Art. 26 · Gestión de riesgos para la ciberseguridad a nivel de entidad

Art. 26

Gestión de riesgos para la ciberseguridad a nivel de entidad

En vigor desde 11 mar 2024
Artículo 26 Gestión de riesgos para la ciberseguridad a nivel de entidad 1.   Cada entidad de impacto alto y de impacto crítico determinada por las autoridades competentes con arreglo al artículo 24, apartado 1, llevará a cabo una gestión de riesgos para la ciberseguridad de todos sus activos en sus perímetros del impacto alto y de impacto crítico. Cada entidad de impacto alto y de impacto crítico realizará una gestión de riesgos que incluya las fases del apartado 2 cada tres años. 2.   Cada entidad de impacto alto y de impacto crítico basará su gestión de riesgos para la ciberseguridad en un enfoque que tenga por objeto proteger sus redes y sistemas de información y que comprenda las siguientes fases: a) establecimiento del contexto; b) evaluación de los riesgos para la ciberseguridad a nivel de entidad; c) gestión de los riesgos para la ciberseguridad; d) aceptación de los riesgos para la ciberseguridad. 3.   Durante la fase de establecimiento del contexto, cada entidad de impacto alto y de impacto crítico: a) definirá el alcance de la evaluación de riesgos para la ciberseguridad, incluidos los procesos de impacto alto y de impacto crítico determinados por la REGRT de Electricidad y la entidad de los GRD de la UE, y otros procesos que puedan ser objeto de ciberataques con un impacto alto o un impacto crítico en los flujos transfronterizos de electricidad, y b) definirá los criterios para la evaluación y aceptación de los riesgos de conformidad con la matriz de impacto del riesgo que las entidades y las autoridades competentes utilizarán para evaluar los riesgos para la ciberseguridad en las metodologías de evaluación de riesgos para la ciberseguridad a nivel de la Unión, regional y de los Estados miembros desarrolladas por la REGRT de Electricidad y la entidad de los GRD de la UE de conformidad con el artículo 19, apartado 2. 4.   Durante la fase de evaluación de riesgos para la ciberseguridad, cada entidad de impacto alto y de impacto crítico: a) detectará riesgos para la ciberseguridad teniendo en cuenta: i) todos los activos que sirvan de apoyo a los procesos de impacto alto y de impacto crítico a escala de la Unión, con una evaluación del posible impacto en los flujos transfronterizos de electricidad si el activo se ve comprometido, ii) las posibles ciberamenazas, teniendo en cuenta las ciberamenazas señaladas en el último informe exhaustivo sobre la evaluación de riesgos para la ciberseguridad de los flujos transfronterizos de electricidad contemplado en el artículo 23 y las amenazas a la cadena de suministro, iii) las vulnerabilidades, incluidas las vulnerabilidades de los sistemas heredados, iv) posibles escenarios de ciberataques, incluidos los ciberataques que afecten a la seguridad operativa del sistema eléctrico y perturben los flujos transfronterizos de electricidad, v) las evaluaciones de riesgos pertinentes realizadas a nivel de la Unión, incluidas las evaluaciones coordinadas de los riesgos de las cadenas de suministro críticas de conformidad con el artículo 22 de la Directiva (UE) 2022/2555, y vi) los controles aplicados existentes; b) analizará la probabilidad y las consecuencias de los riesgos para la ciberseguridad señalados en la letra a) y determinará el nivel de riesgo para la ciberseguridad valiéndose de la matriz de impacto del riesgo utilizada para evaluar los riesgos para la ciberseguridad en las metodologías de evaluación de riesgos para la ciberseguridad a nivel de la Unión, regional y de los Estados miembros desarrolladas por los GRT, con la asistencia de la REGRT de Electricidad y en cooperación con la entidad de los GRD de la UE, de conformidad con el artículo 19, apartado 2; c) clasificará los activos en función de las posibles consecuencias cuando la ciberseguridad se vea comprometida y determinará el perímetro del impacto alto y del impacto crítico siguiendo los siguientes pasos: i) realizará, para todos los procesos que abarque la evaluación de riesgos para la ciberseguridad, una evaluación de impacto sobre la actividad utilizando el ECII, ii) clasificará un proceso como de impacto alto o de impacto crítico si su ECII supera el umbral del impacto alto o del impacto crítico, respectivamente, iii) determinará todos los activos de impacto alto y de impacto crítico como activos necesarios para los procesos de impacto alto y de impacto crítico, respectivamente, iv) definirá los perímetros del impacto alto y del impacto crítico que contengan todos los activos de impacto alto y de impacto crítico respectivamente, de modo que pueda controlarse el acceso a los perímetros; d) evaluará los riesgos para la ciberseguridad priorizándolos a través de los criterios de evaluación de los riesgos y los criterios de aceptación de los riesgos a que se refiere el apartado 3, letra b). 5.   Durante la fase de gestión de los riesgos para la ciberseguridad, cada entidad de impacto alto y de impacto crítico establecerá un plan de mitigación de riesgos a nivel de entidad seleccionando opciones de gestión de riesgos adecuadas para manejar los riesgos y detectar los riesgos residuales. 6.   Durante la fase de aceptación de los riesgos para la ciberseguridad, cada entidad de impacto alto y de impacto crítico decidirá si acepta el riesgo residual sobre la base de los criterios de aceptación de los riesgos establecidos en el apartado 3, letra b). 7.   Cada entidad de impacto alto y de impacto crítico registrará los activos señalados en el apartado 1 en un inventario de activos. Dicho inventario de activos no formará parte del informe sobre la evaluación de riesgos. 8.   La autoridad competente podrá examinar los activos del inventario durante las inspecciones.
Historial de versiones

Este artículo no ha sufrido modificaciones desde su publicación.

Tus anotaciones

Pro

eli:reg_del:2024:1366:oj#art-26