Art. 29
Controles mínimos y avanzados de ciberseguridad
En vigor desde 11 mar 2024
Artículo 29
Controles mínimos y avanzados de ciberseguridad
1. En un plazo de siete meses a partir de la presentación del primer proyecto de informe sobre la evaluación de riesgos para la ciberseguridad a escala de la Unión con arreglo al artículo 19, apartado 4, los GRT, con la asistencia de la REGRT de Electricidad y en cooperación con la entidad de los GRD de la UE, elaborarán una propuesta de controles mínimos y avanzados de ciberseguridad.
2. En un plazo de seis meses a partir de la elaboración de cada informe sobre la evaluación regional de riesgos para la ciberseguridad con arreglo al artículo 21, apartado 2, los GRT, con la asistencia de la REGRT de Electricidad y en cooperación con la entidad de los GRD de la UE, propondrán a la autoridad competente una modificación de los controles mínimos y avanzados de ciberseguridad. La propuesta se realizará de conformidad con el artículo 8, apartado 10, y tendrá en cuenta los riesgos señalados en la evaluación regional de riesgos.
3. Los controles mínimos y avanzados de ciberseguridad serán verificables participando en un sistema nacional de verificación de conformidad con el procedimiento establecido en el artículo 31 o sometiéndose a auditorías de seguridad realizadas por terceros independientes de conformidad con los requisitos contemplados en el artículo 25, apartado 2.
4. Los controles mínimos y avanzados de ciberseguridad iniciales desarrollados con arreglo al apartado 1 se basarán en los riesgos señalados en el informe sobre la evaluación de riesgos para la ciberseguridad a escala de la Unión a que se refiere el artículo 19, apartado 5. Los controles mínimos y avanzados de ciberseguridad modificados desarrollados con arreglo al apartado 2 se basarán en el informe sobre la evaluación regional de riesgos para la ciberseguridad contemplado en el artículo 21, apartado 2.
5. Los controles mínimos de ciberseguridad incluirán controles para proteger la información intercambiada con arreglo al artículo 46.
6. En un plazo de 12 meses a partir de la aprobación de los controles mínimos y avanzados de ciberseguridad con arreglo al artículo 8, apartado 5, o después de cada actualización con arreglo al artículo 8, apartado 10, las entidades contempladas en el artículo 2, apartado 1, y consideradas de impacto crítico y de impacto alto con arreglo al artículo 24 aplicarán, durante el establecimiento del plan de mitigación de riesgos a nivel de entidad con arreglo al artículo 26, apartado 5, los controles mínimos de ciberseguridad dentro del perímetro del impacto alto y los controles avanzados de ciberseguridad dentro del perímetro del impacto crítico.
Historial de versiones
Este artículo no ha sufrido modificaciones desde su publicación.
Tus anotaciones
Proeli:reg_del:2024:1366:oj#art-29