Art. 24
Determinación de entidades de impacto alto y de impacto crítico
En vigor desde 11 mar 2024
Artículo 24
Determinación de entidades de impacto alto y de impacto crítico
1. Cada autoridad competente determinará, utilizando los umbrales ECII y del impacto alto e impacto crítico incluidos en el informe sobre la evaluación de riesgos para la ciberseguridad a escala de la Unión con arreglo al artículo 19, apartado 3, letra b), las entidades de impacto alto e impacto crítico de su Estado miembro que intervienen en los procesos de impacto alto e impacto crítico a escala de la Unión. Las autoridades competentes podrán solicitar información a una entidad de su Estado miembro para determinar los valores ECII de dicha entidad. Si el ECII determinado de una entidad supera el umbral del impacto alto o del impacto crítico, la entidad determinada se incluirá en el informe sobre la evaluación de riesgos para la ciberseguridad del Estado miembro contemplado en el artículo 20, apartado 2.
2. Cada autoridad competente determinará, utilizando los umbrales ECII y del impacto alto e impacto crítico incluidos en el informe sobre la evaluación de riesgos para la ciberseguridad a escala de la Unión con arreglo al artículo 19, apartado 3, letra b), las entidades de impacto alto e impacto crítico no establecidas en la Unión en la medida en que estas operen dentro de la Unión. La autoridad competente podrá solicitar información a una entidad no establecida en la Unión para determinar los valores ECII de dicha entidad.
3. Cada autoridad competente podrá considerar otras entidades de su Estado miembro como entidades de impacto alto o de impacto crítico si se cumplen los siguientes criterios:
a)
la entidad forma parte de un grupo de entidades que corren un riesgo significativo de verse afectadas simultáneamente por un ciberataque;
b)
el ECII agregado del grupo de entidades supera el umbral del impacto alto o del impacto crítico.
4. Si una autoridad competente determina más entidades de conformidad con el apartado 3, todos los procesos de dichas entidades para las que el ECII agregado del grupo supere el umbral del impacto alto se considerarán procesos de impacto alto, y todos los procesos de dichas entidades para las que el ECII agregado del grupo supere los umbrales del impacto crítico se considerarán procesos de impacto crítico.
5. Si una autoridad competente determina entidades contempladas en el apartado 3, letra a), en más de un Estado miembro, informará de ello a las demás autoridades competentes, a la REGRT de Electricidad y a la entidad de los GRD de la UE. La REGRT de Electricidad, en cooperación con la entidad de los GRD de la UE, basándose en la información recibida de todas las autoridades competentes, facilitará a las autoridades competentes un análisis de la agregación de entidades en más de un Estado miembro que pueda crear una perturbación distribuida en los flujos transfronterizos de electricidad y dar lugar a un ciberataque. Cuando un grupo de entidades de varios Estados miembros se considere como una agregación cuyo ECII supera el umbral del impacto alto o de impacto crítico, todas las autoridades competentes afectadas considerarán las entidades de dicho grupo como entidades de impacto alto o de impacto crítico para su respectivo Estado miembro, basándose en el ECII agregado del grupo de entidades, y las entidades determinadas se incluirán en el informe sobre la evaluación de riesgos para la ciberseguridad a escala de la Unión.
6. En un plazo de nueve meses a partir de la fecha en que la REGRT de Electricidad y la entidad de los GRD de la UE notifiquen el informe sobre la evaluación de riesgos para la ciberseguridad a escala de la Unión con arreglo al artículo 19, apartado 5, y, en cualquier caso, a más tardar el 13 de junio de 2028, cada autoridad competente notificará a las entidades incluidas en la lista que han sido consideradas como entidades de impacto alto o de impacto crítico en su Estado miembro.
7. Cuando se señale a una autoridad competente que un proveedor de servicios es un proveedor de servicios de TIC críticos con arreglo al artículo 27, letra c), dicha autoridad competente lo notificará a las autoridades competentes de los Estados miembros en cuyo territorio esté situada la sede o el representante. Esta última autoridad competente notificará al proveedor de servicios que ha sido considerado como proveedor de servicios críticos.
Historial de versiones
Este artículo no ha sufrido modificaciones desde su publicación.
Tus anotaciones
Proeli:reg_del:2024:1366:oj#art-24