Art. 43
Esercitazioni di cibersicurezza a livello di soggetto e di Stato membro
In vigore dal 11 mar 2024
Esercitazioni di cibersicurezza a livello di soggetto e di Stato membro
1. Entro il 31 dicembre dell’anno successivo alla notifica dei soggetti ad impatto critico, e successivamente ogni tre anni, il soggetto ad impatto critico effettua un’esercitazione di cibersicurezza comprendente uno o più scenari con attacchi informatici che incidono direttamente o indirettamente sui flussi transfrontalieri di energia elettrica e relativi ai rischi individuati durante le valutazioni del rischio per la cibersicurezza a livello di Stato membro e di soggetto conformemente all’ e all’.
2. In deroga al paragrafo 1, le autorità competenti per la preparazione ai rischi, previa consultazione dell’autorità competente e della pertinente autorità di gestione delle crisi di cibersicurezza designata o istituita a norma dell’ della direttiva (UE) 2022/2555, possono decidere di organizzare un’esercitazione di cibersicurezza a livello di Stato membro, come descritto al paragrafo 1, anziché a livello di soggetto. A tale riguardo, l’autorità competente informa:
a)
tutti i soggetti a impatto critico del proprio Stato membro, l’autorità nazionale di regolazione, i CSIRT e le autorità competenti per la cibersicurezza al più tardi entro il 30 giugno dell’anno precedente l’esercitazione di cibersicurezza a livello di soggetto;
b)
ciascun soggetto che partecipa all’esercitazione di cibersicurezza a livello di Stato membro al più tardi 6 mesi prima dello svolgimento dell’esercitazione.
3. L’autorità competente per la preparazione ai rischi, con il sostegno tecnico dei suoi CSIRT, organizza l’esercitazione di cibersicurezza di cui al paragrafo 2 a livello di Stato membro in modo indipendente o nel contesto di una diversa esercitazione di cibersicurezza nel medesimo Stato membro. Al fine di poter raggruppare tali esercitazioni, l’autorità competente per la preparazione ai rischi può rinviare di un anno l’esercitazione di cibersicurezza a livello di Stato membro di cui al paragrafo 1.
4. Le esercitazioni di cibersicurezza a livello di soggetto e di Stato membro sono coerenti con i quadri nazionali di gestione delle crisi informatiche conformemente all’, paragrafo 4, lettera d), della direttiva (UE) 2022/2555.
5. Entro il 31 dicembre 2026, e successivamente ogni tre anni, l’ENTSO per l’energia elettrica, in cooperazione con l’EU DSO, mette a disposizione un modello di scenario di esercitazione per effettuare le esercitazioni di cibersicurezza a livello di soggetto e di Stato membro di cui al paragrafo 1. Il modello tiene conto dei risultati della più recente valutazione del rischio per la cibersicurezza a livello di soggetto e di Stato membro e include i principali criteri di riuscita. L’ENTSO per l’energia elettrica e l’EU DSO coinvolgono l’ACER e l’ENISA nell’elaborazione del modello.
Storico versioni
Questo articolo non ha mai subito modificazioni dalla sua pubblicazione.
Le tue annotazioni
Proeli:reg_del:2024:1366:oj#art-43