Regl. · n.º 1366
Reglamento (UE) 2024/1366
 Abrir lector completo

Art. 33

Controles mínimos y avanzados de ciberseguridad en la cadena de suministro

En vigor desde 11 mar 2024
Artículo 33 Controles mínimos y avanzados de ciberseguridad en la cadena de suministro 1.   En un plazo de siete meses a partir de la presentación del primer proyecto de informe sobre la evaluación de riesgos para la ciberseguridad a escala de la Unión con arreglo al artículo 19, apartado 4, los GRT, con la asistencia de la REGRT de Electricidad y en cooperación con la entidad de los GRD de la UE, elaborarán una propuesta de controles mínimos y avanzados de ciberseguridad en la cadena de suministro que mitiguen los riesgos de la cadena de suministro señalados en las evaluaciones de riesgos para la ciberseguridad a escala de la Unión, que completarán los controles mínimos y avanzados de ciberseguridad desarrollados con arreglo al artículo 29. Los controles mínimos y avanzados de ciberseguridad en la cadena de suministro se desarrollarán junto con los controles mínimos y avanzados de ciberseguridad con arreglo al artículo 29. Los controles mínimos y avanzados de ciberseguridad en la cadena de suministro abarcarán el ciclo de vida completo de todos los productos, servicios y procesos de TIC dentro de los perímetros del impacto alto o de impacto crítico de una entidad de impacto alto o de impacto crítico. Se consultará al Grupo de Cooperación SRI durante la elaboración de la propuesta de controles mínimos y avanzados de ciberseguridad en la cadena de suministro. 2.   Los controles mínimos de ciberseguridad en la cadena de suministro consistirán en controles para las entidades de impacto alto y de impacto crítico que: a) incluyan recomendaciones para la contratación de productos, servicios y procesos de TIC referentes a especificaciones de ciberseguridad, que abarquen, como mínimo: i) la comprobación de antecedentes del personal del proveedor participante en la cadena de suministro que se ocupa de la información sensible o del acceso a los activos de impacto alto o de impacto crítico de la entidad; la comprobación de antecedentes podrá incluir una verificación de la identidad y el historial del personal o de los contratistas de una entidad de conformidad con la legislación y los procedimientos nacionales y con el Derecho de la Unión pertinente y aplicable, incluidos el Reglamento (UE) 2016/679 y la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo (18); estas comprobaciones de antecedentes serán proporcionadas y se limitarán estrictamente a lo necesario; se realizarán con el único fin de evaluar un posible riesgo para la seguridad de la entidad de que se trate; deberán ser proporcionales a los requisitos empresariales, a la clasificación de la información a la que se va a acceder y a los riesgos percibidos, y podrán ser realizadas por la propia entidad, por una empresa externa que lleve a cabo un control, o a través de una autorización de la administración, ii) los procesos de diseño, desarrollo y producción seguros y controlados de productos, servicios y procesos de TIC, promoviendo el diseño y el desarrollo de productos, servicios y procesos de TIC que incluyan medidas técnicas adecuadas para garantizar la ciberseguridad, iii) el diseño de redes y sistemas de información en los que los dispositivos no se consideren fiables, incluso cuando se encuentren dentro de un perímetro seguro, que exijan la verificación de todas las solicitudes recibidas y que apliquen el principio del mínimo privilegio, iv) el acceso del proveedor a los activos de la entidad, v) las obligaciones contractuales del proveedor de proteger y restringir el acceso a la información sensible de la entidad, vi) las especificaciones de contratación en materia de ciberseguridad subyacentes a los subcontratistas del proveedor, vii) la trazabilidad de la aplicación de las especificaciones de ciberseguridad desde el desarrollo y la producción hasta la entrega de productos, servicios o procesos de TIC, viii) el apoyo a las actualizaciones de seguridad a lo largo de toda la vida útil de los productos, servicios o procesos de TIC, ix) el derecho a auditar la ciberseguridad en los procesos de diseño, desarrollo y producción del proveedor, y x) la evaluación del perfil de riesgo del proveedor; b) exijan a dichas entidades que tengan en cuenta las recomendaciones sobre contratación a que se refiere la letra a) al celebrar contratos con proveedores, socios colaboradores y otras partes de la cadena de suministro, que cubrirán las entregas ordinarias de productos, servicios y procesos de TIC, así como los acontecimientos y circunstancias no deseados, como la rescisión y la transición de contratos en casos de negligencia del socio contractual; c) exijan a dichas entidades que tengan en cuenta los resultados de las evaluaciones coordinadas pertinentes de los riesgos de seguridad de las cadenas de suministro críticas realizadas de conformidad con el artículo 22, apartado 1, de la Directiva (UE) 2022/2555; d) incluyan criterios para seleccionar y contratar a proveedores que puedan cumplir las especificaciones de ciberseguridad establecidas en la letra a) y que posean un nivel de ciberseguridad adecuado a los riesgos para la ciberseguridad del producto, servicio o proceso de TIC que ofrezca el proveedor; e) incluyan criterios para diversificar las fuentes de suministro de productos, servicios y procesos de TIC y reducir el riesgo de dependencia de un proveedor; f) incluyan criterios para supervisar, revisar o auditar periódicamente las especificaciones de ciberseguridad de los procesos operativos internos de los proveedores a lo largo de todo el ciclo de vida de cada producto, servicio y proceso de TIC. 3.   Para las especificaciones de ciberseguridad de la recomendación de contratación en materia de ciberseguridad a que se refiere el apartado 2, letra a), las entidades de impacto alto o de impacto crítico utilizarán los principios de contratación con arreglo a la Directiva 2014/24/UE del Parlamento Europeo y del Consejo (19), de conformidad con el artículo 35, apartado 4, o definirán sus propias especificaciones basándose en los resultados de la evaluación de riesgos para la ciberseguridad a nivel de entidad. 4.   Los controles avanzados de ciberseguridad en la cadena de suministro incluirán controles para que las entidades de impacto crítico verifiquen, durante la contratación, que los productos, servicios y procesos de TIC que se utilizarán como activos de impacto crítico cumplen las especificaciones de ciberseguridad. El producto, servicio o proceso de TIC se verificará a través de un esquema europeo de certificación de la ciberseguridad contemplado en el artículo 31 o mediante actividades de verificación seleccionadas y organizadas por la entidad. La profundidad y la cobertura de las actividades de verificación serán suficientes para garantizar que el producto, servicio o proceso de TIC puede utilizarse para mitigar los riesgos señalados en la evaluación de riesgos a nivel de entidad. La entidad de impacto crítico documentará las medidas adoptadas para reducir los riesgos detectados. 5.   Los controles mínimos y avanzados de ciberseguridad en la cadena de suministro se aplicarán a la contratación de productos, servicios y procesos de TIC pertinentes. Los controles mínimos y avanzados de ciberseguridad en la cadena de suministro se aplicarán a los procesos de contratación de las entidades consideradas como entidades de impacto crítico y de impacto alto con arreglo al artículo 24 que comiencen seis meses después de la adopción o actualización de los controles mínimos y avanzados de ciberseguridad a que se refiere el artículo 29. 6.   En un plazo de seis meses a partir de la elaboración de cada informe sobre la evaluación regional de riesgos para la ciberseguridad con arreglo al artículo 21, apartado 2, los GRT, con la asistencia de la REGRT de Electricidad y en cooperación con la entidad de los GRD de la UE, propondrán a la autoridad competente una modificación de los controles mínimos y avanzados de ciberseguridad en la cadena de suministro. La propuesta se realizará de conformidad con el artículo 8, apartado 10, y tendrá en cuenta los riesgos señalados en la evaluación regional de riesgos.
Historial de versiones

Este artículo no ha sufrido modificaciones desde su publicación.

Tus anotaciones

Pro

eli:reg_del:2024:1366:oj#art-33

Volver a la ficha de la norma
Inicio
Buscar
Mis Consultas
Tienda
Perfil