Art. 41
Planes de gestión de crisis de ciberseguridad y de respuesta a estas
En vigor desde 11 mar 2024
Artículo 41
Planes de gestión de crisis de ciberseguridad y de respuesta a estas
1. En un plazo de 24 meses a partir de la notificación a la ACER del informe sobre la evaluación de riesgos a escala de la Unión, la ACER, en estrecha cooperación con la ENISA, la REGRT de Electricidad, la entidad de los GRD de la UE, las autoridades competentes encargadas de la ciberseguridad, las autoridades competentes, las autoridades competentes en materia de preparación frente a los riesgos, las autoridades reguladoras nacionales y las autoridades nacionales de gestión de crisis de ciberseguridad en el ámbito de los SRI, elaborará un plan de gestión de crisis de ciberseguridad y de respuesta a estas a escala de la Unión para el sector de la electricidad.
2. En un plazo de 12 meses a partir de la elaboración por parte de la ACER del plan de gestión de la crisis de ciberseguridad y de respuesta a estas a escala de la Unión para el sector de la electricidad con arreglo al apartado 1, cada autoridad competente elaborará un plan nacional de gestión de crisis de ciberseguridad y de respuesta a estas para los flujos transfronterizos de electricidad teniendo en cuenta el plan de gestión de crisis de ciberseguridad a escala de la Unión y el plan nacional de preparación frente a los riesgos establecido de conformidad con el artículo 10 del Reglamento (UE) 2019/941. Este plan será coherente con el plan de respuesta a incidentes y crisis de ciberseguridad a gran escala con arreglo al artículo 9, apartado 4, de la Directiva (UE) 2022/2555. La autoridad competente se coordinará con las entidades de impacto crítico y de impacto alto y con la autoridad competente en materia de preparación frente a los riesgos de su Estado miembro.
3. El plan nacional de respuesta a incidentes y crisis de ciberseguridad a gran escala exigido con arreglo al artículo 9, apartado 4, de la Directiva (UE) 2022/2555 se considerará un plan nacional de gestión de crisis de ciberseguridad con arreglo al presente artículo si incluye disposiciones de gestión de las crisis y de respuesta a estas para los flujos transfronterizos de electricidad.
4. Los Estados miembros también podrán delegar las tareas contempladas en los apartados 1 y 2 en los centros de coordinación regionales, de conformidad con el artículo 37, apartado 2, del Reglamento (UE) 2019/943.
5. Las entidades de impacto crítico y de impacto alto garantizarán que sus procesos de gestión de crisis relacionadas con la ciberseguridad:
a)
cuenten con procedimientos compatibles de gestión de incidentes de ciberseguridad transfronterizos, tal como se define en el artículo 6, punto 8, de la Directiva (UE) 2022/2555, incorporados formalmente a sus planes de gestión de crisis;
b)
formen parte de las actividades generales de gestión de crisis.
6. En un plazo de 12 meses a partir de la notificación de las entidades de impacto alto y de impacto crítico con arreglo al artículo 24, apartado 6, y posteriormente cada tres años, las entidades de impacto crítico y de impacto alto elaborarán un plan de gestión de crisis a nivel de entidad para una crisis relacionada con la ciberseguridad, que se incluirá en sus planes generales de gestión de crisis. El plan incluirá, como mínimo, lo siguiente:
a)
las normas de declaración de crisis establecidas en el artículo 14, apartados 2 y 3, del Reglamento (UE) 2019/941;
b)
funciones y responsabilidades claras para la gestión de crisis, incluido el papel de otras entidades pertinentes de impacto crítico y de impacto alto;
c)
información de contacto actualizada, así como normas para la comunicación y la puesta en común de información durante una situación de crisis, incluida la conexión con los CSIRT.
7. Las medidas para la gestión de crisis con arreglo al artículo 21, apartado 2, letra c), de la Directiva (UE) 2022/2555 se considerarán un plan de gestión de crisis a nivel de entidad para el sector de la electricidad con arreglo al presente artículo si incluyen todos los requisitos mencionados en el apartado 6.
8. Los planes de gestión de crisis se probarán durante los ejercicios de ciberseguridad contemplados en los artículos 43, 44 y 45.
9. Las entidades de impacto crítico y de impacto alto incluirán sus planes de gestión de crisis a nivel de entidad en sus planes de continuidad de las actividades para los procesos de impacto crítico y de impacto alto. Los planes de gestión de crisis a nivel de entidad incluirán:
a)
los procesos que dependan de la disponibilidad, integridad y fiabilidad de los servicios informáticos;
b)
todas las ubicaciones relacionadas con la continuidad de las actividades, también las de los equipos y programas informáticos;
c)
todas las funciones y responsabilidades internas relacionadas con los procesos de continuidad de las actividades.
10. Las entidades de impacto crítico y de impacto alto actualizarán sus planes de gestión de crisis a nivel de entidad al menos cada tres años y siempre que sea necesario.
11. La ACER actualizará el plan de gestión de crisis de ciberseguridad y de respuesta a estas a escala de la Unión para el sector de la electricidad elaborado con arreglo al apartado 1 al menos cada tres años y siempre que sea necesario.
12. Cada autoridad competente actualizará el plan nacional de gestión de crisis de ciberseguridad y de respuesta a estas para los flujos transfronterizos de electricidad elaborado con arreglo al apartado 2 al menos cada tres años y siempre que sea necesario.
13. Las entidades de impacto crítico y de impacto alto probarán sus planes de continuidad de las actividades al menos una vez cada tres años o después de que haya cambios importantes en un proceso de impacto crítico. Se documentará el resultado de las pruebas del plan de continuidad de las actividades. Las entidades de impacto crítico y de impacto alto podrán incluir la prueba de su plan de continuidad de las actividades en los ejercicios de ciberseguridad.
14. Las entidades de impacto crítico y de impacto alto actualizarán su plan de continuidad de las actividades siempre que sea necesario y al menos una vez cada tres años, teniendo en cuenta el resultado de la prueba.
15. Si una prueba detecta deficiencias en el plan de continuidad de las actividades, la entidad de impacto crítico y de impacto alto corregirá dichas deficiencias en un plazo de ciento ochenta días naturales a partir de la prueba y realizará una nueva prueba para demostrar que las medidas correctoras son eficaces.
16. Cuando una entidad de impacto crítico o de impacto alto no pueda corregir las deficiencias en un plazo de ciento ochenta días naturales, incluirá las razones en el informe que debe presentarse a su autoridad competente de conformidad con el artículo 27.
Historial de versiones
Este artículo no ha sufrido modificaciones desde su publicación.
Tus anotaciones
Proeli:reg_del:2024:1366:oj#art-41