Directrices de la Comisión sobre la aplicación del artículo 3, apartado 4, de la Directiva (UE) 2022/2555 (Directiva SRI 2).

Vigente Otros Unión Europea
BOE:
DOUE-Z-2023-70037
Número oficial:
DOUE-Z-2023-70037
Publicación:
14/09/2023
Departamento:
Unión Europea

 

Directrices de la Comisión sobre la aplicación del artículo 3, apartado 4, de la Directiva (UE) 2022/2555 (Directiva SRI 2)

 

1.    De conformidad con el artículo 3, apartado 4, de la Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión (Directiva SRI 2) (1), la Comisión, con la asistencia de la Agencia de la Unión Europea para la Ciberseguridad (ENISA), proporcionará sin demora indebida directrices y plantillas relativas a las obligaciones establecidas en dicha disposición. El artículo 3, apartado 4, de la Directiva (UE) 2022/2555 hace referencia al artículo 3, apartado 3, de dicha Directiva, que obliga a los Estados miembros a establecer una lista de entidades esenciales e importantes, así como de las entidades que prestan servicios de registro de nombres de dominio, a más tardar el 17 de abril de 2025. Los Estados miembros deben revisar y, en su caso, actualizar dicha lista periódicamente y al menos cada dos años a partir de entonces.

2.   A efectos de establecer la lista de entidades esenciales e importantes, los Estados miembros deben exigir a las entidades que presenten al menos la siguiente información a las autoridades competentes: el nombre, la dirección y los datos de contacto actualizados, incluidas las direcciones de correo electrónico, los rangos de IP y los números de teléfono de la entidad y, si procede, el sector y el subsector pertinentes contemplados en los anexos, así como, si procede, una lista de los Estados miembros en los que prestan servicios comprendidos en el ámbito de aplicación de la presente Directiva. El anexo I de las presentes Directrices establece un modelo para la recogida de dicha información a efectos de la elaboración de la lista.

3.   Para facilitar la elaboración y la actualización de la lista de entidades esenciales e importantes, así como de las entidades que prestan servicios de registro de nombres de dominio, el artículo 3, apartado 4, de la Directiva (UE) 2022/2555 establece que los Estados miembros deben poder establecer mecanismos nacionales para que las entidades se inscriban ellas mismas (2).

4.   De conformidad con el artículo 3, apartado 5, de la Directiva (UE) 2022/2555, a más tardar el 17 de abril de 2025, y posteriormente cada dos años, los Estados miembros deben notificar a la Comisión y al Grupo de cooperación, al menos el número de entidades esenciales e importantes enumeradas de conformidad con el artículo 3, apartado 3, de dicha Directiva para cada sector y subsector mencionado en los anexos I y II de la Directiva. Los Estados miembros también deben notificar a la Comisión la información pertinente sobre el número de entidades esenciales e importantes identificadas con arreglo al artículo 2, apartado 2, letra b) a letra e), de la Directiva (UE) 2022/2555, el sector y subsector al que pertenecen, el tipo de servicio que prestan y la prestación en virtud de la cual fueron identificadas. El considerando 19 de la Directiva (UE) 2022/2555 explica que se alienta a los Estados miembros a intercambiar con la Comisión información sobre las entidades esenciales e importantes y, en caso de incidente de ciberseguridad a gran escala, información pertinente, como el nombre de la entidad afectada.

5.   Además de la lista establecida por los Estados miembros de conformidad con el artículo 3, apartado 3, de la Directiva (UE) 2022/2555, los Estados miembros, de conformidad con el artículo 27, apartado 2, de dicha Directiva, también deben exigir a determinados tipos de entidades a que se refiere el artículo 27, apartado 1, de la Directiva que presenten la siguiente información a las autoridades competentes a más tardar el 17 de enero de 2025: el nombre de la entidad; el sector, subsector y tipo de entidad pertinentes a que se refieren los anexos I o II de la Directiva, en su caso; la dirección del establecimiento principal de la entidad y del resto de sus establecimientos legales en la Unión o, de no estar establecida en la Unión, de su representante designado en virtud del artículo 26, apartado 3, de la Directiva; los datos de contacto actualizados, en particular las direcciones de correo electrónico y los números de teléfono de la entidad y, en su caso, de su representante designado en virtud del artículo 26, apartado 3; los Estados miembros en los que la entidad presta servicios, y los rangos de IP de la entidad. De conformidad con el artículo 27, apartado 3, de la Directiva (UE) 2022/2555, los Estados miembros exigirán a las entidades a que se refiere el artículo 27, apartado 1, de la Directiva que notifiquen a la autoridad competente cualquier cambio en la información remitida con arreglo al artículo 27, apartado 2, de la Directiva, sin demora y, en cualquier caso, en el plazo de tres meses desde la fecha en que se produjo el cambio.

6.   De conformidad con el artículo 27, apartado 5, de la Directiva (UE) 2022/2555, la información a que se refiere el artículo 27, apartados 2 y 3 de dicha Directiva se presentará a través del mecanismo nacional a que se refiere el artículo 3, apartado 4, de la Directiva, cuando proceda. Por lo tanto, para lograr una mayor eficiencia administrativa, la plantilla adjunta como anexo a las presentes Directrices también incluye las solicitudes de información necesarias a efectos tanto del artículo 3, apartado 3, como del artículo 27, apartado 2, de la Directiva (UE) 2022/2555. Este modelo se creó con la ayuda de la ENISA.

(1)   DO L 333 de 27.12.2022, p. 80.

(2)  Véase también el considerando 18 de la Directiva (UE) 2022/2555.

APÉNDICE:

Plantilla para la información requerida para la lista a que se refiere el artículo 3, apartado 3, y el artículo 27, apartado 2, de la Directiva (UE) 2022/2555

1.    Sector de actividad con arreglo a la Directiva (UE) 2022/2555

 Anexo I

  — sectores de alta criticidad

— Energía

— Electricidad

— Empresas eléctricas

— Gestor de la red de distribución

— Gestor de la red de transporte

— Productores

— Gestores designados para el mercado de la electricidad

— Participantes en el mercado que prestan servicios de agregación, respuesta de demanda o almacenamiento de energía

— Operadores de un punto de recarga que sean responsable de la gestión y explotación de un punto de recarga, que presta un servicio de recarga al usuario final también en nombre y por cuenta de un proveedor de servicios de movilidad

— Operadores de sistemas urbanos de calefacción y refrigeración

— Crudo

— Operadores de oleoductos de transporte de crudo

— Operadores de producción de crudo, instalaciones de refinado y tratamiento, almacenamiento y transporte

— Entidades centrales de almacenamiento

— Gas

— Empresas suministradoras

— Gestores de la red de distribución

— Gestores de la red de transporte

— Gestores de sistemas de almacenamiento

— Gestores de redes de GNL

— Compañías de gas natural

— Operadores de instalaciones de refinado y tratamiento de gas natural

— Operadores de producción, almacenamiento y transporte de hidrógeno

 

 

— Transporte

 — Aéreo

  — Compañías aéreas

  — Entidades gestoras de aeropuertos

  — Operadores de control de la gestión del tráfico que prestan servicios de control del tránsito aéreo

 — Ferrocarril

  — Administradores de infraestructuras

  — Empresas ferroviarias, incluidos los explotadores de instalaciones de servicio

 — Marítimo

  — Empresas de transporte marítimo, fluvial y de cabotaje, tanto de pasajeros como de mercancías, sin incluir los buques particulares explotados por esas empresas

  — Organismos gestores de los puertos, incluidas sus instalaciones portuarias y entidades que operan obras y equipos que se encuentran en los puertos

  — Operadores de servicios de tráfico de buques (STB)

— Por carretera

 — Autoridades viarias responsables del control de la gestión del tráfico, excluidas las entidades públicas para las cuales la gestión del tráfico o la explotación de sistemas de transporte inteligentes sea una parte no esencial de su actividad general

 — Operadores de sistemas de transporte inteligentes

 

— Sector sanitario

 — Prestadores de asistencia sanitaria

 — Laboratorios de referencia de la UE

 — Entidades que realizan actividades de investigación y desarrollo de medicamentos

 — Entidades que fabrican productos farmacéuticos de base y especialidades farmacéuticas a que se refiere la sección C, división 21, de la NACE Rev. 2

 — Entidades que fabrican productos sanitarios que se consideran esenciales en situaciones de emergencia de salud pública («lista de productos sanitarios esenciales durante la emergencia de salud pública»)

 

— Agua potable: suministradores y distribuidores de aguas destinadas al consumo humano, excluidos los distribuidores para los que la distribución de aguas destinadas al consumo humano sea una parte no esencial de su actividad general de distribución de otros bienes y productos básicos

— Aguas residuales: empresas dedicadas a la recogida, la eliminación o el tratamiento de aguas residuales urbanas, domésticas o industriales, excluidas las empresas para las que la recogida, la eliminación o el tratamiento de aguas residuales urbanas, domésticas o industriales sea una parte no esencial de su actividad general

 

— Infraestructura digital

 — Proveedores de puntos de intercambio de internet

 — Proveedores de servicios de DNS

 — Registros de nombres de dominio de primer nivel

 — Proveedores de servicios de computación en nube

 — Proveedores de servicios de centro de datos

 — Proveedores de redes de distribución de contenidos

 — Prestadores de servicios de confianza

 — Proveedores de redes públicas de comunicaciones electrónicas

 — Proveedores de servicios de comunicaciones electrónicas disponibles para el público

 — Gestión de servicios de TIC (de empresa a empresa)

 — Proveedores de servicios gestionados

 — Proveedores de servicios de seguridad gestionados

 

— Entidades de la Administración pública

 — Entidades de la Administración pública central

 — Entidades de la Administración pública a escala regional

 

 

 — Espacio: operadores de infraestructuras terrestres, cuya propiedad, gestión y explotación descansa en los Estados miembros o en entidades privadas, que apoyan la prestación de servicios espaciales, excepto los proveedores de redes públicas de comunicaciones electrónicas

Anexo II

 — otros sectores críticos

— Servicios postales y de mensajería

— Gestión de residuos: empresas que realizan la gestión de residuos, excepto aquellas para las que la gestión de residuos no es su principal actividad económica

— Fabricación, producción y distribución de sustancias y mezclas químicas: empresas que realizan la fabricación de sustancias y empresas que realizan la producción de artículos a partir de sustancias o mezclas

— Producción, transformación y distribución de alimentos: empresas alimentarias que se dedican a la distribución al por mayor y a la producción y transformación industriales

— Fabricación

 — Fabricación de productos sanitarios y productos sanitarios para diagnóstico in vitro

 — Fabricación de productos informáticos, electrónicos y ópticos

 — Fabricación de material eléctrico

 — Fabricación de maquinaria y equipo n.c.o.p.

 — Fabricación de vehículos de motor, remolques y semirremolques

 — Fabricación de otro material de transporte

— Proveedores de servicios digitales

 — Proveedores de mercados en línea

 — Proveedores de motores de búsqueda en línea

 — Proveedores de plataformas de servicios de redes sociales

 — Organizaciones de investigación

Entidades que no figuran en los anexos

— Entidades que prestan servicios de registro de nombres de dominio

— Otras entidades críticas conforme a lo dispuesto en la Directiva (UE) 2022/2557

— Entidades identificadas como operadores de servicios esenciales de conformidad con la legislación nacional

2.   Nombre de la entidad

3.   En caso de que la entidad esté contemplada en el artículo 27, apartado 1, de la Directiva (UE) 2022/2555 (proveedor de servicios de DNS, registro de nombres de dominio de primer nivel, entidad que presta servicios de registro de nombres de dominio, proveedor de servicios de computación en nube, proveedor de servicios de centro de datos, proveedor de redes de distribución de contenidos, proveedor de servicios gestionados, proveedor de servicios de seguridad gestionados, así como proveedor de mercados en línea, de motores de búsqueda en línea y de plataformas de servicios de redes sociales), ¿tiene la entidad su establecimiento principal en la UE en este Estado miembro o, en caso de no tener establecimiento legal en la UE, tiene su representante en este Estado miembro?

4.   Dirección del establecimiento de la entidad en este Estado miembro. Si la entidad está contemplada en el artículo 27, apartado 1, de la Directiva (UE) 2022/2555, la dirección del establecimiento principal de la entidad, si está situado en este Estado miembro, así como el resto de sus establecimientos legales en la UE. En caso de que no haya establecimiento, la dirección del representante en la UE, designado de conformidad con el artículo 26, apartado 3, de la Directiva (UE) 2022/2555, si el representante está situado en este Estado miembro.

5.   Datos de contacto actualizados, incluidas las direcciones de correo electrónico y los números de teléfono en ese Estado miembro.

6.   Rangos de IP de la entidad para este Estado miembro

7.   Si la entidad está contemplada en el artículo 27, apartado 1, de la Directiva (UE) 2022/2555, una lista de los Estados miembros en los que la entidad presta servicios comprendidos en el ámbito de aplicación de dicha Directiva.

Texto consolidado oficial

Leyes relacionadas

Reglamento de Ejecución (UE) 2026/913 de la Comisión, de 4 de mayo de 2026, por el que se establece un derecho antidumping definitivo y se percibe definitivamente el derecho provisional establecido sobre las importaciones de ácido adípico originario de la República Popular China.

Reglamento 05/05/2026

Actualización de los importes de referencia para el cruce de las fronteras exteriores, de conformidad con lo establecido en el artículo 6, apartado 4, del Reglamento (UE) 2016/399 del Parlamento Europeo y del Consejo, por el que se establece un Código de normas de la Unión para el cruce de personas por las fronteras (Código de fronteras Schengen).

Otros 27/04/2026

Reglamento (UE) 2026/1046 del Parlamento Europeo y del Consejo, de 29 de abril de 2026, por el que se modifica el Reglamento (UE) 2019/1242 en lo que respecta al cálculo de los créditos de emisiones de los vehículos pesados para los períodos de comunicación de los años 2025 a 2029.

Reglamento 07/05/2026

Recomendación (UE) 2026/1035 de la Comisión, de 29 de abril de 2026, sobre el establecimiento de un marco común para las tecnologías de verificación de la edad a escala de la UE.

Recomendación 08/05/2026

Reglamento de Ejecución (UE) 2026/1002 de la Comisión, de 5 de mayo de 2026, por el que se prorroga la excepción a lo dispuesto en el Reglamento (CE) nº 1967/2006 del Consejo en lo concerniente a la distancia mínima de la costa y la profundidad mínima permitidas en el caso de las redes de tiro desde embarcación para la pesca de chanquete (Aphia minuta) en las aguas territoriales españolas de la Comunidad Autónoma de la Región de Murcia.

Reglamento 06/05/2026

¿Necesitas analizar documentos jurídicos?

Lawly analiza sentencias, contratos y documentos legales con inteligencia artificial en segundos.

Prueba gratis — 3.000 créditos de bienvenida