Dar a conocer los avances que se han realizado en los 3 Grupos de Trabajo.
Colombia Inteligente hace una presentación sobre los puntos más relevantes del estudio de cumplimiento de la guía de ciberseguridad.
AES pide verificar la posibilidad de realizar el análisis por rango de tipo de plantas y poder entender la gestión que han estado realizando las diferentes plantas y plantear la opción de disminuir los requisitos de los activos críticos.
Juan Camilo de XM presenta los avances de los grupos de trabajo de seguridad en plantas menores, mejoras al acuerdo 1502 y reporte de incidentes, indicando los siguientes pasos y las fechas de las próximas sesiones:
Seguridad en plantas menores: 16 de junio (Virtual)
Mejoras al acuerdo 1502: 31 de mayo (Híbrido)
Reporte de incidentes: 07 de junio (virtual)
También se realizan algunas preguntas que han surgido durante las sesiones de trabajo:
Plantas menores:
Revisar si los acuerdos son penalizables en caso de no cumplimiento.
RESPUESTA: Los Acuerdos son de obligatorio cumplimiento de los agentes del SIN y el operador del Sistema, por mandato legal. Son objeto de vigilancia, inspección y control de la SSPD.
Si las plantas menores no tienen participación ¿cómo sería la divulgación de los acuerdos?
RESPUESTA: Actualmente, por mandato legal (Ley 2099 de 2021) uno de los miembros del CNO es un representante de las empresas que generan de forma exclusiva con FNCER. Se consideran FNCER las siguientes actividades, de acuerdo con lo previsto en la Ley 1715 de 2014 modificada por la Ley 2294 de 2023: “17. Fuentes No Convencionales de Energía Renovable (FNCER). Son aquellos recursos de energía renovable disponibles a nivel mundial que son ambientalmente sostenibles, pero que en el país no son empleados o son utilizados de manera marginal y no se comercializan ampliamente. Se consideran FNCER la biomasa, los pequeños aprovechamientos hidroeléctricos, la eólica, la geotérmica, la solar y los mares. Otras fuentes podrán ser consideradas como FNCER según lo determine la UPME.” En el Numeral 10 del artículo 5 de la Ley 1715 de 2014 modificado por el artículo 235 de la Ley 2294 de 2023: se prevé lo siguiente sobre pequeños aprovechamientos hidroeléctricos: “10. Energía de pequeños aprovechamientos hidroeléctricos: Energía obtenida a partir de cuerpos de agua de pequeña escala, instalada a filo de agua y de capacidad menor a los 50 MW." Teniendo en cuenta la definición regulatoria de las plantas menores, que corresponde a aquellas que tienen una capacidad inferior a 20 MW, se entiende que las empresas representantes de estas plantas, se incluyen en el grupo que selecciona el miembro del CNO que representa a los generadores que de forma exclusiva lo hacen con FNCER. Por lo anterior, el CNO tiene un representante de los generadores FNCRE, que para el 2024 es Energía del Suroeste. Es importante tener en cuenta lo anterior, para efectos de divulgación y revisión del Acuerdo. La divulgación en este caso se hace a la base de datos que XM tiene sobre empresas que representan plantas menores y a través de su representante en el CNO
Revisar los estatutos para plantas menores en cuanto a la participación de los comités del CNO.
RESPUESTA: Ver respuesta anterior.
Implicación legal documento del DOCUMENTO CREG-065 30 DE AGOSTO DE 2019 o si esto ya no es vigente (adjunto archivos).
RESPUESTA: El Documento CREG 065 de 2019, Estrategia integral de ciberseguridad del sector eléctrico, fue un documento en consulta (Proyecto) que se sometió a consideración para consulta y comentarios públicos el 11 de septiembre de 2019 y con un plazo hasta el 31 de octubre de 2019 para enviar comentarios. Teniendo en cuenta que fue un documento en consulta y no un documento definitivo, no es un documento de obligatorio cumplimiento, si no de referencia. Sobre la gobernanza de la seguridad digital debe tenerse en cuenta lo previsto en el Decreto 338 de 2022.
Ajustes al acuerdo:
Si el acuerdo 1502 sufre cambios tenemos, entendido que su actualización sale como un nuevo acuerdo. Siendo de esta forma, ¿quisiéramos saber si el tiempo de implementación empezaría nuevamente desde su nueva publicación?
RESPUESTA: cualquier cambio que se haga a un ACUERDO CNO entra en vigencia a partir de la fecha de su expedición y hacia el futuro. El tema de los plazos no se desconoce y se generan nuevos plazos a partir de la fecha de expedición del nuevo acuerdo. Los nuevos requisitos se empiezan a exigir a partir del momento de entrada en vigencia. A la hora de redactar se debe tener cuidado con las obligaciones del pasado.
El tema de capacitaciones sobre conciencia de ciberseguridad, políticas, lineamientos, entre otros para terceros que implicaciones legales puede tener para una empresa la empresa contratante. También que consideraciones legales se debe de tener para hacer estudios de seguridad a los terceros (punto 5.2.3, 5.3.3, 5.3.5 del acuerdo)
RESPUESTA: Con los terceros se maneja a través del contrato, solicitando al tercero que se cumplan los puntos de la guía. En la guía se debe establecer puntos que sean cumplibles.
Se adjuntan documentos de los avances de cada uno de los Grupos de Trabajo.