Art. 29
Controlli minimi e avanzati di cibersicurezza
In vigore dal 11 mar 2024
Controlli minimi e avanzati di cibersicurezza
1. Entro 7 mesi dalla presentazione del primo progetto di relazione di valutazione del rischio per la cibersicurezza a livello dell’Unione a norma dell’, paragrafo 4, i TSO, con l’assistenza dell’ENTSO per l’energia elettrica e in cooperazione con l’EU DSO, elaborano una proposta di controlli minimi e avanzati di cibersicurezza.
2. Entro 6 mesi dalla stesura della relazione di valutazione del rischio per la cibersicurezza a livello regionale a norma dell’, paragrafo 2, i TSO, con l’assistenza dell’ENTSO per l’energia elettrica e in cooperazione con l’EU DSO, propongono all’autorità competente una modifica dei controlli minimi e avanzati di cibersicurezza. La proposta sarà conforme all’, paragrafo 10, e terrà conto dei rischi individuati nella valutazione del rischio a livello regionale.
3. I controlli minimi e avanzati di cibersicurezza sono verificabili attraverso la partecipazione a un sistema nazionale di verifica secondo la procedura di cui all’ o per mezzo di audit di sicurezza condotti da terzi indipendenti conformemente alle prescrizioni di cui all’, paragrafo 2.
4. I controlli minimi e avanzati di cibersicurezza iniziali elaborati a norma del paragrafo 1 si basano sui rischi individuati nella relazione di valutazione del rischio per la cibersicurezza a livello dell’Unione di cui all’, paragrafo 5. I controlli minimi e avanzati di cibersicurezza modificati elaborati a norma del paragrafo 2 si basano sulla relazione di valutazione del rischio per la cibersicurezza a livello regionale di cui all’, paragrafo 2.
5. I controlli minimi di cibersicurezza comprendono controlli per proteggere le informazioni scambiate a norma dell’.
6. Entro 12 mesi dall’approvazione dei controlli minimi e avanzati di cibersicurezza a norma dell’, paragrafo 5, o dopo ciascun aggiornamento a norma dell’, paragrafo 10, i soggetti elencati all’, paragrafo 1, e identificati come soggetti a impatto critico e ad alto impatto a norma dell’, durante la definizione del piano di attenuazione dei rischi a livello di soggetto a norma dell’, paragrafo 5, applicano i controlli minimi di cibersicurezza all’interno del perimetro di alto impatto e i controlli avanzati di cibersicurezza all’interno del perimetro di impatto critico.
Storico versioni
Questo articolo non ha mai subito modificazioni dalla sua pubblicazione.
Le tue annotazioni
Proeli:reg_del:2024:1366:oj#art-29