Art. 20
Evaluación de riesgos para la ciberseguridad del Estado miembro
En vigor desde 11 mar 2024
Artículo 20
Evaluación de riesgos para la ciberseguridad del Estado miembro
1. Cada autoridad competente someterá todas las entidades de impacto alto y de impacto crítico de su Estado miembro a una evaluación de riesgos para la ciberseguridad del Estado miembro, utilizando las metodologías desarrolladas con arreglo al artículo 18 y aprobadas con arreglo al artículo 8. La evaluación de riesgos para la ciberseguridad del Estado miembro determinará y analizará los riesgos de ciberataques que afecten a la seguridad operativa del sistema eléctrico y perturben los flujos transfronterizos de electricidad. La evaluación de riesgos para la ciberseguridad del Estado miembro no tendrá en cuenta los daños de los ciberataques desde el punto de vista jurídico o financiero, ni tampoco los daños a la reputación.
2. En un plazo de 21 meses a partir de la notificación de las entidades de impacto alto y de impacto crítico con arreglo al artículo 24, apartado 6, y cada tres años a partir de esa fecha, y previa consulta a la autoridad competente encargada de la ciberseguridad que sea responsable de la electricidad, cada autoridad competente, apoyada por el CSIRT, presentará a la REGRT de Electricidad y a la entidad de los GRD de la UE un informe sobre la evaluación de riesgos para la ciberseguridad del Estado miembro, que contendrá la siguiente información sobre cada proceso de negocio de impacto alto y de impacto crítico:
a)
el estado de aplicación de los controles mínimos y avanzados de ciberseguridad, de conformidad con el artículo 29;
b)
una lista de todos los ciberataques notificados en los tres años anteriores, de conformidad con el artículo 38, apartado 3;
c)
un resumen de la información sobre ciberamenazas comunicada en los tres años anteriores, de conformidad con el artículo 38, apartado 6;
d)
para cada proceso de impacto alto o de impacto crítico a escala de la Unión, una estimación de los riesgos de que la confidencialidad, integridad y disponibilidad de la información y los activos pertinentes se vean comprometidas;
e)
en caso necesario, una lista de entidades adicionales consideradas como entidades de impacto alto o de impacto crítico, de conformidad con el artículo 24, apartados 1, 2, 3 y 5.
3. El informe sobre la evaluación de riesgos para la ciberseguridad del Estado miembro tendrá en cuenta el plan de preparación frente a los riesgos del Estado miembro, establecido con arreglo al artículo 10 del Reglamento (UE) 2019/941.
4. La información contenida en el informe sobre la evaluación de riesgos para la ciberseguridad del Estado miembro con arreglo al apartado 2, letras a) a d), no estará vinculada a entidades o activos específicos. El informe sobre la evaluación de riesgos para la ciberseguridad del Estado miembro también incluirá una evaluación de riesgos de las excepciones temporales concedidas por las autoridades competentes de los Estados miembros con arreglo al artículo 30.
5. La REGRT de Electricidad y la entidad de los GRD de la UE podrán solicitar información adicional a las autoridades competentes en relación con las tareas especificadas en el apartado 2, letras a) y c).
6. Las autoridades competentes velarán por que la información que faciliten sea exacta y correcta.
Historial de versiones
Este artículo no ha sufrido modificaciones desde su publicación.
Tus anotaciones
Proeli:reg_del:2024:1366:oj#art-20