Art. 37 · Normas sobre la puesta en común de información

Art. 37

Normas sobre la puesta en común de información

En vigor desde 11 mar 2024
Artículo 37 Normas sobre la puesta en común de información 1.   Si una autoridad competente recibe información relacionada con un ciberataque notificable, dicha autoridad competente: a) evaluará el nivel de confidencialidad de la información e informará a la entidad del resultado de su evaluación sin demora indebida y, a más tardar, en un plazo de veinticuatro horas a partir de la recepción de la información; b) intentará encontrar otros ciberataques similares en la Unión notificados a otras autoridades competentes, con el fin de correlacionar la información recibida en el contexto del ciberataque notificable con la información facilitada en el contexto de otros ciberataques y enriquecer la información existente, reforzar y coordinar las respuestas en materia de ciberseguridad; c) será responsable de la eliminación de secretos comerciales y de la anonimización de la información de conformidad con las normas nacionales y de la Unión pertinentes; d) compartirá la información con los puntos de contacto únicos nacionales, los CSIRT y todas las autoridades competentes designadas con arreglo al artículo 4 en otros Estados miembros sin demora indebida y a más tardar veinticuatro horas después de la recepción de un ciberataque notificable, y facilitará información actualizada periódicamente a dichas autoridades u organismos; e) difundirá la información sobre el ciberataque, tras la anonimización y eliminación de secretos comerciales con arreglo al apartado 1, letra c), a las entidades de impacto crítico y de impacto alto de su Estado miembro sin demora indebida y a más tardar veinticuatro horas después de recibir la información con arreglo al apartado 1, letra a), y facilitará información actualizada periódicamente, de manera que las entidades puedan organizar su defensa de manera eficaz; f) podrá solicitar a la entidad de impacto alto o de impacto crítico notificante que difunda la información sobre el ciberataque notificable de manera segura a otras entidades que puedan verse afectadas, a fin de poner al sector de la electricidad en conocimiento de la situación e impedir la materialización de un riesgo que pueda escalar hasta dar lugar a un incidente eléctrico transfronterizo de ciberseguridad; g) compartirá con la ENISA un informe resumido, tras la anonimización y eliminación de secretos comerciales, con la información sobre el ciberataque. 2.   Si un CSIRT tiene conocimiento de una vulnerabilidad aprovechada activamente no subsanada: a) compartirá este conocimiento sin demora con la ENISA a través de un canal seguro adecuado de puesta en común de información, salvo que se especifique otra cosa en otros actos legislativos de la Unión; b) ayudará a la entidad de que se trate para que el fabricante o proveedor le proporcione una gestión eficaz, coordinada y rápida de la vulnerabilidad aprovechada activamente no subsanada, o de medidas de mitigación eficaces y eficientes; c) pondrá en común la información disponible con el vendedor y solicitará al fabricante o proveedor, en la medida de lo posible, que localice una lista de CSIRT de los Estados miembros afectados por la vulnerabilidad aprovechada activamente no subsanada y a los que se informará de ella; d) pondrá en común la información disponible con los CSIRT determinados en el punto anterior, sobre la base del principio de necesidad de conocer; e) compartirá, cuando existan, estrategias y medidas de mitigación de la vulnerabilidad aprovechada activamente no subsanada que se haya notificado. 3.   Si una autoridad competente tiene conocimiento de una vulnerabilidad aprovechada activamente no subsanada, dicha autoridad competente: a) compartirá, cuando existan, estrategias y medidas de mitigación de la vulnerabilidad aprovechada activamente no subsanada que se haya notificado, en coordinación con los CSIRT de su Estado miembro; b) pondrá en común la información con un CSIRT del Estado miembro en el que se haya notificado la vulnerabilidad aprovechada activamente no subsanada. 4.   Si la autoridad competente tiene conocimiento de una vulnerabilidad no subsanada, sin pruebas de que se esté aprovechando activamente en ese momento, se coordinará sin demora indebida con el CSIRT a efectos de la divulgación coordinada de vulnerabilidades, tal como se establece en el artículo 12, apartado 1, de la Directiva (UE) 2022/2555. 5.   Si un CSIRT recibe información relacionada con ciberamenazas procedente de una o varias entidades de impacto alto o de impacto crítico con arreglo al artículo 38, apartado 6, difundirá dicha información o cualquier otra información importante para prevenir el riesgo relacionado con las ciberamenazas, detectarlo, responder a él o mitigarlo, a las entidades de impacto alto o de impacto crítico de su Estado miembro y, cuando proceda, a todos los CSIRT afectados y a su punto de contacto único nacional sin demora indebida y a más tardar cuatro horas después de recibir la información. 6.   Si una autoridad competente tiene conocimiento de información relacionada con ciberamenazas procedente de una o varias entidades de impacto alto o de impacto crítico, transmitirá dicha información al CSIRT a efectos del apartado 5. 7.   Las autoridades competentes podrán delegar total o parcialmente las responsabilidades contempladas en los apartados 3 y 4 en relación con una o varias entidades de impacto alto o de impacto crítico que operen en más de un Estado miembro en otra autoridad competente de uno de esos Estados miembros, previo acuerdo entre las autoridades competentes afectadas. 8.   Los GRT, con la asistencia de la REGRT de Electricidad y en cooperación con la entidad de los GRD de la UE, desarrollarán una metodología de la escala de clasificación de los ciberataques a más tardar el 13 de junio de 2025. Los GRT, con la asistencia de la REGRT de Electricidad y de la entidad de los GRD de la UE, podrán solicitar a las autoridades competentes que consulten a la ENISA y a sus autoridades competentes encargadas de la ciberseguridad para que presten asistencia en el desarrollo de dicha escala de clasificación. La metodología ofrecerá la clasificación de la gravedad de un ciberataque con arreglo a cinco niveles; los dos niveles más altos serán «alto» y «crítico». La clasificación se basará en la evaluación de los siguientes parámetros: a) el impacto potencial teniendo en cuenta los activos y perímetros expuestos determinados de conformidad con el artículo 26, apartado 4, letra c), y b) la severidad del ciberataque. 9.   A más tardar el 13 de junio de 2026, la REGRT de Electricidad, en colaboración con la entidad de los GRD de la UE, llevará a cabo un estudio de viabilidad para valorar la posibilidad de crear una herramienta común que permita a todas las entidades compartir información con las autoridades nacionales pertinentes, así como los costes financieros necesarios para desarrollar dicha herramienta. 10.   El estudio de viabilidad abordará la posibilidad de que dicha herramienta común: a) apoye a las entidades de impacto crítico y de impacto alto con información relacionada con la seguridad pertinente para las operaciones de flujos transfronterizos de electricidad, como la notificación en tiempo cuasirreal de ciberataques, las alertas tempranas relacionadas con cuestiones de ciberseguridad y las vulnerabilidades no divulgadas de los equipos en uso en el sistema eléctrico; b) se mantenga en un entorno adecuado y altamente fiable; c) permita la recogida de datos de las entidades de impacto crítico y de impacto alto y facilite la eliminación de información confidencial y la anonimización de los datos, así como su rápida difusión entre las entidades de impacto crítico y de impacto alto. 11.   La REGRT de Electricidad, en cooperación con la entidad de los GRD de la UE: a) consultará a la ENISA y al Grupo de Cooperación SRI, a los puntos de contacto únicos nacionales y a los representantes de las principales partes interesadas al evaluar la viabilidad; b) presentará los resultados del estudio de viabilidad a la ACER y al Grupo de Cooperación SRI. 12.   La REGRT de Electricidad, en cooperación con la entidad de los GRD de la UE, podrá analizar y facilitar iniciativas propuestas por entidades de impacto crítico y de impacto alto a fin de evaluar y probar dichas herramientas para la puesta en común de información.
Historial de versiones

Este artículo no ha sufrido modificaciones desde su publicación.

Tus anotaciones

Pro

eli:reg_del:2024:1366:oj#art-37