Art. 43
Ejercicios de ciberseguridad a nivel de entidad y de Estado miembro
En vigor desde 11 mar 2024
Artículo 43
Ejercicios de ciberseguridad a nivel de entidad y de Estado miembro
1. A más tardar el 31 de diciembre del año siguiente a la notificación de las entidades de impacto crítico, y posteriormente cada tres años, cada entidad de impacto crítico llevará a cabo un ejercicio de ciberseguridad que incluya uno o varios escenarios con ciberataques que afecten directa o indirectamente a los flujos transfronterizos de electricidad y estén relacionados con los riesgos detectados durante las evaluaciones de riesgos para la ciberseguridad a nivel de Estado miembro y de entidad de conformidad con los artículos 20 y 27.
2. No obstante lo dispuesto en el apartado 1, la autoridad competente en materia de preparación frente a los riesgos, previa consulta a la autoridad competente y a la autoridad de gestión de crisis de ciberseguridad pertinente designada o establecida en la Directiva (UE) 2022/2555 con arreglo al artículo 9, podrá optar por organizar un ejercicio de ciberseguridad a nivel de Estado miembro, tal como se describe en el apartado 1, en lugar de a nivel de entidad. A este respecto, la autoridad competente informará a:
a)
todas las entidades de impacto crítico de su Estado miembro, la autoridad reguladora nacional, los CSIRT y las autoridades competentes encargadas de la ciberseguridad a más tardar el 30 de junio del año anterior al ejercicio de ciberseguridad a nivel de entidad;
b)
cada entidad que vaya a participar en el ejercicio de ciberseguridad a nivel de Estado miembro a más tardar seis meses antes de que tenga lugar el ejercicio.
3. La autoridad competente en materia de preparación frente a los riesgos, con el apoyo técnico de sus CSIRT, organizará el ejercicio de ciberseguridad descrito en el apartado 2 a nivel de Estado miembro de forma independiente o en el contexto de un ejercicio de ciberseguridad diferente en ese Estado miembro. Para poder agrupar estos ejercicios, la autoridad competente en materia de preparación frente a los riesgos podrá aplazar un año el ejercicio de ciberseguridad a nivel de Estado miembro a que se refiere el apartado 1.
4. Los ejercicios de ciberseguridad a nivel de entidad y de Estado miembro serán coherentes con los marcos nacionales de gestión de crisis de ciberseguridad de conformidad con el artículo 9, apartado 4, letra d), de la Directiva (UE) 2022/2555.
5. A más tardar el 31 de diciembre de 2026, y posteriormente cada tres años, la REGRT de Electricidad, en cooperación con la entidad de los GRD de la UE, facilitará una plantilla de escenarios para la realización de los ejercicios de ciberseguridad a nivel de entidad y de Estado miembro contemplados en el apartado 1. Esta plantilla tendrá en cuenta los resultados de la evaluación de riesgos para la ciberseguridad realizada más recientemente a nivel de entidad y de Estado miembro e incluirá criterios clave de éxito. La REGRT de Electricidad y la entidad de los GRD de la UE invitarán a la ACER y a la ENISA a participar en la elaboración de dicho modelo.
Historial de versiones
Este artículo no ha sufrido modificaciones desde su publicación.
Tus anotaciones
Proeli:reg_del:2024:1366:oj#art-43