El Coordinador Eléctrico Nacional (“CEN”), entidad a cargo de la coordinación de la operación del conjunto de instalaciones del Sistema Eléctrico Nacional y una de cuyas funciones es preservar la seguridad del servicio en el sistema eléctrico, ha elaborado el Estándar de Ciberseguridad para el Sector Eléctrico (“Estándar de Ciberseguridad”) de acuerdo con lo instruido por la Superintendencia de Electricidad y Combustibles (“SEC”).
El Estándar de Ciberseguridad establece los requisitos y medidas mínimas de ciberseguridad que se deben cumplir en la industria eléctrica nacional con el objeto de prevenir y/o mitigar potenciales ciber amenazas que pongan en riesgo la seguridad y continuidad del servicio de energía eléctrica.
El estándar de ciberseguridad elegido por el CEN para ser adoptado por la industria eléctrica a nivel nacional es la Normativa CIP (Critical Infrastructure Protection) de NERC (North American Electric Reliability Corporation) o NERC-CIP que, de acuerdo con el CEN, contiene aspectos fundamentales para la seguridad de la información e infraestructuras tecnológica y de operación críticas de sistemas eléctricos.
Los requerimientos establecidos en el Estándar de Ciberseguridad son aplicables tanto al CEN como a las Empresas Coordinadas (“Entidades Responsables”), sin perjuicio de lo cual la aplicabilidad específica de este estándar está asociada con existencia de instalaciones o activos que califiquen dentro de alguna las categorías de calificación de impacto establecidas en éste (alto, medio, o bajo).
Así, las Entidades Responsables estarán obligadas a implementar los requerimientos establecidos en el Estándar Ciberseguridad dentro de los plazos que ésta señala y que contemplan períodos de marcha blanca que van desde los tres (3) hasta los veinticuatro (24) meses.
Las Entidades Responsables deberán monitorear e informar anualmente a la SEC, dentro del primer trimestre de cada año en el formato que la SEC defina, el nivel de cumplimiento de las medidas de control para cada requerimiento.
Asimismo, las Entidades Responsables estarán obligadas a notificar al CEN y la SEC los incidentes de ciberseguridad reportables dentro de una hora desde que el incidente ha sido detectado, por medio del Encargado CIP con el que cada entidad deberá contar.
Por último, las Entidades Responsables deberán mantener registros de evidencias y medidas de control por un periodo de al menos 3 años, el cual se podría extender según lo requiera la SEC en caso de existir una investigación en curso como resultado de una auditoría. Además, la SEC podrá instruir auditorias de cumplimiento y/o certificaciones por parte de terceros especializados en materias de ciberseguridad a fin de verificar el cumplimiento del estándar.
[box type="info"]El Estándar de Ciberseguridad es un documento extenso y complejo que recomendamos revisar en detalle con sus equipos de TI y legales. Quedamos atentos para a para ayudarlos a determinar el impacto operacional de las nuevas obligaciones.[/box]