también la seguridad física y medioambiental de los sistemas de redes y de información mediante la incorporación de medidas para protegerlos frente a fallos de sistema, errores humanos, actos malintencionados o fenómenos naturales. Otros ejemplos de amenazas físicas y medioambientales son los terremotos, las explosiones, el sabotaje, las amenazas internas, los disturbios, los residuos tóxicos y las emisiones medioambientales. La prevención de pérdidas, daños u otros riesgos para los sistemas de redes y de información así como de la interrupción de sus operaciones debido a fallos o problemas en los servicios básicos de apoyo debe contribuir al objetivo de continuidad de las actividades en las entidades pertinentes. Además, la protección frente a las amenazas físicas y medioambientales debe contribuir al mantenimiento de la seguridad de los sistemas de redes y de información en dichas entidades.

(29)

Las entidades pertinentes deben diseñar y aplicar medidas de protección contra las amenazas físicas y medioambientales, establecer umbrales mínimos y máximos de control con relación a las mismas y supervisar los parámetros medioambientales. Por ejemplo, deben considerar la posibilidad de instalar sistemas para detectar en una fase temprana la inundación de las zonas en las que se encuentren los sistemas de redes y de información. En cuanto al peligro de incendio, las entidades pertinentes deben considerar la creación de un compartimento contra incendios separado para el centro de datos, el uso de materiales ignífugos y de sensores para controlar la temperatura y la humedad, la conexión del edificio a un sistema de alarma con una notificación automática al servicio contraincendios local, así como sistemas de detección temprana y extinción de incendios. Las entidades pertinentes deben llevar a cabo periódicamente ejercicios e inspecciones de prevención de incendios. Además, para garantizar el suministro eléctrico, las entidades pertinentes deben considerar la protección contra la sobretensión y el correspondiente suministro eléctrico de emergencia, de acuerdo con las normas oportunas. Puesto que el sobrecalentamiento supone un riesgo para la disponibilidad de los sistemas de redes y de información, las entidades pertinentes —en particular los proveedores de servicios de centros de datos— también pueden considerar sistemas de aire acondicionado adecuados, continuos y redundantes.

(30)

El presente Reglamento tiene por objeto detallar en mayor medida en qué casos puede considerarse significativo un incidente a efectos del artículo 23, apartado 3, de la Directiva (UE) 2022/2555. Los criterios deben ser tales que las entidades pertinentes sean capaces de determinar si un incidente es significativo a fin de notificarlo de conformidad con la Directiva (UE) 2022/2555. Además, la lista de criterios establecida en el presente Reglamento debe considerarse exhaustiva, sin perjuicio de lo dispuesto en el artículo 5 de la Directiva (UE) 2022/2555. El presente Reglamento detalla los casos en que un incidente debe considerarse significativo estableciendo casos horizontales y por tipo de entidad.

(31)

De conformidad con el artículo 23, apartado 4, de la Directiva (UE) 2022/2555, las entidades pertinentes deben estar obligadas a notificar los incidentes significativos en los plazos previstos en dicha disposición. Estos plazos de notificación se inician en el momento en que la entidad conoce tales incidentes significativos. Por lo tanto, la entidad pertinente debe notificar los incidentes que, de acuerdo con su evaluación inicial, puedan causar alteraciones operativas importantes en los servicios o pérdidas financieras para la entidad, o puedan afectar a otras personas físicas o jurídicas causándoles daños materiales o inmateriales considerables. Así, cuando una entidad pertinente haya detectado un suceso sospechoso, o cuando un tercero —como un particular, un cliente, una entidad, una autoridad, una organización de medios de comunicación u otra fuente— haya puesto en su conocimiento un incidente potencial, la entidad pertinente debe evaluar a su debido tiempo dicho suceso sospecho para determinar si constituye un incidente y, en su caso, su naturaleza y gravedad. Por consiguiente, se considera que la entidad pertinente «tiene conocimiento» del incidente significativo cuando, tras dicha evaluación inicial, la entidad cuente con un grado razonable de certeza de que un incidente significativo ha tenido lugar.

(32)

A fin de establecer si un incidente es significativo, las entidades pertinentes deben, cuando proceda, contabilizar el número de usuarios afectados por el mismo, teniendo en cuenta las empresas y clientes finales con los que la entidad pertinente tenga una relación contractual, así como las personas físicas y jurídicas asociadas a los clientes comerciales. Cuando una entidad pertinente no pueda calcular el número de usuarios afectados por el incidente, se tendrá en cuenta su estimación del posible número máximo de usuarios concernidos a efectos del cálculo del número total. La importancia de un incidente que concierna a un servicio de confianza no debe determinarse únicamente en función del número de usuarios, sino también del número de partes usuarias, ya que estas también pueden sufrir repercusiones cuando se produzca un incidente significativo que afecte a un servicio de confianza con relación a fallos operativos o a daños materiales e inmateriales. Por consiguiente, los prestadores de servicios de confianza también deben tener en cuenta, cuando proceda, el número de partes usuarias a la hora de determinar si un incidente es significativo. A tal efecto, las partes usuarias deben entenderse como las personas físicas o jurídicas que dependan de un servicio de confianza.

(33)

Las operaciones de mantenimiento que limiten la disponibilidad de los servicios o impliquen su indisponibilidad no deben considerarse incidentes significativos cuando la limitación de la disponibilidad o la indisponibilidad del servicio se produzcan a raíz de una operación de mantenimiento programada. Es más, cuando un servicio esté indisponible debido a una interrupción programada, como las interrupciones o la indisponibilidad que respondan a un acuerdo contractual previo, este hecho no debe considerarse incidente significativo.

(34)

La duración de un incidente que repercuta en la disponibilidad de un servicio debe calcularse desde el momento en que el correcto suministro del servicio se vea perturbado hasta el momento en que se recupere. Cuando una entidad pertinente no pueda determinar el momento en que se produjo la interrupción, la duración del incidente debe calcularse desde el momento en que se detectó o desde el momento en que se dejó constancia en el registro de la red o del sistema o en otras fuentes de datos, si esta fecha fuese anterior.

(35)

La indisponibilidad total de un servicio debe calcularse desde el momento en que el servicio esté completamente indisponible para los usuarios hasta el momento en que las actividades u operaciones habituales se hayan restablecido al mismo nivel de servicio que se estaba prestando antes del incidente. Cuando una entidad pertinente no pueda determinar el momento en que se inició la indisponibilidad completa de un servicio, esta debe calcularse a partir del momento en que dicha entidad la haya detectado.

(36)

A efectos de determinar las pérdidas financieras directas resultantes de un incidente, las entidades pertinentes deben tener en cuenta todas las pérdidas financieras que hayan sufrido como consecuencia del mismo, como los costes de sustitución o reubicación de software, hardware o infraestructura, los costes de personal, incluidos los costes asociados a la sustitución o reubicación del personal, la contratación de personal adicional, la remuneración de las horas extraordinarias y la recuperación de las capacidades perdidas o deterioradas, las tasas por incumplimiento de las obligaciones contractuales, los costes de reparación y compensación a los clientes, las pérdidas por renuncia a ingresos, los costes asociados a la comunicación interna y externa, los costes de asesoramiento, incluidos los costes asociados al asesoramiento jurídico, los servicios forenses y los servicios de reparación, y otros costes asociados al incidente. No obstante, las multas administrativas y los costes necesarios para el funcionamiento cotidiano de la empresa no deben considerarse pérdidas financieras derivadas de un incidente, como los costes de mantenimiento general de la infraestructura, los equipos, el hardware y el software, la actualización de las capacidades del personal, los costes internos o externos para mejorar la actividad después del incidente, incluidas las actualizaciones, las mejoras y las iniciativas relacionadas con la evaluación de riesgos, y las primas de seguros. Las entidades pertinentes deben calcular los importes de las pérdidas financieras sobre la base de los datos disponibles y, cuando no puedan determinarse los importes reales de las pérdidas financieras, las entidades deben hacer una estimación de dichos importes.

(37)

Las entidades pertinentes también están obligadas a notificar aquellos incidentes que hayan causado o puedan causar la muerte de personas físicas o daños considerables a la salud de estas, ya que estos incidentes son casos especialmente graves que causan daños materiales o inmateriales importantes. Por ejemplo, un incidente que afecte a una entidad pertinente podría provocar la indisponibilidad de servicios sanitarios o de emergencia, o la pérdida de confidencialidad o integridad de los datos con repercusiones para la salud de las personas físicas. Con el fin de determinar si un incidente ha causado o puede causar daños considerables a la salud de una persona física, las entidades pertinentes deben tener en cuenta si el incidente ha causado o puede causar lesiones graves u otros problemas de salud. A tal efecto, no debe exigirse a las entidades pertinentes que recopilen información adicional a la que no tengan acceso.

(38)

En concreto, debe considerarse que existe una disponibilidad limitada cuando un servicio prestado por una entidad pertinente sea considerablemente más lento que el tiempo medio de respuesta, o cuando no todas las funciones de un servicio estén disponibles. Cuando sea posible, deben utilizarse criterios objetivos basados en los tiempos medios de respuesta de los servicios prestados por las entidades pertinentes para evaluar los retrasos en el tiempo de respuesta. Una función de un servicio puede ser, por ejemplo, una función de chat o de búsqueda de imágenes.

(39)

La obtención de acceso, el acceso presuntamente malicioso y el acceso no autorizado a los sistemas de redes y de información de una entidad pertinente deben considerarse incidentes significativos cuando dicho acceso pueda causar graves perturbaciones operativas. Por ejemplo, cuando un agente de ciberamenazas se sitúe anticipadamente en los sistemas de redes y de información con el objetivo de causar la perturbación de los servicios en el futuro, el incidente debe considerarse significativo.

(40)

Los incidentes recurrentes que aparentemente estén relacionados por la misma causa subyacente y que, individualmente, no cumplan los criterios para considerarlos incidente significativo deben considerarse como tal colectivamente, siempre y cuando cumplan de manera colectiva el criterio de pérdida financiera y se hayan producido al menos dos veces en un plazo de seis meses. Tales incidentes recurrentes pueden ser muestra de deficiencias y puntos débiles importantes en los procedimientos de gestión de los riesgos de ciberseguridad de la entidad pertinente, así como de su nivel de madurez en materia de ciberseguridad. Además, estos incidentes pueden causar importantes pérdidas financieras para la entidad pertinente.

(41)

La Comisión ha intercambiado asesoramiento y cooperado con el Grupo de Cooperación y la ENISA sobre el proyecto de acto de ejecución, de conformidad con el artículo 21, apartado 5, y el artículo 23, apartado 11, de la Directiva (UE) 2022/2555.

(42)

(43)

El Supervisor Europeo de Protección de Datos, al que se consultó de conformidad con el artículo 42, apartado 1, del Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo (3), emitió su dictamen el 1 de septiembre de 2024.

Las medidas previstas en el presente Reglamento se ajustan al dictamen del Comité establecido de acuerdo con el artículo 39, de la Directiva (UE) 2022/2555.

1.1.1.

1.1.2.

1.2.1.

1.2.2.

1.2.3.

1.2.4.

1.2.5.

1.2.6.

2.1.1.

2.1.2.

2.1.3.

2.1.4.

2.2.1.

2.2.2.

2.2.3.

2.3.1.

2.3.2.

2.3.3.

2.3.4.

3.1.1.

3.1.2.

3.1.3.

3.2.1.

3.2.2.

3.2.3.

3.2.4.

3.2.5.

3.2.6.

3.2.7.

3.3.1.

3.3.2.

3.4.1.

3.4.2.

3.5.1.

3.5.2.

3.5.3.

3.5.4.

3.5.5.

3.6.1.

3.6.2.

3.6.3.

4.1.1.

4.1.2.

4.1.3.

4.1.4.

4.2.1.

4.2.2.

4.2.3.

4.2.4.

4.2.5.

4.2.6.

4.3.1.

4.3.2.

A efectos de la letra b), el flujo de información entre las entidades pertinentes y las autoridades competentes incluirá comunicaciones obligatorias, como informes de incidentes y los plazos correspondientes, así como comunicaciones facultativas.

4.3.3.

4.3.4.

5.1.1.

5.1.2.

5.1.3.

5.1.4.

5.1.5.

5.1.6.

5.1.7.

a)

los puntos de contacto correspondientes a cada proveedor o prestador de servicios directo;

b)

una lista de productos TIC, servicios TIC y procesos TIC proporcionados por el proveedor o prestador de servicios directo a las entidades pertinentes.

6.1.1.

6.1.2.

6.1.3.

6.2.1.

6.2.2.

6.2.3.

6.2.4.

6.3.1.

6.3.2.

6.3.3.

6.4.1.

6.4.2.

6.4.3.

6.4.4.

6.5.1.

6.5.2.

6.5.3.

6.6.1.

6.6.2.

6.7.1.

6.7.2.

6.7.3.

6.8.1.

6.8.2.

6.8.3.

6.9.1.

6.9.2.

6.10.1.

6.10.2.

6.10.3.

6.10.4.

7.1.

7.2.

7.3.

8.1.1.

8.1.2.

8.1.3.

8.2.1.

8.2.2.

8.2.3.

8.2.4.

8.2.5.

9.1.

9.2.

9.3.

10.1.1.

10.1.2.

10.1.3.

10.2.1.

10.2.2.

10.2.3.

10.3.1.

10.3.2.

10.4.1.

10.4.2.

11.1.1.

11.1.2.

11.1.3.

11.2.1.

11.2.2.

11.2.3.

11.3.1.

11.3.2.

11.3.3.

11.4.1.

11.4.2.

11.5.1.

11.5.2.

11.5.3.

11.5.4.

11.6.1.

11.6.2.

11.6.3.

11.6.4.

11.7.1.

11.7.2.

12.1.1.

12.1.2.

12.1.3.

12.2.1.

12.2.2.

12.2.3.

12.3.1.

12.3.2.

12.3.3.

12.4.1.

12.4.2.

12.4.3.

13.1.1.

13.1.2.

13.1.3.

13.2.1.

13.2.2.

13.2.3.

13.3.1.

13.3.2.

13.3.3.