Art. 22
Modificaciones del Reglamento (UE) 2021/694
En vigor desde 19 dic 2024
Artículo 22
Modificaciones del Reglamento (UE) 2021/694
El Reglamento (UE) 2021/694 se modifica como sigue:
1)
el artículo 6 se modifica como sigue:
a)
el apartado 1 se modifica como sigue:
i)
se inserta la letra siguiente:
«a bis)
apoyar el desarrollo de un Sistema Europeo de Alerta de Ciberseguridad establecido en el artículo 3 del Reglamento (UE) 2025/38 del Parlamento Europeo y del Consejo (*1) (en lo sucesivo, “Sistema Europeo de Alerta de Ciberseguridad”) incluido el desarrollo, implantación y funcionamiento de centros cibernéticos nacionales y transfronterizas que contribuyan a la conciencia situacional en la Unión y a la mejora de las capacidades de inteligencia sobre ciberamenazas de la Unión;
(*1) Reglamento (UE) 2025/38 del Parlamento Europeo y del Consejo, de 19 de diciembre de 2024, por el que se establecen medidas destinadas a reforzar la solidaridad y las capacidades en la Unión a fin de detectar ciberamenazas e incidentes, prepararse y responder a ellos y por el que se modifica el Reglamento (UE) 2021/694 (Reglamento de Cibersolidaridad) (DO L, 2025/38, 15.1.2025, ELI: http://data.europa.eu/eli/reg/2025/38/oj).»;"
ii)
se añade la letra siguiente:
«g)
establecer y gestionar el Mecanismo de Emergencia en materia de Ciberseguridad, establecido por el artículo 10 del Reglamento (UE) 2025/38 incluida la Reserva de Ciberseguridad de la UE, establecida por el artículo 14 de dicho Reglamento (en lo sucesivo, “Reserva de Ciberseguridad de la UE”) para ayudar a los Estados miembros a prepararse ante incidentes de ciberseguridad significativos y a gran escala, y darles respuesta, como complemento de los recursos y capacidades nacionales y otras formas de apoyo disponibles a escala de la Unión, y dar apoyo a otros usuarios en su respuesta a incidentes de ciberseguridad significativos y equivalentes a gran escala;»
;
b)
el apartado 2 se sustituye por el texto siguiente:
«2. Las acciones correspondientes al objetivo específico 3 se ejecutarán principalmente a través del Centro Europeo de Competencia Industrial, Tecnológica y de Investigación en Ciberseguridad y la Red de Centros Nacionales de Coordinación, de conformidad con el Reglamento (UE) 2021/887 del Parlamento Europeo y del Consejo (*2). Sin embargo, la Reserva de Ciberseguridad de la UE, deberá ser ejecutada por la Comisión y, de conformidad con el artículo 14, apartado 6, del Reglamento (UE) 2025/38, por ENISA.
(*2) Reglamento (UE) 2021/887 del Parlamento Europeo y del Consejo, de 20 de mayo de 2021, por el que se establecen el Centro Europeo de Competencia Industrial Tecnológica y de Investigación en Ciberseguridad y la Red de Centros Nacionales de Coordinación (DO L 202 de 8.6.2021, p. 1).»."
2)
el artículo 9 se modifica como sigue:
a)
en el apartado 2, las letras b), c) y d) se sustituyen por el texto siguiente:
«b)
1 760 806 000 EUR para el objetivo específico 2 – Inteligencia artificial;
c)
1 372 020 000 EUR para el objetivo específico 3 – Ciberseguridad y confianza;
d)
482 640 000 EUR para el objetivo específico 4 – Capacidades digitales avanzadas;»
;
b)
se añade el apartado siguiente:
«8. Como excepción a lo dispuesto en el artículo 12, apartado 1, del Reglamento Financiero, los créditos de compromiso y de pago no utilizados para acciones emprendidas en el contexto de la ejecución de la Reserva de Ciberseguridad de la UE y las acciones que apoyen la asistencia mutua con arreglo al Reglamento 2025/38 que persigan los objetivos establecidos en el artículo 6, apartado 1, letra g), del presente Reglamento se prorrogarán automáticamente y podrán ser comprometidos y abonados hasta el 31 de diciembre del ejercicio siguiente. Deberá informarse al Parlamento y al Consejo de los créditos prorrogados de en virtud del artículo 12, apartado 6, del Reglamento Financiero.».
3)
el artículo 12 se modifica como sigue:
a)
se insertan los apartados siguientes:
«5 bis). El apartado 5 no se aplicará, en lo que respecta a las entidades jurídicas establecidas en la Unión pero controladas desde terceros países, a ninguna acción por la que se aplique el Sistema Europeo de Alerta de Ciberseguridad cuando se cumplan las dos condiciones siguientes en relación con la acción en cuestión:
a)
existe un riesgo real, teniendo en cuenta los resultados de la cartografía efectuada en virtud del artículo 9, apartado 4, del Reglamento (UE) 2025/38, de que las entidades jurídicas establecidas o que se consideren establecidas en los Estados miembros y controladas por Estados miembros o por nacionales de los Estados miembros no dispongan de las herramientas, infraestructuras o servicios necesarios y suficientes para que dicha acción contribuya adecuadamente al objetivo del Sistema Europeo de Alerta de Ciberseguridad;
b)
el riesgo para la seguridad derivado de la contratación a dichas entidades jurídicas dentro del Sistema Europeo de Alerta de Ciberseguridad es proporcional a los beneficios y no socava los intereses esenciales de seguridad de la Unión y de sus Estados miembros.
5 ter. El apartado 5 no se aplicará, en lo que respecta a las entidades jurídicas establecidas en la Unión pero controladas desde terceros países, a las acciones de ejecución de la Reserva de Ciberseguridad de la UE, cuando se cumplan, con respecto a esas acciones, las dos condiciones siguientes:
a)
existe un riesgo real, teniendo en cuenta los resultados de la cartografía con arreglo al artículo 14, apartado 6, del Reglamento (UE) 2025/38, de que las entidades jurídicas establecidas o que se consideren establecidas en los Estados miembros y controladas por los Estados miembros o por nacionales de los Estados miembros no dispongan de la tecnología, los conocimientos especializados o la capacidad necesarios y suficientes para que la Reserva de Ciberseguridad de la UE pueda funcionar adecuadamente;
b)
el riesgo para la seguridad de la inclusión de dichas entidades jurídicas en la Reserva de Ciberseguridad de la UE es proporcional a los beneficios y no socava los intereses esenciales de seguridad de la Unión y de sus Estados miembros.»
;
b)
el apartado 6 se sustituye por el texto siguiente:
«6. En caso de que existan motivos de seguridad debidamente justificados, el programa de trabajo también podrá estipular que las entidades jurídicas establecidas en países asociados y las entidades jurídicas establecidas en la Unión pero controladas desde terceros países puedan optar a participar en la totalidad o en una parte de las acciones en el marco de los objetivos específicos 1 y 2 únicamente si cumplen los requisitos que han de cumplir estas entidades jurídicas para garantizar la protección de los intereses esenciales de seguridad de la Unión y los Estados miembros y para garantizar la protección de la información de los documentos clasificados. Dichos requisitos se establecerán en el programa de trabajo.
El párrafo primero del presente apartado se aplicará, en lo que respecta a las entidades jurídicas establecidas en la Unión, pero controladas desde terceros países, a las acciones contempladas en el objetivo específico 3:
a)
ejecutar el Sistema Europeo de Alerta de Ciberseguridad en los casos en que sea de aplicación el apartado 5 bis, y
b)
ejecutar la Reserva de Ciberseguridad de la UE en los casos en que sea de aplicación el apartado 5 ter.».
4)
en el artículo 14, el apartado 2 se sustituye por el texto siguiente:
«2. El Programa podrá proporcionar financiación en cualquiera de las formas establecidas en el Reglamento Financiero, en particular mediante contratación principalmente, así como subvenciones y premios.
Cuando el logro del objetivo de una acción requiera la contratación de bienes y servicios innovadores, podrán concederse subvenciones solo a los beneficiarios que sean poderes adjudicadores o entidades adjudicadoras como se definen en las Directivas 2014/24/UE (*3) y 2014/25/UE (*4) del Parlamento Europeo y del Consejo.
Cuando el suministro de bienes o servicios innovadores que aún no estén disponibles sobre una base comercial a gran escala sea necesario para el logro de los objetivos de una acción, el poder adjudicador o la entidad adjudicadora podrá autorizar la adjudicación de contratos múltiples dentro del mismo procedimiento de contratación.
Por motivos de seguridad pública debidamente justificados, el poder adjudicador o la entidad adjudicadora podrá solicitar que el lugar de ejecución del contrato esté situado en territorio de la Unión.
Al ejecutar los procedimientos de contratación para la Reserva de Ciberseguridad de la UE, la Comisión y ENISA podrán actuar como central de compras para la contratación en nombre de terceros países asociados al Programa, o por cuenta de ellos, de conformidad con el artículo 10 del presente Reglamento. La Comisión y ENISA también podrán actuar como mayoristas, comprando, almacenando, revendiendo o donando suministros y servicios, incluidos los alquileres, a esos terceros países. Como excepción a lo dispuesto en el artículo 168, apartado 3, del Reglamento (UE, Euratom) 2024/2509 del Parlamento Europeo y del Consejo (*5), la solicitud de un único tercer país será suficiente para otorgar un mandato a la Comisión o a ENISA para que actúen.
Al ejecutar los procedimientos de contratación pública para la Reserva de Ciberseguridad de la UE, la Comisión y ENISA podrán actuar como central de compras para la contratación en nombre de las instituciones, órganos u organismos de la Unión, o por cuenta de estos. La Comisión y ENISA también podrán actuar como mayoristas, comprando, almacenando, revendiendo o donando suministros y servicios, incluidos los alquileres, a las instituciones, órganos u organismos de la Unión. Como excepción a lo dispuesto en el artículo 168, apartado 3, del Reglamento (UE, Euratom) 2024/2509, la solicitud de una única institución, órgano u organismo de la Unión es suficiente para otorgar un mandato a la Comisión o a ENISA para que actúen.
El Programa también podrá proporcionar financiación en forma de instrumentos financieros en el marco de operaciones de financiación mixta.
(*3) Directiva 2014/24/UE del Parlamento Europeo y del Consejo, de 26 de febrero de 2014, sobre contratación pública y por la que se deroga la Directiva 2004/18/CE (DO L 94 de 28.3.2014, p. 65)."
(*4) Directiva 2014/25/UE del Parlamento Europeo y del Consejo, de 26 de febrero de 2014, relativa a la contratación por entidades que operan en los sectores del agua, la energía, los transportes y los servicios postales y por la que se deroga la Directiva 2004/17/CE (DO L 94 de 28.3.2014, p. 243)."
(*5) Reglamento (UE, Euratom) 2024/2509 del Parlamento Europeo y del Consejo, de 23 de septiembre de 2024, sobre las normas financieras aplicables al presupuesto general de la Unión, (versión refundida) (DO L, 2024/2509, 26.9.2024, ELI: http://data.europa.eu/eli/reg/2024/2509/oj).»."
5)
se inserta el artículo siguiente:
«Artículo 16 bis
Conflicto de normas
En el caso de las acciones de ejecución del Sistema Europeo de Alerta de Ciberseguridad, las normas aplicables serán las establecidas en los artículos 4, 5 y 9 del Reglamento UE) 2025/38. En caso de conflicto entre las disposiciones del presente Reglamento y los artículos 4, 5 y 9 del Reglamento 2025/38, estos últimos prevalecerán y se aplicarán a dichas acciones específicas.
En el caso de la Reserva de Ciberseguridad, las normas específicas para la participación de terceros países asociados al Programa se establecen en el artículo 19 del Reglamento (UE) 2025/38. En caso de conflicto entre las disposiciones del presente Reglamento y el artículo 19 del Reglamento (UE) 2025/38, este último prevalecerá y se aplicará a dichas acciones específicas.».
6)
el artículo 19 se sustituye por el texto siguiente:
«Artículo 19
Subvenciones
Las subvenciones en el marco del Programa se concederán y gestionarán de conformidad con el título VIII del Reglamento Financiero y podrán cubrir hasta el 100 % de los costes admisibles, sin perjuicio del principio de cofinanciación establecido en el artículo 190 del Reglamento Financiero. Tales subvenciones se concederán y gestionarán conforme a lo especificado para cada objetivo específico.
El apoyo en forma de subvenciones podrá ser concedido directamente por el ECCC sin convocatoria de propuestas a los Estados miembros seleccionados en virtud del artículo 9 del Reglamento (UE) 2025/38, y el consorcio anfitrión a que se refiere el artículo 5 del Reglamento (UE) 2025/38, de conformidad con el artículo 195, apartado 1, letra d), del Reglamento Financiero.
El apoyo en forma de subvenciones para el Mecanismo de Emergencia en materia de Ciberseguridad, podrá ser concedido directamente por el ECCC a los Estados miembros sin convocatoria de propuestas, de conformidad con el artículo 195, apartado 1, letra d), del Reglamento Financiero.
Por lo que respecta a las acciones de apoyo para la asistencia mutua previstas en el artículo 18 del Reglamento (UE) 2025/38, el ECCC informará a la Comisión y a ENISA sobre las solicitudes de subvenciones directas de los Estados miembros sin convocatoria de propuestas.
Por lo que respecta a las acciones de apoyo para la asistencia mutua previstas en el artículo 18 del Reglamento (UE) 2025/38 y de conformidad con el artículo 193, apartado 2, párrafo segundo, letra a), del Reglamento Financiero, en casos debidamente justificados, los costes podrán considerarse subvencionables aunque se haya incurrido en ellos antes de la presentación de la solicitud de subvención.».
7)
los anexos I y II se modifican de conformidad con lo dispuesto en el anexo del presente Reglamento.
Historial de versiones
Este artículo no ha sufrido modificaciones desde su publicación.
Tus anotaciones
Proeli:reg:2025:38:oj#art-22