Art. 3
Definiciones
En vigor desde 11 mar 2024
Artículo 3
Definiciones
Se entenderá por:
1)
«activo»: toda información, programa o equipo informático de las redes y los sistemas de información, ya sea tangible o intangible, que tenga valor para una persona, una organización o una administración;
2)
«autoridad competente en materia de preparación frente a los riesgos»: autoridad competente designada con arreglo al artículo 3 del Reglamento (UE) 2019/941;
3)
«equipo de respuesta a incidentes de seguridad informática»: equipo responsable de la gestión de riesgos e incidentes de conformidad con el artículo 10 de la Directiva (UE) 2022/2555;
4)
«activo de impacto crítico»: un activo necesario para llevar a cabo un proceso de impacto crítico;
5)
«entidad de impacto crítico»: una entidad que lleva a cabo un proceso de impacto crítico y que ha sido designada como tal por las autoridades competentes de conformidad con el artículo 24;
6)
«perímetro del impacto crítico»: un perímetro definido por una entidad contemplada en el artículo 2, apartado 1, que contiene todos los activos de impacto crítico y en el que puede controlarse el acceso a dichos activos, y que define el ámbito en que se aplican los controles avanzados de ciberseguridad;
7)
«proceso de impacto crítico»: proceso de negocio llevado a cabo por una entidad cuyos índices de impacto en la ciberseguridad de la electricidad superan el umbral del impacto crítico;
8)
«umbral del impacto crítico»: los valores de los índices de impacto en la ciberseguridad de la electricidad a que se refiere el artículo 19, apartado 3, letra b), por encima de los cuales un ciberataque a un proceso de negocio causará una perturbación crítica de los flujos transfronterizos de electricidad;
9)
«proveedor de servicios de TIC críticos»: una entidad que presta un servicio de TIC o un proceso de TIC que es necesario para un proceso de impacto crítico o de impacto alto que afecte a los aspectos relativos a la ciberseguridad de los flujos transfronterizos de electricidad y que, si se ve comprometido, puede causar un ciberataque con un impacto que supere el umbral del impacto crítico o del impacto alto;
10)
«flujo transfronterizo de electricidad»: un flujo transfronterizo según se define en el artículo 2, punto 3, del Reglamento (UE) 2019/943;
11)
«ciberataque»: un incidente según se define en el artículo 3, punto 14, del Reglamento (UE) 2022/2554;
12)
«ciberseguridad»: la ciberseguridad según se define en el artículo 2, punto 1, del Reglamento (UE) 2019/881;
13)
«control de la ciberseguridad»: las acciones o procedimientos llevados a cabo con el fin de evitar, detectar, contrarrestar o minimizar los riesgos para la ciberseguridad;
14)
«incidente de ciberseguridad»: un incidente según se define en el artículo 6, punto 6, de la Directiva (UE) 2022/2555;
15)
«sistema de gestión de la ciberseguridad»: las políticas, procedimientos, directrices y recursos y actividades asociados, gestionados colectivamente por una entidad, con el fin de proteger sus activos de información frente a las ciberamenazas, que establecen, aplican, gestionan, supervisan, revisan, mantienen y mejoran sistemáticamente la seguridad de las redes y los sistemas de información de una organización;
16)
«centro operativo de ciberseguridad»: centro específico en el que un equipo técnico compuesto por uno o más expertos, con el apoyo de sistemas informáticos de ciberseguridad, realiza tareas relacionadas con la seguridad (servicios de centro operativo de ciberseguridad), como la gestión de ciberataques y errores de la configuración de seguridad, la supervisión de la seguridad, el análisis de registros y la detección de ciberataques;
17)
«ciberamenaza»: una ciberamenaza según se define en el artículo 2, punto 8, del Reglamento (UE) 2019/881;
18)
«gestión de las vulnerabilidades de ciberseguridad»: la práctica de detectar y abordar las vulnerabilidades;
19)
«entidad»: una entidad según se define en el artículo 6, punto 38, de la Directiva (UE) 2022/2555;
20)
«alerta temprana»: la información necesaria para indicar si se sospecha que el incidente significativo tiene su causa en actos ilícitos o malintencionados o puede tener un impacto transfronterizo;
21)
«índice de impacto en la ciberseguridad de la electricidad» («ECII», por sus siglas en inglés): índice o escala de clasificación que establece una jerarquía de las posibles consecuencias de los ciberataques a procesos de negocio que intervienen en los flujos transfronterizos de electricidad;
22)
«esquema europeo de certificación de la ciberseguridad»: un esquema según se define en el artículo 2, punto 9, del Reglamento (UE) 2019/881;
23)
«entidad de impacto alto»: una entidad que lleva a cabo un proceso de impacto alto y que ha sido designada como tal por las autoridades competentes de conformidad con el artículo 24;
24)
«proceso de impacto alto»: todo proceso de negocio llevado a cabo por una entidad cuyos índices de impacto en la ciberseguridad de la electricidad superen el umbral del impacto alto;
25)
«activo de impacto alto»: un activo necesario para llevar a cabo un proceso de impacto alto;
26)
«umbral del impacto alto»: los valores de los índices de impacto en la ciberseguridad de la electricidad a que se refiere el artículo 19, apartado 3, letra b), por encima de los cuales un ciberataque con éxito dirigido a un proceso causará un nivel alto de perturbación de los flujos transfronterizos de electricidad;
27)
«perímetro del impacto alto»: un perímetro definido por cualquier entidad contemplada en el artículo 2, apartado 1, que contiene todos los activos de impacto alto y en el que puede controlarse el acceso a dichos activos, y que define el ámbito en que se aplican los controles mínimos de ciberseguridad;
28)
«producto de TIC»: un producto de TIC según se define en el artículo 2, punto 12, del Reglamento (UE) 2019/881;
29)
«servicio de TIC»: un servicio de TIC según se define en el artículo 2, punto 13, del Reglamento (UE) 2019/881;
30)
«proceso de TIC»: un proceso de TIC según se define en el artículo 2, punto 14, del Reglamento (UE) 2019/881;
31)
«sistema heredado»: un sistema de TIC heredado según se define en el artículo 3, punto 3, del Reglamento (UE) 2022/2554;
32)
«punto de contacto único nacional»: el punto de contacto único designado o establecido por cada Estado miembro de conformidad con el artículo 8, apartado 3, de la Directiva (UE) 2022/2555;
33)
«autoridades de gestión de crisis de ciberseguridad en el ámbito de los SRI»: las autoridades designadas o establecidas de conformidad con el artículo 9, apartado 1, de la Directiva (UE) 2022/2555;
34)
«originador»: una entidad que inicia una acción de intercambio, puesta en común o almacenamiento de información;
35)
«especificaciones de contratación»: las especificaciones que definen las entidades para la contratación de productos, procesos o servicios de TIC nuevos o actualizados;
36)
«representante»: una persona física o jurídica establecida en la Unión designada expresamente para actuar en nombre de una entidad de impacto alto o de impacto crítico no establecida en la Unión, pero que presta servicios a entidades de la Unión y a la que puede dirigirse una autoridad competente o un CSIRT en vez de a la propia entidad de impacto alto o de impacto crítico en relación con las obligaciones de dicha entidad en virtud del presente Reglamento;
37)
«riesgo»: un riesgo según se define en el artículo 6, punto 9, de la Directiva (UE) 2022/2555;
38)
«matriz de impacto del riesgo»: matriz utilizada durante la evaluación de riesgos para determinar el nivel de impacto resultante de cada riesgo evaluado;
39)
«crisis simultánea de electricidad»: una crisis de electricidad según se define en el artículo 2, punto 10, del Reglamento (UE) 2019/941;
40)
«punto de contacto único a nivel de entidad»: punto de contacto único a nivel de entidad designado con arreglo al artículo 38, apartado 1, letra c);
41)
«parte interesada»: cualquier parte que tenga interés en el éxito y funcionamiento continuo de una organización o proceso, como empleados, directores, accionistas, reguladores, asociaciones, proveedores y clientes;
42)
«norma»: una norma según se define en el artículo 2, punto 1, del Reglamento (UE) n.o 1025/2012 del Parlamento Europeo y del Consejo (16);
43)
«región de operación del sistema»: las regiones de operación del sistema definidas en el anexo I de la Decisión 05-2022 de la ACER, relativa a la definición de regiones de operación del sistema, establecidas de conformidad con el artículo 36 del Reglamento (UE) 2019/943;
44)
«gestores de red»: los gestores de redes de distribución (GRD) y los gestores de redes de transporte (GRT) según se definen en el artículo 2, puntos 29 y 35, de la Directiva (UE) 2019/944;
45)
«proceso de impacto crítico a escala de la Unión»: todo proceso del sector de la electricidad, en el que posiblemente participen múltiples entidades, respecto del cual pueda considerarse que el posible impacto de un ciberataque es crítico durante la realización de la evaluación de riesgos para la ciberseguridad a escala de la Unión;
46)
«proceso de impacto alto a escala de la Unión»: todo proceso del sector de la electricidad, en el que posiblemente participen múltiples entidades, respecto del cual pueda considerarse que el posible impacto de un ciberataque es alto durante la realización de la evaluación de riesgos para la ciberseguridad a escala de la Unión;
47)
«vulnerabilidad aprovechada activamente no subsanada»: vulnerabilidad que aún no se ha divulgado públicamente ni se ha subsanado respecto de la cual existen pruebas fiables de la ejecución de un código malicioso en un sistema por parte de un agente sin autorización del propietario del sistema;
48)
«vulnerabilidad»: una vulnerabilidad según se define en el artículo 6, punto 15, de la Directiva (UE) 2022/2555.
Historial de versiones
Este artículo no ha sufrido modificaciones desde su publicación.
Tus anotaciones
Proeli:reg_del:2024:1366:oj#art-3