Regl. · n.º 151
Reglamento (UE) 2018/151
 Abrir lector completo

Art. 2

Elementos de seguridad

En vigor desde 30 ene 2018
Artículo 2 Elementos de seguridad 1.   La seguridad de los sistemas e instalaciones a que hace referencia el artículo 16, apartado 1, letra a), de la Directiva (UE) 2016/1148 se refiere a la seguridad de las redes y sistemas de información y de su entorno físico, e incluirá los siguientes elementos: a) la gestión sistemática de redes y sistemas de información, es decir, una cartografía de los sistemas de información y la creación de un conjunto de políticas adecuadas en materia de gestión de la seguridad de la información, incluidos el análisis de riesgos, los recursos humanos, la seguridad de las operaciones, la arquitectura de la seguridad, la gestión segura del ciclo de vida de datos y sistemas, y, si procede, el cifrado y su gestión; b) la seguridad física y del entorno, es decir, la disponibilidad de un conjunto de medidas para proteger la seguridad de las redes y sistemas de información de los proveedores de servicios digitales frente a los daños, utilizando un enfoque basado en los riesgos que abarque todos los peligros y tenga en cuenta, por ejemplo, los fallos del sistema, los errores humanos, las acciones malintencionadas o los fenómenos naturales; c) la seguridad de abastecimiento, es decir, el establecimiento y mantenimiento de políticas adecuadas con el fin de garantizar la accesibilidad y, en su caso, la trazabilidad de los suministros críticos utilizados en la prestación de los servicios; d) el control del acceso a las redes y sistemas de información, es decir, la disponibilidad de un conjunto de medidas para garantizar que el acceso físico y lógico a las redes y sistemas de información, incluida la seguridad administrativa de las redes y sistemas de información, se autorice y restrinja sobre la base de requisitos de actividad de negocio y de seguridad. 2.   En relación con la gestión de incidentes a que hace referencia el artículo 16, apartado 1, letra b), de la Directiva (UE) 2016/1148, las medidas adoptadas por los proveedores de servicios digitales incluirán: a) procesos y procedimientos de detección mantenidos y ensayados para garantizar el conocimiento oportuno y adecuado de sucesos anómalos; b) procesos y políticas sobre la notificación de incidentes y la detección de deficiencias y vulnerabilidades en sus sistemas de información; c) una respuesta acorde con procedimientos establecidos y la comunicación de los resultados de la medida adoptada; d) la evaluación de la gravedad del incidente, documentando las enseñanzas extraídas del análisis del incidente, y la recopilación de información pertinente que pueda servir como prueba y apoyo a un proceso de mejora continua. 3.   La gestión de la continuidad de las actividades a que hace referencia el artículo 16, apartado 1, letra c), de la Directiva (UE) 2016/1148 se refiere a la capacidad de una organización de mantener o, en su caso, restablecer, después de un incidente perturbador, la prestación de los servicios a niveles aceptables preestablecidos, e incluirá: a) el establecimiento y la utilización de planes de contingencia basados en un análisis de impacto en la actividad para garantizar la continuidad de los servicios prestados por proveedores de servicios digitales, que serán evaluados y ensayados con carácter periódico, por ejemplo mediante ejercicios; b) capacidades de recuperación en caso de catástrofe, que serán evaluadas y ensayadas con carácter periódico, por ejemplo mediante ejercicios. 4.   La supervisión, auditorías y pruebas a que hace referencia el artículo 16, apartado 1, letra d), de la Directiva (UE) 2016/1148 incluirán el establecimiento y el mantenimiento de políticas sobre: a) la realización de una secuencia programada de observaciones o mediciones para evaluar si las redes y sistemas de información están funcionando según lo previsto; b) la inspección y verificación para comprobar si se está siguiendo una norma o una serie de directrices, si los registros son exactos, y si los objetivos de eficiencia y eficacia se están cumpliendo; c) un proceso destinado a revelar fallos en los mecanismos de seguridad de una red y sistema de información que proteja los datos y mantenga la funcionalidad según lo previsto; dicho proceso incluirá procesos técnicos y personal encargado del flujo de operaciones. 5.   Las normas internacionales a que hace referencia el artículo 16, apartado 1, letra e), de la Directiva (UE) 2016/1148 designan las normas adoptadas por un organismo internacional de normalización contemplado en el artículo 2, apartado 1, letra a), del Reglamento (UE) n.o 1025/2012 del Parlamento Europeo y del Consejo (2). De conformidad con el artículo 19 de la Directiva (UE) 2016/1148, también podrán utilizarse normas y especificaciones aceptadas a nivel europeo o internacional que sean pertinentes en materia de seguridad de las redes y sistemas de información, incluidas normas nacionales existentes. 6.   Los proveedores de servicios digitales garantizarán la disponibilidad de documentación adecuada para permitir que la autoridad competente verifique la conformidad con los elementos de seguridad a que se refieren los apartados 1, 2, 3, 4 y 5.
Historial de versiones

Este artículo no ha sufrido modificaciones desde su publicación.

Tus anotaciones

Pro

eli:reg_impl:2018:151:oj#art-2

Volver a la ficha de la norma
Inicio
Buscar
Mis Consultas
Tienda
Perfil