Art. 41
Gestione delle crisi di cibersicurezza e piani di risposta
In vigore dal 11 mar 2024
Gestione delle crisi di cibersicurezza e piani di risposta
1. Entro 24 mesi dalla notifica all’ACER della relazione di valutazione del rischio a livello dell’Unione, l’ACER, in stretta cooperazione con l’ENISA, l’ENTSO per l’energia elettrica, l’EU DSO, le autorità competenti, le autorità competenti per la cibersicurezza, le autorità competenti per la preparazione ai rischi, le autorità nazionali di regolazione e le autorità nazionali di gestione delle crisi informatiche nei sistemi informatici e di rete, elabora un piano di gestione delle crisi di cibersicurezza e di risposta a livello dell’Unione per il settore dell’energia elettrica.
2. Entro 12 mesi dall’elaborazione, da parte dell’ACER, del piano di gestione delle crisi di cibersicurezza e di risposta a livello dell’Unione per il settore dell’energia elettrica a norma del paragrafo 1, l’autorità competente elabora un piano nazionale di gestione delle crisi di cibersicurezza e di risposta per i flussi transfrontalieri di energia elettrica che tenga conto del piano di gestione delle crisi di cibersicurezza a livello dell’Unione e del piano nazionale di preparazione ai rischi istituito a norma dell’ del regolamento (UE) 2019/941. Tale piano è coerente con il piano di risposta agli incidenti e alle crisi di cibersicurezza su vasta scala a norma dell’, paragrafo 4, della direttiva (UE) 2022/2555. L’autorità competente si coordina con i soggetti a impatto critico e ad alto impatto e con l’autorità competente per la preparazione ai rischi nel proprio Stato membro.
3. Il piano nazionale di risposta agli incidenti e alle crisi di cibersicurezza su vasta scala a norma dell’, paragrafo 4, della direttiva (UE) 2022/2555 è considerato un piano nazionale di gestione delle crisi di cibersicurezza a norma del presente articolo se include disposizioni in materia di gestione delle crisi e risposta alle crisi per i flussi transfrontalieri di energia elettrica.
4. I compiti elencati ai paragrafi 1 e 2 possono essere delegati dagli Stati membri anche ai centri di coordinamento regionali conformemente all’, paragrafo 2, del regolamento (UE) 2019/943.
5. I soggetti a impatto critico e ad alto impatto garantiscono che i loro processi di gestione delle crisi connesse alla cibersicurezza:
a)
dispongano di procedure compatibili di gestione degli incidenti di cibersicurezza a livello transfrontaliero, di cui all’, punto 8), della direttiva (UE) 2022/2555, formalmente integrate nei loro piani di gestione delle crisi;
b)
facciano parte delle attività generali di gestione delle crisi.
6. Entro 12 mesi dalla notifica dei soggetti ad alto impatto e a impatto critico a norma dell’, paragrafo 6, e successivamente ogni tre anni, i soggetti a impatto critico e ad alto impatto elaborano un piano di gestione delle crisi a livello di soggetto per una crisi connessa alla cibersicurezza, che inseriscono nei loro piani generali di gestione delle crisi. Tale piano include almeno:
a)
disposizioni per la dichiarazione dello stato di crisi di cui all’, paragrafi 2 e 3, del regolamento (UE) 2019/941;
b)
ruoli e responsabilità chiari per la gestione delle crisi, compreso il ruolo di altri soggetti pertinenti a impatto critico e ad alto impatto;
c)
informazioni di contatto aggiornate e disposizioni per la comunicazione e la condivisione delle informazioni durante una situazione di crisi, compreso il collegamento con i CSIRT.
7. Le misure per la gestione delle crisi di cui all’, paragrafo 2, lettera c), della direttiva (UE) 2022/2555 sono considerate un piano di gestione delle crisi a livello di soggetto per il settore dell’energia elettrica ai sensi del presente articolo se includono tutti gli elementi elencati al paragrafo 6.
8. I piani di gestione delle crisi sono sperimentati durante le esercitazioni di cibersicurezza di cui agli .
9. I soggetti a impatto critico e ad alto impatto includono i loro piani di gestione delle crisi a livello di soggetto nei loro piani di continuità operativa per i processi a impatto critico e ad alto impatto. I piani di gestione delle crisi a livello di soggetto comprendono:
a)
processi che dipendono dalla disponibilità, dall’integrità e dall’affidabilità dei servizi informatici;
b)
tutti i siti di continuità operativa, compresi quelli per hardware e software;
c)
tutti i ruoli e responsabilità interni connessi ai processi di continuità operativa.
10. I soggetti a impatto critico e ad alto impatto aggiornano i loro piani di gestione delle crisi a livello di soggetto almeno ogni tre anni e ogniqualvolta necessario.
11. L’ACER aggiorna il piano di gestione delle crisi di cibersicurezza e di risposta a livello dell’Unione per il settore dell’energia elettrica elaborato a norma del paragrafo 1 almeno ogni tre anni e ogniqualvolta necessario.
12. L’autorità competente aggiorna il piano nazionale di gestione delle crisi di cibersicurezza e di risposta per i flussi transfrontalieri di energia elettrica elaborato a norma del paragrafo 2 almeno ogni tre anni e ogniqualvolta necessario.
13. I soggetti a impatto critico e ad alto impatto sperimentano i loro piani di continuità operativa almeno una volta ogni tre anni o in seguito a modifiche di rilievo apportate a un processo a impatto critico. L’esito della prova del piano di continuità operativa è documentato. I soggetti a impatto critico e ad alto impatto possono includere la prova del loro piano di continuità operativa nelle esercitazioni di cibersicurezza.
14. I soggetti a impatto critico e ad alto impatto aggiornano il loro piano di continuità operativa ogniqualvolta necessario e almeno una volta ogni tre anni, tenendo conto dell’esito della prova.
15. Se una prova individua carenze nel piano di continuità operativa, il soggetto a impatto critico e ad alto impatto le corregge entro 180 giorni di calendario dalla verifica ed effettua una nuova prova per dimostrare l’efficacia delle misure correttive.
16. Il soggetto a impatto critico o ad alto impatto che non è in grado di correggere le carenze entro 180 giorni di calendario include i motivi nella relazione da trasmettere alla propria autorità competente a norma dell’.
Storico versioni
Questo articolo non ha mai subito modificazioni dalla sua pubblicazione.
Le tue annotazioni
Proeli:reg_del:2024:1366:oj#art-41