Art. 20
Valutazione del rischio per la cibersicurezza a livello di Stato membro
In vigore dal 11 mar 2024
Valutazione del rischio per la cibersicurezza a livello di Stato membro
1. L’autorità competente effettua una valutazione del rischio per la cibersicurezza dello Stato membro valutando tutti i soggetti ad alto impatto e a impatto critico nello Stato membro con le metodologie elaborate a norma dell’ e approvate a norma dell’. La valutazione del rischio per la cibersicurezza a livello di Stato membro individua e analizza i rischi di attacchi informatici che incidono sulla sicurezza operativa del sistema elettrico e perturbano i flussi transfrontalieri di energia elettrica. La valutazione del rischio per la cibersicurezza a livello di Stato membro non tiene conto dei danni di natura giuridica o finanziaria o dei danni alla reputazione causati da attacchi informatici.
2. Entro 21 mesi dalla notifica dei soggetti ad alto impatto e a impatto critico a norma dell’, paragrafo 6, e ogni tre anni dopo tale data, e previa consultazione dell’autorità competente per la cibersicurezza dell’energia elettrica, l’autorità competente, con il sostegno del CSIRT, presenta all’ENTSO per l’energia elettrica e all’EU DSO una relazione di valutazione del rischio per la cibersicurezza a livello di Stato membro contenente le seguenti informazioni per ciascun processo operativo ad alto impatto e a impatto critico:
a)
lo stato di attuazione dei controlli minimi e avanzati di cibersicurezza a norma dell’;
b)
un elenco di tutti gli attacchi informatici segnalati nei tre anni precedenti a norma dell’, paragrafo 3;
c)
una sintesi di tutte le minacce informatiche segnalate nei tre anni precedenti a norma dell’, paragrafo 6;
d)
per ciascun processo ad alto impatto o a impatto critico a livello dell’Unione, una stima del rischio di compromissione della riservatezza, dell’integrità e della disponibilità delle informazioni e degli asset corrispondenti;
e)
se necessario, un elenco di altri soggetti individuati come ad alto impatto o a impatto critico a norma dell’, paragrafi 1, 2, 3 e 5.
3. La relazione di valutazione del rischio per la cibersicurezza a livello di Stato membro tiene conto del piano di preparazione ai rischi dello Stato membro elaborato a norma dell’ del regolamento (UE) 2019/941.
4. Le informazioni contenute nella relazione di valutazione del rischio per la cibersicurezza a livello di Stato membro a norma del paragrafo 2, lettere da a) a d), non sono collegate a soggetti o asset specifici. La relazione di valutazione del rischio per la cibersicurezza a livello di Stato membro include anche una valutazione del rischio delle deroghe temporanee rilasciate dalle autorità competenti degli Stati membri a norma dell’.
5. L’ENTSO per l’energia elettrica e l’EU DSO possono richiedere informazioni supplementari alle autorità competenti in relazione ai compiti di cui al paragrafo 2, lettere a) e c).
6. Le autorità competenti garantiscono che le informazioni da esse fornite sono esatte e corrette.
Storico versioni
Questo articolo non ha mai subito modificazioni dalla sua pubblicazione.
Le tue annotazioni
Proeli:reg_del:2024:1366:oj#art-20