Consejo de la Unión Europea Bruselas, 17 de mayo de 2016 (OR. en)

Please download to get full document.

View again

of 27
All materials on our website are shared by users. If you have any questions about copyright issues, please report us to resolve them. We are always happy to assist you.
Categories
Published
Consejo de la Unión Europea Bruselas, 17 de mayo de 2016 (OR. en) Expediente interinstitucional: 2013/0027 (COD) 5581/1/16 REV 1 ACTOS LEGISLATIVOS Y OTROS INSTRUMENTOS Asunto: TELECOM 7 DATAPROTECT 6
Consejo de la Unión Europea Bruselas, 17 de mayo de 2016 (OR. en) Expediente interinstitucional: 2013/0027 (COD) 5581/1/16 REV 1 ACTOS LEGISLATIVOS Y OTROS INSTRUMENTOS Asunto: TELECOM 7 DATAPROTECT 6 CYBER 4 MI 37 CSC 15 CODEC 84 PARLNAT 154 Posición del Consejo en primera lectura con vistas a la adopción de una DIRECTIVA DEL PARLAMENTO EUROPEO Y DEL CONSEJO relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión - Adoptada por el Consejo el 17 de mayo de /1/16 REV 1 DIRECTIVA (UE) 2016/ DEL PARLAMENTO EUROPEO Y DEL CONSEJO de relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión EL PARLAMENTO EUROPEO Y EL CONSEJO DE LA UNIÓN EUROPEA, Visto el Tratado de Funcionamiento de la Unión Europea, y en particular su artículo 114, Vista la propuesta de la Comisión Europea, Previa transmisión del proyecto de acto legislativo a los Parlamentos nacionales, Visto el dictamen del Comité Económico y Social Europeo 1, De conformidad con el procedimiento legislativo ordinario 2, 1 2 DO C 271 de , p Posición del Parlamento Europeo de 13 de marzo de 2014 (pendiente de publicación en el Diario Oficial) y Posición del Consejo en primera lectura de 17 de mayo de 2016 (pendiente de publicación en el Diario Oficial). Posición del Parlamento Europeo de (pendiente de publicación en el Diario Oficial). 5581/1/16 REV 1 1 Considerando lo siguiente: (1) Las redes y sistemas de información desempeñan un papel crucial en la sociedad. Su fiabilidad y seguridad son esenciales para las actividades económicas y sociales, y en particular para el funcionamiento del mercado interior. (2) La magnitud, la frecuencia y los efectos de los incidentes de seguridad se están incrementando y representan una grave amenaza para el funcionamiento de las redes y sistemas de información. Esos sistemas pueden convertirse además en objetivo de acciones nocivas deliberadas destinadas a perjudicar o interrumpir su funcionamiento. Este tipo de incidentes pueden interrumpir las actividades económicas, generar considerables pérdidas financieras, menoscabar la confianza del usuario y causar grandes daños a la economía de la Unión. (3) Las redes y sistemas de información, principalmente Internet, contribuyen de forma decisiva a facilitar la circulación transfronteriza de bienes, servicios y personas. Debido a ese carácter transnacional, una perturbación grave de esas redes y sistemas, ya sea o no deliberada, y con independencia del lugar en que se produzca, puede afectar a diferentes Estados miembros y a la Unión en su conjunto. Por consiguiente, la seguridad de las redes y sistemas de información es fundamental para el correcto funcionamiento del mercado interior. 5581/1/16 REV 1 2 (4) Partiendo de los significativos avances logrados en el marco del Foro Europeo de Estados miembros, que ha permitido promover discusiones e intercambios de información sobre buenas prácticas políticas, incluida la elaboración de principios de cooperación europea ante crisis cibernéticas, procede establecer un Grupo de cooperación compuesto por representantes de los Estados miembros, la Comisión y la Agencia de Seguridad de las Redes y de la Información de la Unión Europea (ENISA) a fin de respaldar y facilitar la cooperación estratégica entre los Estados miembros en lo relativo a la seguridad de las redes y sistemas de información. Para que dicho grupo sea eficaz e integrador, es esencial que todos los Estados miembros posean unas capacidades mínimas y una estrategia que garanticen un elevado nivel de seguridad de las redes y sistemas de información en su territorio. Por otra parte, los operadores de servicios esenciales y los proveedores de servicios digitales deben estar sujetos a requisitos en materia de seguridad y notificación de incidentes, con el fin de fomentar una cultura de gestión de riesgos y garantizar que se informe de los incidentes más graves. (5) Las capacidades existentes no bastan para garantizar un elevado nivel de seguridad de las redes y sistemas de información en la Unión. Los niveles de preparación de los Estados miembros son muy distintos, lo que ha dado lugar a planteamientos fragmentados en la Unión. Esta situación genera niveles desiguales de protección de los consumidores y las empresas, comprometiendo el nivel general de seguridad de las redes y sistemas de información de la Unión. A su vez, la inexistencia de requisitos comunes aplicables a los operadores de servicios esenciales y los proveedores de servicios digitales imposibilita la creación de un mecanismo global y eficaz de cooperación en la Unión. Las universidades y los centros de investigación tienen un papel determinante que desempeñar a la hora de impulsar la investigación, el desarrollo y la innovación en esos ámbitos. 5581/1/16 REV 1 3 (6) Para dar una respuesta efectiva a los problemas de seguridad de las redes y sistemas de información es necesario un planteamiento global en la Unión que integre requisitos mínimos comunes en materia de desarrollo de capacidades y planificación, intercambio de información, cooperación y requisitos comunes de seguridad para los operadores de servicios esenciales y los proveedores de servicios digitales. No obstante, no está excluido que los operadores de servicios esenciales y los proveedores de servicios digitales apliquen medidas de seguridad más estrictas que las previstas en la presente Directiva. (7) Para cubrir todos los incidentes y riesgos pertinentes, la presente Directiva debe aplicarse tanto a los operadores de servicios esenciales como a los proveedores de servicios digitales. Sin embargo, las obligaciones impuestas a los operadores de servicios esenciales y a los proveedores de servicios digitales no deben aplicarse a empresas que suministren redes públicas de comunicaciones o presten servicios de comunicaciones electrónicas disponibles para el público en el sentido de la Directiva 2002/21/CE del Parlamento Europeo y del Consejo 1, que están sujetas a los requisitos específicos de seguridad e integridad establecidos en dicha Directiva, como tampoco a los prestadores de servicios de confianza definidos en el Reglamento (UE) n.º 910/2014 del Parlamento Europeo y del Consejo 2, que están sujetos a los requisitos de seguridad establecidos en dicho Reglamento. 1 2 Directiva 2002/21/CE del Parlamento Europeo y del Consejo, de 7 de marzo de 2002, relativa a un marco regulador común de las redes y los servicios de comunicaciones electrónicas (Directiva marco) (DO L 108 de , p. 33). Reglamento (UE) n.º 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE (DO L 257 de , p. 73). 5581/1/16 REV 1 4 (8) La presente Directiva debe entenderse sin perjuicio de que los Estados miembros puedan adoptar las medidas necesarias para garantizar la protección de los intereses esenciales de su seguridad, preservar el orden público y la seguridad pública, y permitir la investigación, detección y enjuiciamiento de infracciones penales. De conformidad con el artículo 346 del Tratado de Funcionamiento de la Unión Europea (TFUE), ningún Estado miembro está obligado a facilitar información cuya divulgación considere contraria a los intereses esenciales de su seguridad. En este contexto, son relevantes la Decisión del Consejo 2013/488/UE 1 y los acuerdos sobre confidencialidad o los acuerdos informales sobre confidencialidad como el Protocolo para el intercambio de información. (9) Determinados sectores de la economía ya están ya regulados o pueden regularse en el futuro mediante actos jurídicos sectoriales de la Unión que incluyan normas relacionadas con la seguridad de las redes y sistemas de información. Siempre que esos actos jurídicos de la Unión contengan disposiciones por las que se impongan requisitos en materia de seguridad de las redes y sistemas de información o en materia de notificación de incidentes, dichas disposiciones deben aplicarse en lugar de las disposiciones correspondientes de la presente Directiva si contienen requisitos cuyos efectos sean, como mínimo, equivalentes a los de las obligaciones que establece la presente Directiva. En tales casos, los Estados miembros deben aplicar lo dispuesto en los mencionados actos jurídicos sectoriales de la Unión, incluidos los relativos a cuestiones de competencia judicial, y no deben llevar a cabo el proceso de identificación de los operadores de servicios esenciales, tal como se definen en la presente Directiva. En este contexto, los Estados miembros deben facilitar a la Comisión información sobre la aplicación de dichas disposiciones con carácter de lex specialis. A la hora de determinar si los requisitos en materia de seguridad de las redes y sistemas de información o en materia de notificación de incidentes establecidos en los actos jurídicos sectoriales de la Unión son o no equivalentes a los que se establecen en la presente Directiva, debe tenerse únicamente en cuenta lo dispuesto en los actos jurídicos de la Unión aplicables y su aplicación en los Estados miembros. 1 Decisión 2013/488/UE del Consejo, de 23 de septiembre de 2013, sobre las normas de seguridad para la protección de la información clasificada de la UE (DO L 274 de , p. 1). 5581/1/16 REV 1 5 (10) En el sector del transporte marítimo y fluvial, los requisitos de seguridad que imponen los actos jurídicos de la Unión a las compañías, buques, instalaciones portuarias, puertos y servicios de gestión del tráfico de buques se aplican a la totalidad de las operaciones, incluidas las de los sistemas de radio y telecomunicaciones, los sistemas informáticos y las redes. Una parte de los procedimientos obligatorios que han de seguirse se refiere a la notificación de todos los incidentes de seguridad, y debe, por tanto, considerarse lex specialis en la medida en que dichos requisitos sean al menos equivalentes a las disposiciones correspondientes de la presente Directiva. (11) Al identificar a los operadores del sector del transporte marítimo y fluvial, los Estados miembros deben tener en cuenta los códigos y directrices internacionales existentes o que se puedan elaborar en el futuro, en particular, por parte de la Organización Marítima Internacional, con el fin de proporcionar a los diferentes operadores marítimos un planteamiento coherente. (12) La regulación y la supervisión del sector bancario y de las infraestructuras de los mercados financieros han sido objeto de una elevada armonización en la Unión mediante el recurso al Derecho primario y al Derecho derivado de la Unión y a normas elaboradas junto con las Autoridades Europeas de Supervisión. Dentro de la Unión Bancaria, el Mecanismo Único de Supervisión garantiza la aplicación y supervisión de dichos requisitos. En los Estados miembros que no forman parte de la Unión Bancaria, son los reguladores bancarios competentes de cada Estado miembro los que garantizan dicha función. En otros ámbitos de regulación del sector financiero, el Sistema Europeo de Supervisión Financiera también garantiza un alto grado de uniformidad y convergencia de las prácticas de supervisión. La Autoridad Europea de Valores y Mercados también desempeña una función directa de supervisión para determinadas entidades, concretamente las agencias de calificación crediticia y los registros de operaciones. 5581/1/16 REV 1 6 (13) El riesgo operativo es un componente fundamental de la regulación y la supervisión prudenciales en los sectores de la banca y las infraestructuras del mercado financiero. Dicho riesgo se extiende a todas las operaciones, incluidas la seguridad, la integridad y la resistencia de las redes y sistemas de información. Los requisitos relativos a estos sistemas, que a menudo son más estrictos que los establecidos en la presente Directiva, se recogen en una serie de actos jurídicos de la Unión que incluyen normas sobre el acceso a la actividad de las entidades de crédito y a la supervisión prudencial de las entidades de crédito y las empresas de inversión, y normas sobre los requisitos prudenciales aplicables a las entidades de crédito y las empresas de inversión, que incluyen requisitos sobre el riesgo operativo; normas sobre los mercados de instrumentos financieros, que incluyen requisitos sobre evaluación de riesgos para las empresas de inversión y los mercados regulados; normas sobre los derivados extrabursátiles, las entidades de contrapartida central y los registros de operaciones, que incluyen requisitos sobre el riesgo operativo para dichas entidades y registros; y normas sobre la mejora de la liquidación de valores en la Unión y sobre los depositarios centrales de valores, que incluyen requisitos sobre el riesgo operativo. Por otra parte, los requisitos de notificación de incidentes forman parte de la práctica normal en materia de supervisión en el sector financiero y están incluidos a menudo en los manuales de supervisión. Los Estados miembros deben tener en cuenta dichas normas y requisitos a la hora de aplicar la lex specialis. (14) Como ya observó el Banco Central Europeo en su dictamen de 25 de julio de , la presente Directiva no afecta al régimen de supervisión de los sistemas de pago y liquidación del Eurosistema en virtud del Derecho de la Unión. Conviene que las autoridades responsables de esa supervisión intercambien experiencias sobre cuestiones relacionadas con la seguridad de las redes y sistemas de información con las autoridades competentes en virtud de la presente Directiva. Esta consideración se aplica asimismo a los miembros del Sistema Europeo de Bancos Centrales que no sean miembros de la zona Euro y que ejerzan esa supervisión de los sistemas de pago y liquidación sobre la base de disposiciones legales y reglamentarias nacionales. 1 DO C 352 de , p /1/16 REV 1 7 (15) Los mercados en línea permiten a consumidores y comerciantes celebrar contratos de compraventa o de prestación de servicios en línea con comerciantes, y son el destino final de celebración de tales contratos. Esos mercados no deben tener por objeto servicios en línea que constituyan únicamente un paso intermedio para acceder a servicios prestados por terceros a través de los que finalmente se pueda celebrar un contrato. Por consiguiente, no deben tener por objeto servicios en línea que comparen el precio de los productos o servicios de diferentes comerciantes para luego dirigir al usuario hacia el comerciante al que este prefiera comprar el producto. Los servicios informáticos prestados por el mercado en línea pueden incluir servicios de tramitación de transacciones, agregación de datos o elaboración de perfiles de los usuarios. Las tiendas de aplicaciones, que funcionan como tiendas en línea que posibilitan la distribución digital de aplicaciones o programas informáticos de terceros, deben ser consideradas un tipo de mercado en línea. (16) Los motores de búsqueda en línea permiten al usuario realizar búsquedas, en principio, en todos los sitios web, a partir de una consulta sobre cualquier tema. También pueden restringirse a sitios web en una lengua determinada. La definición de «motor de búsqueda en línea» de la presente Directiva no debe incluir las funciones de búsqueda que se limiten al contenido de un sitio web en concreto, con independencia de que la función de búsqueda la proporcione un motor de búsqueda externo. Tampoco debe incluir, por consiguiente, servicios en línea que comparen el precio de los distintos productos o servicios de diferentes comerciantes para luego dirigir al usuario hacia el comerciante al que se prefiera comprar el producto. 5581/1/16 REV 1 8 (17) Los servicios de computación en nube abarcan toda una serie de actividades que pueden realizarse según diferentes modelos. A efectos de la presente Directiva, se entiende por «servicios de computación en nube» aquellos servicios que permiten acceder a un conjunto modulable y elástico de recursos informáticos que se pueden compartir. Esos «servicios de computación» incluyen recursos tales como las redes, servidores u otras infraestructuras, sistemas de almacenamiento, aplicaciones y servicios. El término «modulable» se refiere a los recursos de computación que el proveedor de servicios en nube puede asignar de manera flexible con independencia de la localización geográfica de los recursos para hacer frente a fluctuaciones de la demanda. El término «elástico» se usa para describir los recursos de los que se abastece y que se ponen a la venta según la demanda, de modo que se puedan aumentar o reducir con rapidez los recursos disponibles en función de la carga de trabajo. La expresión «que se pueden compartir» se usa para describir recursos informáticos que se proporcionan a múltiples usuarios que comparten un acceso común al servicio pero la tramitación se lleva a cabo por separado para cada usuario, aunque el servicio se preste desde el mismo equipo electrónico. (18) La función de un punto de intercambio de Internet (en lo sucesivo, «IXP», por sus siglas en inglés de «Internet Exchange Point») es conectar redes entre sí. Un IXP no proporciona acceso a la red ni actúa como proveedor o transportista de servicios de tránsito. Tampoco presta otros servicios ajenos a la interconexión, aunque ello no impide que un IXP preste tales servicios. El IXP existe para conectar entre sí redes que están técnica y organizativamente diferenciadas. El término «sistema autónomo» se emplea para describir una red que es técnicamente independiente. 5581/1/16 REV 1 9 (19) Los Estados miembros deben ser responsables de determinar qué entidades cumplen los criterios de la definición de «operador de servicios esenciales». A efectos de garantizar un planteamiento coherente, la definición de operador de servicios esenciales debe ser aplicada de manera coherente por todos los Estados miembros. A tal fin, la presente Directiva prevé un examen de las entidades que desarrollan su actividad en sectores y subsectores específicos, el establecimiento de una lista de servicios esenciales, la consideración de una lista común de factores intersectoriales que permitan determinar si un incidente potencial tendría un efecto perturbador significativo, un proceso de consulta en el que participen los Estados miembros pertinentes en el caso de las entidades que prestan servicios en varios Estados miembros, y el apoyo del Grupo de cooperación en el proceso de identificación. Con el fin de garantizar que los cambios que puedan producirse en el mercado se tengan debidamente en cuenta, los Estados miembros deben revisar periódicamente la lista de operadores identificados y actualizarla cuando sea necesario. Por último, los Estados miembros deben presentar a la Comisión la información necesaria para valorar en qué medida este método común ha permitido que los Estados miembros apliquen la definición de modo coherente. 5581/1/16 REV 1 10 (20) En el proceso de identificación de los operadores de servicios esenciales, los Estados miembros deben valorar, como mínimo para cada uno de los subsectores que se indican en la presente Directiva, qué servicios han de considerarse esenciales para el mantenimiento de actividades sociales y económicas vitales y determinar si las entidades enumeradas en los sectores y subsectores que se indican en la presente Directiva y que prestan esos servicios cumplen los criterios de identificación de los operadores. Al valorar si una entidad presta un servicio que es esencial para el mantenimiento de actividades sociales o económicas cruciales, basta con examinar si la entidad presta un servicio que esté incluido en la lista de servicios esenciales. Por otra parte, debe demostrarse que la prestación del servicio esencial depende de redes y sistemas de información. Por último, al valorar si un incidente en las redes y sistemas de información relati
We Need Your Support
Thank you for visiting our website and your interest in our free products and services. We are nonprofit website to share and download documents. To the running of this website, we need your help to support us.

Thanks to everyone for your continued support.

No, Thanks
SAVE OUR EARTH

We need your sign to support Project to invent "SMART AND CONTROLLABLE REFLECTIVE BALLOONS" to cover the Sun and Save Our Earth.

More details...

Sign Now!

We are very appreciated for your Prompt Action!

x