Art. 39
Detección de ciberataques y gestión de la información conexa
En vigor desde 11 mar 2024
Artículo 39
Detección de ciberataques y gestión de la información conexa
1. Las entidades de impacto crítico y de impacto alto desarrollarán las capacidades necesarias para gestionar los ciberataques detectados con el apoyo necesario de la autoridad competente pertinente, la REGRT de Electricidad y la entidad de los GRD de la UE. Las entidades de impacto crítico y de impacto alto podrán contar con el apoyo del CSIRT designado en sus respectivos Estados miembros como parte de la tarea asignada a los CSIRT por el artículo 11, apartado 5, letra a), de la Directiva (UE) 2022/2555. Las entidades de impacto crítico y de impacto alto aplicarán procesos eficaces para detectar los ciberataques que vayan a afectar o puedan afectar a los flujos transfronterizos de electricidad, clasificarlos y responder a ellos, con el fin de minimizar su impacto.
2. Si un ciberataque afecta a los flujos transfronterizos de electricidad, los puntos de contacto únicos a nivel de entidad de las entidades de impacto crítico y de impacto alto afectadas cooperarán para compartir información entre ellas, con la coordinación de la autoridad competente del Estado miembro en el que se haya notificado por primera vez el ciberataque.
3. Las entidades de impacto crítico y de impacto alto:
a)
garantizarán que su propio punto de contacto único a nivel de entidad tenga acceso, cuando necesite conocerla, a la información que hayan recibido del punto de contacto único nacional a través de su autoridad competente;
b)
a menos que ya se haya hecho con arreglo al artículo 3, apartado 4, de la Directiva (UE) 2022/2555, notificarán a la autoridad competente del Estado miembro en el que estén establecidas y al punto de contacto único nacional una lista de sus puntos de contacto únicos en materia de ciberseguridad a nivel de entidad:
i)
de los cuales dicha autoridad competente y dicho punto de contacto único nacional puedan esperar recibir información sobre ciberataques notificables,
ii)
a los cuales las autoridades competentes y los puntos de contacto únicos nacionales posiblemente tengan que facilitar información;
c)
establecerán procedimientos de gestión de ciberataques para los ciberataques, incluidas las funciones y responsabilidades, tareas y reacciones basadas en la evolución observable del ciberataque dentro de los perímetros del impacto crítico y del impacto alto;
d)
probarán los procedimientos generales de gestión de ciberataques al menos cada año probando al menos un escenario que afecte directa o indirectamente a los flujos transfronterizos de electricidad. Dicha prueba anual podrá ser realizada por entidades de impacto crítico y de impacto alto durante los ejercicios periódicos contemplados en el artículo 43. Cualquier actividad de respuesta a ciberataques en directo con unas consecuencias clasificadas al menos en la escala 2, según la metodología de la escala de clasificación de los ciberataques contemplada en el artículo 37, apartado 8, y cuyas causas raíz tengan que ver con la ciberseguridad, podrá servir de prueba anual del plan de respuesta a ciberataques.
4. Los Estados miembros también podrán delegar las tareas a que se refiere el apartado 1 en los centros de coordinación regionales, de conformidad con el artículo 37, apartado 2, del Reglamento (UE) 2019/943.
Historial de versiones
Este artículo no ha sufrido modificaciones desde su publicación.
Tus anotaciones
Proeli:reg_del:2024:1366:oj#art-39