Art. 19
Evaluación de riesgos para la ciberseguridad a escala de la Unión
En vigor desde 11 mar 2024
Artículo 19
Evaluación de riesgos para la ciberseguridad a escala de la Unión
1. En un plazo de nueve meses a partir de la aprobación de las metodologías de evaluación de riesgos para la ciberseguridad con arreglo a lo dispuesto en el artículo 8 y posteriormente cada tres años, la REGRT de Electricidad, en cooperación con la entidad de los GRD de la UE y en consulta con el Grupo de Cooperación SRI, llevará a cabo, sin perjuicio de lo dispuesto en el artículo 22 de la Directiva (UE) 2022/2555, una evaluación de riesgos para la ciberseguridad a escala de la Unión, y elaborará un proyecto de informe sobre la evaluación de riesgos para la ciberseguridad a escala de la Unión. A tal fin, utilizará las metodologías desarrolladas con arreglo al artículo 18, y aprobadas con arreglo al artículo 8, para determinar, analizar y evaluar las posibles consecuencias de los ciberataques que afecten a la seguridad operativa del sistema eléctrico y perturben los flujos transfronterizos de electricidad. La evaluación de riesgos para la ciberseguridad a escala de la Unión no tendrá en cuenta los daños de los ciberataques desde el punto de vista jurídico o financiero, ni tampoco los daños a la reputación.
2. El informe sobre la evaluación de riesgos para la ciberseguridad a escala de la Unión incluirá los siguientes elementos:
a)
los procesos de impacto alto a escala de la Unión y los procesos de impacto crítico a escala de la Unión;
b)
una matriz de impacto del riesgo que las entidades y las autoridades competentes utilizarán para evaluar los riesgos para la ciberseguridad señalados en la evaluación de riesgos para la ciberseguridad a nivel de Estado miembro, realizada con arreglo al artículo 20, y en la evaluación de riesgos para la ciberseguridad a nivel de entidad, realizada con arreglo al artículo 26, apartado 2, letra b).
3. Con respecto a los procesos de impacto alto y de impacto crítico a escala de la Unión, el informe sobre la evaluación de riesgos para la ciberseguridad a escala de la Unión incluirá:
a)
una evaluación de las posibles consecuencias de un ciberataque utilizando los parámetros definidos en la metodología de evaluación de riesgos para la ciberseguridad desarrollada con arreglo al artículo 18, apartados 2, 3, y 4, y aprobada con arreglo al artículo 8;
b)
los umbrales ECII y del impacto alto e impacto crítico que las autoridades competentes utilizarán con arreglo al artículo 24, apartados 1 y 2, para determinar las entidades de impacto alto y de impacto crítico que intervienen en los procesos de impacto alto a escala de la Unión y en los procesos de impacto crítico a escala de la Unión.
4. La REGRT de Electricidad, en cooperación con la entidad de los GRD de la UE, presentará a la ACER el proyecto de informe sobre la evaluación de riesgos para la ciberseguridad a escala de la Unión con los resultados de la evaluación de riesgos para la ciberseguridad a escala de la Unión, con vistas a que la ACER emita un dictamen. La ACER emitirá un dictamen sobre el proyecto de informe en un plazo de tres meses a partir de su recepción. La REGRT de Electricidad y la entidad de los GRD de la UE tendrán en cuenta el dictamen de la ACER en la mayor medida posible al finalizar el informe.
5. En un plazo de tres meses a partir de la recepción del dictamen de la ACER, la REGRT de Electricidad, en cooperación con la entidad de los GRD de la UE, notificará el informe final de evaluación de riesgos para la ciberseguridad a escala de la Unión a la ACER, a la Comisión, a la ENISA y a las autoridades competentes.
Historial de versiones
Este artículo no ha sufrido modificaciones desde su publicación.
Tus anotaciones
Proeli:reg_del:2024:1366:oj#art-19