La Red Europea de Gestores de Redes de Transporte de Electricidad (ENTSO-E), en cooperación con DSO Entity, ha desarrollado una propuesta de metodología para la escala de clasificación de ciberataques. La propuesta se someterá a consulta pública durante el plazo de un mes, hasta el 14 de febrero de 2025. El documento ayudará a las entidades de alto impacto y de impacto crítico a evaluar si un ciberataque es denunciable de acuerdo con el Código de Red para la Ciberseguridad (NCCS), al comprender el nivel de gravedad de un ciberataque.
La gravedad de un ciberataque se basa en el impacto potencial y la gravedad del ciberataque. El impacto potencial está determinado por los tipos de activos afectados, y la gravedad del ciberataque se estima de acuerdo con la posición de un atacante en la cadena de ataque.
La propuesta de metodología de escala de clasificación de ciberataques proporciona las reglas para clasificar la gravedad de un ciberataque según cinco niveles, siendo los niveles alto y crítico los dos niveles más altos.
Cuando las entidades de alto impacto y de impacto crítico evalúen la gravedad del ciberataque como crítica o alta, deben compartir la información relevante con las autoridades competentes en un plazo máximo de cuatro horas después de evaluar que el ciberataque es denunciable.
Escala de clasificación de los ciberataques
La propuesta que se somete a consulta pública se basa en la metodología de escala de clasificación de los ciberataques de conformidad con el artículo 37 (8) del Reglamento (UE) 2024/1366 de la Comisión Europea, de 11 de marzo de 2024, por el que se establece un código de red para los aspectos de ciberseguridad de los flujos transfronterizos de electricidad.
Dado que las metodologías se aplicarán a diversas entidades, es fundamental que ENTSO-E y DSO Entity las utilicen con claridad y les resulten útiles. Por ello, se ha decidido poner en marcha una consulta pública para garantizar que las distintas partes interesadas puedan dar su opinión sobre el documento antes de enviarlo a las autoridades competentes para su aprobación final. Se podrá participar en la consulta pública hasta el 14 de febrero. El documento de la propuesta está disponible en el enlace de la consulta.
El próximo 27 de enero, de 11:00 a 12:00 horas (CET), se celebrará un taller online para abordar los diferentes aspectos de esta consulta pública sobre la metodología de escala de clasificación de ciberataques.