- En termes de gestió d’incidents de seguretat, detecció de vulnerabilitats o ciberamenaces, les entitats essencials i importants han de: a) Gestionar i resoldre els incidents de seguretat que afectin les infraestructures crítiques, les xarxes o els sistemes d’informació utilitzats per prestar els seus serveis essencials o importants. Si es tracta d’infraestructures, xarxes o sistemes externs s’ha de garantir que els proveïdors externs compleixen amb l’aplicació de les mesures necessàries per garantir la seguretat. b) Sol·licitar opinió o suport especialitzat al CSIRT-AD per fer front als incidents, vulnerabilitats o ciberamenaces sorgides i, en tot cas, atendre a les indicacions rebudes per part del CSIRT-AD per resoldre els riscos, mitigar-ne els efectes i reposar els sistemes afectats. En aquest supòsit, les indicacions emeses pel CSIRT-AD per mitigar els efectes i reposar els sistemes afectats són d’aplicació vinculant. c) Aplicar la seva política de gestió de la seguretat de les infraestructures crítiques, les xarxes i els sistemes d’informació davant del sorgiment de qualsevol incident que afecti la prestació dels seus serveis essencials i importants, així com el conjunt d’obligacions i recomanacions emeses per l’autoritat nacional competent o el CSIRT-AD. 2. Les entitats essencials i importats han de subministrar al CSIRT-AD i a l’autoritat nacional competent que escaigui tota la informació que se’ls requereixi per a l’acompliment de les funcions que els encomana aquesta Llei. En particular, podrà requerir-se informació addicional a les entitats essencials o importants per analitzar la naturalesa, les causes i els efectes dels incidents notificats, i per elaborar estadístiques i reunir les dades necessàries per elaborar els informes anuals considerats a l’article 25.4.e). Quan les circumstàncies ho permetin, l’autoritat nacional competent o el CSIRT-AD proporcionarà a les entitats essencials o importants afectades per incidents la informació derivada del seu seguiment que pugui ser-los rellevant, en particular, per resoldre l’incident.
B
BOPA·CHAT← Llei 22/2022, del 9 de juny, de mesures per a la seguretat de les xarxes i dels sistemes d’informació
142 versions
Llei 22/2022, del 9 de juny, de mesures per a la seguretat de les xarxes i dels sistemes d’informació
Evolució d'aquest article a través de totes les versions de la llei.
Obligació de resoldre els incidents, d’informació i de col·laboració mútua
Obligació de resoldre els incidents, d’informació i de col·laboració mútua
Modifica art. Annex I, Annex II
- En termes de gestió d’incidents de seguretat, detecció de vulnerabilitats o ciberamenaces, les entitats essencials i importants han de: a) Gestionar i resoldre els incidents de seguretat que afectin les infraestructures crítiques, les xarxes o els sistemes d’informació utilitzats per prestar els seus serveis essencials o importants. Si es tracta d’infraestructures, xarxes o sistemes externs s’ha de garantir que els proveïdors externs compleixen amb l’aplicació de les mesures necessàries per garantir la seguretat. b) Sol·licitar opinió o suport especialitzat al CSIRT-AD per fer front als incidents, vulnerabilitats o ciberamenaces sorgides i, en tot cas, atendre a les indicacions rebudes per part del CSIRT-AD per resoldre els riscos, mitigar-ne els efectes i reposar els sistemes afectats. En aquest supòsit, les indicacions emeses pel CSIRT-AD per mitigar els efectes i reposar els sistemes afectats són d’aplicació vinculant. c) Aplicar la seva política de gestió de la seguretat de les infraestructures crítiques, les xarxes i els sistemes d’informació davant del sorgiment de qualsevol incident que afecti la prestació dels seus serveis essencials i importants, així com el conjunt d’obligacions i recomanacions emeses per l’autoritat nacional competent o el CSIRT-AD. 2. Les entitats essencials i importats han de subministrar al CSIRT-AD i a l’autoritat nacional competent que escaigui tota la informació que se’ls requereixi per a l’acompliment de les funcions que els encomana aquesta Llei. En particular, podrà requerir-se informació addicional a les entitats essencials o importants per analitzar la naturalesa, les causes i els efectes dels incidents notificats, i per elaborar estadístiques i reunir les dades necessàries per elaborar els informes anuals considerats a l’article 25.4.e). Quan les circumstàncies ho permetin, l’autoritat nacional competent o el CSIRT-AD proporcionarà a les entitats essencials o importants afectades per incidents la informació derivada del seu seguiment que pugui ser-los rellevant, en particular, per resoldre l’incident.