contents table Logo Lexparency.es lexp
Directiva (UE) 2016/1148 (NIS)
Network and Information Systems Directive (NIS)
Consideraciones

Consideraciones

DIRECTIVA (UE) 2016/1148 DEL PARLAMENTO EUROPEO Y DEL CONSEJO

de 6 de julio de 2016

relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión

EL PARLAMENTO EUROPEO Y EL CONSEJO DE LA UNIÓN EUROPEA,

  • Visto el Tratado de Funcionamiento de la Unión Europea, y en particular su artículo 114,
  • Vista la propuesta de la Comisión Europea,
  • Previa transmisión del proyecto de acto legislativo a los Parlamentos nacionales,
  • Visto el dictamen del Comité Económico y Social Europeo(1),
  • De conformidad con el procedimiento legislativo ordinario(2),

Considerando lo siguiente:

  1. Las redes y sistemas de información desempeñan un papel crucial en la sociedad. Su fiabilidad y seguridad son esenciales para las actividades económicas y sociales, y en particular para el funcionamiento del mercado interior.
  2. La magnitud, la frecuencia y los efectos de los incidentes de seguridad se están incrementando y representan una grave amenaza para el funcionamiento de las redes y sistemas de información. Esos sistemas pueden convertirse además en objetivo de acciones nocivas deliberadas destinadas a perjudicar o interrumpir su funcionamiento. Este tipo de incidentes puede interrumpir las actividades económicas, generar considerables pérdidas financieras, menoscabar la confianza del usuario y causar grandes daños a la economía de la Unión.
  3. Las redes y sistemas de información, principalmente internet, contribuyen de forma decisiva a facilitar la circulación transfronteriza de productos, servicios y personas. Debido a ese carácter transnacional, una perturbación grave de esas redes y sistemas, ya sea o no deliberada, y con independencia del lugar en que se produzca, puede afectar a diferentes Estados miembros y a la Unión en su conjunto. Por consiguiente, la seguridad de las redes y sistemas de información es fundamental para el correcto funcionamiento del mercado interior.
  4. Partiendo de los significativos avances logrados en el marco del Foro Europeo de Estados miembros, que ha permitido promover discusiones e intercambios de información sobre buenas prácticas políticas, incluida la elaboración de principios de cooperación europea ante crisis cibernéticas, procede establecer un Grupo de cooperación compuesto por representantes de los Estados miembros, la Comisión y la Agencia de Seguridad de las Redes y de la Información de la Unión Europea (ENISA) a fin de respaldar y facilitar la cooperación estratégica entre los Estados miembros en lo relativo a la seguridad de las redes y sistemas de información. Para que dicho grupo sea eficaz e integrador, es esencial que todos los Estados miembros posean unas capacidades mínimas y una estrategia que garanticen un elevado nivel de seguridad de las redes y sistemas de información en su territorio. Por otra parte, los operadores de servicios esenciales y los proveedores de servicios digitales deben estar sujetos a requisitos en materia de seguridad y notificación de incidentes, con el fin de fomentar una cultura de gestión de riesgos y garantizar que se informe de los incidentes más graves.
  5. Las capacidades existentes no bastan para garantizar un elevado nivel de seguridad de las redes y sistemas de información en la Unión. Los niveles de preparación de los Estados miembros son muy distintos, lo que ha dado lugar a planteamientos fragmentados en la Unión. Esta situación genera niveles desiguales de protección de los consumidores y las empresas, comprometiendo el nivel general de seguridad de las redes y sistemas de información de la Unión. A su vez, la inexistencia de requisitos comunes aplicables a los operadores de servicios esenciales y los proveedores de servicios digitales imposibilita la creación de un mecanismo global y eficaz de cooperación en la Unión. Las universidades y los centros de investigación tienen un papel determinante que desempeñar a la hora de impulsar la investigación, el desarrollo y la innovación en esos ámbitos.
  6. Para dar una respuesta efectiva a los problemas de seguridad de las redes y sistemas de información es necesario un planteamiento global en la Unión que integre requisitos mínimos comunes en materia de desarrollo de capacidades y planificación, intercambio de información, cooperación y requisitos comunes de seguridad para los operadores de servicios esenciales y los proveedores de servicios digitales. No obstante, no está excluido que los operadores de servicios esenciales y los proveedores de servicios digitales apliquen medidas de seguridad más estrictas que las previstas en la presente Directiva.
  7. Para cubrir todos los incidentes y riesgos pertinentes, la presente Directiva debe aplicarse tanto a los operadores de servicios esenciales como a los proveedores de servicios digitales. Sin embargo, las obligaciones impuestas a los operadores de servicios esenciales y a los proveedores de servicios digitales no deben aplicarse a empresas que suministren redes públicas de comunicaciones o presten servicios de comunicaciones electrónicas disponibles para el público en el sentido de la Directiva 2002/21/CE del Parlamento Europeo y del Consejo(3), que están sujetas a los requisitos específicos de seguridad e integridad establecidos en dicha Directiva, como tampoco a los prestadores de servicios de confianza definidos en el Reglamento (UE) n.o 910/2014 del Parlamento Europeo y del Consejo(4), que están sujetos a los requisitos de seguridad establecidos en dicho Reglamento.
  8. La presente Directiva debe entenderse sin perjuicio de que los Estados miembros puedan adoptar las medidas necesarias para garantizar la protección de los intereses esenciales de su seguridad, preservar el orden público y la seguridad pública, y permitir la investigación, detección y enjuiciamiento de infracciones penales. De conformidad con el artículo 346 del Tratado de Funcionamiento de la Unión Europea (TFUE), ningún Estado miembro está obligado a facilitar información cuya divulgación considere contraria a los intereses esenciales de su seguridad. En este contexto, son relevantes la Decisión 2013/488/UE del Consejo(5) y los acuerdos sobre confidencialidad o los acuerdos informales sobre confidencialidad como el Protocolo para el intercambio de información.
  9. Determinados sectores de la economía ya están ya regulados o pueden regularse en el futuro mediante actos jurídicos sectoriales de la Unión que incluyan normas relacionadas con la seguridad de las redes y sistemas de información. Siempre que esos actos jurídicos de la Unión contengan disposiciones por las que se impongan requisitos en materia de seguridad de las redes y sistemas de información o en materia de notificación de incidentes, dichas disposiciones deben aplicarse en lugar de las disposiciones correspondientes de la presente Directiva si contienen requisitos cuyos efectos sean, como mínimo, equivalentes a los de las obligaciones que establece la presente Directiva. En tales casos, los Estados miembros deben aplicar lo dispuesto en los mencionados actos jurídicos sectoriales de la Unión, incluidos los relativos a cuestiones de competencia judicial, y no deben llevar a cabo el proceso de identificación de los operadores de servicios esenciales, tal como se definen en la presente Directiva. En este contexto, los Estados miembros deben facilitar a la Comisión información sobre la aplicación de dichas disposiciones con carácter de lex specialis. A la hora de determinar si los requisitos en materia de seguridad de las redes y sistemas de información o en materia de notificación de incidentes establecidos en los actos jurídicos sectoriales de la Unión son o no equivalentes a los que se establecen en la presente Directiva, debe tenerse únicamente en cuenta lo dispuesto en los actos jurídicos de la Unión aplicables y su aplicación en los Estados miembros.
  10. En el sector del transporte marítimo y fluvial, los requisitos de seguridad que imponen los actos jurídicos de la Unión a las compañías, buques, instalaciones portuarias, puertos y servicios de gestión del tráfico de buques se aplican a la totalidad de las operaciones, incluidas las de los sistemas de radio y telecomunicaciones, los sistemas informáticos y las redes. Una parte de los procedimientos obligatorios que han de seguirse se refiere a la notificación de todos los incidentes de seguridad, y debe, por tanto, considerarse lex specialis en la medida en que dichos requisitos sean al menos equivalentes a las disposiciones correspondientes de la presente Directiva.
  11. Al identificar a los operadores del sector del transporte marítimo y fluvial, los Estados miembros deben tener en cuenta los códigos y directrices internacionales existentes o que se puedan elaborar en el futuro, en particular, por parte de la Organización Marítima Internacional, con el fin de proporcionar a los diferentes operadores marítimos un planteamiento coherente.
  12. La regulación y la supervisión del sector bancario y de las infraestructuras de los mercados financieros han sido objeto de una elevada armonización en la Unión mediante el recurso al Derecho primario y al Derecho derivado de la Unión y a normas elaboradas junto con las autoridades europeas de supervisión. Dentro de la Unión Bancaria, el Mecanismo Único de Supervisión garantiza la aplicación y supervisión de dichos requisitos. En los Estados miembros que no forman parte de la Unión Bancaria, son los reguladores bancarios competentes de cada Estado miembro los que garantizan dicha función. En otros ámbitos de regulación del sector financiero, el Sistema Europeo de Supervisión Financiera también garantiza un alto grado de uniformidad y convergencia de las prácticas de supervisión. La Autoridad Europea de Valores y Mercados también desempeña una función directa de supervisión para determinadas entidades, concretamente las agencias de calificación crediticia y los registros de operaciones.
  13. El riesgo operativo es un componente fundamental de la regulación y la supervisión prudenciales en los sectores de la banca y las infraestructuras del mercado financiero. Dicho riesgo se extiende a todas las operaciones, incluidas la seguridad, la integridad y la resistencia de las redes y sistemas de información. Los requisitos relativos a estos sistemas, que a menudo son más estrictos que los establecidos en la presente Directiva, se recogen en una serie de actos jurídicos de la Unión que incluyen normas sobre el acceso a la actividad de las entidades de crédito y a la supervisión prudencial de las entidades de crédito y las empresas de inversión, y normas sobre los requisitos prudenciales aplicables a las entidades de crédito y las empresas de inversión, que incluyen requisitos sobre el riesgo operativo; normas sobre los mercados de instrumentos financieros, que incluyen requisitos sobre evaluación de riesgos para las empresas de inversión y los mercados regulados; normas sobre los derivados extrabursátiles, las entidades de contrapartida central y los registros de operaciones, que incluyen requisitos sobre el riesgo operativo para dichas entidades y registros; y normas sobre la mejora de la liquidación de valores en la Unión y sobre los depositarios centrales de valores, que incluyen requisitos sobre el riesgo operativo. Por otra parte, los requisitos de notificación de incidentes forman parte de la práctica normal en materia de supervisión en el sector financiero y están incluidos a menudo en los manuales de supervisión. Los Estados miembros deben tener en cuenta dichas normas y requisitos a la hora de aplicar la lex specialis.
  14. Como ya observó el Banco Central Europeo en su dictamen de 25 de julio de 2014(6), la presente Directiva no afecta al régimen de supervisión de los sistemas de pago y liquidación del Eurosistema en virtud del Derecho de la Unión. Conviene que las autoridades responsables de esa supervisión intercambien experiencias sobre cuestiones relacionadas con la seguridad de las redes y sistemas de información con las autoridades competentes en virtud de la presente Directiva. Esta consideración se aplica asimismo a los miembros del Sistema Europeo de Bancos Centrales que no sean miembros de la zona Euro y que ejerzan esa supervisión de los sistemas de pago y liquidación sobre la base de disposiciones legales y reglamentarias nacionales.
  15. Los mercados en línea permiten a consumidores y comerciantes celebrar contratos de compraventa o de prestación de servicios en línea con comerciantes, y son el destino final de celebración de tales contratos. Esos mercados no deben tener por objeto servicios en línea que constituyan únicamente un paso intermedio para acceder a servicios prestados por terceros a través de los que finalmente se pueda celebrar un contrato. Por consiguiente, no deben tener por objeto servicios en línea que comparen el precio de los productos o servicios de diferentes comerciantes para luego dirigir al usuario hacia el comerciante al que este prefiera comprar el producto. Los servicios informáticos prestados por el mercado en línea pueden incluir servicios de tramitación de transacciones, agregación de datos o elaboración de perfiles de los usuarios. Las tiendas de aplicaciones, que funcionan como tiendas en línea que posibilitan la distribución digital de aplicaciones o programas informáticos de terceros, deben ser consideradas un tipo de mercado en línea.
  16. Los motores de búsqueda en línea permiten al usuario realizar búsquedas, en principio, en todos los sitios web, a partir de una consulta sobre cualquier tema. También pueden restringirse a sitios web en una lengua determinada. La definición de motor de búsqueda en línea de la presente Directiva no debe incluir las funciones de búsqueda que se limiten al contenido de un sitio web en concreto, con independencia de que la función de búsqueda la proporcione un motor de búsqueda externo. Tampoco debe incluir, por consiguiente, servicios en línea que comparen el precio de los distintos productos o servicios de diferentes comerciantes para luego dirigir al usuario hacia el comerciante al que se prefiera comprar el producto.
  17. Los servicios de computación en nube abarcan toda una serie de actividades que pueden realizarse según diferentes modelos. A efectos de la presente Directiva, se entiende por servicios de computación en nube aquellos servicios que permiten acceder a un conjunto modulable y elástico de recursos informáticos que se pueden compartir. Esos servicios de computación incluyen recursos tales como las redes, servidores u otras infraestructuras, sistemas de almacenamiento, aplicaciones y servicios. El término modulable se refiere a los recursos de computación que el proveedor de servicios en nube puede asignar de manera flexible con independencia de la localización geográfica de los recursos para hacer frente a fluctuaciones de la demanda. El término elástico se usa para describir los recursos de los que se abastece y que se ponen a la venta según la demanda, de modo que se puedan aumentar o reducir con rapidez los recursos disponibles en función de la carga de trabajo. La expresión que se pueden compartir se usa para describir recursos informáticos que se proporcionan a múltiples usuarios que comparten un acceso común al servicio pero la tramitación se lleva a cabo por separado para cada usuario, aunque el servicio se preste desde el mismo equipo electrónico.
  18. La función de un punto de intercambio de internet (en lo sucesivo, IXP, por sus siglas en inglés de internet exchange point) es conectar redes entre sí. Un IXP no proporciona acceso a la red ni actúa como proveedor o transportista de servicios de tránsito. Tampoco presta otros servicios ajenos a la interconexión, aunque ello no impide que un IXP preste tales servicios. El IXP existe para conectar entre sí redes que están técnica y organizativamente diferenciadas. El término sistema autónomo se emplea para describir una red que es técnicamente independiente.
  19. Los Estados miembros deben ser responsables de determinar qué entidades cumplen los criterios de la definición de operador de servicios esenciales. A efectos de garantizar un planteamiento coherente, la definición de operador de servicios esenciales debe ser aplicada de manera coherente por todos los Estados miembros. A tal fin, la presente Directiva prevé un examen de las entidades que desarrollan su actividad en sectores y subsectores específicos, el establecimiento de una lista de servicios esenciales, la consideración de una lista común de factores intersectoriales que permitan determinar si un incidente potencial tendría un efecto perturbador significativo, un proceso de consulta en el que participen los Estados miembros pertinentes en el caso de las entidades que prestan servicios en varios Estados miembros, y el apoyo del Grupo de cooperación en el proceso de identificación. Con el fin de garantizar que los cambios que puedan producirse en el mercado se tengan debidamente en cuenta, los Estados miembros deben revisar periódicamente la lista de operadores identificados y actualizarla cuando sea necesario. Por último, los Estados miembros deben presentar a la Comisión la información necesaria para valorar en qué medida este método común ha permitido que los Estados miembros apliquen la definición de modo coherente.
  20. En el proceso de identificación de los operadores de servicios esenciales, los Estados miembros deben valorar, como mínimo para cada uno de los subsectores que se indican en la presente Directiva, qué servicios han de considerarse esenciales para el mantenimiento de actividades sociales y económicas vitales y determinar si las entidades enumeradas en los sectores y subsectores que se indican en la presente Directiva y que prestan esos servicios cumplen los criterios de identificación de los operadores. Al valorar si una entidad presta un servicio que es esencial para el mantenimiento de actividades sociales o económicas cruciales, basta con examinar si la entidad presta un servicio que esté incluido en la lista de servicios esenciales. Por otra parte, debe demostrarse que la prestación del servicio esencial depende de redes y sistemas de información. Por último, al valorar si un incidente en las redes y sistemas de información relativo a la prestación del servicio tendría un efecto perturbador significativo en la prestación de este, los Estados miembros deben tener en cuenta una serie de factores intersectoriales, así como, en su caso, los factores sectoriales pertinentes.
  21. A efectos de la identificación de los operadores de servicios esenciales, el establecimiento en un Estado miembro implica el ejercicio real y efectivo de una actividad mediante una organización estable. La forma jurídica de dicha organización, ya sea a través de una sucursal o una filial con personalidad jurídica, no es el factor determinante a este respecto.
  22. Es posible que las entidades que operan en los sectores y subsectores que se indican en la presente Directiva presten tanto servicios esenciales como no esenciales. Por ejemplo, en el sector del transporte aéreo, los aeropuertos prestan servicios que un Estado miembro puede considerar esenciales, como la gestión de las pistas, pero también una serie de servicios que pueden considerarse no esenciales, como la oferta de zonas comerciales. Los operadores de servicios esenciales deben estar sujetos a los requisitos específicos de seguridad únicamente respecto de aquellos servicios que se consideren esenciales. Para la identificación de los operadores, los Estados miembros deben por lo tanto establecer una lista de los servicios que se consideren esenciales.
  23. La lista de servicios debe contener la totalidad de los servicios prestados en el territorio de un determinado Estado miembro que cumplan los requisitos establecidos en la presente Directiva. Los Estados miembros deben estar facultados para completar la lista existente incluyendo en ella nuevos servicios. La lista de servicios debe servir de referencia para que los Estados miembros puedan identificar a los operadores de servicios esenciales. Su finalidad es determinar los tipos de servicios esenciales en cada uno de los sectores que se indican en la presente Directiva, distinguiéndolos así de los servicios no esenciales de los que una entidad activa en un sector determinado pueda ser responsable. La lista de servicios establecida por cada Estado miembro sería otro elemento de utilidad para evaluar las prácticas normativas de cada Estado miembro con el fin de garantizar la coherencia global del proceso de identificación en todos los Estados miembros.
  24. Para los fines del proceso de identificación, cuando una entidad preste un servicio esencial en dos o más Estados miembros, estos deben entablar entre sí conversaciones bilaterales o multilaterales. Este proceso de consulta tiene por objeto ayudarles a valorar el carácter crítico del operador en términos de su impacto transfronterizo, permitiendo a cada Estado miembro participante exponer su punto de vista en lo que respecta a los riesgos asociados a los servicios prestados. Los Estados miembros interesados deben tener en cuenta los puntos de vista de los demás en este proceso, y deben poder solicitar la asistencia del Grupo de cooperación a este respecto.
  25. Como resultado del proceso de identificación, los Estados miembros deben adoptar medidas nacionales para determinar qué entidades están sujetas a obligaciones en materia de seguridad de las redes y sistemas de información. Este resultado podría alcanzarse mediante la elaboración de una lista en la que se enumere a todos los operadores de servicios esenciales, o bien mediante la adopción de medidas nacionales que incluyan criterios objetivos y cuantificables, como la producción del operador o el número de usuarios, que permitan determinar qué entidades han de quedar sujetas a las obligaciones en materia de seguridad de las redes y sistemas de información. Las medidas nacionales, con independencia de que ya existieran o de que se adopten en el contexto de la presente Directiva, deben incluir todas las medidas jurídicas y administrativas y las políticas que permitan identificar a los operadores de servicios esenciales a los efectos de la presente Directiva.
  26. Para dar una indicación de la importancia, en relación con el sector de que se trate, de los operadores identificados de servicios esenciales, los Estados miembros deben tener en cuenta el número y la magnitud de los operadores identificados, por ejemplo en términos de cuota de mercado o cantidad producida o transportada, sin necesidad de divulgar información que pueda revelar qué operadores han sido identificados.
  27. A fin de determinar si un incidente podría tener un efecto perturbador significativo, los Estados miembros deben tener en cuenta distintos factores, como el número de usuarios que confían en dicho servicio para fines tanto privados como profesionales. La utilización de ese servicio puede ser directa, indirecta o mediante intermediario. Al evaluar el impacto, en términos de magnitud y duración, que podría tener un incidente en las actividades económicas y sociales o en la seguridad pública, los Estados miembros deben considerar también el tiempo que probablemente tendría que transcurrir antes de que la discontinuidad empiece a tener repercusiones negativas.
  28. Además de los factores intersectoriales, deben también tenerse en cuenta factores específicamente sectoriales para determinar si un incidente tendría un efecto perturbador significativo en la prestación de un servicio esencial. En el caso de los proveedores de energía, esos factores podrían ser el volumen o la proporción de la energía nacional generada; en el caso de los proveedores de petróleo, el volumen diario; en el caso del transporte aéreo, incluidos aeropuertos y compañías aéreas, del transporte ferroviario y de los puertos marítimos, la proporción del volumen de tráfico nacional y el número de viajeros u operaciones de transporte de mercancías anuales; en el caso de la banca o las infraestructuras del mercado financiero, su importancia sistémica, valorada según los activos totales o la razón entre estos y el producto interior bruto; en el caso del sector sanitario, el número de pacientes atendidos cada año por el prestador de servicios sanitarios; en el caso de la producción, tratamiento y abastecimiento de agua, el volumen y el número y los tipos de usuarios abastecidos incluidos, por ejemplo, hospitales, organismos que presten servicios públicos o particulares, y la existencia de fuentes alternativas de suministro de agua para abastecer la misma zona geográfica.
  29. A fin de alcanzar y mantener un elevado nivel de seguridad de las redes y sistemas de información, cada Estado miembro debe disponer de una estrategia nacional de seguridad de las redes y sistemas de información que fijen los objetivos estratégicos y las medidas concretas que haya que aplicar.
  30. Habida cuenta de las diferencias existentes entre las estructuras nacionales de gobernanza y con el fin de salvaguardar las disposiciones sectoriales vigentes o los organismos de supervisión y regulación de la Unión ya existentes, y para evitar duplicidades, los Estados miembros deben poder designar a más de una autoridad nacional competente responsable de ejercer las funciones vinculadas a la seguridad de las redes y sistemas de información de los operadores de servicios esenciales y los proveedores de servicios digitales en virtud de la presente Directiva.
  31. Con el fin de facilitar la cooperación y la comunicación transfronterizas y de permitir una aplicación efectiva de la presente Directiva, es necesario que cada Estado miembro designe, sin perjuicio de las disposiciones normativas sectoriales, un punto de contacto único nacional que se encargue de coordinar las cuestiones relacionadas con la seguridad de las redes y sistemas de información y de la cooperación transfronteriza a escala de la Unión. Las autoridades competentes y los puntos de contacto único deben disponer de recursos técnicos, financieros y humanos adecuados para garantizar que puedan ejercer de manera efectiva y eficiente las funciones que se les atribuyen y alcanzar de este modo los objetivos de la presente Directiva. Dado que la finalidad de la presente Directiva es mejorar el funcionamiento del mercado interior mediante la creación de un clima de confianza y seguridad, los organismos de los Estados miembros deben poder cooperar eficazmente con los agentes económicos y han de estar estructurados en consecuencia.
  32. Las autoridades competentes o los equipos de respuesta a incidentes de seguridad informática (en lo sucesivo, CSIRT, por sus siglas en inglés de computer security incident response teams) deben recibir las notificaciones de los incidentes. Los puntos de contacto únicos no deben recibir directamente ninguna notificación de incidente, salvo en caso de que actúen también como autoridad competente o como CSIRT. No obstante, una autoridad competente o un CSIRT ha de poder encargar al punto de contacto único que transmita notificaciones de incidentes a los puntos de contacto únicos de los demás Estados miembros afectados.
  33. Para garantizar que la información se facilite efectivamente a los Estados miembros y a la Comisión, el punto de contacto único debe presentar un informe resumido al Grupo de cooperación, y este debe estar anonimizado para proteger la confidencialidad de las notificaciones y la identidad de los operadores de servicios esenciales y los proveedores de servicios digitales, dado que, para el intercambio de información sobre buenas prácticas dentro del Grupo de cooperación, no es necesaria información sobre la identidad de las entidades notificantes. El informe resumido debe contener información sobre el número de notificaciones recibidas y sobre las características de los incidentes notificados, como los tipos de vulneraciones de la seguridad, su gravedad o su duración.
  34. Los Estados miembros deben disponer de capacidades técnicas y de organización adecuadas para poder adoptar medidas de prevención, detección, respuesta y mitigación de los incidentes y riesgos que afecten a las redes y sistemas de información. Los Estados miembros deben asegurarse por tanto de que disponen de CSIRT que funcionen adecuadamente y cumplan los requisitos esenciales para así disponer de capacidades efectivas y compatibles que permitan hacer frente a incidentes y riesgos y garantizar una cooperación eficaz a escala de la Unión. Con el fin de que todos los tipos de operadores de servicios esenciales y proveedores de servicios digitales gocen de este tipo de capacidades y posibilidades de cooperación, los Estados miembros deben asegurarse de que todos ellos queden cubiertos por un CSIRT designado. Dada la importancia de la cooperación internacional en materia de ciberseguridad, los CSIRT deben tener la posibilidad de participar en redes internacionales de cooperación además de la red de CSIRT establecida en virtud de la presente Directiva.
  35. La cooperación entre los sectores público y privado es esencial dado que la mayor parte de las redes y sistemas de información es de gestión privada. Se debe alentar a los operadores de servicios esenciales y proveedores de servicios digitales a crear sus propios mecanismos de cooperación informal para garantizar la seguridad de las redes y sistemas de información. Cuando sea indicado, el Grupo de cooperación ha de poder invitar a los interesados a las discusiones. Para fomentar eficazmente el intercambio de información y buenas prácticas, es esencial garantizar que los operadores de servicios esenciales y los proveedores de servicios digitales que participan en dichos intercambios no queden en desventaja a causa de su cooperación.
  36. La ENISA debe prestar asistencia a los Estados miembros y a la Comisión ofreciéndoles su experiencia, conocimientos y asesoramiento y facilitando el intercambio de buenas prácticas. En particular, a la hora de aplicar la presente Directiva, la Comisión debe consultar a la ENISA, y los Estados miembros deben poder hacerlo. Para desarrollar las capacidades y los conocimientos en los Estados miembros, el Grupo de cooperación debe servir también de instrumento para intercambiar información sobre buenas prácticas, discutir sobre las capacidades y el grado de preparación de los Estados miembros y, a título voluntario, prestar ayuda a los miembros del grupo para evaluar las estrategias nacionales en materia de seguridad de las redes y sistemas de información, la creación de capacidades y los ejercicios de evaluación relativos a la seguridad de las redes y sistemas de información.
  37. En su caso, los Estados miembros deben poder utilizar o adaptar las estructuras organizativas o las estrategias existentes al aplicar la presente Directiva.
  38. Las funciones del Grupo de cooperación y las de la ENISA son interdependientes y complementarias. En general, la ENISA debe ayudar al Grupo de cooperación en la ejecución de sus funciones, en consonancia con el objetivo de aquella, establecido en el Reglamento (UE) n.o 526/2013 del Parlamento Europeo y del Consejo(7), a saber, ayudar a las instituciones, órganos y organismos de la Unión y a los Estados miembros a aplicar las políticas necesarias para cumplir los requisitos legales y reglamentarios relativos a la seguridad de las redes y de la información que figuran en actos jurídicos actuales y futuros de la Unión. En particular, la ENISA debe prestar asistencia en aquellos ámbitos que corresponden a sus propias funciones, enumeradas en el Reglamento (UE) n.o 526/2013, a saber, analizar las estrategias de la seguridad de las redes y los sistemas de información, apoyar la organización y realización de ejercicios relativos a la seguridad de las redes y sistemas de información a escala de la Unión e intercambiar información y buenas prácticas en materia de sensibilización y formación. La ENISA también debe participar en la elaboración de las directrices aplicables a los criterios sectoriales de determinación de la gravedad de las repercusiones de un incidente.
  39. A fin de promover un elevado nivel de seguridad de las redes y sistemas de información, el Grupo de cooperación debe, en su caso, cooperar con las instituciones, órganos y organismos de la Unión para intercambiar conocimientos prácticos y buenas prácticas, y para ofrecer asesoramiento sobre aspectos de seguridad de las redes y sistemas de información que puedan incidir en la labor de dichas instituciones, órganos y organismos, sin dejar de respetar las disposiciones vigentes en materia de intercambio de información restringida. Cuando coopere con las autoridades policiales en los aspectos relacionados con la seguridad de las redes y de la información que puedan incidir en la labor de dichas autoridades, el Grupo de cooperación debe respetar los canales de información existentes y las redes establecidas.
  40. La información sobre incidentes tiene cada vez mayor utilidad para la población en general y para las empresas, en particular las pequeñas y medianas empresas. En algunos casos, este tipo de información ya se proporciona a través de sitios web de ámbito nacional, en la lengua de un país concreto, dedicados principalmente a incidentes y sucesos con una dimensión nacional. Dado que las empresas operan cada vez más con carácter transfronterizo y que los particulares utilizan servicios en línea, la información sobre incidentes debe facilitarse de modo agregado a escala de la Unión. Es conveniente que la secretaría de la red de CSIRT mantenga un sitio web, o dedique una página dentro de un sitio web existente, en el que se ponga a disposición del público información general sobre los principales incidentes en materia de seguridad que afecten a las redes y sistemas de información acaecidos en toda la Unión, prestando una atención especial a los intereses y necesidades de las empresas. Conviene asimismo que los CSIRT que participen en dicha red faciliten con carácter voluntario la información que deba publicarse en ese sitio web, sin incluir información confidencial o delicada.
  41. Cuando la información se considere confidencial de conformidad con las normas nacionales y de la Unión en materia de confidencialidad empresarial, debe mantenerse ese carácter confidencial a la hora de desarrollar las actividades y cumplir los objetivos establecidos en la presente Directiva.
  42. Los ejercicios que simulan en tiempo real situaciones asociadas a un incidente son esenciales para comprobar el grado de preparación de los Estados miembros y su capacidad de cooperación por lo que respecta a la seguridad de las redes y sistemas de información. El ciclo de ejercicios denominado CyberEurope, coordinado por la ENISA con la participación de los Estados miembros, es una herramienta útil para hacer pruebas y elaborar recomendaciones sobre el modo de ir mejorando la gestión de incidentes a escala de la Unión. Considerando que, en la actualidad, los Estados miembros no están obligados a planificar ejercicios ni a participar en ellos, la creación de la red de CSIRT en virtud de la presente Directiva ha de permitirles participar en ejercicios basados en una planificación precisa y en decisiones estratégicas. El Grupo de cooperación establecido en virtud de la presente Directiva debe discutir sobre las decisiones estratégicas relativas a los ejercicios, en particular, aunque no exclusivamente, por lo que respecta a la regularidad de los mismos y a la concepción de las hipótesis. La ENISA, de conformidad con su mandato, debe apoyar la organización y realización de ejercicios a escala de la Unión, ofreciendo sus conocimientos especializados y su asesoramiento al Grupo de coordinación y a la red de CSIRT.
  43. El alcance mundial de los problemas que afectan a la seguridad de las redes y sistemas de información hace necesaria una mayor cooperación internacional para mejorar las normas de seguridad y el intercambio de información, y promover un planteamiento global común con respecto a las cuestiones de seguridad.
  44. La responsabilidad de velar por la seguridad de las redes y sistemas de información recae en gran medida en los operadores de servicios esenciales y los proveedores de servicios digitales. Debe fomentarse una cultura de gestión de riesgos que implique una evaluación del riesgo y la aplicación de medidas de seguridad adecuadas a los riesgos que hay que afrontar, y esta se debe desarrollar a través de requisitos normativos adecuados y prácticas sectoriales voluntarias. Asimismo, es indispensable sentar unas condiciones de igualdad dignas de confianza para garantizar el funcionamiento efectivo del Grupo de cooperación y la red de CSIRT y, por ende, la cooperación efectiva de todos los Estados miembros.
  45. La presente Directiva se aplica únicamente a las administraciones públicas que hayan sido identificadas como operadores de servicios esenciales. Por consiguiente, es responsabilidad de los Estados miembros garantizar la seguridad de las redes y sistemas de información de las administraciones públicas que no estén incluidas en el ámbito de aplicación de la presente Directiva.
  46. Entre las medidas de gestión del riesgo figuran aquellas cuya finalidad es determinar todo riesgo de incidentes, prevenir, detectar y gestionar incidentes y mitigar sus repercusiones. La seguridad de las redes y sistemas de información comprende la seguridad de los datos conservados, transmitidos y procesados.
  47. Las autoridades competentes deben seguir estando facultadas para adoptar directrices nacionales acerca de las circunstancias en las que los operadores de servicios esenciales deben notificar incidentes.
  48. Numerosas empresas de la Unión recurren para prestar sus propios servicios a proveedores de servicios digitales. Dado que algunos servicios digitales pueden representar un recurso importante para sus usuarios, incluidos los operadores de servicios esenciales, y dado que esos usuarios no siempre pueden recurrir a otras opciones, la presente Directiva debe aplicarse también a los proveedores de ese tipo de servicios. La seguridad, continuidad y fiabilidad del tipo de servicios digitales a que se refiere la presente Directiva tienen una importancia capital para el buen funcionamiento de numerosas empresas. La perturbación de un servicio digital puede impedir la prestación de otros servicios que dependen de él y afectar, por lo tanto, a actividades económicas y sociales fundamentales en la Unión. Por esa razón, ese tipo de servicios digitales puede tener una importancia capital para el correcto funcionamiento de las empresas que dependen de ellos, y también para la participación de estas en el mercado interior y en el comercio transfronterizo en toda la Unión. Esos proveedores de servicios digitales que están sujetos a la presente Directiva son aquellos que prestan servicios digitales de los que muchas empresas de la Unión dependen cada vez más.
  49. Los proveedores de servicios digitales deben garantizar un nivel de seguridad acorde con el grado de riesgo que se plantea para la seguridad de los servicios digitales que presten, dada la importancia de sus servicios para las operaciones de otras empresas de la Unión. En la práctica, el grado de riesgo para los operadores de servicios esenciales, que son a menudo esenciales para el mantenimiento de actividades sociales y económicas cruciales, es superior al que corresponde a los proveedores de servicios digitales. Por consiguiente, los proveedores de servicios digitales deben estar sujetos a requisitos de seguridad menos rigurosos. Los proveedores de servicios digitales deben seguir pudiendo tomar las medidas que consideren oportunas a fin de gestionar los riesgos que se planteen para la seguridad de sus redes y servicios de información. Debido a su carácter transfronterizo, los proveedores de servicios digitales deben estar sujetos a un planteamiento más armonizado a escala de la Unión. La especificación y aplicación de las medidas correspondientes debe verse facilitada mediante actos de ejecución.
  50. Aunque los fabricantes de equipos informáticos y quienes desarrollan programas informáticos no sean operadores de servicios esenciales ni proveedores de servicios digitales, sus productos facilitan la seguridad de las redes y sistemas de información. Desempeñan por ello un importante papel al permitir que los operadores de servicios esenciales y los proveedores de servicios digitales garanticen la seguridad de sus redes e infraestructuras de información. Estos equipos y programas informáticos están ya sujetos a las normas vigentes en materia de responsabilidad por los daños causados por productos defectuosos.
  51. Las medidas técnicas y de organización impuestas a los operadores de servicios esenciales y a los proveedores de servicios digitales no deben requerir que se diseñe, desarrolle o fabrique de una manera especial un determinado producto comercial de tecnología de la información y la comunicación.
  52. Los operadores de servicios esenciales y los proveedores de servicios digitales deben garantizar la seguridad de las redes y sistemas que utilicen. Se trata fundamentalmente de redes y sistemas privados gestionados por el personal informático interno o cuya seguridad se ha encomendado a empresas externas. Los requisitos en materia de seguridad y notificación han de aplicarse a los operadores de servicios esenciales y a los proveedores de servicios digitales pertinentes, independientemente de si se encargan ellos mismos del mantenimiento de sus redes y sistemas de información o lo subcontratan.
  53. Para no imponer una carga financiera y administrativa desproporcionada a los operadores de servicios esenciales y a los proveedores de servicios digitales, los requisitos han de ser proporcionados en relación con los riesgos que presenta la red y el sistema de información en cuestión, y tener en cuenta el estado de la técnica. En el caso de los proveedores de servicios digitales, esos requisitos no deben aplicarse ni a las microempresas ni a las pequeñas empresas.
  54. Las administraciones públicas de los Estados miembros que utilizan servicios ofrecidos por proveedores de servicios digitales, en particular servicios de computación en nube, pueden considerar conveniente exigir a los proveedores de tales servicios medidas de seguridad adicionales, más estrictas que las que dichos proveedores ofrecerían normalmente en cumplimiento de los requisitos de la presente Directiva. Han de poder hacerlo mediante obligaciones contractuales.
  55. Las definiciones de mercados digitales, motores de búsqueda en línea y servicios de computación en nube formuladas en la presente Directiva han de entenderse a los efectos específicos de esta, y sin perjuicio de cualquier otro instrumento.
  56. La presente Directiva no debe ser óbice para que los Estados miembros adopten medidas nacionales que obliguen a los organismos del sector público a garantizar unas condiciones de seguridad específicas cuando contraten servicios de computación en nube. Las medidas nacionales de ese tipo que se adopten deben aplicarse al organismo del sector público de que se trate, y no al proveedor de servicios de computación en nube.
  57. Dadas las diferencias fundamentales existentes entre los operadores de servicios esenciales, en particular por su vinculación directa con infraestructuras físicas, y los proveedores de servicios digitales, en particular por su carácter transfronterizo, debe adoptarse en la presente Directiva un planteamiento diferenciado con respecto al nivel de armonización aplicable a esos dos grupos de entidades. Para los operadores de servicios esenciales, los Estados miembros deben poder identificar a los operadores correspondientes e imponerles requisitos más estrictos que los previstos en la presente Directiva. Los Estados miembros no deben identificar a los proveedores de servicios digitales, ya que la presente Directiva debe aplicarse a todos los proveedores de servicios digitales incluidos en su ámbito de aplicación. Por otra parte, la presente Directiva y los actos de ejecución que se adopten en virtud de esta deben garantizar un elevado nivel de armonización para los proveedores de servicios digitales respecto de los requisitos de seguridad y notificación. Ello debe permitir que los proveedores de servicios digitales sean tratados de manera uniforme en toda la Unión, de una manera proporcionada en relación con su naturaleza y con el grado de riesgo al que puedan tener que hacer frente.
  58. La presente Directiva no debe impedir que los Estados miembros impongan requisitos de seguridad y notificación a entidades que no sean proveedores de servicios digitales comprendidos en el ámbito de aplicación de la presente Directiva, sin perjuicio de las obligaciones de los Estados miembros en virtud del Derecho de la Unión.
  59. Las autoridades competentes deben procurar que se mantengan los canales de intercambio de información informales y de confianza. Antes de dar publicidad a los incidentes notificados a las autoridades competentes, es preciso sopesar debidamente el interés de los ciudadanos en ser informados sobre amenazas que en términos comerciales y de reputación puedan sufrir los operadores de servicios esenciales y los proveedores de servicios digitales que notifican incidentes. A la hora de cumplir sus obligaciones de notificación, las autoridades competentes y los CSIRT han de tener muy en cuenta la necesidad de mantener estrictamente confidencial la información sobre los puntos vulnerables del producto antes de dar a conocer las soluciones de seguridad adecuadas.
  60. Los proveedores de servicios digitales deben estar sujetos a un tipo de supervisión ligera, reactiva y a posteriori, justificada por la naturaleza de sus servicios y operaciones. La autoridad competente de que se trate debe, por tanto, intervenir únicamente cuando obtenga pruebas, por ejemplo del propio proveedor de servicios digitales, de otra autoridad competente, incluida una autoridad competente de otro Estado miembro, o de un usuario del servicio, de que un proveedor de servicios digitales no cumple los requisitos de la presente Directiva, en particular después de que se haya producido un incidente. Por consiguiente, la autoridad competente no debe tener la obligación general de supervisar a los proveedores de servicios digitales.
  61. Las autoridades competentes deben disponer de los medios necesarios para ejercer sus funciones, incluidas sus competencias para obtener información suficiente para evaluar el nivel de seguridad de las redes y sistemas de información.
  62. Los incidentes pueden ser consecuencia de actividades delictivas, cuya prevención, investigación y enjuiciamiento se ven facilitados por la coordinación y la cooperación entre los operadores de servicios esenciales, los proveedores de servicios digitales, las autoridades competentes y las autoridades policiales. Cuando se sospeche que un incidente guarda relación con actividades delictivas graves en virtud del Derecho de la Unión o nacional, los Estados miembros deben alentar a los operadores de servicios esenciales y a los proveedores de servicios digitales a notificar personalmente a las autoridades policiales competentes los incidentes de naturaleza presuntamente delictiva y grave. Es deseable que el Centro Europeo de Ciberdelincuencia (EC3) y la ENISA faciliten, en su caso, la coordinación entre las autoridades competentes y las autoridades policiales de los diferentes Estados miembros.
  63. En numerosas ocasiones los datos de carácter personal se ven comprometidos a raíz de incidentes. En este contexto, las autoridades competentes y las autoridades responsables de la protección de datos han de cooperar e intercambiar la información sobre todos los asuntos pertinentes ante las violaciones de datos personales derivadas de incidentes.
  64. La competencia judicial respecto de los proveedores de servicios digitales debe atribuirse al Estado miembro en el que el operador tenga en la Unión su establecimiento principal, que corresponde en principio al lugar en el que el proveedor tiene su domicilio social en la Unión. Por establecimiento se entiende el ejercicio real y efectivo de una actividad mediante una organización estable. La forma jurídica de dicha organización, ya sea a través de una sucursal o una filial con personalidad jurídica, no es el factor determinante a este respecto. Este criterio no debe depender de que las redes y sistemas de información estén o no físicamente situados en un lugar determinado; la presencia y utilización de tales sistemas no pueden asimilarse por sí mismos a la existencia del mencionado establecimiento principal y no constituyen, por tanto, criterios para determinar el establecimiento principal.
  65. Cuando un proveedor de servicios digitales que no esté establecido en la Unión ofrezca servicios en ella, debe designar a un representante. Para determinar si dicho proveedor de servicios digitales ofrece servicios en la Unión, debe averiguarse si hay constancia de que el proveedor de servicios digitales tiene la intención de ofrecer servicios a personas de uno o varios Estados miembros. La simple accesibilidad en la Unión del sitio web del proveedor de servicios digitales o de un intermediario, o de una dirección de correo electrónico y otros datos de contacto, o el empleo de una lengua de uso común en el país tercero en que esté establecido el proveedor de servicios digitales, no basta para determinar dicha intención. No obstante, factores como el empleo de una lengua o una moneda, de uso común en uno o varios Estados miembros, con la posibilidad de encargar servicios en esa otra lengua, o la mención de clientes o usuarios que estén en la Unión, puede revelar que el proveedor de servicios digitales tiene la intención de ofrecer servicios en la Unión. El representante debe actuar por cuenta del proveedor de servicios digitales, y las autoridades competentes o los CSIRT han de poder ponerse en contacto con él. El representante debe haber sido designado expresamente mediante un mandato escrito del proveedor de servicios digitales que le autorice para actuar por cuenta de este en lo que respecta a las obligaciones del proveedor en virtud de la presente Directiva, también por lo que respecta a la obligación de notificación de incidentes.
  66. La normalización de los requisitos en materia de seguridad es un proceso impulsado por el mercado. Al objeto de garantizar una aplicación convergente de las normas de seguridad, los Estados miembros han de fomentar el cumplimiento de normas específicas o la conformidad con ellas para así lograr un elevado nivel de seguridad de las redes y sistemas de información en la Unión. La ENISA debe prestar asistencia a los Estados miembros ofreciéndoles asesoramiento y directrices. A tal fin, podría ser útil elaborar normas armonizadas, de conformidad con el Reglamento (UE) n.o 1025/2012 del Parlamento Europeo y del Consejo(8).
  67. Puede ocurrir que entidades no incluidas en el ámbito de aplicación de la presente Directiva sufran incidentes que tengan efectos significativos en los servicios que prestan. Cuando tales entidades consideren de interés público notificar que se han producido esos incidentes, deben poder hacerlo a título voluntario. Tales notificaciones solo deben ser tramitadas por la autoridad competente o por el CSIRT cuando su tramitación no suponga una carga desproporcionada o injustificada para los Estados miembros afectados.
  68. A fin de garantizar condiciones uniformes de ejecución de la presente Directiva, deben conferirse a la Comisión competencias de ejecución para establecer, por una parte, las disposiciones de procedimiento necesarias para el funcionamiento del Grupo de cooperación y, por otra, los requisitos de seguridad y notificación aplicables a los proveedores de servicios digitales. Esas competencias deben ejercerse de conformidad con el Reglamento (UE) n.o 182/2011 del Parlamento Europeo y del Consejo(9). Al adoptar actos de ejecución relacionados con las disposiciones de procedimiento necesarias para el funcionamiento del Grupo de cooperación, la Comisión debe tener plenamente en cuenta el dictamen de la ENISA.
  69. Al adoptar actos de ejecución relacionados con los requisitos de seguridad aplicables a los proveedores de servicios digitales, la Comisión debe tener plenamente en cuenta el dictamen de la ENISA y debe consultar a los interesados. Además, se alienta a la Comisión a que tenga en cuenta los siguientes ejemplos: por lo que respecta a la seguridad de los sistemas e instalaciones: la seguridad física y del entorno, la seguridad de abastecimiento, el control del acceso a las redes y sistemas de información y la integridad de las redes y sistemas de información; por lo que respecta a la gestión de incidentes: los procedimientos de gestión de incidentes, las capacidades de detección de incidentes, la información y comunicación sobre incidentes; por lo que respecta a la gestión de la continuidad de las actividades: la estrategia de continuidad de los servicios y los planes para contingencias y las capacidades de recuperación en caso de catástrofe; y, por lo que respecta a la supervisión, la auditoría y los ensayos: las políticas de supervisión y registro, la planificación de contingencias durante los ejercicios, los ensayos con las redes y sistemas de información, las evaluaciones de seguridad y el control del cumplimiento de la normativa.
  70. Al aplicar la presente Directiva, la Comisión debe mantener contactos, según corresponda, con los comités sectoriales y organismos pertinentes establecidos a escala de la Unión en los ámbitos a los que se aplica la presente Directiva.
  71. La Comisión debe revisar periódicamente lo dispuesto en la presente Directiva, en consulta con los interesados, en particular para determinar si se precisa alguna modificación a raíz de cambios en la situación social, política, de la tecnología o el mercado.
  72. El intercambio de información sobre riesgos e incidentes que ha de llevarse a cabo en el Grupo de cooperación y la red de los CSIRT, y el cumplimiento de la obligación de notificar los incidentes a las autoridades nacionales competentes o a los CSIRT, pueden hacer necesario el tratamiento de datos personales. Dicho tratamiento debe cumplir lo dispuesto en la Directiva 95/46/CE del Parlamento Europeo y del Consejo(10) y en el Reglamento (CE) n.o 45/2001 del Parlamento Europeo y del Consejo(11). Al aplicar la presente Directiva, se debe aplicar, según corresponda, el Reglamento (CE) n.o 1049/2001 del Parlamento Europeo y del Consejo(12).
  73. El Supervisor Europeo de Protección de Datos, consultado de conformidad con el artículo 28, apartado 2, del Reglamento (CE) n.o 45/2001, emitió un dictamen el 14 de junio de 2013(13).
  74. Dado que el objetivo de la presente Directiva, a saber, garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión, no puede ser alcanzado de manera suficiente por los Estados miembros, sino que, debido a los efectos de la acción, puede lograrse mejor a escala de la Unión, esta puede adoptar medidas, de acuerdo con el principio de subsidiariedad establecido en el artículo 5 del Tratado de la Unión Europea. De conformidad con el principio de proporcionalidad establecido en el mismo artículo, la presente Directiva no excede de lo necesario para alcanzar dicho objetivo.
  75. La presente Directiva observa los derechos fundamentales y los principios reconocidos por la Carta de los Derechos Fundamentales de la Unión Europea, en particular, el derecho al respeto de la vida privada y las comunicaciones, el derecho a la protección de los datos de carácter personal, la libertad de empresa, el derecho a la propiedad, el derecho a una tutela judicial efectiva y el derecho a ser oído. La presente Directiva debe aplicarse de conformidad con estos derechos y principios.

HAN ADOPTADO LA PRESENTE DIRECTIVA:

(1)DO C 271 de 19.9.2013, p. 133.

(2) Posición del Parlamento Europeo de 13 de marzo de 2014 (pendiente de publicación en el Diario Oficial) y Posición del Consejo en primera lectura de 17 de mayo de 2016 (pendiente de publicación en el Diario Oficial). Posición del Parlamento Europeo de 6 de julio de 2016 (pendiente de publicación en el Diario Oficial).

(3) Directiva 2002/21/CE del Parlamento Europeo y del Consejo, de 7 de marzo de 2002, relativa a un marco regulador común de las redes y los servicios de comunicaciones electrónicas (Directiva marco) (DO L 108 de 24.4.2002, p. 33).

(4) Reglamento (UE) n.o 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE (DO L 257 de 28.8.2014, p. 73).

(5) Decisión 2013/488/UE del Consejo, de 23 de septiembre de 2013, sobre las normas de seguridad para la protección de la información clasificada de la UE (DO L 274 de 15.10.2013, p. 1).

(6)DO C 352 de 7.10.2014, p. 4.

(7) Reglamento (UE) n.o 526/2013 del Parlamento Europeo y del Consejo, de 21 de mayo de 2013, relativo a la Agencia de Seguridad de las Redes de la Información de la Unión Europea (ENISA) y por el que se deroga el Reglamento (CE) n.o 460/2004 (DO L 165 de 18.6.2013, p. 41).

(8) Reglamento (UE) n.o 1025/2012 del Parlamento Europeo y del Consejo, de 25 de octubre de 2012, sobre la normalización europea, por el que se modifican las Directivas 89/686/CEE y 93/15/CEE del Consejo y las Directivas 94/9/CE, 94/25/CE, 95/16/CE, 97/23/CE, 98/34/CE, 2004/22/CE, 2007/23/CE, 2009/23/CE y 2009/105/CE del Parlamento Europeo y del Consejo y por el que se deroga la Decisión 87/95/CEE del Consejo y la Decisión n.o 1673/2006/CE del Parlamento Europeo y del Consejo (DO L 316 de 14.11.2012, p. 12).

(9) Reglamento (UE) n.o 182/2011 del Parlamento Europeo y del Consejo, de 16 de febrero de 2011, por el que se establecen las normas y los principios generales relativos a las modalidades de control por parte de los Estados miembros del ejercicio de las competencias de ejecución por la Comisión (DO L 55 de 28.2.2011, p. 13).

(10) Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (DO L 281 de 23.11.1995, p. 31).

(11) Reglamento (CE) n.o 45/2001 del Parlamento Europeo y del Consejo, de 18 de diciembre de 2000, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones y los organismos comunitarios y a la libre circulación de estos datos (DO L 8 de 12.1.2001, p. 1).

(12) Reglamento (CE) n.o 1049/2001 del Parlamento Europeo y del Consejo, de 30 de mayo de 2001, relativo al acceso del público a los documentos del Parlamento Europeo, del Consejo y de la Comisión (DO L 145 de 31.5.2001, p. 43).

(13)DO C 32 de 4.2.2014, p. 19.