Art. 18
Metodologías de evaluación de riesgos para la ciberseguridad
En vigor desde 11 mar 2024
Artículo 18
Metodologías de evaluación de riesgos para la ciberseguridad
1. A más tardar el 13 de marzo de 2025, los GRT, con la asistencia de la REGRT de Electricidad, en cooperación con la entidad de los GRD de la UE y previa consulta con el Grupo de Cooperación SRI, presentarán una propuesta de metodologías de evaluación de riesgos para la ciberseguridad a nivel de la Unión, regional y de los Estados miembros.
2. Las metodologías de evaluación de riesgos para la ciberseguridad a nivel de la Unión, regional y de los Estados miembros incluirán:
a)
una lista de ciberamenazas que deben tenerse en cuenta, en la que figuren, como mínimo, las siguientes amenazas a la cadena de suministro:
i)
una corrupción grave e inesperada de la cadena de suministro,
ii)
la indisponibilidad de productos, servicios o procesos de TIC de la cadena de suministro,
iii)
ciberataques iniciados a través de agentes de la cadena de suministro,
iv)
filtración de información sensible a lo largo de la cadena de suministro, incluido el seguimiento a lo largo de la cadena de suministro,
v)
la introducción de deficiencias o puertas traseras en los productos, servicios o procesos de TIC a través de agentes de la cadena de suministro;
b)
los criterios para evaluar el impacto de los riesgos para la ciberseguridad como alto o crítico utilizando umbrales definidos para las consecuencias y la probabilidad;
c)
un enfoque para analizar los riesgos para la ciberseguridad derivados de los sistemas heredados, los efectos en cascada de los ciberataques y la naturaleza en tiempo real de los sistemas que funcionan en la red;
d)
un enfoque para analizar los riesgos para la ciberseguridad derivados de la dependencia de un único proveedor de productos, servicios o procesos de TIC.
3. Las metodologías de evaluación de riesgos para la ciberseguridad a nivel de la Unión, regional y de los Estados miembros evaluarán los riesgos para la ciberseguridad utilizando la misma matriz de impacto del riesgo. La matriz de impacto del riesgo:
a)
medirá las consecuencias de los ciberataques sobre la base de los siguientes criterios:
i)
pérdida de carga,
ii)
reducción de la generación de electricidad,
iii)
pérdida de capacidad en la reserva primaria de frecuencia,
iv)
pérdida de capacidad para restablecer el funcionamiento de una red eléctrica sin depender de la red de transporte externa al objeto de recuperarse tras un paro total o parcial (también denominado «reposición del servicio»),
v)
la duración prevista de un corte de electricidad que afecte a los clientes combinada con la magnitud del corte en términos de número de clientes,
vi)
cualquier otro criterio cuantitativo o cualitativo que pueda actuar razonablemente como indicador del efecto de un ciberataque en los flujos transfronterizos de electricidad;
b)
medirá la probabilidad de que se produzca un incidente como la frecuencia de ciberataques al año.
4. Las metodologías de evaluación de riesgos para la ciberseguridad a nivel de la Unión describirán cómo se definirán los valores ECII para los umbrales del impacto alto y del impacto crítico. El ECII permitirá a las entidades estimar, con ayuda de los criterios a que se refiere el apartado 2, letra b), el impacto de los riegos sobre su proceso de negocio durante las evaluaciones del impacto sobre la actividad que realicen con arreglo al artículo 26, apartado 4, letra c), inciso i).
5. La REGRT de Electricidad, en coordinación con la entidad de los GRD de la UE, informará al Grupo de Coordinación de la Electricidad sobre las propuestas de metodologías de evaluación de riesgos para la ciberseguridad que se elaboren con arreglo al apartado 1.
Historial de versiones
Este artículo no ha sufrido modificaciones desde su publicación.
Tus anotaciones
Proeli:reg_del:2024:1366:oj#art-18