Art. 19
Valutazione del rischio per la cibersicurezza a livello dell’Unione
In vigore dal 11 mar 2024
Valutazione del rischio per la cibersicurezza a livello dell’Unione
1. Entro 9 mesi dall’approvazione delle metodologie di valutazione del rischio per la cibersicurezza a norma dell’ e successivamente ogni tre anni, l’ENTSO per l’energia elettrica, in cooperazione con l’EU DSO e in consultazione con il gruppo di cooperazione NIS, effettua, fatto salvo l’ della direttiva (UE) 2022/2555, una valutazione del rischio per la cibersicurezza a livello dell’Unione ed elabora un progetto di relazione sulla valutazione del rischio per la cibersicurezza a livello dell’Unione. A tal fine saranno utilizzate le metodologie sviluppate a norma dell’ e approvate a norma dell’ per individuare, analizzare e valutare le possibili conseguenze degli attacchi informatici che incidono sulla sicurezza operativa del sistema elettrico e perturbano i flussi transfrontalieri di energia elettrica. La valutazione del rischio per la cibersicurezza a livello dell’Unione non tiene conto dei danni di natura giuridica o finanziaria o dei danni alla reputazione causati da attacchi informatici.
2. La relazione di valutazione del rischio per la cibersicurezza a livello dell’Unione comprende i seguenti elementi:
a)
i processi ad alto impatto e a impatto critico a livello dell’Unione;
b)
una matrice dell’impatto del rischio che i soggetti e le autorità competenti utilizzano per valutare il rischio per la cibersicurezza individuato nella valutazione del rischio per la cibersicurezza a livello di Stato membro effettuata a norma dell’ e nella valutazione del rischio per la cibersicurezza a livello di soggetto a norma dell’, paragrafo 2, lettera b).
3. Per quanto riguarda i processi ad alto impatto e a impatto critico a livello dell’Unione, la relazione di valutazione del rischio per la cibersicurezza a livello dell’Unione comprende:
a)
una valutazione delle possibili conseguenze di un attacco informatico utilizzando i parametri definiti nella metodologia di valutazione del rischio per la cibersicurezza elaborata a norma dell’, paragrafi 2, 3 e 4, e approvata a norma dell’;
b)
l’ECII e le soglie di alto impatto e di impatto critico che le autorità competenti utilizzano a norma dell’, paragrafi 1 e 2, per individuare i soggetti ad alto impatto e a impatto critico coinvolti nei processi ad alto impatto e a impatto critico a livello dell’Unione.
4. L’ENTSO per l’energia elettrica, in cooperazione con l’EU DSO, presenta all’ACER, per parere, il progetto di relazione di valutazione del rischio per la cibersicurezza a livello dell’Unione con i relativi risultati. L’ACER formula un parere sul progetto di relazione entro tre mesi dal ricevimento. L’ENTSO per l’energia elettrica e l’EU DSO ultimano la relazione tenendo nella massima considerazione il parere dell’ACER.
5. Entro tre mesi dal ricevimento del parere dell’ACER, l’ENTSO per l’energia elettrica, in cooperazione con l’EU DSO, notifica la relazione finale di valutazione del rischio per la cibersicurezza a livello dell’Unione all’ACER, alla Commissione, all’ENISA e alle autorità competenti.
Storico versioni
Questo articolo non ha mai subito modificazioni dalla sua pubblicazione.
Le tue annotazioni
Proeli:reg_del:2024:1366:oj#art-19