Acuerdo entre el Parlamento Europeo, el Consejo Europeo, el Consejo de la Unión Europea, la Comisión Europea, el Tribunal de Justicia de la Unión Europea, el Banco Central Europeo, el Tribunal de Cuentas Europeo, el Servicio Europeo de Acción Exterior, el Comité Económico y Social Europeo, el Comité Europeo de las Regiones y el Banco Europeo de Inversiones sobre la organización y el funcionamiento del Equipo de Respuesta a Emergencias Informáticas de las instituciones, órganos y organismos de la UE (CERT-UE)

• Section: Acuerdo interinstitucional
• Issuing Organization: Parlamento Europeo

13.1.2018 ES Diario Oficial de la Unión Europea C 12/1

EL PARLAMENTO EUROPEO,

EL CONSEJO EUROPEO, EL CONSEJO DE LA UNIÓN EUROPEA,

LA COMISIÓN EUROPEA,

EL TRIBUNAL DE JUSTICIA DE LA UNIÓN EUROPEA,

EL BANCO CENTRAL EUROPEO,

EL TRIBUNAL DE CUENTAS EUROPEO,

EL SERVICIO EUROPEO DE ACCIÓN EXTERIOR,

EL COMITÉ ECONÓMICO Y SOCIAL EUROPEO,

EL COMITÉ EUROPEO DE LAS REGIONES

Y EL BANCO EUROPEO DE INVERSIONES

Considerando lo siguiente:

(1) Reforzar la capacidad de todas las instituciones, órganos y organismos de la Unión Europea para hacer frente a las amenazas y deficiencias informáticas y para prevenir, detectar y dar respuesta a los ataques cibernéticos contra las infraestructuras de sus tecnologías de la información y la comunicación (TIC) sigue siendo una de las principales prioridades, pues el funcionamiento de las redes y sistemas de TIC es fundamental para que puedan desempeñar su cometido.

(2) A raíz de una iniciativa de los vicepresidentes de la Comisión Neelie Kroes y Maroš Ševčovič, en mayo de 2011 los secretarios generales de las instituciones y organismos de la Unión decidieron crear un grupo para la preconfiguración de un equipo de respuesta a emergencias informáticas de las instituciones, órganos y organismos de la Unión (CERT-UE) bajo la supervisión de un Comité de Dirección interinstitucional.

(3) En julio de 2012, los secretarios generales confirmaron las modalidades prácticas, y convinieron en mantener el CERT-UE como una entidad permanente que siguiera contribuyendo a mejorar el nivel general de seguridad informática de las instituciones, órganos y organismos de la Unión, como un ejemplo de cooperación interinstitucional en el ámbito de la ciberseguridad.

(4) Las revisiones realizadas en 2014 y 2016 han demostrado que el CERT-UE ha seguido desarrollándose y madurando, y que ha alcanzado ya la fase en la que debe asentarse en una base formal, con una gobernanza y una estructura financiera más sostenibles y transparentes.

(5) La Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo (1) («Directiva SRI») establece una red de equipos de respuesta a incidentes de seguridad informática (CSIRT), compuesta por representantes de los CSIRT de los Estados miembros y del CERT-UE, para contribuir a desarrollar la confianza mutua entre los Estados miembros y promover una cooperación operativa rápida y eficaz.

(6) La estructura de gobernanza del CERT-UE debe establecer las funciones y tareas del CERT-UE, las responsabilidades de su director, el papel y las funciones de su Comité de Dirección y las responsabilidades de las instituciones, órganos y organismos de la Unión en apoyo del CERT-UE.

(7) El CERT-UE debe contar con una financiación y una dotación de personal sostenibles, pero garantizando el buen empleo de los fondos y la existencia de un núcleo adecuado de personal fijo, y manteniendo al mismo tiempo sus gastos generales de administración en el nivel más bajo posible.

(8) Firman el presente Acuerdo las instituciones y órganos de la Unión participantes, una vez finalizados sus respectivos procedimientos internos; los organismos de la Unión enumerados en el anexo I que son responsables de su propia infraestructura de TIC han confirmado oficialmente por escrito al presidente del Comité de Dirección del CERT-UE su intención de aplicarlo.

HAN CELEBRADO EL PRESENTE ACUERDO:

1. El objeto del presente acuerdo es establecer las normas para la organización y el funcionamiento del Equipo interinstitucional de Respuesta a Emergencias Informáticas de las instituciones, órganos y organismos de la Unión («CERT-UE»).

2. La función del CERT-UE consistirá en contribuir a la seguridad de las infraestructuras de las TIC de todas las instituciones, órganos y organismos de la Unión («las Partes»), ayudando a prevenir, detectar, mitigar y dar respuesta a los ataques cibernéticos, actuando como una plataforma de coordinación de la respuesta a incidentes de ciberseguridad y del intercambio de información entre las Partes.

1. El CERT-UE recopilará, gestionará, analizará y compartirá información con las Partes sobre las amenazas, las deficiencias y los incidentes relacionados con las infraestructuras de las TIC no clasificadas. Coordinará las respuestas a los incidentes a escala interinstitucional y de las Partes, entre otros medios prestando o coordinando la prestación de asistencia operativa especializada.

2. El CERT-UE ofrecerá servicios estándar de CERT a todas las Partes. El catálogo donde se establezca la oferta detallada de los servicios prestados por el CERT-UE, así como sus eventuales actualizaciones, serán aprobados por el Comité de Dirección. Durante la revisión de la lista de servicios, el director del CERT-UE tendrá en cuenta los recursos que se le hayan asignado.

3. El CERT-UE podrá supervisar el tráfico de las redes de las Partes previo consentimiento de las Partes pertinentes.

4. El CERT-UE podrá prestar asistencia a las Partes en relación con incidentes en las redes o sistemas informáticos clasificados si así lo solicita la Parte afectada.

5. El CERT-UE no emprenderá actividades ni intervendrá en ningún asunto que sean competencia de los servicios de seguridad o inteligencia nacionales o de los departamentos especializados de las Partes. Cualquier contacto con el CERT-UE establecido o solicitado por los servicios de seguridad o inteligencia nacionales se comunicará sin demora a la Dirección de Seguridad de la Comisión y al presidente del Comité de Dirección del CERT-UE.

6. El CERT-UE informará a las Partes sobre sus procedimientos y procesos de gestión de incidentes.

7. El CERT-UE, a petición expresa de los departamentos temáticos de las Partes, podrá aportar asesoramiento o información técnicos sobre cuestiones políticas relevantes.

1. El CERT-UE y las Partes trabajarán de conformidad con el principio de «necesidad de compartir», sin perjuicio del apartado 3. El CERT-UE velará por disponer de medios eficaces de comunicación al objeto de facilitar el intercambio de información con las Partes.

2. Las Partes proporcionarán al CERT-UE información sobre las amenazas y deficiencias informáticas que les afecten. Cuando el CERT-UE tenga conocimiento de una amenaza o deficiencia que afecte o pueda afectar a una Parte, alertará a la Parte de que se trate tan pronto como sea posible, proporcionándole toda la información pertinente, incluyendo el nivel de gravedad, de modo que puedan aplicarse medidas de protección o correctoras. El CERT-UE podrá ayudar a procurar dichas medidas de protección o correctoras. Se informará a las demás Partes cuando la amenaza o deficiencia pueda afectarles.

3. Las Partes informarán al CERT-UE sin demora injustificada en caso de incidente cibernético importante, y le proporcionarán todos los detalles técnicos pertinentes, a menos que ello pueda perjudicar los intereses de seguridad de una Parte o de un tercero. Todo incidente se considerará importante si no es repetitivo o básico y fácilmente inteligible en términos de método y tecnologías. La Parte afectada podrá compartir, a su discreción, información no técnica con el CERT-UE. La información sobre un incidente comunicada al CERT-UE no se compartirá fuera del CERT-UE, ni siquiera de forma anónima, a menos que la Parte afectada haya dado su consentimiento. El CERT-UE trabajará con antelación con las Partes sobre la forma de prepararse ante situaciones en las que, para proteger sus redes y sistemas, la información deba compartirse rápidamente.

4. El CERT-UE, en diálogo con las Partes, mantendrá un catálogo de los conocimientos técnicos de...