+49 155 609 62044contact@vamisec.com
Reservar cita
Reglamento NCCS UE 2024/1366 | Artículo 37(8)

Clasificar el ciberataque.
Notificarlo correctamente.
Evitar la responsabilidad.

La ENTSO-E Cyber-Attack Classification Scale (CACS) obliga a proveedores de energía, operadores de red e infraestructuras críticas a clasificar y notificar sistemáticamente los ciberataques. La metodología está en vigor desde el 13 de junio de 2025.

Los niveles de Gravity High y Critical son notificables conforme al art. 38(4) NCCS — responsabilidad personal de la dirección.
Asesoramiento inicial CACS gratuitoComprender la metodología →
Valeri Milke – VamiSec
Valeri MilkeCEO & Founder, VamiSec GmbHISO 27001 Lead Auditor | Experto NCCS
Reservar cita
5Niveles de gravedad (Gravity Levels)
En vigorNCCS válido desde el 13 de junio de 2025
Art. 38(4)Obligación de notificar: High & Critical
TSO & DSOActores energéticos afectados
Marco regulatorio

Cuatro reglamentos. Una obligación.

La metodología CACS se enmarca en un entorno regulatorio europeo complejo. Quien opere como actor energético debe entender todas las capas.

Art. 37(8)

NCCS Regl. UE 2024/1366

Obliga a TSO y DSO a aplicar la metodología CACS. La metodología está en vigor desde el 13 de junio de 2025.

Art. 23

Directiva NIS2 2022/2555

Obligaciones de notificación de incidentes significativos en 24 horas (Early Warning) y 72 horas (Notification).

Art. 3(14)

DORA Regl. UE 2022/2554

Definición de «ciberataque» — CACS utiliza esta definición como base para diferenciar malicious / not malicious.

Art. 19

Regl. Electricidad UE 2019/943

La evaluación de riesgos a escala de la Unión identifica los procesos High-Impact y Critical-Impact como base de la clasificación de activos.

¿Quién está afectado?

Operadores de red de transporte (TSO)
Operadores de red de distribución (DSO)
Bolsas eléctricas y sistemas de trading
Infraestructura IT/OT crítica del sector energético
Operadores de sistemas SCADA e ICS
Proveedores cloud e IT para suministradores de energía
Metodología | Art. 4–7 CACS

Del evento a la obligación de notificación

Cada evento de seguridad atraviesa este proceso de evaluación en 4 etapas. Con cada cambio de parámetro debe repetirse la clasificación (art. 7.3).

01
Art. 4

Root Cause

Determinar la causa

¿El origen del evento es intencionado (malicious), no intencionado o poco claro (uncertain)? Solo malicious o uncertain se consideran ciberataque.

  • Malicious → Ciberataque
  • Uncertain → Ciberataque
  • Not Malicious → Sin notificación
02
Art. 5

Potential Impact

Perímetro afectado

¿Qué activos están afectados? ¿Pertenecen al perímetro High-Impact o Critical-Impact según art. 26(4)(c) NCCS?

  • Low PI: ningún activo High/Critical
  • High PI: activo High-Impact afectado
  • Critical PI: activo Critical-Impact afectado
03
Art. 6

Severity

Severidad del ataque (MITRE)

¿Hasta dónde ha avanzado el atacante? Basado en su posición en MITRE ATT&CK Kill Chain (Enterprise & ICS).

  • Low: Recon, Resource Dev, Initial Access
  • High: Execution hasta Discovery
  • Critical: Lateral Movement hasta Impact
04
Art. 7

Gravity

Evaluación global

La combinación de Potential Impact y Severity da el nivel de gravedad final. High y Critical son notificables conforme al art. 38(4) NCCS.

  • To Follow / Medium / Important
  • High → Notificable
  • Critical → Notificable
Art. 4: Not MaliciousNo notificable
Art. 5: Low Potential ImpactNo notificable
Art. 7: To Follow / Medium / ImportantNo notificable
Art. 7: High o Critical GravityNotificable — Art. 38 NCCS
Anexo I – Metodología CACS

Matriz de gravedad & MITRE Kill Chain

Potential Impact × Severity = Gravity Level. Las celdas marcadas con ★ son notificables conforme al art. 38(4) NCCS.

Matriz de gravedad (Art. 7)

Low PI
High PI
Critical PI
Low Severity
To Follow
Medium
Important
High Severity
Medium
High★ Obligatorio
High★ Obligatorio
Critical Severity
Important
High★ Obligatorio
Critical★ Obligatorio
To Follow
Medium
Important
High ★
Critical ★

MITRE ATT&CK Kill Chain (Art. 6)

Low Severity

El atacante intenta acceder a uno o varios activos.

ReconnaissanceResource DevelopmentInitial Access
High Severity

El atacante dispone al menos de acceso limitado a uno o varios activos.

ExecutionPersistencePrivilege EscalationDefense EvasionCredential AccessDiscovery
Critical Severity

Más de un activo está afectado por lateral movement o el atacante puede interrumpir procesos.

Lateral MovementCollectionCommand & ControlExfiltrationInhibit Response FunctionImpair Process ControlImpact
Asesoría CACS de VamiSec

Le hacemos CACS-ready.

Desde el análisis de brechas hasta un proceso de notificación completo — VamiSec le acompaña en todo el camino hacia la conformidad NCCS art. 37(8).

Clasificación de activos

Identificación y asignación de sus activos a los perímetros High-Impact y Critical-Impact según art. 26(4)(c) NCCS.

Marco Root Cause

Desarrollo de procesos internos para una evaluación rápida y conforme de las causas de los eventos de seguridad.

Mapping MITRE ATT&CK

Integración de los frameworks MITRE ATT&CK Enterprise e ICS para una evaluación automática de la severidad.

Análisis de brechas CACS

Inventario: ¿dónde está hoy su organización? ¿Qué falta para una conformidad NCCS art. 37(8) completa?

Procesos de notificación (Art. 38)

Implantación de procedimientos de notificación conformes para incidentes High y Critical Gravity ante autoridades nacionales y CSIRT.

Formación y tabletop CACS

Formaciones prácticas y simulación de incidentes para su SOC, TI y dirección — incluidos ejercicios de clasificación CACS.

Contacto directo

La conformidad CACS empieza con una conversación.

La metodología CACS es obligatoria desde el 13 de junio de 2025. Muchos suministradores de energía aún no han completado la implantación — sobre todo la clasificación de activos y la integración MITRE.

Nuestro equipo conoce los requisitos NCCS desde la práctica y ya ha acompañado a varios TSO y DSO en la implantación. Certificado ISO 27001.

  • ISO 27001 Lead Auditor & Lead Implementer
  • Expertos en conformidad NCCS & NIS2
  • MITRE ATT&CK Practitioner (Enterprise & ICS)
  • Experiencia en el sector energético (proyectos TSO/DSO)
Reservar asesoramiento inicialcontact@vamisec.com
Valeri Milke
Valeri MilkeCEO & Founder

¿Sus procesos están CACS-ready?

La metodología CACS está en vigor. Solicite ahora un análisis de brechas gratuito y asegure la conformidad.

Reservar asesoramiento inicial gratuito