Art. 38 · Papel de las entidades de impacto alto y de impacto crítico en la puesta en común de información

Art. 38

Papel de las entidades de impacto alto y de impacto crítico en la puesta en común de información

En vigor desde 11 mar 2024
Artículo 38 Papel de las entidades de impacto alto y de impacto crítico en la puesta en común de información 1.   Cada entidad de impacto alto y de impacto crítico: a) establecerá, para todos los activos de su perímetro de ciberseguridad determinado con arreglo al artículo 26, apartado 4, letra c), al menos las capacidades de los centros operativos de ciberseguridad para: i) garantizar que las redes y los sistemas y aplicaciones de información pertinentes proporcionen registros de seguridad para la supervisión de la seguridad que permitan la detección de anomalías y recojan información sobre ciberataques, ii) supervisar la seguridad, incluida la detección de intrusiones y la evaluación de las vulnerabilidades de las redes y los sistemas de información, iii) analizar y, en caso necesario, adoptar todas las medidas necesarias bajo su responsabilidad y capacidad para proteger a la entidad, iv) participar en la recogida y puesta en común de información descritas en el presente artículo; b) tendrá derecho a contratar la totalidad o parte de estas capacidades con arreglo a la letra a) a través de proveedores de servicios de seguridad gestionados; las entidades de impacto crítico y de impacto alto seguirán siendo responsables de los proveedores de servicios de seguridad gestionados y supervisarán sus esfuerzos; c) designará un punto de contacto único a nivel de entidad para la puesta en común de información. 2.   La ENISA podrá publicar orientaciones no vinculantes sobre el establecimiento de dichas capacidades o la subcontratación del servicio a proveedores de servicios de seguridad gestionados, como parte de la tarea definida en el artículo 6, apartado 2, del Reglamento (UE) 2019/881. 3.   Cada entidad de impacto crítico y de impacto alto pondrá en común la información pertinente relacionada con un ciberataque notificable con sus CSIRT y su autoridad competente sin demora indebida y a más tardar cuatro horas después de tener conocimiento de que el incidente es notificable. 4.   La información relacionada con un ciberataque se considerará notificable cuando este sea evaluado por la entidad afectada y el resultado sea una gravedad entre los niveles «alto» y «crítico» según la metodología de la escala de clasificación de los ciberataques con arreglo al artículo 37, apartado 8. El punto de contacto único a nivel de entidad designado con arreglo al apartado 1, letra c), comunicará la clasificación de incidentes. 5.   Cuando las entidades de impacto crítico y de impacto alto notifiquen a un CSIRT información pertinente relacionada con vulnerabilidades aprovechadas activamente no subsanadas, este podrá transmitir dicha información a su autoridad competente. En vista del nivel de sensibilidad de la información notificada, el CSIRT podrá retener la información o retrasar su transmisión por motivos justificados relacionados con la ciberseguridad. 6.   Cada entidad de impacto crítico y de impacto alto facilitará sin demora indebida a sus CSIRT cualquier información relacionada con una ciberamenaza notificable que pueda tener un efecto transfronterizo. La información relativa a una ciberamenaza se considerará notificable cuando se cumpla al menos una de las condiciones siguientes: a) la información proporcionada es pertinente para otras entidades de impacto crítico y de impacto alto a fin de prevenir el impacto del riesgo, detectarlo, responder a él o mitigarlo; b) las técnicas, tácticas y procedimientos determinados utilizados en el contexto de un ataque generan información como direcciones URL o IP comprometidas, hashes o cualquier otro atributo útil para contextualizar y correlacionar el ataque; c) una ciberamenaza puede evaluarse y contextualizarse más en profundidad con información adicional facilitada por proveedores de servicios o terceros no sujetos al presente Reglamento. 7.   Al poner en común información con arreglo al presente artículo, cada entidad de impacto crítico y de impacto alto especificará lo siguiente: a) que la presentación de la información se realiza con arreglo al presente Reglamento; b) si la información se refiere a: i) un ciberataque notificable contemplado en el apartado 3, ii) vulnerabilidades aprovechadas activamente no subsanadas que no son conocidas públicamente contempladas en el apartado 4, iii) una ciberamenaza notificable contemplada en el apartado 5; c) en el caso de un ciberataque notificable, el nivel del ciberataque según la metodología de la escala de clasificación de los ciberataques contemplada en el artículo 37, apartado 8, e información que justifique esta clasificación, incluida al menos la gravedad del ciberataque. 8.   Cuando una entidad de impacto crítico o de impacto alto notifique un incidente significativo con arreglo al artículo 23 de la Directiva (UE) 2022/2555 y la notificación del incidente con arreglo a dicho artículo contenga la información pertinente exigida en el apartado 3 del presente artículo, la notificación de la entidad con arreglo al artículo 23, apartado 1, de dicha Directiva constituirá una notificación de información con arreglo al apartado 3 del presente artículo. 9.   Cada entidad de impacto crítico y de impacto alto informará a su autoridad competente o CSIRT señalando claramente la información específica que solo se pondrá en común con la autoridad competente o el CSIRT en los casos en que la puesta en común de información pueda ser fuente de un ciberataque. Cada entidad de impacto crítico y de impacto alto tendrá derecho a facilitar una versión no confidencial de la información al CSIRT competente.
Historial de versiones

Este artículo no ha sufrido modificaciones desde su publicación.

Tus anotaciones

Pro

eli:reg_del:2024:1366:oj#art-38