Art. 17
Proveedores de servicios de seguridad gestionados de confianza
En vigor desde 19 dic 2024
Artículo 17
Proveedores de servicios de seguridad gestionados de confianza
1. En los procedimientos de contratación pública destinados a crear la Reserva de Ciberseguridad de la UE, el órgano de contratación actuará de conformidad con los principios establecidos en el Reglamento (UE, Euratom) 2024/2509 y con los principios siguientes:
a)
garantizar que los servicios incluidos en la Reserva de Ciberseguridad de la UE, cuando sean considerados en su conjunto, sean tales que la Reserva de Ciberseguridad de la UE incluya servicios que puedan prestarse en todos los Estados miembros, teniendo en cuenta, en particular, los requisitos nacionales para la prestación de tales servicios, incluidas las lenguas y la certificación o acreditación;
b)
garantizar la protección de los intereses esenciales de seguridad de la Unión y de sus Estados miembros;
c)
garantizar que la Reserva de Ciberseguridad de la UE aporte valor añadido de la Unión, al contribuir a los objetivos establecidos en el artículo 3 del Reglamento (UE) 2021/694, en particular promoviendo el desarrollo de capacidades de ciberseguridad en la Unión.
2. Al contratar servicios para la Reserva de Ciberseguridad de la UE, el órgano de contratación incluirá en los pliegos de la contratación los siguientes criterios y requisitos:
a)
el proveedor demostrará que su personal tiene el máximo grado de integridad profesional, independencia y responsabilidad y la competencia técnica necesaria para llevar a cabo las actividades en su ámbito específico, y garantizará la permanencia y continuidad de los conocimientos especializados, así como los recursos técnicos necesarios;
b)
el proveedor, y todas las filiales y subcontratistas pertinentes, cumplirán las normas aplicables en materia de protección de la información clasificada y habrán establecido las medidas adecuadas, como, en su caso, acuerdos entre sí, para proteger la información confidencial relacionada con el servicio y, en particular, las pruebas, conclusiones e informes;
c)
el proveedor deberá aportar pruebas suficientes de la transparencia de su estructura de gobierno y de la improbabilidad de que esta ponga en peligro su imparcialidad y la calidad de sus servicios o cause conflictos de intereses;
d)
el proveedor dispondrá de la habilitación de seguridad adecuada, al menos para el personal destinado a participar en la prestación de servicios, cuando así lo exija el Estado miembro;
e)
el proveedor dispondrá del nivel de seguridad pertinente para sus sistemas informáticos;
f)
el proveedor estará equipado con el hardware y software necesarios para prestar el servicio solicitado, sin vulnerabilidades aprovechables conocidas, que incluirán las últimas actualizaciones de seguridad y cumplirán, en todo caso, toda disposición aplicable del Reglamento (UE) 2024/2847 del Parlamento Europeo y del Consejo (23);
g)
el proveedor deberá poder demostrar que tiene experiencia en la prestación de servicios similares a las autoridades nacionales pertinentes, a las entidades que operan en sectores de alta criticidad o entidades que operan en otros sectores críticos;
h)
el proveedor deberá poder prestar el servicio en un plazo breve en los Estados miembros en los que pueda prestar el servicio;
i)
el proveedor deberá poder prestar el servicio en una o varias lenguas oficiales de las instituciones de la Unión o de un Estado miembro según lo exija, en su caso, el Estado o Estados miembros o los usuarios a que se refieren los artículos 14, apartado 3, letras b) y c), en los que el proveedor pueda prestar el servicio;
j)
una vez que se haya establecido un esquema europeo de certificación de la ciberseguridad para los servicios de seguridad gestionados con arreglo al Reglamento (UE) 2019/881, el proveedor será certificado de conformidad con dicho esquema en dos años a partir de la fecha de aplicación del esquema;
k)
el proveedor incluirá en la oferta las condiciones de conversión de cualquier servicio de respuesta a incidentes no utilizado que pueda convertirse en servicios de preparación estrechamente relacionados con la respuesta a incidentes, como ejercicios o formaciones.
3. A efectos de la contratación de servicios para la Reserva de Ciberseguridad de la UE, el órgano de contratación podrá, cuando proceda, añadir criterios y requisitos a los que figuran en el apartado 2, en estrecha cooperación con los Estados miembros.
Historial de versiones
Este artículo no ha sufrido modificaciones desde su publicación.
Tus anotaciones
Proeli:reg:2025:38:oj#art-17