Art. 40
Seguridad de las redes y servicios
En vigor desde 11 dic 2018
Artículo 40
Seguridad de las redes y servicios
1. Los Estados miembros velarán por que los proveedores de redes públicas de comunicaciones electrónicas o de servicios de comunicaciones electrónicas disponibles al público adopten las medidas técnicas y organizativas adecuadas y proporcionadas para gestionar adecuadamente los riesgos existentes para la seguridad de sus redes y servicios. Considerando el estado de la técnica, dichas medidas garantizarán un nivel de seguridad adecuado al riesgo presente. En particular, se adoptarán medidas, también, cuando proceda, el cifrado, para evitar y reducir al mínimo el impacto de los incidentes de seguridad en los usuarios y en otras redes y servicios.
La Agencia de Seguridad de las Redes y de la Información de la Unión Europea (ENISA), de conformidad con lo dispuesto en el Reglamento (UE) n.o 526/2013 del Parlamento Europeo y del Consejo (45), facilitará la coordinación de los Estados miembros para evitar requisitos nacionales divergentes que puedan crear riesgos para la seguridad y barreras al mercado interior.
2. Los Estados miembros velarán por que los proveedores de redes públicas de comunicaciones electrónicas o de servicios de comunicaciones electrónicas disponibles para el público notifiquen sin demora injustificada a la autoridad competente los incidentes en materia de seguridad que hayan tenido consecuencias significativas en la explotación de las redes o los servicios.
Con el fin de determinar la importancia del impacto de un incidente de seguridad se tendrán en cuenta, en particular, los parámetros siguientes, cuando se disponga de ellos:
a)
el número de usuarios afectados por el incidente de seguridad;
b)
la duración del incidente de seguridad;
c)
el área geográfica afectada por el incidente de seguridad;
d)
la medida en que se ha visto afectado el funcionamiento de la red o del servicio;
e)
el alcance del impacto sobre las actividades económicas y sociales.
Cuando proceda, la autoridad competente afectada informará a las autoridades competentes de otros Estados miembros y a la ENISA. La autoridad competente de que se trate podrá informar al público o exigir a los proveedores que lo hagan, en caso de estimar que la divulgación del incidente de seguridad reviste interés público.
Una vez al año, la autoridad competente correspondiente presentará a la Comisión y a la ENISA un informe resumido sobre las notificaciones recibidas y las medidas adoptadas de conformidad con el presente apartado.
3. Los Estados miembros se asegurarán de que, en caso de que exista una amenaza particular y significativa de incidente de seguridad en las redes públicas de comunicaciones electrónicas o en los servicios de comunicaciones electrónicas disponibles para el público, los proveedores de dichas redes o servicios informen a sus usuarios que pudieran verse afectados por dicha amenaza sobre las posibles medidas de protección o soluciones que pueden adoptar los usuarios. Cuando proceda, los proveedores también informarán a sus usuarios sobre la propia amenaza.
4. El presente artículo se entiende sin perjuicio de lo dispuesto en el Reglamento (UE) 2016/679 y la Directiva 2002/58/CE.
5. La Comisión, teniendo en cuenta en la mayor medida posible el dictamen de la ENISA, podrá adoptar actos de ejecución en los que se detallen las medidas técnicas y organizativas a que se refiere el apartado 1, así como las circunstancias, el formato y los procedimientos aplicables a los requisitos de notificación en virtud del apartado 2. Se basarán en la mayor medida posible en normas europeas e internacionales, y no impedirán que los Estados miembros adopten requisitos adicionales con miras a alcanzar los objetivos establecidos en el apartado 1.
Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 118, apartado 4.
Historial de versiones
Este artículo no ha sufrido modificaciones desde su publicación.
Tus anotaciones
Proeli:dir:2018:1972:oj#art-40