Art. 18
Metodologie di valutazione del rischio per la cibersicurezza
In vigore dal 11 mar 2024
Metodologie di valutazione del rischio per la cibersicurezza
1. Entro il 13 marzo 2025, i TSO, con l’assistenza dell’ENTSO per l’energia elettrica, in cooperazione con l’EU DSO e previa consultazione del gruppo di cooperazione NIS, presentano una proposta di metodologie di valutazione del rischio per la cibersicurezza a livello dell’Unione, a livello regionale e a livello di Stato membro.
2. Le metodologie di valutazione del rischio per la cibersicurezza a livello dell’Unione, a livello regionale e a livello di Stato membro comprendono:
a)
un elenco delle minacce informatiche da considerare, comprendente almeno le seguenti minacce alla catena di approvvigionamento:
i)
un deterioramento grave e imprevisto della catena di approvvigionamento;
ii)
l’indisponibilità di prodotti TIC, servizi TIC o processi TIC nella catena di approvvigionamento;
iii)
attacchi informatici avviati attraverso attori della catena di approvvigionamento;
iv)
la fuga di informazioni sensibili attraverso la catena di approvvigionamento, anche attraverso il tracciamento della catena di approvvigionamento;
v)
l’introduzione di punti deboli o di backdoor nei prodotti TIC, nei servizi TIC o nei processi TIC attraverso gli attori della catena di approvvigionamento;
b)
i criteri per valutare l’impatto del rischio per la cibersicurezza come alto o critico, utilizzando soglie definite per le conseguenze e per la probabilità;
c)
un approccio per analizzare il rischio per la cibersicurezza derivante da sistemi legacy, da effetti a cascata degli attacchi informatici e dal funzionamento in tempo reale dei sistemi che gestiscono la rete;
d)
un approccio per analizzare il rischio per la cibersicurezza derivante dalla dipendenza da un unico fornitore di prodotti TIC, servizi TIC o processi TIC.
3. Le metodologie di valutazione del rischio per la cibersicurezza a livello dell’Unione, a livello regionale e a livello di Stato membro fanno uso di un’unica matrice dell’impatto del rischio. La matrice dell’impatto del rischio:
a)
misura le conseguenze degli attacchi informatici sulla base dei criteri seguenti:
i)
perdita di carico;
ii)
riduzione della produzione di energia;
iii)
perdita di capacità della riserva di regolazione primaria della frequenza;
iv)
perdita di capacità di ripristino del funzionamento della rete elettrica senza utilizzare una rete di trasmissione esterna per il riavvio dopo un arresto totale o parziale (detta anche «capacità di black start»);
v)
durata prevista di un’interruzione dell’energia elettrica che si ripercuote sui clienti in combinazione con l’entità dell’indisponibilità in numero di clienti; e
vi)
ogni altro criterio quantitativo o qualitativo che possa ragionevolmente fungere da indicatore dell’effetto di un attacco informatico sui flussi transfrontalieri di energia elettrica;
b)
misura la probabilità di un incidente in termini di frequenza annuale di attacchi informatici.
4. Le metodologie di valutazione del rischio per la cibersicurezza a livello di Unione descrivono il modo in cui saranno definiti i valori ECII per le soglie di alto impatto e di impatto critico. L’ECII consente ai soggetti di stimare, valendosi dei criteri di cui al paragrafo 2, lettera b), l’impatto dei rischi sui loro processi operativi durante le valutazioni dell’impatto operativo svolte a norma dell’, paragrafo 4, lettera c), punto i).
5. L’ENTSO per l’energia elettrica, in coordinamento con l’EU DSO, informa il gruppo di coordinamento per l’energia elettrica in merito alle proposte di metodologie di valutazione del rischio per la cibersicurezza elaborate a norma del paragrafo 1.
Storico versioni
Questo articolo non ha mai subito modificazioni dalla sua pubblicazione.
Le tue annotazioni
Proeli:reg_del:2024:1366:oj#art-18