Acuerdo 1043 Por el cual se aprueba la modificación del documento de "Condiciones mínimas de seguridad e integridad para la transmisión de las lecturas desde los medidores hacia el Centro de Gestión de Medidas y entre este último y el ASIC | ||
Acuerdo Número:
1043 |
Fecha de expedición:
26 Febrero, 2018 |
Fecha de entrada en vigencia:
26 Febrero, 2018 |
Sustituye Acuerdo: | ||
El Consejo Nacional de Operación en uso de sus facultades legales, en especial las conferidas en el Artículo 36 de la Ley 143 de 1994, el Anexo general de la Resolución CREG 025 de 1995, su Reglamento Interno y según lo acordado en la reunión no presencial No. 531 del 26 de febrero de 2018 y, |
Que la CREG expidió la Resolución 038 de 2014 "Por la cual se modifica el Código de Medida contenido en el Anexo general del Código de Redes", la cual fue publicada en el Diario Oficial el 14 de mayo de 2014.
Que en el artículo 17 de la Resolución CREG 038 de 2014 se prevé que: "Protección de datos. Los representantes de las fronteras deben asegurar que los medidores, tanto el principal como el de respaldo, de las fronteras comerciales con reporte al ASIC cuenten con un sistema de protección de datos así: a) El almacenamiento de las mediciones y parámetros de configuración del medidor debe realizarse en memoria no volátil. b) La interrogación local y remota de las mediciones y la configuración de los parámetros del medidor debe tener como mínimo dos (2) niveles de acceso y emplear contraseña para cada usuario. c) La transmisión de los datos entre el medidor y el Centro de Gestión de Medidas y entre este último y el ASIC deben sujetarse a los requerimientos mínimos de seguridad e integridad definidos por el CNO de acuerdo con lo señalado en el parágrafo de este artículo. (…) Parágrafo 1: Las condiciones mínimas de seguridad e integridad para la transmisión de las lecturas desde los medidores hacia el Centro de Gestión de Medidas y entre este último y el ASIC deben ser definidas por el CNO considerando: los riesgos potenciales, la flexibilidad, escalabilidad, interoperabilidad, eficiencia y economía para el intercambio de los datos de las mediciones y el acceso a los diferentes sistemas de información. Tales condiciones mínimas deben ser publicadas dentro de los cuatro (4) meses siguientes a la entrada en vigencia de la presente resolución. Antes de adoptar las condiciones mínimas, el CNO debe poner en conocimiento del Administrador del Sistema de Intercambios Comerciales, ASIC, del Comité Asesor de Comercialización, CAC, y agentes y demás interesados, la propuesta de condiciones mínimas de seguridad e integridad para la transmisión de las lecturas de las fronteras comerciales para sus comentarios."
Que el artículo 18 de la misma resolución dispone lo siguiente: Centro de Gestión de Medidas, CGM. (…) "La interrogación de los medidores debe sujetarse a lo establecido en el artículo 17 de esta resolución y emplear los canales de comunicación, tanto primarios como de respaldo, que el RF considere necesarios para garantizar el reporte de las lecturas de los medidores. Además de las funciones ya señaladas, el CGM empleado por el representante de la frontera debe realizar las establecidas en el Anexo 3 de la presente resolución. El almacenamiento de los datos en el CGM debe garantizar la integridad de las mediciones registradas y su disponibilidad por un período de al menos dos (2) años contados a partir del día de la lectura. Además, debe cumplir con los requisitos de protección de los datos establecidos en el artículo 17 de la presente resolución. EL CGM empleado por el RF debe mantener documentados los procedimientos que realice para el cumplimiento de los requisitos de este artículo. La información almacenada y los procedimientos documentados deben estar disponibles para su verificación por las autoridades competentes y por quien realice las verificaciones de que trata esta resolución. El RF debe asegurar la adecuación de los sistemas de medición y sus procedimientos dentro de los 24 meses siguientes a la entrada en vigencia de la presente resolución para dar cumplimiento a lo señalado en este artículo. Superado el plazo establecido, el único mecanismo de reporte de las lecturas es el señalado en el artículo 37 de esta resolución." (…)
Que en el numeral 5 del literal a) del Anexo 8 de la Resolución CREG 038 de 2017 se prevé lo siguiente: "El procedimiento empleado para la interrogación, el almacenamiento, la consolidación de las mediciones en el CGM y el reporte de estas al ASIC debe ser automático."
Que en desarrollo del mandato regulatorio, el Consejo expidió el Acuerdo 701 del 16 de septiembre de 2014, por el cual se aprobó el documento de "Condiciones mínimas de seguridad e integridad para la transmisión de las lecturas desde los medidores hacia el Centro de Gestión de Medidas y entre este último y el ASIC".
Que el Consejo expidió el Acuerdo 1004 del 11 de agosto de 2017, que sustituyó el Acuerdo 701 de 2014, en el que se hicieron ajustes al documento de "Condiciones mínimas de seguridad e integridad para la transmisión de las lecturas desde los medidores hacia el Centro de Gestión de Medidas y entre este último y el ASIC".
Que teniendo en cuenta las inquietudes recibidas y manifestadas en la reunión del Comité Tecnológico y en el CAC sobre la aplicación del Acuerdo 1004 de 2017 y la necesidad de dar cumplimiento al requisito de socializar el documento anexo del Acuerdo 1004 de 2017 en los términos previstos en el último párrafo del artículo 17 de la Resolución CREG 038 de 2014, el Comité Legal recomendó al Consejo en la reunión 98 del 20 de noviembre de 2017 socializar el documento de "Condiciones mínimas de seguridad e integridad para la transmisión de las lecturas desde los medidores hacia el Centro de Gestión de Medidas y entre este último y el ASIC" y la propuesta de acuerdo, por los siguientes medios:
- Página WEB del CNO
- Un aviso en un diario de amplia circulación que salga el viernes, sábado y domingo, que invite a consultarlo en la página y a enviar comentarios
- La expedición de una Circular dirigida a los representantes de fronteras comerciales que invite a consultarlo en la página y a enviar comentarios
- Envío al ASIC para comentarios
- Envío al CAC para comentarios
Que el Consejo dando cumplimiento a lo previsto en el parágrafo 1 del artículo 17 de la Resolución CREG 038 de 2014, de socialización del documento de "Condiciones mínimas de seguridad e integridad para la transmisión de las lecturas desde los medidores hacia el Centro de Gestión de Medidas y entre este último y el ASIC" y la propuesta de acuerdo; publicó los documentos antes mencionados en la página WEB del CNO, los envió al CAC y al ASIC, expidió la Circular 22 del 24 de noviembre de 2017 dirigida a los agentes del SIN, y publicó el 24, 25 y 26 de noviembre de 2017 en el periódico El Tiempo un aviso dirigido a los representantes de fronteras comerciales a conocer los mismos documentos y enviar sus comentarios hasta el 3 de diciembre de 2017.
Que dentro del plazo previsto para recibir comentarios de la Circular 22 de 2017, se recibieron comentarios de las siguientes empresas: GECELCA S.A. E.S.P., ELECTRICARIBE S.A. E.S.P. (intervenida), CELSIA S.A. E.S.P., AES CHIVOR S.A. E.S.P., DICEL S.A. E.S.P., ENERTOTAL S.A. E.S.P., RUITOQUE S.A. E.S.P., EMCALI EICE E.S.P., INTERCOLOMBIA S.A. E.S.P., XM S.A. E.S.P. y EPM E.S.P.
Que la Comisión de Ciberseguridad analizó los comentarios recibidos y les dio respuesta en documento que se publicó en la página WEB del CNO.
Que el Comité Tecnológico en la reunión 66 del 12 de febrero de 2018 revisó el documento de respuesta a los comentarios recibidos al Acuerdo 1004 y recomendó al Consejo la expedición del presente Acuerdo.
Que la CREG expidió la Resolución 038 de 2014 "Por la cual se modifica el Código de Medida contenido en el Anexo general del Código de Redes", la cual fue publicada en el Diario Oficial el 14 de mayo de 2014.
Que en el artículo 17 de la Resolución CREG 038 de 2014 se prevé que: "Protección de datos. Los representantes de las fronteras deben asegurar que los medidores, tanto el principal como el de respaldo, de las fronteras comerciales con reporte al ASIC cuenten con un sistema de protección de datos así: a) El almacenamiento de las mediciones y parámetros de configuración del medidor debe realizarse en memoria no volátil. b) La interrogación local y remota de las mediciones y la configuración de los parámetros del medidor debe tener como mínimo dos (2) niveles de acceso y emplear contraseña para cada usuario. c) La transmisión de los datos entre el medidor y el Centro de Gestión de Medidas y entre este último y el ASIC deben sujetarse a los requerimientos mínimos de seguridad e integridad definidos por el CNO de acuerdo con lo señalado en el parágrafo de este artículo. (…) Parágrafo 1: Las condiciones mínimas de seguridad e integridad para la transmisión de las lecturas desde los medidores hacia el Centro de Gestión de Medidas y entre este último y el ASIC deben ser definidas por el CNO considerando: los riesgos potenciales, la flexibilidad, escalabilidad, interoperabilidad, eficiencia y economía para el intercambio de los datos de las mediciones y el acceso a los diferentes sistemas de información. Tales condiciones mínimas deben ser publicadas dentro de los cuatro (4) meses siguientes a la entrada en vigencia de la presente resolución. Antes de adoptar las condiciones mínimas, el CNO debe poner en conocimiento del Administrador del Sistema de Intercambios Comerciales, ASIC, del Comité Asesor de Comercialización, CAC, y agentes y demás interesados, la propuesta de condiciones mínimas de seguridad e integridad para la transmisión de las lecturas de las fronteras comerciales para sus comentarios."
Que el artículo 18 de la misma resolución dispone lo siguiente: Centro de Gestión de Medidas, CGM. (…) "La interrogación de los medidores debe sujetarse a lo establecido en el artículo 17 de esta resolución y emplear los canales de comunicación, tanto primarios como de respaldo, que el RF considere necesarios para garantizar el reporte de las lecturas de los medidores. Además de las funciones ya señaladas, el CGM empleado por el representante de la frontera debe realizar las establecidas en el Anexo 3 de la presente resolución. El almacenamiento de los datos en el CGM debe garantizar la integridad de las mediciones registradas y su disponibilidad por un período de al menos dos (2) años contados a partir del día de la lectura. Además, debe cumplir con los requisitos de protección de los datos establecidos en el artículo 17 de la presente resolución. EL CGM empleado por el RF debe mantener documentados los procedimientos que realice para el cumplimiento de los requisitos de este artículo. La información almacenada y los procedimientos documentados deben estar disponibles para su verificación por las autoridades competentes y por quien realice las verificaciones de que trata esta resolución. El RF debe asegurar la adecuación de los sistemas de medición y sus procedimientos dentro de los 24 meses siguientes a la entrada en vigencia de la presente resolución para dar cumplimiento a lo señalado en este artículo. Superado el plazo establecido, el único mecanismo de reporte de las lecturas es el señalado en el artículo 37 de esta resolución." (…)
Que en el numeral 5 del literal a) del Anexo 8 de la Resolución CREG 038 de 2017 se prevé lo siguiente: "El procedimiento empleado para la interrogación, el almacenamiento, la consolidación de las mediciones en el CGM y el reporte de estas al ASIC debe ser automático."
Que en desarrollo del mandato regulatorio, el Consejo expidió el Acuerdo 701 del 16 de septiembre de 2014, por el cual se aprobó el documento de "Condiciones mínimas de seguridad e integridad para la transmisión de las lecturas desde los medidores hacia el Centro de Gestión de Medidas y entre este último y el ASIC".
Que el Consejo expidió el Acuerdo 1004 del 11 de agosto de 2017, que sustituyó el Acuerdo 701 de 2014, en el que se hicieron ajustes al documento de "Condiciones mínimas de seguridad e integridad para la transmisión de las lecturas desde los medidores hacia el Centro de Gestión de Medidas y entre este último y el ASIC".
Que teniendo en cuenta las inquietudes recibidas y manifestadas en la reunión del Comité Tecnológico y en el CAC sobre la aplicación del Acuerdo 1004 de 2017 y la necesidad de dar cumplimiento al requisito de socializar el documento anexo del Acuerdo 1004 de 2017 en los términos previstos en el último párrafo del artículo 17 de la Resolución CREG 038 de 2014, el Comité Legal recomendó al Consejo en la reunión 98 del 20 de noviembre de 2017 socializar el documento de "Condiciones mínimas de seguridad e integridad para la transmisión de las lecturas desde los medidores hacia el Centro de Gestión de Medidas y entre este último y el ASIC" y la propuesta de acuerdo, por los siguientes medios:
- Página WEB del CNO
- Un aviso en un diario de amplia circulación que salga el viernes, sábado y domingo, que invite a consultarlo en la página y a enviar comentarios
- La expedición de una Circular dirigida a los representantes de fronteras comerciales que invite a consultarlo en la página y a enviar comentarios
- Envío al ASIC para comentarios
- Envío al CAC para comentarios
Que el Consejo dando cumplimiento a lo previsto en el parágrafo 1 del artículo 17 de la Resolución CREG 038 de 2014, de socialización del documento de "Condiciones mínimas de seguridad e integridad para la transmisión de las lecturas desde los medidores hacia el Centro de Gestión de Medidas y entre este último y el ASIC" y la propuesta de acuerdo; publicó los documentos antes mencionados en la página WEB del CNO, los envió al CAC y al ASIC, expidió la Circular 22 del 24 de noviembre de 2017 dirigida a los agentes del SIN, y publicó el 24, 25 y 26 de noviembre de 2017 en el periódico El Tiempo un aviso dirigido a los representantes de fronteras comerciales a conocer los mismos documentos y enviar sus comentarios hasta el 3 de diciembre de 2017.
Que dentro del plazo previsto para recibir comentarios de la Circular 22 de 2017, se recibieron comentarios de las siguientes empresas: GECELCA S.A. E.S.P., ELECTRICARIBE S.A. E.S.P. (intervenida), CELSIA S.A. E.S.P., AES CHIVOR S.A. E.S.P., DICEL S.A. E.S.P., ENERTOTAL S.A. E.S.P., RUITOQUE S.A. E.S.P., EMCALI EICE E.S.P., INTERCOLOMBIA S.A. E.S.P., XM S.A. E.S.P. y EPM E.S.P.
Que la Comisión de Ciberseguridad analizó los comentarios recibidos y les dio respuesta en documento que se publicó en la página WEB del CNO.
Que el Comité Tecnológico en la reunión 66 del 12 de febrero de 2018 revisó el documento de respuesta a los comentarios recibidos al Acuerdo 1004 y recomendó al Consejo la expedición del presente Acuerdo.
Aprobar la modificación del documento "Condiciones mínimas de seguridad e integridad para la transmisión de las lecturas desde los medidores hacia el Centro de Gestión de Medidas y entre este último y el ASIC", que se encuentra en el Anexo del presente Acuerdo y hace parte integral del mismo.
Para el cumplimiento y verificación de los procedimientos de protección de datos según lo señalado en el artículo 17 y 18 de la Resolución CREG 038 de 2014, se deberán tener en cuenta los periodos de vigencia de los Acuerdos así:
- El periodo de vigencia del Acuerdo 701 inició el 14 de septiembre de 2014 hasta el 10 de agosto de 2017.
- El periodo de vigencia del Acuerdo 1004 inició el 11 de agosto de 2017 y hasta el 25 de febrero de 2018.
El presente Acuerdo rige a partir de la fecha de su expedición y sustituye el Acuerdo 1004 de 2017.
Aprobar la modificación del documento "Condiciones mínimas de seguridad e integridad para la transmisión de las lecturas desde los medidores hacia el Centro de Gestión de Medidas y entre este último y el ASIC", que se encuentra en el Anexo del presente Acuerdo y hace parte integral del mismo.
Para el cumplimiento y verificación de los procedimientos de protección de datos según lo señalado en el artículo 17 y 18 de la Resolución CREG 038 de 2014, se deberán tener en cuenta los periodos de vigencia de los Acuerdos así:
- El periodo de vigencia del Acuerdo 701 inició el 14 de septiembre de 2014 hasta el 10 de agosto de 2017.
- El periodo de vigencia del Acuerdo 1004 inició el 11 de agosto de 2017 y hasta el 25 de febrero de 2018.
El presente Acuerdo rige a partir de la fecha de su expedición y sustituye el Acuerdo 1004 de 2017.