Ciberseguretat elèctrica transfronterera UE: correcció normativa 2024 i obligacions per a operadors

Dades clau

Els operadors de xarxa elèctrica i gestors de transport que operen en mercats transfronterizos europeus han de revisar el text corregit del Reglament Delegat (UE) 2024/1366. La correcció d'errors publicada el 19 de maig de 2026 afecta el codi de xarxa que estableix els requisits específics de ciberseguretat per als fluxos transfronterizos d'electricitat a la UE, complementant el Reglament (UE) 2019/943 sobre el mercat interior de l'electricitat.

La correcció té caràcter tècnic, però ignorar-la implica un risc real: els procediments interns de compliment que s'hagin dissenyat sobre el text original amb errors poden no ajustar-se a la versió oficial vàlida.

Què estableix aquesta normativa?

El Reglament Delegat (UE) 2024/1366 crea un codi de xarxa sectorial de ciberseguretat específic per a l'àmbit dels fluxos transfronterizos d'electricitat a la Unió Europea. Aquest codi és d'obligat compliment per als operadors del sector i estableix tres blocs d'obligacions:

• Gestió de riscos de ciberseguretat: els operadors han d'identificar, avaluar i gestionar els riscos cibernètics que afecten els seus sistemes i infraestructures vinculades als fluxos transfronterizos.
• Notificació d'incidents: els incidents de ciberseguretat rellevants han de ser comunicats conforme als procediments establerts en el reglament.
• Mesures de protecció d'infraestructures crítiques energètiques: s'exigeixen controls i salvaguardes específiques per protegir les infraestructures considerades crítiques en el context del mercat elèctric europeu.

La correcció d'errors publicada el 2026 (referència CELEX: 32024R1366R(04)) té naturalesa tècnica: no introdueix noves obligacions ni modifica el fons del reglament, sinó que corregeix errors en el text publicat el 24 de maig de 2024 per garantir la seva correcta aplicació. El reglament original complementa el Reglament (UE) 2019/943, que regula el mercat interior de l'electricitat a nivell europeu.

Impacte econòmic i operatiu

Encara que la correcció és tècnica, el seu impacte operatiu és directe per a qualsevol organització que hagi dissenyat els seus sistemes de compliment sobre el text original. Els efectes pràctics es concentren en tres àrees:

El cost de no revisar el text corregit no és immediat, però sí acumulable: operar amb procediments basats en una versió errònea del reglament pot generar desviacions de compliment que es detectin en auditories o inspeccions posteriors.

A qui afecta?

Aquesta normativa afecta directament les entitats que participen en el mercat elèctric transfronterizo europeu:

• Operadors de xarxa elèctrica amb activitat en fluxos transfronterizos dins de la UE
• Gestors de xarxa de transport (TSOs — Transmission System Operators) que operen en el mercat europeu interconnectat
• Participants en mercats elèctrics transfronterizos UE que gestionen o accedeixen a infraestructures vinculades a aquests fluxos
• Responsables de ciberseguretat i compliment normatiu en empreses del sector energètic amb operacions transfronterizes
• Assessors legals i consultors que presten serveis a entitats del sector elèctric europeu

Exemple pràctic

Un gestor de xarxa de transport elèctric que opera interconnexions entre Espanya i França va dissenyar el juny de 2024 el seu marc intern de ciberseguretat basant-se en el text original del Reglament Delegat (UE) 2024/1366, publicat el 24 de maig de 2024.

Amb la publicació de la correcció d'errors el maig de 2026, aquest operador ha de:

1. Localitzar els punts concrets del text que han estat corregits en la versió CELEX:32024R1366R(04).
2. Comparar aquests punts amb els procediments interns de gestió de riscos i notificació d'incidents que té documentats.
3. Actualitzar qualsevol procediment que s'hagi redactat seguint la redacció errònea del text original.
4. Deixar constància documental de la revisió realitzada, de cara a possibles auditories de compliment normatiu.

Aquest procés de verificació és especialment crític en els apartats relatius a notificació d'incidents i mesures de protecció d'infraestructures crítiques, que són els blocs amb major exposició regulatòria.

Què han de fer les empreses ara?

1. Descarregar el text corregit: accedeix a la versió oficial CELEX:32024R1366R(04) a EUR-Lex i guarda el document com a referència de compliment actualitzada.
2. Identificar els punts corregits: localitza quins articles o apartats han estat modificats per la correcció tècnica i avalua si afecten els teus procediments interns.
3. Revisar la documentació de compliment: compara els teus marcs de gestió de riscos, protocols de notificació d'incidents i mesures de protecció d'infraestructures crítiques amb el text corregit.
4. Actualitzar els procediments afectats: si detectes desviacions respecte al text corregit, actualitza els documents interns i deixa trazabilitat del canvi.
5. Informar als equips responsables: comunica als equips de ciberseguretat, compliment normatiu i operacions l'existència de la correcció i les implicacions per a les seves àrees.
6. Documentar la revisió: registra formalment que s'ha realitzat la verificació de compliment sobre el text corregit, com a evidència davant possibles auditories.