Recomendación (UE) 2019/553 de la Comisión, de 3 de abril de 2019, sobre la ciberseguridad en el sector de la energía [notificada con el número C(2019) 2400]

• Section: Recomendación
• Issuing Organization: Comisión de las Comunidades Europeas

5.4.2019 ES Diario Oficial de la Unión Europea L 96/50

LA COMISIÓN EUROPEA,

Visto el Tratado de Funcionamiento de la Unión Europea, y en particular su artículo 292,

Considerando lo siguiente:

(1) El sector europeo de la energía está experimentando un cambio importante hacia una economía descarbonizada, al tiempo que garantiza la seguridad del suministro y la competitividad. En el marco de esa transición energética y la consiguiente descentralización de la generación de electricidad a partir de fuentes renovables, el progreso tecnológico, el acoplamiento sectorial y la digitalización están convirtiendo la red eléctrica europea en una «red inteligente». Al mismo tiempo, esto también conlleva nuevos riesgos, ya que la digitalización expone cada vez más el sistema energético a ciberataques e incidentes que pueden poner en peligro la seguridad del suministro energético.

(2) La adopción de las ocho propuestas legislativas (1) del paquete «Energía limpia para todos los europeos», incluida la gobernanza de la Unión de la Energía como trampolín, permite crear un entorno favorable para la transformación digital del sector de la energía. También reconoce la importancia de la ciberseguridad en el sector de la energía. En particular, la propuesta de Reglamento relativo al mercado interior de la electricidad (2) prevé la adopción de normas técnicas para la electricidad, como los «Códigos de red» sobre normas sectoriales específicas para aspectos de ciberseguridad de los flujos eléctricos transfronterizos, sobre los requisitos mínimos comunes, la planificación, el seguimiento, la notificación y la gestión de crisis. La propuesta de Reglamento sobre la preparación frente a los riesgos en el sector de la electricidad (3) sigue, en líneas generales, el planteamiento elegido en el Reglamento sobre la seguridad del suministro de gas (4), y hace hincapié en la necesidad de evaluar adecuadamente todos los riesgos, también los relativos a la ciberseguridad, y de proponer y adoptar medidas para prevenir y mitigar los riesgos detectados.

(3) La Comisión, al adoptar en 2013 la Estrategia de Ciberseguridad de la Unión Europea (5), determinó que era prioritario reforzar la ciberresiliencia de la Unión. Uno de los pilares de dicha estrategia es la Directiva sobre ciberseguridad («Directiva SRI») (6), que se adoptó en julio de 2016. Como primera pieza de la legislación horizontal de la UE en materia de ciberseguridad, la Directiva SRI aumenta el nivel general de ciberseguridad en la Unión desarrollando las capacidades nacionales en la materia, incrementando la cooperación a escala de la UE e introduciendo requisitos en materia de seguridad y notificación de incidentes para las empresas denominadas «operadores de servicios esenciales». La notificación de incidentes es obligatoria en sectores clave, como el de la energía.

(4) Al aplicar medidas de preparación en materia de ciberseguridad, las partes interesadas, como los operadores de servicios esenciales en el ámbito de la energía a que hace referencia la Directiva SRI, deben tener en cuenta las directrices del Grupo de cooperación establecido por el artículo 11 de la Directiva SRI. El Grupo de cooperación, compuesto por representantes de los Estados miembros, de la Agencia de la Unión Europea para la Ciberseguridad («ENISA») y de la Comisión, ha adoptado documentos de orientación sobre medidas de seguridad y notificación de incidentes. En junio de 2018, el Grupo creó una línea de trabajo específica sobre la energía.

(5) La Comunicación conjunta de 2017 sobre la ciberseguridad (7) reconoce la importancia de las consideraciones sectoriales específicas y de los requisitos a escala de la Unión, también en el sector de la energía. La ciberseguridad y las posibles implicaciones estratégicas han sido objeto de un amplio debate en la Unión en los últimos años. Todo ello quiere decir que hay mayor conciencia de que cada sector de actividad económica se enfrenta a problemas específicos de ciberseguridad, por lo que tiene que desarrollar sus propios enfoques sectoriales en el marco más amplio de las estrategias generales de ciberseguridad.

(6) La confianza y el intercambio de información son elementos clave de la ciberseguridad. La Comisión pretende aumentar el intercambio de información entre las partes interesadas organizando actos específicos, tales como la mesa redonda (Roma, marzo de 2017) o la conferencia de alto nivel (Bruselas, octubre de 2018) sobre ciberseguridad en el sector la energía. La Comisión también desea mejorar la cooperación entre las partes interesadas y entidades especializadas, como el Centro europeo de puesta en común y análisis de la información energética.

(7) El Reglamento relativo a ENISA, la «Agencia de Ciberseguridad de la UE», y a la certificación de la ciberseguridad de las tecnologías de la información y la comunicación («Reglamento de Ciberseguridad» (8))...