La información es un activo estratégico de EDP, proporcionando ventajas adicionales en términos de innovación, articulación con socios y calidad de servicio a los clientes. La Política de Seguridad de la Información de EDP contribuye a la correcta gestión y utilización de este bien de indudable valor.

Objetivos en el ámbito de la seguridad de la información

EDP es consciente de que la información gestionada en el Grupo EDP debe asegurar la credibilidad ante el mercado, los clientes y los colaboradores, y para ello tiene como principales objetivos:

• Mantener el compromiso del Grupo EDP con la seguridad de la información, en particular en lo que respecta a garantizar la privacidad y protección de los datos personales y de activos críticos de información;
• Implementar las medidas necesarias para la protección y resiliencia de los activos (instalaciones y sistemas de IT o OT), en sus dimensiones de confidencialidad, integridad y disponibilidad respaldadas por un análisis de riesgo;
• Garantizar el acceso solo a la información estrictamente necesaria, mediante la asignación de privilegios mínimos;
• Asegurar un enfoque estratégico para la seguridad de la información que busque establecer principios basados en la inclusión de medidas de seguridad desde el inicio y el diseño de procesos y soluciones tecnológicas, incluidos los de negocio, así como la validación continua de la seguridad en todo el ciclo de vida de la información;
• Asegurar la resiliencia de los sistemas para sostener la continuidad del negocio del Grupo EDP y la seguridad de la información y los sistemas críticos, contra ataques cibernéticos y otras amenazas;
• Reconociendo el papel de la tecnología en la transición energética, garantizar la adopción de tecnologías mediante un análisis y evaluación de riesgo con impacto, no solo en la organización, sino también en la sociedad, sin menospreciar el aumento de exposición de la organización a ciberataques;
• Establecer un estándar de calidad consistente con la dimensión e importancia de la organización, basado en una cultura de seguridad de la información, promoviendo la sensibilización y formación de los colaboradores y proveedores de bienes o servicios;
• Garantizar la protección física y ambiental para evitar daños e interferencias en la información y los recursos de procesamiento de información del Grupo EDP;
• Colaborar con organizaciones, agencias gubernamentales y asociaciones relevantes para contribuir a la mejora global de la seguridad de la información.

En este sentido, el Grupo EDP ha desarrollado esta política, alineada con las mejores prácticas del mercado, y que sirve de base para el sistema de gestión y organización de Seguridad de la Información.

Compromisos:

El Grupo EDP, suscribiendo las prácticas preconizadas en los referentes internacionalmente reconocidos, se compromete a:

• Garantizar la conformidad con los requisitos legales, contractuales, reglamentarios y recomendaciones u orientaciones en materia de seguridad de la información aplicables al Grupo EDP;
• Proporcionar la infraestructura organizativa y de soporte, asegurando la sostenibilidad y las evidencias necesarias, en alineación con la gestión del riesgo para la seguridad de la información;
• Asegurar los recursos para la operacionalización de los procesos y actividades en el ámbito de la gestión de seguridad de la información, incluso a nivel de sensibilización de colaboradores internos y externos sobre este tema y concienciación de sus respectivas responsabilidades;
• Garantizar la protección de la información del Grupo EDP, incluso en actividades de tratamiento a cargo de proveedores u otras entidades terceras;
• Promover la importancia de la autenticidad de la información, enfatizando el uso de datos genuinos, no adulterados y provenientes de fuentes confiables;
• Promover activamente la cooperación con entidades externas en el ámbito de la prevención y gestión de crisis relacionadas con la ciberseguridad.

Esta política fue aprobada por el Consejo de Administración Ejecutivo de EDP, S.A (CAE) el 14 de noviembre de 2023.