El regulador europeo activó la pasada semana las nuevas reglas de ciberseguridad para el sector eléctrico

La Agencia de la Unión Europea para la Cooperación de los Reguladores de la Energía (ACER) activó la pasada semana las directrices definitivas para el intercambio seguro de información sobre ciberseguridad en las operaciones transfronterizas de electricidad, en cumplimiento del nuevo código de red europeo (NCCS) para la ciberseguridad del sector eléctrico.

Estas directrices, que han entrado ya en vigor, establecen el marco que deberán seguir empresas eléctricas, operadores de mercado, entidades de red y proveedores críticos de servicios TIC, entre otros actores clave, para reportar y compartir información sensible sobre incidentes y riesgos cibernéticos.

Principios clave del intercambio de información

Las directrices de ACER se basan en los principios de protección de la confidencialidad, integridad, disponibilidad y no repudio de la información intercambiada, alineados con la legislación europea y nacional.

Todas las entidades deberán aplicar protocolos y medidas organizativas y técnicas para garantizar que los datos se compartan solo cuando sea necesario ("need-to-know") y bajo estrictas condiciones de anonimato y agregación, especialmente cuando la información pueda afectar a la seguridad del sistema eléctrico europeo.

Protocolos y clasificación de la información

Uno de los aspectos más relevantes del documento es la adopción del Traffic Light Protocol (TLP), un estándar internacional de clasificación que indica el nivel de sensibilidad y las restricciones de difusión mediante un código de colores:

TLP:RED: Solo para destinatarios directos, sin posibilidad de reenvío.

TLP:AMBER: Difusión interna en la organización o con clientes bajo criterio de necesidad.

TLP:GREEN: Compartible con la comunidad del sector, pero no por canales públicos.

TLP:CLEAR: Sin restricciones especiales de difusión.

En los casos de intercambio con organismos europeos como ACER, ENISA o la Comisión Europea, se exigirá un doble marcado: SENSITIVE: TLP:AMBER o superior, y el uso obligatorio de cifrado en las comunicaciones.

Para minimizar los riesgos, el informe recomienda eliminar datos personales y de negocio no esenciales, anonimizar registros y agregar la información en informes estadísticos o regionales, evitando la identificación de empresas o estados miembro afectados por incidentes.

Por ejemplo, en los informes de riesgos a nivel europeo o regional, solo se compartirán datos estadísticos y agregados, y nunca información que permita identificar vulnerabilidades específicas de una entidad.

Flujos de información previstos

Las directrices detallan los principales flujos de información previstos por el NCCS, que incluyen: Notificación de ciberataques y amenazas a los CSIRT y autoridades nacionales; Intercambio de evaluaciones de riesgos a nivel de entidad, región y Unión Europea; Informes agregados de indicadores de desempeño y benchmarking de inversiones en ciberseguridad; Procedimientos para propuestas normativas y operativas del sistema eléctrico e Impacto y próximas etapas.

Con estas directrices, ACER da un paso decisivo para armonizar y robustecer la ciberseguridad del sistema eléctrico europeo, en un contexto de creciente digitalización y amenazas sofisticadas. Se espera que cada Estado miembro adapte sus protocolos internos y que los operadores del sector revisen sus mecanismos de reporte y gestión de incidentes para cumplir con las nuevas obligaciones antes de fin de año.