1. Les entitats essencials i importants, i molt especialment les que a més d’essencials siguin crítiques, han d’adoptar les mesures tècniques i organitzatives adequades i proporcionades per establir un procés per a la gestió dels riscos que es plantegin a fi d’aconseguir un nivell elevat de resiliència de les infraestructures crítiques i de protecció de les xarxes i dels sistemes d’informació que utilitzen per a la prestació dels seus serveis essencials i importants en relació amb els riscos que es plantegin. Entre les mesures de gestió del risc han de figurar aquelles la finalitat de les quals és determinar tot risc d’incidents, prevenir, detectar i gestionar incidents i reduir les seves repercussions. Aquest procés de gestió dels riscos ha de comprendre la seguretat de les dades emmagatzemades, transmeses i tractades i, en el cas d’entitats essencials, ha de tenir en compte tots els riscos rellevants que hagin trobat les autoritats nacionals competents d’acord amb l’avaluació de riscos a què es refereix l’article 6.4.b), i totes les dependències amb altres sectors i amb entitats crítiques o equivalents a entitats crítiques.
2. L’esforç dedicat per les entitats a la gestió dels riscos de ciberseguretat ha de ser proporcional en relació amb els riscos que presenten la xarxa i els sistemes d’informació que participen en l’oferta dels seus serveis essencials i importants, i tenir en compte l’estat de la tècnica. Entre els criteris per jutjar la proporcionalitat dels esforços en la gestió dels riscos s’hi han de considerar, com a mínim, els següents:
a) La mesura en què les entitats essencials i importants utilitzen serveis, sistemes o productes de TIC crítics i depenen d’ells;
b) La importància de serveis, sistemes o productes de TIC crítics específics per exercir funcions crítiques o sensibles, en particular el tractament de dades personals;
c) La disponibilitat de serveis, sistemes o productes de TIC alternatius;
d) La resiliència de la cadena de subministrament global de serveis, sistemes o productes de TIC enfront de les pertorbacions; i.
e) En el cas dels serveis, sistemes o productes de TIC emergents, el pes que poden tenir en el futur per a les activitats de les entitats.
3. Entre les mesures per a la gestió dels riscos que es plantegin, s’hi han d’incloure, almenys, els següents elements:
a) La política de seguretat de les infraestructures crítiques, les xarxes i els sistemes d’informació necessaris per a la prestació de serveis essencials o importants;
b) La política de gestió de riscos;
c) La gestió d’incidents (prevenció, detecció i resposta a incidents);
d) La continuïtat de les activitats i la gestió de crisis;
e) La seguretat de la cadena de subministrament, inclosos els aspectes de seguretat relatius a les relacions entre cada entitat i els seus proveïdors o prestadors de serveis com, per exemple, proveïdors de serveis d’emmagatzematge i transformació o anàlisi de dades o de serveis de seguretat administrada;
f) La seguretat en l’adquisició, el desenvolupament i el manteniment d’infraestructures crítiques, xarxes i sistemes d’informació, inclosa la gestió i divulgació de les vulnerabilitats;
g) Les polítiques i els procediments (assaig i auditori.
a) per avaluar l’eficàcia de les mesures per a la gestió de riscos de ciberseguretat; i.
h) La utilització de criptografia i xifratge.
4. Les entitats han de tenir en compte les vulnerabilitats específiques de cada proveïdor i prestador de serveis i la qualitat general dels productes i les pràctiques en matèria de ciberseguretat dels seus proveïdors i prestadors de serveis, inclosos els seus procediments de desenvolupament segur.
5. En cas que una entitat constati que els seus serveis o comeses no s’ajusten als requisits establerts als apartats 1, 2 i 3, com més aviat millor, haurà d’adoptar totes les mesures correctores necessàries per a què el servei o comesa en qüestió, compleixi aquests requisits.