Regl. · n.º 38
Reglamento (UE) 2025/38
 Abrir lector completo

Art. 16

Ejecución del apoyo de la Reserva de Ciberseguridad de la UE

En vigor desde 19 dic 2024
Artículo 16 Ejecución del apoyo de la Reserva de Ciberseguridad de la UE 1.   En el caso de las solicitudes de los usuarios a que se refiere el artículo 14, apartado 3, letras a) y b), las solicitudes de apoyo de la Reserva de Ciberseguridad de la UE serán evaluadas por el órgano de contratación. Se transmitirá una respuesta a los usuarios a que se refiere el artículo 14, apartado 3, letras a) y b), sin demora y, en cualquier caso, en un plazo máximo de cuarenta y ocho horas a partir de la presentación de la solicitud para garantizar la eficacia del apoyo. El órgano de contratación informará al Consejo y a la Comisión de los resultados del proceso. 2.   Por lo que se refiere a la información puesta en común durante la solicitud y la prestación de los servicios de la Reserva de Ciberseguridad de la UE, todas las partes implicadas en la aplicación del presente Reglamento: a) limitarán el uso y la puesta en común de dicha información a lo estrictamente necesario para cumplir sus obligaciones o funciones con arreglo al presente Reglamento; b) utilizarán y pondrán en común toda información confidencial o clasificada en virtud del Derecho de la Unión y nacional únicamente de conformidad con dicho Derecho, y c) garantizarán un intercambio de información eficaz, eficiente y seguro, cuando proceda, utilizando y respetando los protocolos pertinentes, como el TLP para la puesta en común de información. 3.   Al evaluar las solicitudes individuales con arreglo al artículo 16, apartado 1, y al artículo 19, apartado 10, el órgano de contratación o la Comisión, según proceda, evaluará en primer lugar si se cumplen los criterios mencionados en el artículo 15, apartados 1 y 2. En tal caso, evaluará la adecuación de la duración y la naturaleza del apoyo, teniendo en cuenta el objetivo recogido en el artículo 1, apartado 3, letra b), y los siguientes criterios, cuando proceda: a) la magnitud y la gravedad del incidente; b) el tipo de entidad afectada, dando mayor prioridad a los incidentes que afecten a entidades esenciales según se contemplan en el artículo 3, apartado 1, de la Directiva (UE) 2022/2555; c) la repercusión potencial del incidente en el Estado miembro o Estados miembros, las instituciones, órganos u organismos de la Unión o los terceros países asociados al Programa Europa Digital; d) el posible carácter transfronterizo del incidente y el riesgo de contagio a otros Estados miembros o instituciones, órganos u organismos de la Unión o terceros países asociados al Programa Europa Digital; e) las medidas tomadas por el usuario para ayudar a la respuesta y los esfuerzos de recuperación iniciales a que se refieren el artículo 15, apartado 2. 4.   Para establecer el orden de prioridad de las solicitudes, en el caso de solicitudes simultáneas de los usuarios a que se refiere el artículo 14, apartado 3, se tendrán en cuenta, cuando proceda, los criterios a que se refiere el apartado 3 del presente artículo, sin perjuicio del principio de cooperación leal entre los Estados miembros y las instituciones, órganos y organismos de la Unión. Cuando dos o más solicitudes se consideren iguales con arreglo a los dichos criterios se dará mayor prioridad a las solicitudes de los usuarios de los Estados miembros. Cuando el funcionamiento y la administración de la Reserva de Ciberseguridad de la UE se hayan encomendado, total o parcialmente, a ENISA en virtud del artículo 14, apartado 5, ENISA y la Comisión cooperarán estrechamente para establecer el orden de prioridad de las solicitudes de conformidad con el presente apartado. 5.   Los servicios de la Reserva de Ciberseguridad de la UE se prestarán de conformidad con acuerdos específicos entre el proveedor de servicios de seguridad gestionados de confianza y el usuario al que se preste el apoyo en el marco de la Reserva de Ciberseguridad de la UE. Dichos servicios podrán prestarse de conformidad con acuerdos específicos entre el proveedor de servicios de seguridad gestionados de confianza, el usuario y la entidad afectada. Todos los acuerdos a que se refiere el presente apartado incluirán, entre otras cosas, condiciones en materia de responsabilidad. 6.   Los acuerdos a que se refiere el apartado 5 se basarán en plantillas preparadas por ENISA, previa consulta a los Estados miembros y, cuando proceda, a otros usuarios de la Reserva de Ciberseguridad de la UE. 7.   La Comisión, ENISA y los usuarios de la Reserva de Ciberseguridad de la UE no asumirán responsabilidad contractual alguna por los daños causados a terceros por los servicios prestados en el marco de la ejecución de la Reserva de Ciberseguridad de la UE. 8.   Los usuarios podrán utilizar los servicios de la Reserva de Ciberseguridad de la UE prestados en respuesta a una solicitud con arreglo al artículo 15, apartado 1, únicamente para apoyar la respuesta a incidentes de ciberseguridad significativos, a gran escala o equivalentes a gran escala e iniciar la recuperación de ellos. Solo podrán utilizar dichos servicios con respecto a: a) entidades que operan en sectores de alta criticidad o entidades que operan en otros sectores críticos, en el caso de los usuarios a que se refiere el artículo 14, apartado 3, letra a), y entidades equivalentes en el caso de los usuarios a que se refiere el artículo 14, apartado 3, letra c), y b) instituciones, órganos y organismos de la Unión, en el caso del usuario a que se refiere el artículo 14, apartado 3, letra b). 9.   En el plazo de dos meses a partir del fin del apoyo, todo usuario que haya recibido apoyo facilitará un informe resumido sobre el servicio prestado, los resultados obtenidos y las conclusiones extraídas: a) a la Comisión, ENISA, la red de CSIRT y la EU-CyCLONe, en el caso de los usuarios a que se refiere el artículo 14, apartado 3, letra a); b) a la Comisión, a ENISA y al Consejo Interinstitucional de Ciberseguridad, en el caso del usuario a que se refiere el artículo 14, apartado 3, letra b); c) a la Comisión, en el caso de los usuarios a que se refiere el artículo 14, apartado 3, letra c). La Comisión transmitirá los informes resumidos recibidos de los usuarios a que se refiere el artículo 14, apartado 3, en virtud de la letra c), párrafo primero, del presente apartado al Consejo y al Alto Representante. 10.   Cuando el funcionamiento y la administración de la Reserva de Ciberseguridad de la UE se hayan encomendado, total o parcialmente, a ENISA con arreglo al artículo 14, apartado 5, del presente Reglamento, ENISA informará a la Comisión y le consultará periódicamente a este respecto. En este contexto, ENISA enviará inmediatamente a la Comisión todas las solicitudes que reciba de los usuarios a que se refiere el artículo 14, apartado 3, letra c), del presente Reglamento, y, cuando sea necesario a efectos de priorización con arreglo al presente artículo, cualquier solicitud que haya recibido de los usuarios a que se refiere el artículo 14, apartado 3, letras a) o b), del presente Reglamento. Las obligaciones establecidas en el presente apartado se entenderán sin perjuicio de lo dispuesto en el artículo 14 del Reglamento (UE) 2019/881. 11.   En el caso de los usuarios a que se refiere el artículo 14, apartado 3, letras a) y b), el órgano de contratación informará al Grupo de Cooperación, de forma periódica y al menos dos veces al año, sobre el uso y los resultados del apoyo. 12.   En el caso de los usuarios a que se refiere el artículo 14, apartado 3, letra c), la Comisión informará al Consejo y comunicará periódicamente al Alto Representante, al menos dos veces al año, sobre el uso y los resultados del apoyo.
Historial de versiones

Este artículo no ha sufrido modificaciones desde su publicación.

Tus anotaciones

Pro

eli:reg:2025:38:oj#art-16

Volver a la ficha de la norma
Inicio
Buscar
Mis Consultas
Tienda
Perfil