Art. 32
Sistema de gestión de la ciberseguridad
En vigor desde 11 mar 2024
Artículo 32
Sistema de gestión de la ciberseguridad
1. En un plazo de 24 meses a partir de la fecha en que la autoridad competente notifique a las entidades de impacto alto y de impacto crítico que han sido consideradas como entidad de impacto alto o de impacto crítico de conformidad con el artículo 24, apartado 6, cada una de ellas establecerá un sistema de gestión de la ciberseguridad, y posteriormente lo revisará cada tres años, con el fin de:
a)
determinar el alcance del sistema de gestión de la ciberseguridad, teniendo en cuenta las interfaces y dependencias con otras entidades;
b)
garantizar que todos sus altos directivos estén informados de las obligaciones jurídicas pertinentes y contribuyan activamente a la implementación del sistema de gestión de la ciberseguridad con decisiones oportunas y reacciones rápidas;
c)
garantizar que los recursos necesarios para el sistema de gestión de la ciberseguridad estén disponibles;
d)
establecer una política de ciberseguridad que se documentará y se comunicará dentro de la entidad y a las partes afectadas por los riesgos de seguridad;
e)
asignar y comunicar las responsabilidades de las funciones pertinentes para la ciberseguridad;
f)
realizar la gestión de riesgos para la ciberseguridad a nivel de entidad, tal como se define en el artículo 26;
g)
determinar y proporcionar los recursos necesarios para la implementación, el mantenimiento y la mejora continua del sistema de gestión de la ciberseguridad, teniendo en cuenta la competencia y el conocimiento necesarios de los recursos de ciberseguridad;
h)
determinar la comunicación interna y externa pertinente para la ciberseguridad;
i)
crear, actualizar y controlar la información documentada relacionada con el sistema de gestión de la ciberseguridad;
j)
evaluar el rendimiento y la eficacia del sistema de gestión de la ciberseguridad;
k)
realizar auditorías internas a intervalos planificados para garantizar la implementación y el mantenimiento efectivos del sistema de gestión de la ciberseguridad;
l)
revisar la implementación del sistema de gestión de la ciberseguridad a intervalos previstos; y controlar y corregir la no conformidad de los recursos y actividades con las políticas, procedimientos y directrices del sistema de gestión de la ciberseguridad.
2. El sistema de gestión de la ciberseguridad abarcará todos los activos dentro del perímetro del impacto alto y del impacto crítico de la entidad de impacto alto y de impacto crítico.
3. Las autoridades competentes, sin imponer ni discriminar en favor de la utilización de un tipo concreto de tecnología, fomentarán el uso de normas y especificaciones europeas o internacionales relacionadas con los sistemas de gestión y pertinentes para la seguridad de las redes y sistemas de información.
Historial de versiones
Este artículo no ha sufrido modificaciones desde su publicación.
Tus anotaciones
Proeli:reg_del:2024:1366:oj#art-32