ROZDZIAŁ I

PRZEPISY OGÓLNE

Artykuł 1

Przedmiot

W niniejszym rozporządzeniu ustanawia się kodeks sieci określający zasady sektorowe dotyczące aspektów cyberbezpieczeństwa w transgranicznych przepływach energii elektrycznej, w tym zasady dotyczące wspólnych wymogów minimalnych, planowania, monitorowania, sprawozdawczości i zarządzania kryzysowego.

Artykuł 2

Zakres

1. Niniejsze rozporządzenie ma zastosowanie do aspektów cyberbezpieczeństwa w transgranicznych przepływach energii elektrycznej w ramach działalności następujących podmiotów, jeżeli zostały one zidentyfikowane jako podmioty o dużym wpływie lub podmioty o krytycznym wpływie zgodnie z art. 24:

2. Za wykonywanie zadań powierzonych w niniejszym rozporządzeniu odpowiedzialne są następujące organy w ramach ich obecnych mandatów:

3. Niniejsze rozporządzenie ma również zastosowanie do wszystkich podmiotów, które nie mają siedziby w Unii, ale świadczą usługi na rzecz podmiotów w Unii, pod warunkiem że zostały one zidentyfikowane przez właściwe organy jako podmioty o dużym wpływie lub podmioty o krytycznym wpływie zgodnie z art. 24 ust. 2.

4. Niniejsze rozporządzenie pozostaje bez uszczerbku dla spoczywającego na państwach członkowskich obowiązku ochrony bezpieczeństwa narodowego oraz dla ich uprawnień do zabezpieczania innych podstawowych funkcji państwa, w tym zapewniania integralności terytorialnej państwa i utrzymywania porządku publicznego.

5. Niniejsze rozporządzenie pozostaje bez uszczerbku dla odpowiedzialności państw członkowskich za zagwarantowanie bezpieczeństwa narodowego w odniesieniu do działań związanych z wytwarzaniem energii elektrycznej z elektrowni jądrowych, w tym działań w ramach łańcucha wartości sektora jądrowego, zgodnie z Traktatami.

6. Podmioty, właściwe organy, pojedyncze punkty kontaktowe na poziomie podmiotu i CSIRT przetwarzają dane osobowe w zakresie niezbędnym do celów niniejszego rozporządzenia i zgodnie z rozporządzeniem (UE) 2016/679, w szczególności takie przetwarzanie odbywa się na podstawie jego art. 6.

Artykuł 3

Definicje

Stosuje się następujące definicje:

Artykuł 4

Właściwy organ

1. Najwcześniej jak to możliwe i nie później niż do dnia 13 grudnia 2024 r. każde państwo członkowskie wyznacza krajowy organ rządowy lub regulacyjny odpowiedzialny za wykonywanie zadań powierzonych mu na mocy niniejszego rozporządzenia („właściwy organ”). Do czasu powierzenia właściwemu organowi zadań wynikających z niniejszego rozporządzenia zadania właściwego organu zgodnie z niniejszym rozporządzeniem wykonuje organ regulacyjny wyznaczony przez każde państwo członkowskie na podstawie art. 57 ust. 1 dyrektywy (UE) 2019/944.

2. Państwa członkowskie niezwłocznie powiadamiają Komisję, ACER, ENISA, grupę współpracy NIS ustanowioną na podstawie art. 14 dyrektywy (UE) 2022/2555 oraz Grupę Koordynacyjną ds. Energii Elektrycznej ustanowioną na mocy art. 1 decyzji Komisji z dnia 15 listopada 2012 r. (17) oraz przekazują im nazwę i dane kontaktowe swojego właściwego organu wyznaczonego zgodnie z ust. 1 niniejszego artykułu oraz informują o wszelkich późniejszych zmianach w tym względzie.

3. Państwa członkowskie mogą zezwolić swojemu właściwemu organowi na przekazywanie zadań powierzonych mu w niniejszym rozporządzeniu innym organom krajowym, z wyjątkiem zadań wymienionych w art. 5. Każdy właściwy organ monitoruje stosowanie niniejszego rozporządzenia przez organy, którym przekazał zadania. Właściwy organ przekazuje Komisji, ACER, Grupie Koordynacyjnej ds. Energii Elektrycznej, ENISA oraz grupie współpracy NIS nazwę, dane kontaktowe, informacje o przydzielonych zadaniach oraz wszelkie późniejsze zmiany w tym względzie.

Artykuł 5

Współpraca między właściwymi organami i podmiotami na szczeblu krajowym

Właściwe organy koordynują i zapewniają odpowiednią współpracę między właściwymi organami odpowiedzialnymi za cyberbezpieczeństwo, organami ds. zarządzania kryzysowego w cyberbezpieczeństwie, krajowymi organami regulacyjnymi, właściwymi organami ds. gotowości na wypadek zagrożeń i CSIRT w celu wypełnienia stosownych obowiązków określonych w niniejszym rozporządzeniu. Właściwe organy koordynują również współpracę z wszystkimi innymi podmiotami lub organami określonymi przez każde państwo członkowskie, aby zapewnić skuteczne procedury i uniknąć powielania zadań i obowiązków. Właściwe organy muszą mieć możliwość polecenia odpowiednim krajowym organom regulacyjnym zwrócenia się do ACER o opinię zgodnie z art. 8 ust. 3.

Artykuł 6

Warunki lub metody, lub plany

1. OSP opracowują, we współpracy z organizacją OSD UE, propozycje dotyczące warunków lub metod zgodnie z ust. 2 lub planów zgodnie z ust. 3.

2. Poniższe warunki lub metody oraz wszelkie ich zmiany podlegają zatwierdzeniu przez wszystkie właściwe organy:

3. Propozycje dotyczące regionalnych planów ograniczenia ryzyka w cyberprzestrzeni zgodnie z art. 22 podlegają zatwierdzeniu przez wszystkie właściwe organy regionu pracy systemu, którego to dotyczy.

4. Propozycje dotycząca ustanowienia warunków i metod wymienionych w ust. 2 lub planów, o których mowa w ust. 3, muszą obejmować proponowane ramy czasowe ich wdrożenia oraz opis ich przewidywanego wpływu na realizację celów określonych w niniejszym rozporządzeniu.

5. Organizacja OSD UE może przedstawić OSP, których to dotyczy, uzasadnioną opinię najpóźniej na trzy tygodnie przed upływem terminu przedłożenia właściwym organom propozycji dotyczącej ustanowienia warunków lub metod, lub planów. Przed przedłożeniem propozycji dotyczącej ustanowienia warunków lub metod, lub planów właściwym organom do zatwierdzenia OSP odpowiedzialni za propozycję uwzględniają uzasadnioną opinię organizacji OSD UE. Jeżeli opinia organizacji OSD UE nie zostanie uwzględniona, OSP muszą podać uzasadnienie.

6. Uczestniczący OSP ściśle ze sobą współpracują przy wspólnym opracowywaniu warunków, metod i planów. OSP, z pomocą ENTSO energii elektrycznej i we współpracy z organizacją OSD UE, regularnie informują właściwe organy i ACER o postępach w opracowywaniu warunków lub metod, lub planów.

Artykuł 7

Zasady głosowania w ramach OSP

1. Jeżeli OSP podejmujący decyzję w sprawie propozycji dotyczących ustanowienia warunków lub metod nie są w stanie osiągnąć porozumienia, podejmują oni decyzję kwalifikowaną większością głosów. Większość kwalifikowaną w przypadku takich propozycji oblicza się w następujący sposób:

2. Przy podejmowaniu decyzji w sprawie propozycji dotyczących ustanowienia warunków lub metod wymienionych w art. 6 ust. 2 mniejszość blokująca musi obejmować OSP reprezentujących co najmniej cztery państwa członkowskie; w przypadku niespełnienia powyższego warunku uznaje się, że większość kwalifikowana została osiągnięta.

3. Jeżeli OSP regionu pracy systemu podejmujący decyzję w sprawie propozycji dotyczących ustanowienia planów wymienionych w art. 6 ust. 2 nie są w stanie osiągnąć porozumienia oraz jeżeli dany region pracy systemu obejmuje więcej niż pięć państw członkowskich, podejmują oni decyzję kwalifikowaną większością głosów. W przypadku propozycji wymienionych w art. 6 ust. 2 większość kwalifikowana oznacza następującą większość:

4. Przy podejmowaniu decyzji w sprawie propozycji dotyczących ustanowienia planów mniejszość blokująca musi obejmować co najmniej minimalną liczbę OSP reprezentujących ponad 35 % ludności uczestniczących państw członkowskich, a także OSP reprezentujących co najmniej jedno dodatkowe zainteresowane państwo członkowskie; w przypadku niespełnienia powyższego warunku uznaje się, że większość kwalifikowana została osiągnięta.

5. W przypadku decyzji podejmowanych przez OSP w sprawie propozycji dotyczących ustanowienia warunków lub metod zgodnie z art. 6 ust. 2 każdemu państwu członkowskiemu przysługuje jeden głos. W przypadku występowania na terytorium danego państwa członkowskiego więcej niż jednego OSP państwo członkowskie rozdziela uprawnienia do głosowania wśród OSP.

6. Jeżeli OSP, we współpracy z organizacją OSD UE, nie przedstawią odpowiednim właściwym organom wstępnej lub zmienionej propozycji dotyczącej ustanowienia warunków lub metod lub planów w terminach określonych w niniejszym rozporządzeniu, przekazują odpowiednim właściwym organom i ACER stosowne projekty warunków lub metod, lub planów. Wyjaśniają one, co uniemożliwiło osiągnięcie porozumienia. Właściwe organy wspólnie podejmują odpowiednie kroki w celu przyjęcia wymaganych warunków lub metod, lub wymaganych planów. Można tego dokonać na przykład poprzez zwrócenie się o wprowadzenie zmian do projektów zgodnie z niniejszym ustępem, zmianę i uzupełnienie tych projektów lub, w przypadku gdy nie przedstawiono projektów, określenie i zatwierdzenie wymaganych warunków lub metod lub planów.

Artykuł 8

Przedkładanie propozycji właściwym organom

1. OSP przedkładają propozycje dotyczące ustanowienia warunków lub metod, lub planów odpowiednim właściwym organom do zatwierdzenia w stosownych terminach określonych w art. 18, 23, 29, 33, 34, 35 i 37. W wyjątkowych okolicznościach właściwe organy mogą wspólnie przedłużyć te terminy, w szczególności w przypadkach, w których termin nie może zostać dotrzymany z powodu okoliczności zewnętrznych w stosunku do sfery odpowiedzialności OSP lub organizacji OSD UE.

2. Propozycje dotyczące ustanowienia warunków, metod lub planów, o których mowa w ust. 1, są przedkładane ACER w celach informacyjnych w tym samym czasie, w którym są przedkładane właściwym organom.

3. Na wspólny wniosek krajowych organów regulacyjnych ACER wydaje opinię na temat propozycji dotyczącej ustanowienia warunków lub metod, lub planów w terminie sześciu miesięcy od otrzymania propozycji dotyczących ustanowienia warunków lub metod, lub planów oraz powiadamia o swojej opinii krajowe organy regulacyjne i właściwe organy. Krajowe organy regulacyjne, właściwe organy odpowiedzialne za cyberbezpieczeństwo i wszelkie inne organy wyznaczone jako właściwe organy koordynują swoje działania przed zwróceniem się do ACER o opinię. ACER może zawrzeć w takiej opinii zalecenia. ACER konsultuje się z ENISA przed wydaniem opinii w sprawie wniosków wymienionych w art. 6 ust. 2.

4. Właściwe organy prowadzą konsultację w swoim gronie, ściśle ze sobą współpracują i koordynują swe stanowiska w celu osiągnięcia porozumienia w sprawie proponowanych warunków, metod lub planów. Przed zatwierdzeniem warunków lub metod, lub też planów dokonują przeglądu i w razie potrzeby uzupełnienia propozycji, po konsultacji z ENTSO energii elektrycznej i organizacją OSD UE, w celu zapewnienia zgodności propozycji z niniejszym rozporządzeniem i przyczynienia się do wysokiego wspólnego poziomu cyberbezpieczeństwa w całej Unii.

5. Właściwe organy podejmują decyzje w zakresie warunków lub metod, lub planów w terminie sześciu miesięcy od dnia otrzymania warunków lub metod, lub planów przez odpowiedni właściwy organ lub, w stosownych przypadkach, przez ostatni odpowiedni właściwy organ, którego to dotyczy.

6. W przypadku gdy ACER wyda opinię, odpowiednie właściwe organy uwzględniają taką opinię i podejmują swoje decyzje w terminie sześciu miesięcy od otrzymania opinii ACER.

7. W przypadku gdy właściwe organy wspólnie żądają zmiany proponowanych warunków lub metod, lub planów w celu ich zatwierdzenia, OSP opracowują, we współpracy z organizacją OSD UE, propozycję takiej zmiany warunków lub metod, lub planów. OSP przedkładają zmienioną propozycję do zatwierdzenia w terminie dwóch miesięcy od złożenia wniosku przez właściwe organy. Właściwe organy podejmują decyzję w sprawie zmienionych warunków lub metod, lub planów w terminie dwóch miesięcy od daty ich przedłożenia.

8. Jeżeli właściwe organy nie były w stanie osiągnąć porozumienia w terminie, o którym mowa w ust. 5 lub 7, informują o tym Komisję. Komisja może podjąć stosowne kroki w celu umożliwienia przyjęcia wymaganych warunków lub metod lub planów.

9. OSP, z pomocą ENTSO energii elektrycznej, oraz organizacja OSD UE publikują warunki lub metody, lub plany na swoich stronach internetowych po zatwierdzeniu przez odpowiednie właściwe organy, z wyjątkiem przypadków, w których takie informacje uznaje się za poufne zgodnie z art. 47.

10. Właściwe organy mogą wspólnie zwracać się do OSP i organizacji OSD UE o propozycje zmian zatwierdzonych warunków lub metod, lub zatwierdzonych planów oraz określić termin składania tych propozycji. OSP, we współpracy z organizacją OSD UE, mogą również przedstawiać właściwym organom propozycje zmian z własnej inicjatywy. Propozycje zmiany warunków lub metod lub zmian planów opracowuje się i zatwierdza zgodnie z procedurą określoną w niniejszym artykule.

11. Co najmniej raz na trzy lata po pierwszym przyjęciu odpowiednich warunków lub metod, lub odpowiednich przyjętych planów OSP we współpracy z organizacją OSD UE dokonują przeglądu skuteczności przyjętych warunków lub metod, lub przyjętych planów oraz bez zbędnej zwłoki przedstawiają wyniki przeglądu właściwym organom i ACER.

Artykuł 9

Konsultacje

1. OSP, z pomocą ENTSO energii elektrycznej i we współpracy z organizacją OSD UE, konsultują się z zainteresowanymi stronami, w tym ACER, ENISA i właściwym organem każdego państwa członkowskiego, w sprawie projektów propozycji dotyczących ustanowienia warunków lub metod wymienionych w art. 6 ust. 2 oraz planów, o których mowa w art. 6 ust. 3. Konsultacje te trwają co najmniej jeden miesiąc.

2. Propozycje dotyczące ustanowienia warunków lub metod wymienionych w art. 6 ust. 2 przedłożone przez OSP we współpracy z organizacją OSD UE są publikowane i przedkładane do konsultacji na szczeblu unijnym. Propozycje planów wymienionych w art. 6 ust. 3 przedłożone przez odpowiednie OSP we współpracy z organizacją OSD UE na szczeblu regionalnym są przedkładane do konsultacji przynajmniej na szczeblu regionalnym.

3. Przed przedłożeniem propozycji dotyczącej ustanowienia warunków lub metod, lub planów organowi regulacyjnemu do zatwierdzenia OSP, z pomocą ENTSO energii elektrycznej, oraz organizacja OSD UE odpowiedzialne za propozycję należycie uwzględniają uwagi zainteresowanych stron zgłoszone w ramach konsultacji przeprowadzonych zgodnie z ust. 1. We wszystkich przypadkach sporządza się i publikuje w sposób terminowy należyte uzasadnienie przyczyn uwzględnienia lub nieuwzględnienia uwag będących wynikiem konsultacji w złożonym dokumencie, przed przedstawieniem propozycji dotyczącej ustanowienia warunków lub metod lub jednocześnie z przedstawieniem takiej propozycji.

Artykuł 10

Zaangażowanie zainteresowanych stron

ACER, w ścisłej współpracy z ENTSO energii elektrycznej i organizacją OSD UE, organizuje zaangażowanie zainteresowanych stron, które obejmuje regularne spotkania z zainteresowanymi stronami w celu zidentyfikowania problemów i zaproponowania usprawnień w odniesieniu do wykonania niniejszego rozporządzenia.

Artykuł 11

Zwrot kosztów

1. Koszty ponoszone przez OSP i OSD podlegające regulacji taryf sieciowych oraz wynikające z obowiązków określonych w niniejszym rozporządzeniu, w tym koszty ponoszone przez ENTSO energii elektrycznej i organizację OSD UE, podlegają ocenie właściwego krajowego organu regulacyjnego każdego państwa członkowskiego.

2. Koszty uznane za uzasadnione, efektywne i proporcjonalne są zwracane za pośrednictwem taryf sieciowych lub innych odpowiednich mechanizmów określonych przez odpowiedni krajowy organ regulacyjny.

3. Na wniosek odpowiednich organów regulacyjnych OSP i OSD, o których mowa w ust. 1, przedstawiają - w odpowiednim terminie określonym przez krajowy organ regulacyjny - informacje niezbędne do ułatwienia oceny poniesionych kosztów.

Artykuł 12

Monitorowanie

1. ACER monitoruje wdrażanie niniejszego rozporządzenia zgodnie z art. 32 ust. 1 rozporządzenia (UE) 2019/943 i art. 4 ust. 2 rozporządzenia (UE) 2019/942. W ramach tego monitorowania ACER może współpracować z ENISA i zwracać się o wsparcie do ENTSO energii elektrycznej i organizacji OSD UE. ACER regularnie informuje Grupę Koordynacyjną ds. Energii Elektrycznej i grupę współpracy NIS o wdrażaniu niniejszego rozporządzenia.

2. ACER publikuje sprawozdanie co najmniej raz na trzy lata po wejściu w życie niniejszego rozporządzenia w celu:

3. Do dnia 13 czerwca 2025 r. ACER, we współpracy z ENISA i po konsultacji z ENTSO energii elektrycznej i organizacją OSD UE, może wydać wytyczne dotyczące istotnych informacji, które należy przekazać ACER do celów monitorowania, a także procesu i częstotliwości gromadzenia danych, w oparciu o wskaźniki skuteczności działania określone zgodnie z ust. 5.

4. Właściwe organy mogą mieć dostęp do odpowiednich informacji będących w posiadaniu ACER, zgromadzonych przez Agencję zgodnie z niniejszym artykułem.

5. ACER we współpracy z ENISA i przy wsparciu ze strony ENTSO energii elektrycznej i organizacji OSD UE wydaje niewiążące wskaźniki skuteczności działania na potrzeby oceny niezawodności działania, które są związane z aspektami cyberbezpieczeństwa w transgranicznych przepływach energii elektrycznej.

6. Podmioty wymienione w art. 2 ust. 1 niniejszego rozporządzenia przekazują ACER informacje, których ACER potrzebuje do realizacji zadań wymienionych w ust. 2.

Artykuł 13

Analiza porównawcza

1. Do dnia 13 czerwca 2025 r. ACER, we współpracy z ENISA, ustanowi niewiążące wytyczne dotyczące analizy porównawczej w zakresie cyberbezpieczeństwa. Wytyczne służą wyjaśnieniu krajowym organom regulacyjnym zasad analizy porównawczej wdrożonych kontroli cyberbezpieczeństwa zgodnie z ust. 2 niniejszego artykułu, z uwzględnieniem kosztów wdrożenia tych kontroli oraz skuteczności funkcji, jaką pełnią procesy, produkty, usługi, systemy i rozwiązania zastosowane do wdrożenia takich kontroli. Przy ustanawianiu niewiążących wytycznych dotyczących analizy porównawczej w zakresie cyberbezpieczeństwa ACER uwzględnia istniejące sprawozdania z analizy porównawczej. ACER przedkłada niewiążące wytyczne dotyczące analizy porównawczej w zakresie cyberbezpieczeństwa krajowym organom regulacyjnym w celach informacyjnych.

2. W terminie 12 miesięcy od ustanowienia wytycznych dotyczących analizy porównawczej zgodnie z ust. 1 krajowe organy regulacyjne przeprowadzają analizę porównawczą, aby ocenić, czy obecne inwestycje w cyberbezpieczeństwo:

3. Do celów tej analizy porównawczej krajowe organy regulacyjne mogą uwzględnić niewiążące wytyczne dotyczące analizy porównawczej w zakresie cyberbezpieczeństwa ustanowione przez ACER oraz oceniają w szczególności:

4. Wszelkie informacje związane z analizą porównawczą przygotowuje się i przetwarza zgodnie z wymogami dotyczącymi klasyfikacji danych określonymi w niniejszym rozporządzeniu, minimalnymi kontrolami cyberbezpieczeństwa oraz sprawozdaniem z oceny ryzyka w cyberprzestrzeni w odniesieniu do transgranicznych przepływów energii elektrycznej. Analizy porównawczej, o której mowa w ust. 2 i 3, nie podaje się do wiadomości publicznej.

5. Bez uszczerbku dla wymogów poufności zawartych w art. 47 oraz dla potrzeby ochrony bezpieczeństwa podmiotów podlegających przepisom niniejszego rozporządzenia analizę porównawczą, o której mowa w ust. 2 i 3 niniejszego artykułu, udostępnia się wszystkim krajowym organom regulacyjnym, wszystkim właściwym organom, ACER, ENISA i Komisji.

Artykuł 14

Umowy z OSP spoza Unii

1. W terminie 18 miesięcy od wejścia w życie niniejszego rozporządzenia OSP z regionu pracy systemu sąsiadującego z państwem trzecim podejmują starania w celu zawarcia z OSP z sąsiedniego państwa trzeciego umów zgodnych z odpowiednimi przepisami prawa Unii i określających podstawę współpracy w zakresie ochrony cyberbezpieczeństwa i ustaleń dotyczących współpracy w dziedzinie cyberbezpieczeństwa z tymi OSP.

2. OSP informują właściwy organ o umowach zawartych zgodnie z ust. 1.

Artykuł 15

Przedstawiciele prawni

1. Podmioty, które nie mają siedziby w Unii, ale świadczą usługi na rzecz podmiotów w Unii i zostały zgłoszone jako podmioty o dużym wpływie lub podmioty o krytycznym wpływie zgodnie z art. 24 ust. 6, w terminie trzech miesięcy od powiadomienia wyznaczają na piśmie przedstawiciela w Unii i odpowiednio informują właściwy organ powiadamiający.

2. Przedstawiciel ten zostaje upoważniony, by mógł się do niego zwracać dowolny właściwy organ lub CSIRT w Unii - oprócz lub zamiast do podmiotu o dużym wpływie lub podmiotu o krytycznym wpływie - w sprawie obowiązków takiego podmiotu wynikających z niniejszego rozporządzenia. Podmiot o dużym wpływie lub podmiot o krytycznym wpływie przekazuje swojemu przedstawicielowi prawnemu niezbędne uprawnienia i wystarczające zasoby, aby zagwarantować jego skuteczną i terminową współpracę z odpowiednimi właściwymi organami lub CSIRT.

3. Przedstawiciel musi posiadać jednostkę organizacyjną w jednym z państw członkowskich, w których dany podmiot świadczy usługi. Uznaje się, że podmiot podlega jurysdykcji państwa członkowskiego, w którym przedstawiciel posiada jednostkę organizacyjną. Podmioty o dużym wpływie lub podmioty o krytycznym wpływie zgłaszają właściwemu organowi w państwie członkowskim, w którym ich przedstawiciel prawny ma miejsce zamieszkania lub siedzibę, imię i nazwisko lub nazwę, adres pocztowy, adres e-mail oraz numer telefonu tego przedstawiciela prawnego.

4. Wyznaczony przedstawiciel prawny może zostać pociągnięty do odpowiedzialności z tytułu niewypełniania obowiązków wynikających z niniejszego rozporządzenia bez uszczerbku dla odpowiedzialności samego podmiotu o dużym wpływie lub podmiotu o krytycznym wpływie i kroków prawnych, które mogą zostać przeciwko niemu podjęte.

5. W przypadku braku przedstawiciela w Unii wyznaczonego na podstawie niniejszego artykułu każde państwo członkowskie, w którym dany podmiot świadczy usługi, może podjąć wobec tego podmiotu działania prawne w związku z niewykonaniem obowiązków wynikających z niniejszego rozporządzenia.

6. Wyznaczenie przedstawiciela prawnego na terytorium Unii zgodnie z ust. 1 nie jest równoznaczne z posiadaniem siedziby w Unii.

Artykuł 16

Współpraca między ENTSO energii elektrycznej a organizacją OSD UE

1. ENTSO energii elektrycznej i organizacja OSD UE współpracują w ramach przeprowadzania ocen ryzyka w cyberprzestrzeni zgodnie z art. 19 i art. 21, w szczególności jeżeli chodzi o następujące zadania:

2. Współpraca między ENTSO energii elektrycznej a organizacją OSD UE może odbywać się w ramach grupy roboczej ds. ryzyka w cyberprzestrzeni.

3. ENTSO energii elektrycznej i organizacja OSD UE regularnie informują ACER, ENISA, grupę współpracy NIS oraz Grupę Koordynacyjną ds. Energii Elektrycznej o postępach w realizacji ogólnounijnych i regionalnych ocen ryzyka w cyberprzestrzeni zgodnie z art. 19 i 21.

Artykuł 17

Współpraca między ACER a właściwymi organami

ACER we współpracy z każdym właściwym organem:

ROZDZIAŁ II

OCENA RYZYKA I IDENTYFIKACJA ODPOWIEDNICH RODZAJÓW RYZYKA W CYBERPRZESTRZENI

Artykuł 18

Metody oceny ryzyka w cyberprzestrzeni

1. Do dnia 13 marca 2025 r. OSP, z pomocą ENTSO energii elektrycznej, we współpracy z organizacją OSD UE i po konsultacji z grupą współpracy NIS, przedkładają propozycję metod oceny ryzyka w cyberprzestrzeni na szczeblu unijnym, regionalnym i na szczeblu państw członkowskich.

2. Metody oceny ryzyka w cyberprzestrzeni na szczeblu unijnym, regionalnym i na szczeblu państw członkowskich obejmują:

3. W ramach metody oceny ryzyka w cyberprzestrzeni na szczeblu unijnym, regionalnym i na szczeblu państw członkowskich dokonuje się oceny ryzyka w cyberprzestrzeni przy użyciu tej samej macierzy wpływu ryzyka. Macierz wpływu ryzyka:

4. Metodyki oceny ryzyka w cyberprzestrzeni na poziomie Unii opisują, w jaki sposób zostaną określone wartości ECII dla progu dużego wpływu i progu krytycznego wpływu. ECII umożliwia podmiotom oszacowanie za pomocą kryteriów, o których mowa w ust. 2 lit. b), wpływu ryzyka na ich proces biznesowy podczas ocen wpływu na działalność, które przeprowadzają zgodnie z art. 26 ust. 4 lit. c) pkt (i).

5. ENTSO energii elektrycznej, we współpracy z organizacją OSD UE, informuje Grupę Koordynacyjną ds. Energii Elektrycznej o propozycjach dotyczących metod oceny ryzyka w cyberprzestrzeni opracowanych zgodnie z ust. 1.

Artykuł 19

Ogólnounijna ocena ryzyka w cyberprzestrzeni

1. W terminie 9 miesięcy od zatwierdzenia metodyk oceny ryzyka w cyberprzestrzeni zgodnie z art. 8, a następnie co trzy lata ENTSO energii elektrycznej, we współpracy z organizacją OSD UE i w porozumieniu z grupą współpracy NIS, bez uszczerbku dla art. 22 dyrektywy (UE) 2022/2555, przeprowadza ogólnounijną ocenę ryzyka w cyberprzestrzeni i sporządza projekt ogólnounijnego sprawozdania z oceny ryzyka w cyberprzestrzeni. W tym celu będą one korzystać z metod opracowanych na podstawie art. 18 i zatwierdzonych na podstawie art. 8 w celu identyfikacji, analizy i oceny ewentualnych konsekwencji cyberataków mających wpływ na bezpieczeństwo pracy systemu elektroenergetycznego i zakłócających transgraniczne przepływy energii elektrycznej. W ogólnounijnej ocenie ryzyka w cyberprzestrzeni nie uwzględnia się kwestii szkody prawnej, szkody finansowej ani nadszarpnięcia reputacji spowodowanych cyberatakami.

2. W ogólnounijnym sprawozdaniu z oceny ryzyka w cyberprzestrzeni uwzględnia się następujące elementy:

3. W odniesieniu do ogólnounijnych procesów o dużym wpływie i ogólnounijnych procesów o krytycznym wpływie ogólnounijne sprawozdanie z oceny ryzyka w cyberprzestrzeni zawiera:

4. ENTSO energii elektrycznej, we współpracy z organizacją OSD UE, przedkłada ACER projekt ogólnounijnego sprawozdania z oceny ryzyka w cyberprzestrzeni wraz z wynikami ogólnounijnej oceny ryzyka w cyberprzestrzeni. ACER wydaje opinię na temat projektu sprawozdania w terminie trzech miesięcy od jego otrzymania. ENTSO energii elektrycznej i organizacja OSD UE uwzględniają w jak największym stopniu opinię ACER przy przygotowaniu ostatecznej wersji tego sprawozdania.

5. W ciągu trzech miesięcy od otrzymania opinii ACER ENTSO energii elektrycznej, we współpracy z organizacją OSD UE, przedstawia ACER, Komisji, ENISA i właściwym organom wersję ostateczną ogólnounijnego sprawozdania z oceny ryzyka w cyberprzestrzeni.

Artykuł 20

Ocena ryzyka w cyberprzestrzeni na poziomie państwa członkowskiego

1. Każdy właściwy organ przeprowadza ocenę ryzyka w cyberprzestrzeni na poziomie państwa członkowskiego w odniesieniu do wszystkich podmiotów o dużym wpływie i podmiotów o krytycznym wpływie w swoim państwie członkowskim, stosując metodyki opracowane zgodnie z art. 18 i zatwierdzone zgodnie z art. 8. Ocena ryzyka w cyberprzestrzeni na poziomie państwa członkowskiego obejmuje identyfikację i analizę ryzyka cyberataków mających wpływ na bezpieczeństwo pracy systemu elektroenergetycznego i zakłócających transgraniczne przepływy energii elektrycznej. W ocenie ryzyka w cyberprzestrzeni na poziomie państwa członkowskiego nie uwzględnia się kwestii szkody prawnej, szkody finansowej ani nadszarpnięcia reputacji spowodowanych cyberatakami.

2. W terminie 21 miesięcy od powiadomienia podmiotów o dużym wpływie i podmiotów o krytycznym wpływie zgodnie z art. 24 ust. 6 i co trzy lata od tej daty oraz po konsultacji z właściwym organem odpowiedzialnym za cyberbezpieczeństwo w obszarze energii elektrycznej każdy właściwy organ, wspierany przez CSIRT, przekazuje ENTSO energii elektrycznej i organizacji OSD UE sprawozdanie z oceny ryzyka w cyberprzestrzeni na poziomie państwa członkowskiego, zawierające następujące informacje dotyczące każdego procesu biznesowego o dużym wpływie i procesu biznesowego o krytycznym wpływie:

3. W sprawozdaniu z oceny ryzyka w cyberprzestrzeni na poziomie państwa członkowskiego uwzględnia się plan gotowości na wypadek zagrożeń państwa członkowskiego sporządzony na podstawie art. 10 rozporządzenia (UE) 2019/941.

4. Informacje zawarte w sprawozdaniu z oceny ryzyka w cyberprzestrzeni na poziomie państwa członkowskiego na podstawie ust. 2 lit. a)-d) nie mogą być powiązane z konkretnymi podmiotami lub aktywami. Sprawozdanie z oceny ryzyka w cyberprzestrzeni na poziomie państwa członkowskiego musi również zawierać ocenę ryzyka dotyczącą czasowych odstępstw przyznanych przez właściwe organy państw członkowskich na podstawie art. 30.

5. ENTSO energii elektrycznej i organizacja OSD UE mogą zwrócić się do właściwych organów o dodatkowe informacje w odniesieniu do zadań określonych w ust. 2 lit. a) i c).

6. Właściwe organy zapewniają, aby przekazywane przez nie informacje były dokładne i prawidłowe.

Artykuł 21

Regionalne oceny ryzyka w cyberprzestrzeni

1. ENTSO energii elektrycznej, we współpracy z organizacją OSD UE i w porozumieniu z odpowiednim regionalnym centrum koordynacyjnym, przeprowadza regionalną ocenę ryzyka w cyberprzestrzeni w odniesieniu do każdego regionu pracy systemu, wykorzystując metody opracowane na podstawie art. 19 i zatwierdzone na podstawie art. 8 w celu identyfikacji, analizy i oceny ryzyka cyberataków mających wpływ na bezpieczeństwo pracy systemu elektroenergetycznego i zakłócających transgraniczne przepływy energii elektrycznej. W regionalnych ocenach ryzyka w cyberprzestrzeni nie uwzględnia się kwestii szkody prawnej, szkody finansowej ani nadszarpnięcia reputacji spowodowanych cyberatakami.

2. W terminie 30 miesięcy od powiadomienia podmiotów o dużym wpływie i podmiotów o krytycznym wpływie zgodnie z art. 24 ust. 6, a następnie co trzy lata ENTSO energii elektrycznej, we współpracy z organizacją OSD UE i w porozumieniu z grupą współpracy NIS, sporządza regionalne sprawozdanie z oceny ryzyka w cyberprzestrzeni w odniesieniu do każdego regionu pracy systemu.

3. W regionalnym sprawozdaniu z oceny ryzyka w cyberprzestrzeni uwzględnia się istotne informacje zawarte w ogólnounijnych sprawozdaniach z oceny ryzyka w cyberprzestrzeni oraz w sprawozdaniach z ocen ryzyka w zakresie cyberprzestrzeni na poziomie państw członkowskich.

4. W regionalnej ocenie ryzyka w cyberprzestrzeni uwzględnia się regionalne scenariusze kryzysu elektroenergetycznego związane z cyberbezpieczeństwem ustalone zgodnie z art. 6 rozporządzenia (UE) 2019/941.

Artykuł 22

Regionalne plany ograniczenia ryzyka w cyberprzestrzeni

1. W terminie 36 miesięcy od powiadomienia podmiotów o dużym wpływie i podmiotów o krytycznym wpływie zgodnie z art. 24 ust. 6 i nie później niż do dnia 13 czerwca 2031 r., a następnie co trzy lata, OSP, przy wsparciu ENTSO energii elektrycznej, we współpracy z organizacją OSD UE i w porozumieniu z regionalnymi centrami koordynacyjnymi i grupą współpracy NIS, opracowują regionalny plan ograniczenia ryzyka w cyberprzestrzeni w odniesieniu do każdego regionu pracy systemu.

2. Regionalne plany ograniczenia ryzyka w cyberprzestrzeni obejmują:

3. ENTSO energii elektrycznej przedkłada regionalne plany ograniczania ryzyka odpowiednim operatorom systemów przesyłowych, właściwym organom oraz Grupie Koordynacyjnej ds. Energii Elektrycznej. Grupa Koordynacyjna ds. Energii Elektrycznej może zalecić wprowadzenie zmian.

4. OSP, przy wsparciu ENTSO energii elektrycznej, we współpracy z organizacją OSD UE i w porozumieniu z grupą współpracy NIS, aktualizują regionalne plany ograniczenia ryzyka co trzy lata, chyba że okoliczności wymagają częstszych aktualizacji.

Artykuł 23

Kompleksowe sprawozdanie z oceny ryzyka w cyberprzestrzeni w odniesieniu do transgranicznych przepływów energii elektrycznej

1. W terminie 40 miesięcy od powiadomienia podmiotów o dużym wpływie i podmiotów o krytycznym wpływie zgodnie z art. 24 ust. 6, a następnie co trzy lata OSP, przy wsparciu ENTSO energii elektrycznej, we współpracy z organizacją OSD UE i w porozumieniu z grupą współpracy NIS, przedkładają Grupie Koordynacyjnej ds. Energii Elektrycznej sprawozdanie z wyniku oceny ryzyka w cyberprzestrzeni w odniesieniu do transgranicznych przepływów energii elektrycznej („kompleksowe sprawozdanie z oceny ryzyka w cyberprzestrzeni w odniesieniu do transgranicznych przepływów energii elektrycznej”).

2. Kompleksowe sprawozdanie z oceny ryzyka w cyberprzestrzeni w odniesieniu do transgranicznych przepływów energii elektrycznej opiera się na ogólnounijnym sprawozdaniu z oceny ryzyka w cyberprzestrzeni, sprawozdaniach z oceny ryzyka w cyberprzestrzeni na poziomie państwa członkowskiego i na regionalnych sprawozdaniach z oceny ryzyka w cyberprzestrzeni i obejmuje następujące informacje:

3. Podmioty wymienione w art. 2 ust. 1 mogą wnieść wkład w opracowanie kompleksowego sprawozdania z oceny ryzyka w cyberprzestrzeni w odniesieniu do transgranicznych przepływów energii elektrycznej, z poszanowaniem poufności informacji zgodnie z art. 47. OSP, przy wsparciu ENTSO energii elektrycznej i we współpracy z organizacją OSD UE, konsultują się z tymi podmiotami od wczesnego etapu.

4. Kompleksowe sprawozdanie z oceny ryzyka w cyberprzestrzeni w odniesieniu do transgranicznych przepływów energii elektrycznej podlega przepisom dotyczącym ochrony wymiany informacji zgodnie z art. 46. Bez uszczerbku dla art. 10 ust. 4 i art. 47 ust. 4 ENTSO energii elektrycznej i organizacja OSD UE udostępniają publiczną wersję tego sprawozdania, która nie zawiera informacji, które mogą wyrządzić szkodę podmiotom wymienionym w art. 2 ust. 1. Publiczną wersję tego sprawozdania udostępnia się wyłącznie za zgodą grupy współpracy NIS oraz Grupy Koordynacyjnej ds. Energii Elektrycznej. ENTSO energii elektrycznej, w koordynacji z organizacją OSD UE, odpowiada za sporządzenie i udostępnienie publicznej wersji sprawozdania.

Artykuł 24

Identyfikacja podmiotów o dużym wpływie i podmiotów o krytycznym wpływie

1. Każdy właściwy organ identyfikuje, za pomocą ECII oraz progów dużego wpływu i progów krytycznego wpływu zawartych w ogólnounijnym sprawozdaniu z oceny ryzyka w cyberprzestrzeni zgodnie z art. 19 ust. 3 lit. b), podmioty o dużym wpływie i podmioty o krytycznym wpływie w jego państwie członkowskim, które są zaangażowane w ogólnounijne procesy o dużym wpływie i procesy o krytycznym wpływie. Właściwe organy mogą zażądać informacji od podmiotu w ich państwie członkowskim w celu określenia wartości ECII w odniesieniu do tego podmiotu. Jeżeli ustalony ECII podmiotu przekracza próg dużego wpływu lub próg krytycznego wpływu, zidentyfikowany w ten sposób podmiot zostaje wymieniony w sprawozdaniu z oceny ryzyka w cyberprzestrzeni na poziomie państwa członkowskiego, o którym mowa w art. 20 ust. 2.

2. Każdy właściwy organ identyfikuje, za pomocą ECII oraz progów dużego wpływu i progów krytycznego wpływu zawartych w ogólnounijnym sprawozdaniu z oceny ryzyka w cyberprzestrzeni zgodnie z art. 19 ust. 3 lit. b), podmioty o dużym wpływie i podmioty o krytycznym wpływie, które nie mają siedziby w Unii, w zakresie, w jakim są aktywne w UE. Właściwy organ może zażądać informacji od podmiotu, który nie ma siedziby w Unii, w celu określenia wartości ECII w odniesieniu do tego podmiotu.

3. Każdy właściwy organ może wskazać dodatkowe podmioty w swoim państwie członkowskim jako podmioty o dużym wpływie lub podmioty o krytycznym wpływie, jeżeli spełnione są następujące kryteria:

4. Jeżeli właściwy organ zidentyfikuje dodatkowe podmioty zgodnie z ust. 3, wszystkie procesy w tych podmiotach, w przypadku których zagregowany ECII grupy przekracza próg dużego wpływu, uznaje się za procesy o dużym wpływie, a wszystkie procesy w tych podmiotach, w przypadku których zagregowany ECII grupy przekracza progi krytycznego wpływu, uznaje się za procesy o krytycznym wpływie.

5. Jeżeli właściwy organ zidentyfikuje podmioty, o których mowa w ust. 3 lit. a), w więcej niż jednym państwie członkowskim, informuje o tym pozostałe właściwe organy, ENTSO energii elektrycznej i organizację OSD UE. ENTSO energii elektrycznej we współpracy z organizacją OSD UE, w oparciu o informacje otrzymane od wszystkich właściwych organów, przekazuje właściwym organom analizę agregacji podmiotów działających w więcej niż jednym państwie członkowskim, które mogą być źródłem rozproszonego zakłócenia w transgranicznych przepływach energii elektrycznej i w związku z tym taka sytuacja może skutkować cyberatakiem. Jeżeli grupa podmiotów w szeregu państw członkowskich zostanie zidentyfikowana jako agregacja, w przypadku której ECII przekracza próg dużego wpływu lub próg krytycznego wpływu wszystkie zainteresowane właściwe organy identyfikują te podmioty w takiej grupie, na podstawie zagregowanego ECII grupy podmiotów, jako podmioty o dużym wpływie lub podmioty o krytycznym wpływie dla danego państwa członkowskiego i zamieszcza się te zidentyfikowane podmioty w ogólnounijnym sprawozdaniu z oceny ryzyka w cyberprzestrzeni.

6. Każdy właściwy organ w terminie dziewięciu miesięcy od otrzymania od ENTSO energii elektrycznej i organizacji OSD UE powiadomienia o ogólnounijnym sprawozdaniu z oceny ryzyka w cyberprzestrzeni zgodnie z art. 19 ust. 5, a w każdym razie nie później niż do dnia 13 czerwca 2028 r., powiadamia podmioty znajdujące się w wykazie o tym, że zostały zidentyfikowane jako podmioty o dużym wpływie lub podmioty o krytycznym wpływie w jego państwie członkowskim.

7. Jeżeli dostawca usług zostanie zgłoszony właściwemu organowi jako kluczowy dostawca usług ICT zgodnie z art. 27 lit. c), właściwy organ powiadamia o tym właściwe organy państw członkowskich, na których terytorium znajduje się siedziba lub przedstawiciel tego dostawcy. Ten ostatni właściwy organ powiadamia dostawcę usług o tym, że został on zidentyfikowany jako kluczowy dostawca usług.

Artykuł 25

Krajowe systemy weryfikacji

1. Właściwe organy mogą utworzyć krajowy system weryfikacji w celu sprawdzenia, czy podmioty o krytycznym wpływie zidentyfikowane zgodnie z art. 24 ust. 1 wdrożyły krajowe ramy prawne zawarte w macierzy mapowania, o której mowa w art. 34. Krajowy system weryfikacji może opierać się na inspekcji przeprowadzanej przez właściwy organ, niezależnych audytach bezpieczeństwa lub wzajemnych ocenach przeprowadzanych przez podmioty o krytycznym wpływie w tym samym państwie członkowskim nadzorowane przez właściwy organ.

2. Jeżeli właściwy organ podejmie decyzję o utworzeniu krajowego systemu weryfikacji, organ ten zapewnia prowadzenie weryfikacji zgodnie z następującymi wymogami:

3. Jeżeli właściwy organ podejmie decyzję o utworzeniu krajowego systemu weryfikacji, co roku informuje ACER o częstotliwości przeprowadzania inspekcji w ramach tego systemu.

Artykuł 26

Zarządzanie ryzykiem w cyberprzestrzeni na poziomie podmiotu

1. Każdy podmiot o dużym wpływie i podmiot o krytycznym wpływie zidentyfikowany przez właściwe organy na podstawie art. 24 ust. 1 wykonuje czynności w zakresie zarządzania ryzykiem w cyberprzestrzeni w odniesieniu do wszystkich swoich aktywów w swoim obszarze o dużym wpływie i obszarze o krytycznym wpływie. Każdy podmiot o dużym wpływie i podmiot o krytycznym wpływie co trzy lata wykonuje czynności w zakresie zarządzania ryzykiem obejmujące etapy, o których mowa w ust. 2.

2. Każdy podmiot o dużym wpływie i podmiot o krytycznym wpływie opiera swoje zarządzanie ryzykiem w cyberprzestrzeni na podejściu ukierunkowanym na ochronę jego sieci i systemów informatycznych, które obejmuje następujące etapy:

3. Na etapie ustalania kontekstu każdy podmiot o dużym wpływie i podmiot o krytycznym wpływie:

4. Na etapie oceny ryzyka w cyberprzestrzeni każdy podmiot o dużym wpływie i podmiot o krytycznym wpływie:

5. Na etapie zaradzenia ryzyku w cyberprzestrzeni każdy podmiot o dużym wpływie i podmiot o krytycznym wpływie sporządza plan ograniczania ryzyka na poziomie podmiotu, wybierając warianty zaradzenia ryzyku odpowiednie do zarządzania ryzykiem i identyfikacji pozostałego ryzyka.

6. Na etapie akceptacji ryzyka w cyberprzestrzeni każdy podmiot o dużym wpływie i podmiot o krytycznym wpływie podejmuje decyzję, czy zaakceptować ryzyko rezydualne, na podstawie kryteriów akceptacji ryzyka ustanowionych w ust. 3 lit. b).

7. Każdy podmiot o dużym wpływie i podmiot o krytycznym wpływie rejestruje aktywa zidentyfikowane w ust. 1 w wykazie aktywów. Ten wykaz aktywów nie stanowi części sprawozdania z oceny ryzyka.

8. Podczas kontroli właściwy organ może przeprowadzić inspekcję aktywów znajdujących się w wykazie.

Artykuł 27

Sprawozdawczość w zakresie oceny ryzyka na poziomie podmiotu

Każdy podmiot o dużym wpływie i podmiot o krytycznym wpływie przedkłada właściwemu organowi, w terminie 12 miesięcy od powiadomienia podmiotów o dużym wpływie i podmiotów o krytycznym wpływie zgodnie z art. 24 ust. 6 i co trzy lata od tej daty, sprawozdanie zawierające następujące informacje:

ROZDZIAŁ III

WSPÓLNE RAMY CYBERBEZPIECZEŃSTWA W ODNIESIENIU DO ENERGII ELEKTRYCZNEJ

Artykuł 28

Skład, funkcjonowanie i przegląd wspólnych ram cyberbezpieczeństwa w odniesieniu do energii elektrycznej

1. Wspólne ramy cyberbezpieczeństwa w odniesieniu do energii elektrycznej składają się z następujących kontroli i systemów zarządzania cyberbezpieczeństwem:

2. Wszystkie podmioty o dużym wpływie stosują minimalne kontrole cyberbezpieczeństwa zgodnie z ust. 1 lit. a) w obszarze o dużym wpływie.

3. Wszystkie podmioty o krytycznym wpływie stosują zaawansowane kontrole cyberbezpieczeństwa zgodnie z ust. 1 lit. b) w obszarze o krytycznym wpływie.

4. W terminie siedmiu miesięcy od przedłożenia pierwszego projektu ogólnounijnego sprawozdania z oceny ryzyka w cyberprzestrzeni zgodnie z art. 19 ust. 4 wspólne ramy cyberbezpieczeństwa w odniesieniu do energii elektrycznej, o których mowa w ust. 1, uzupełnia się minimalnymi i zaawansowanymi kontrolami cyberbezpieczeństwa w łańcuchu dostaw opracowanymi na podstawie art. 33.

Artykuł 29

Minimalne i zaawansowane kontrole cyberbezpieczeństwa

1. W terminie siedmiu miesięcy od przedłożenia pierwszego projektu ogólnounijnego sprawozdania z oceny ryzyka w cyberprzestrzeni zgodnie z art. 19 ust. 4 OSP z pomocą ENTSO energii elektrycznej i we współpracy z organizacją OSD UE opracowują wniosek dotyczący minimalnych i zaawansowanych kontroli cyberbezpieczeństwa.

2. W terminie sześciu miesięcy od sporządzenia każdego regionalnego sprawozdania z oceny ryzyka w cyberprzestrzeni zgodnie z art. 21 ust. 2 OSP z pomocą ENTSO energii elektrycznej i we współpracy z organizacją OSD UE przedstawiają właściwemu organowi zmianę minimalnych i zaawansowanych kontroli cyberbezpieczeństwa. Wniosek zostanie sporządzony zgodnie z art. 8 ust. 10 i będzie uwzględniał ryzyko zidentyfikowane w regionalnej ocenie ryzyka.

3. Minimalne i zaawansowane kontrole cyberbezpieczeństwa muszą być możliwe do zweryfikowania przez uczestnictwo w krajowym systemie weryfikacji zgodnie z procedurą określoną w art. 31 lub przez poddanie się niezależnym audytom bezpieczeństwa przeprowadzanym przez osobę trzecią zgodnie z wymogami wymienionymi w art. 25 ust. 2.

4. Pierwotne minimalne i zaawansowane kontrole cyberbezpieczeństwa opracowane zgodnie z ust. 1 opierają się na ryzyku zidentyfikowanym w ogólnounijnym sprawozdaniu z oceny ryzyka w cyberprzestrzeni, o którym mowa w art. 19 ust. 5. Zmienione minimalne i zaawansowane kontrole cyberbezpieczeństwa opracowane zgodnie z ust. 2 opierają się na regionalnym sprawozdaniu z oceny ryzyka w cyberprzestrzeni, o którym mowa w art. 21 ust. 2.

5. Minimalne kontrole cyberbezpieczeństwa obejmują kontrole mające na celu ochronę informacji wymienianych na podstawie art. 46.

6. W terminie 12 miesięcy od zatwierdzenia minimalnych i zaawansowanych kontroli cyberbezpieczeństwa zgodnie z art. 8 ust. 5 lub po każdej aktualizacji zgodnie z art. 8 ust. 10 podmioty wymienione w art. 2 ust. 1 i zidentyfikowane jako podmioty o krytycznym wpływie i podmioty o dużym wpływie zgodnie z art. 24, podczas opracowywania planu ograniczania ryzyka na poziomie podmiotu zgodnie z art. 26 ust. 5, stosują minimalne kontrole cyberbezpieczeństwa w obszarze o dużym wpływie i zaawansowane kontrole cyberbezpieczeństwa w obszarze o krytycznym wpływie.

Artykuł 30

Odstępstwa od minimalnych i zaawansowanych kontroli cyberbezpieczeństwa

1. Podmioty wymienione w art. 2 ust. 1 mogą zwrócić się do odpowiedniego właściwego organu o przyznanie odstępstwa od obowiązku stosowania minimalnych i zaawansowanych kontroli cyberbezpieczeństwa, o których mowa w art. 29 ust. 6. Właściwy organ może przyznać takie odstępstwo z jednego z następujących powodów:

2. W terminie trzech miesięcy od otrzymania wniosku, o którym mowa w ust. 1, każdy właściwy organ podejmuje decyzję o przyznaniu odstępstwa od minimalnych i zaawansowanych kontroli cyberbezpieczeństwa. Odstępstwa od minimalnych lub zaawansowanych kontroli cyberbezpieczeństwa przyznaje się na okres maksymalnie trzech lat, z możliwością przedłużenia.

3. Zagregowane i zanonimizowane informacje dotyczące przyznanych odstępstw zamieszcza się w załączniku do kompleksowego sprawozdania z oceny ryzyka w cyberprzestrzeni w odniesieniu do transgranicznych przepływów energii elektrycznej, o którym mowa w art. 23. ENTSO energii elektrycznej i organizacja OSD UE wspólnie aktualizują ten wykaz w stosownych przypadkach.

Artykuł 31

Weryfikacja wspólnych ram cyberbezpieczeństwa w odniesieniu do energii elektrycznej

1. Nie później niż w terminie 24 miesięcy po przyjęciu kontroli, o których mowa w art. 28 ust. 1 lit. a), b) i c), oraz ustanowieniu systemu zarządzania cyberbezpieczeństwem, o którym mowa w lit. d) tego artykułu, każdy podmiot o krytycznym wpływie zidentyfikowany zgodnie z art. 24 ust. 1 musi być w stanie wykazać na wniosek właściwego organu zgodność z systemem zarządzania cyberbezpieczeństwem oraz minimalnymi lub zaawansowanymi kontrolami cyberbezpieczeństwa.

2. Każdy podmiot o krytycznym wpływie wypełnia obowiązek, o którym mowa w ust. 1, przez poddanie się niezależnym audytom bezpieczeństwa przeprowadzanym przez osobę trzecią zgodnie z wymogami wymienionymi w art. 25 ust. 2 lub przez uczestniczenie w krajowym systemie weryfikacji zgodnie z art. 25 ust. 1.

3. Weryfikacja zgodności podmiotu o krytycznym wpływie z systemem zarządzania cyberbezpieczeństwem oraz minimalnymi lub zaawansowanymi kontrolami cyberbezpieczeństwa obejmuje wszystkie aktywa w obszarze o krytycznym wpływie podmiotu o krytycznym wpływie.

4. Weryfikację zgodności podmiotu o krytycznym wpływie z systemem zarządzania cyberbezpieczeństwem oraz minimalnymi lub zaawansowanymi kontrolami cyberbezpieczeństwa powtarza się regularnie w terminie najpóźniej 36 miesięcy po zakończeniu pierwszej weryfikacji, a następnie co trzy lata.

5. Każdy podmiot o krytycznym wpływie określony zgodnie z art. 24 wykazuje swoją zgodność z wymogiem stosowania kontroli, o których mowa w art. 28 ust. 1 lit. a), b) i c), oraz ustanowienia systemu zarządzania cyberbezpieczeństwem, o którym mowa w lit. d) tego artykułu, przez złożenie właściwemu organowi sprawozdania w sprawie wyniku weryfikacji zgodności.

Artykuł 32

System zarządzania cyberbezpieczeństwem

1. Każdy podmiot o dużym wpływie lub podmiot o krytycznym wpływie w terminie 24 miesięcy od powiadomienia przez właściwy organ, że został zidentyfikowany jako podmiot o dużym wpływie lub podmiot o krytycznym wpływie zgodnie z art. 24 ust. 6, ustanawia system zarządzania cyberbezpieczeństwem, a następnie co trzy lata dokonuje jego przeglądu w celu:

2. Zakres systemu zarządzania cyberbezpieczeństwem obejmuje wszystkie aktywa w obszarze o dużym wpływie i obszarze o krytycznym wpływie podmiotu o dużym wpływie i podmiotu o krytycznym wpływie.

3. Właściwe organy, bez narzucania czy propagowania korzystania z określonego rodzaju technologii, zachęcają do stosowania europejskich lub międzynarodowych norm i specyfikacji związanych z systemami zarządzania i mających znaczenie dla bezpieczeństwa sieci i systemów informatycznych.

Artykuł 33

Minimalne i zaawansowane kontrole cyberbezpieczeństwa w łańcuchu dostaw

1. W terminie siedmiu miesięcy od przedłożenia pierwszego projektu ogólnounijnego sprawozdania z oceny ryzyka w cyberprzestrzeni zgodnie z art. 19 ust. 4 OSP z pomocą ENTSO energii elektrycznej i we współpracy z organizacją OSD UE opracowują wniosek dotyczący minimalnych i zaawansowanych kontroli cyberbezpieczeństwa w łańcuchu dostaw, które ograniczają ryzyko w łańcuchach dostaw zidentyfikowane w ogólnounijnych ocenach ryzyka w cyberprzestrzeni, jako uzupełnienie minimalnych i zaawansowanych kontroli cyberbezpieczeństwa opracowanych zgodnie z art. 29. Minimalne i zaawansowane kontrole cyberbezpieczeństwa w łańcuchu dostaw opracowuje się wraz z minimalnymi i zaawansowanymi kontrolami cyberbezpieczeństwa zgodnie z art. 29. Minimalne i zaawansowane kontrole cyberbezpieczeństwa w łańcuchu dostaw obejmują cały cykl życia wszystkich produktów ICT, usług ICT i procesów ICT w obszarze o dużym wpływie lub obszarze o krytycznym wpływie podmiotu o dużym wpływie lub podmiotu o krytycznym wpływie. Przy opracowywaniu wniosku dotyczącego minimalnych i zaawansowanych kontroli cyberbezpieczeństwa w łańcuchu dostaw prowadzi się konsultacje z grupą współpracy NIS.

2. Minimalne kontrole cyberbezpieczeństwa w łańcuchu dostaw obejmują kontrole podmiotów o dużym wpływie lub podmiotów o krytycznym wpływie, w których to kontrolach:

3. W odniesieniu do specyfikacji cyberbezpieczeństwa zawartych w zaleceniu dotyczącym zamówień publicznych w dziedzinie cyberbezpieczeństwa, o którym mowa w ust. 2 lit. a), podmioty o dużym wpływie lub podmioty o krytycznym wpływie stosują zasady udzielania zamówień publicznych zgodnie z dyrektywą Parlamentu Europejskiego i Rady 2014/24/UE (19), zgodnie z art. 35 ust. 4, lub określają własne specyfikacje na podstawie wyników oceny ryzyka w cyberprzestrzeni na poziomie podmiotu.

4. Zaawansowane kontrole cyberbezpieczeństwa w łańcuchu dostaw obejmują kontrole podmiotów o krytycznym wpływie w celu sprawdzenia podczas udzielania zamówień publicznych, czy produkty ICT, usługi ICT i procesy ICT, które będą wykorzystywane jako aktywa o krytycznym wpływie, spełniają specyfikacje cyberbezpieczeństwa. Produkt ICT, usługę ICT lub proces ICT weryfikuje się za pomocą europejskiego programu certyfikacji cyberbezpieczeństwa, o którym mowa w art. 31, albo za pomocą działań weryfikacyjnych wybranych i zorganizowanych przez podmiot. Stopień szczegółowości i zakres działań weryfikacyjnych muszą być wystarczające do uzyskania pewności, że produkt ICT, usługa ICT lub proces ICT mogą zostać wykorzystane do ograniczenia ryzyka zidentyfikowanego w ocenie ryzyka na poziomie podmiotu. Podmiot o krytycznym wpływie dokumentuje działania podjęte w celu ograniczenia zidentyfikowanego ryzyka.

5. Minimalne i zaawansowane kontrole cyberbezpieczeństwa w łańcuchu dostaw stosuje się do zamówień publicznych odpowiednich produktów ICT, usług ICT i procesów ICT. Minimalne i zaawansowane kontrole cyberbezpieczeństwa w łańcuchu dostaw będą stosowane do procedur udzielania zamówień w podmiotach zidentyfikowanych jako podmioty o krytycznym wpływie i podmioty o dużym wpływie zgodnie z art. 24, które to procedury rozpoczynają się sześć miesięcy po przyjęciu lub aktualizacji minimalnych i zaawansowanych kontroli cyberbezpieczeństwa, o których mowa w art. 29.

6. W terminie sześciu miesięcy od sporządzenia każdego regionalnego sprawozdania z oceny ryzyka w cyberprzestrzeni zgodnie z art. 21 ust. 2 OSP z pomocą ENTSO energii elektrycznej i we współpracy z organizacją OSD UE przedstawiają właściwemu organowi zmianę minimalnych i zaawansowanych kontroli cyberbezpieczeństwa w łańcuchu dostaw. Wniosek zostanie sporządzony zgodnie z art. 8 ust. 10 i będzie uwzględniał ryzyko zidentyfikowane w regionalnej ocenie ryzyka.

Artykuł 34

Macierze mapowania do celów kontroli cyberbezpieczeństwa w odniesieniu do energii elektrycznej pod kątem norm

1. W terminie siedmiu miesięcy od przedłożenia pierwszego projektu ogólnounijnego sprawozdania z oceny ryzyka w cyberprzestrzeni zgodnie z art. 19 ust. 4 OSP z pomocą ENTSO energii elektrycznej i we współpracy z organizacją OSD UE i w konsultacji z ENISA opracowują wniosek dotyczący macierzy do celów mapowania kontroli, o których mowa w art. 28 ust. 1 lit. a) i b), pod kątem norm europejskich i międzynarodowych, a także odpowiednich specyfikacji technicznych („matryca mapowania”). ENTSO energii elektrycznej i organizacja OSD UE dokumentują równoważność poszczególnych kontroli za pomocą kontroli określonych w art. 28 ust. 1 lit. a) i b).

2. Właściwe organy mogą zapewnić ENTSO energii elektrycznej i organizacji OSD UE mapy kontroli określonych w art. 28 ust. 1 lit. a) i b), z odniesieniem do powiązanych krajowych ram prawnych lub regulacyjnych, w tym odpowiednich norm krajowych państw członkowskich zgodnie z art. 25 dyrektywy (UE) 2022/2555. Jeżeli właściwy organ państwa członkowskiego przedstawi takie mapy, ENTSO energii elektrycznej i organizacja OSD UE włączają te mapy krajowe do macierzy mapowania.

3. W terminie sześciu miesięcy od sporządzenia każdego regionalnego sprawozdania z oceny ryzyka w cyberprzestrzeni zgodnie z art. 21 ust. 2 OSP z pomocą ENTSO energii elektrycznej i we współpracy z organizacją OSD UE oraz w konsultacji z ENISA przedstawiają właściwemu organowi zmianę macierzy mapowania. Wniosek zostanie sporządzony zgodnie z art. 8 ust. 10 i będzie uwzględniał ryzyko zidentyfikowane w regionalnej ocenie ryzyka.

ROZDZIAŁ IV

ZALECENIA DOTYCZĄCE ZAMÓWIEŃ PUBLICZNYCH W DZIEDZINIE CYBERBEZPIECZEŃSTWA

Artykuł 35

Zalecenia dotyczące zamówień publicznych w dziedzinie cyberbezpieczeństwa

1. OSP, z pomocą ENTSO energii elektrycznej i we współpracy z organizacją OSD UE, opracowują w programie prac, który należy ustanowić i aktualizować za każdym razem, gdy przyjmowany jest regionalne sprawozdanie z oceny ryzyka w cyberprzestrzeni, zestawy niewiążących zaleceń dotyczących zamówień publicznych w dziedzinie cyberbezpieczeństwa, które podmioty o dużym wpływie i podmioty o krytycznym wpływie mogą wykorzystać jako podstawę przy zamówieniach na produkty ICT, usługi ICT i procesy ICT w obszarze o dużym wpływie i obszarze o krytycznym wpływie. Ten program prac obejmuje następujące elementy:

2. ENTSO energii elektrycznej, we współpracy z organizacją OSD UE, przedstawia ACER podsumowanie tego programu prac w terminie sześciu miesięcy od przyjęcia lub aktualizacji regionalnego sprawozdania z oceny ryzyka w cyberprzestrzeni.

3. OSP, z pomocą ENTSO energii elektrycznej i we współpracy z organizacją OSD UE, dąży do zapewnienia, aby niewiążące zalecenia dotyczące zamówień publicznych w dziedzinie cyberbezpieczeństwa opracowane na podstawie odpowiednich regionalnych ocen ryzyka w cyberprzestrzeni były podobne lub porównywalne w regionach pracy systemu. Zestawy zaleceń dotyczących zamówień publicznych w dziedzinie cyberbezpieczeństwa obejmują co najmniej specyfikacje, o których mowa w art. 33 ust. 2 lit. a). W miarę możliwości specyfikacje wybiera się spośród norm europejskich i międzynarodowych.

4. OSP, z pomocą ENTSO energii elektrycznej i we współpracy z organizacją OSD UE, zapewnia, aby zestawy zaleceń dotyczących zamówień publicznych w dziedzinie cyberbezpieczeństwa:

Artykuł 36

Wytyczne dotyczące wykorzystania europejskich programów certyfikacji cyberbezpieczeństwa na potrzeby zamówień publicznych w odniesieniu do produktów ICT, usług ICT i procesów ICT

1. Niewiążące zalecenia dotyczące zamówień publicznych w dziedzinie cyberbezpieczeństwa opracowane na podstawie art. 35 mogą obejmować wytyczne sektorowe dotyczące wykorzystania europejskich programów certyfikacji cyberbezpieczeństwa, jeżeli dostępny jest odpowiedni program dla danego rodzaju produktu ICT, usługi ICT lub procesu ICT wykorzystywanych przez podmioty o krytycznym wpływie, bez uszczerbku dla ram tworzenia europejskich programów certyfikacji cyberbezpieczeństwa zgodnie z art. 46 rozporządzenia (UE) 2019/881.

2. OSP, z pomocą ENTSO energii elektrycznej i we współpracy z organizacją OSD UE, ściśle współpracuje z ENISA w zakresie dostarczania sektorowych wytycznych uwzględnionych w niewiążących zaleceniach dotyczących zamówień publicznych w dziedzinie cyberbezpieczeństwa zgodnie z ust. 1.

ROZDZIAŁ V

PRZEPŁYWY INFORMACJI, CYBERATAKI I ZARZĄDZANIE KRYZYSOWE

Artykuł 37

Przepisy dotyczące wymiany informacji

1. Jeżeli właściwy organ otrzyma informacje dotyczące cyberataku podlegającego obowiązkowi zgłaszania, ten właściwy organ:

2. W przypadku gdy CSIRT dowiaduje się o nienaprawionej aktywnie wykorzystywanej podatności, CSIRT:

3. W przypadku gdy właściwy organ dowiaduje się o nienaprawionej aktywnie wykorzystywanej podatności, ten właściwy organ:

4. Jeżeli właściwy organ poweźmie wiadomość o nienaprawionej podatności, co do której nie ma jeszcze dowodów na to, że jest ona aktywnie wykorzystywana, bez zbędnej zwłoki koordynuje swoje działania z CSIRT do celów skoordynowanego ujawniania podatności, jak określono w art. 12 ust. 1 dyrektywy (UE) 2022/2555.

5. Jeżeli CSIRT otrzyma informacje dotyczące cyberzagrożeń od co najmniej jednego podmiotu o dużym wpływie lub podmiotu o krytycznym wpływie zgodnie z art. 38 ust. 6, bez zbędnej zwłoki i nie później niż cztery godziny po otrzymaniu informacji rozpowszechnia w swoim państwie członkowskim te informacje lub wszelkie inne informacje mające znaczenie dla zapobiegania ryzyku związanemu z podmiotami o krytycznym wpływie i podmiotami o dużym wpływie, reagowania na to ryzyko lub łagodzenia go, a także, w stosownych przypadkach, przekazuje te informacje wszystkim zainteresowanym CSIRT i swojemu krajowemu pojedynczemu punktowi kontaktowemu.

6. Jeżeli właściwy organ uzyska informacje dotyczące cyberzagrożeń od co najmniej jednego podmiotu o dużym wpływie lub podmiotu o krytycznym wpływie, przekazuje te informacje CSIRT do celów ust. 5.

7. Właściwe organy mogą przekazać w całości lub w części obowiązki, o których mowa w ust. 3 i 4, dotyczące jednego lub większej liczby podmiotów o dużym wpływie lub podmiotów o krytycznym wpływie, które działają w więcej niż jednym państwie członkowskim, innemu właściwemu organowi w jednym z tych państw członkowskich, zgodnie z porozumieniem między zainteresowanymi właściwymi organami.

8. OSP, przy wsparciu ENTSO energii elektrycznej i we współpracy z organizacją OSD UE, opracowuje metodykę dotyczącą skali klasyfikacji cyberataków do dnia 13 czerwca 2025 r. OSP, przy udziale ENTSO energii elektrycznej i organizacji OSD UE, mogą zwrócić się do właściwych organów o skonsultowanie się z ENISA oraz do swoich właściwych organów odpowiedzialnych za cyberbezpieczeństwo o pomoc w opracowywaniu takiej skali klasyfikacji. Metodyka ta zapewnia klasyfikację wagi cyberataku według pięciu poziomów, przy czym dwa najwyższe poziomy to poziom „wysoki” i „krytyczny”. Podstawą klasyfikacji jest ocena następujących parametrów:

9. Do dnia 13 czerwca 2026 r. ENTSO energii elektrycznej, we współpracy z organizacją OSD UE, przeprowadza studium wykonalności w celu oceny możliwości i kosztów finansowych niezbędnych do opracowania wspólnego narzędzia umożliwiającego wszystkim podmiotom wymianę informacji z właściwymi organami krajowymi.

10. W studium wykonalności uwzględnia się możliwość zastosowania takiego wspólnego narzędzia w celu:

11. ENTSO energii elektrycznej, we współpracy z organizacją OSD UE:

12. ENTSO energii elektrycznej, we współpracy z organizacją OSD UE może rozważać i ułatwiać realizację inicjatyw proponowanych przez podmioty o krytycznym wpływie i podmioty o dużym wpływie do celów oceny i testowania takich narzędzi wymiany informacji.

Artykuł 38

Rola podmiotów o dużym wpływie i podmiotów o krytycznym wpływie w odniesieniu do wymiany informacji

1. Każdy podmiot o dużym wpływie i podmiot o krytycznym wpływie:

2. ENISA może wydawać niewiążące wytyczne dotyczące ustanowienia takich zdolności lub zlecania odnośnych usług dostawcom usług zarządzanych w zakresie bezpieczeństwa w charakterze podwykonawców w ramach zadania określonego w art. 6 ust. 2 rozporządzenia (UE) 2019/881.

3. Każdy podmiot o krytycznym wpływie i podmiot o dużym wpływie przekazuje swoim CSIRT i właściwemu organowi istotne informacje dotyczące cyberataków podlegających obowiązkowi zgłaszania bez zbędnej zwłoki i nie później niż w ciągu czterech godzin od uzyskania informacji, że dany incydent podlega obowiązkowi zgłaszania.

4. Informacje dotyczące cyberataku uznaje się za podlegające obowiązkowi zgłaszania, jeżeli podmiot, który padł ofiarą cyberataku, oceni jego dotkliwość w zakresie od „wysokiej” do „krytycznej” zgodnie z metodyką dotyczącą skali klasyfikacji cyberataków na podstawie art. 37 ust. 8. Pojedynczy punkt kontaktowy na poziomie podmiotu wyznaczony zgodnie z ust. 1 lit. c) powiadamia o klasyfikacji incydentu.

5. W przypadku gdy podmioty o krytycznym wpływie i podmioty o dużym wpływie zgłaszają do CSIRT istotne informacje dotyczące nienaprawionych aktywnie wykorzystywanych podatności, zespół ten może przekazać te informacje swojemu właściwemu organowi. Ze względu na poziom wrażliwości zgłaszanych informacji CSIRT może wstrzymać się z przekazaniem informacji lub przekazać je później z uzasadnionych względów związanych z cyberbezpieczeństwem.

6. Każdy podmiot o krytycznym wpływie i podmiot o dużym wpływie przekazuje bez zbędnej zwłoki swoim CSIRT wszelkie informacje dotyczące cyberzagrożenia podlegającego obowiązkowi zgłaszania, które może mieć skutki transgraniczne. Informacje dotyczące cyberzagrożenia uznaje się za podlegające obowiązkowi zgłaszania, jeżeli spełniony jest co najmniej jeden z następujących warunków:

7. Przy wymianie informacji na podstawie niniejszego artykułu każdy podmiot o krytycznym wpływie i podmiot o dużym wpływie wskazuje:

8. W przypadku gdy podmiot o krytycznym wpływie lub podmiot o dużym wpływie powiadamia o poważnym incydencie zgodnie z art. 23 dyrektywy (UE) 2022/2555, a zgłoszenie incydentu na podstawie tego artykułu zawiera istotne informacje wymagane na podstawie ust. 3 niniejszego artykułu, zgłoszenie dokonywane przez podmiot na podstawie art. 23 ust. 1 tej dyrektywy stanowi zgłoszenie informacji na podstawie ust. 3 niniejszego artykułu.

9. Każdy podmiot o krytycznym wpływie i podmiot o dużym wpływie dokonuje zgłoszeń do swojego właściwego organu lub CSIRT w drodze wyraźnego wskazania wyłącznie tych konkretnych informacji, które są udostępniane właściwemu organowi lub CSIRT w przypadkach, w których wymiana informacji mogłaby być źródłem cyberataku. Każdy podmiot o krytycznym wpływie i podmiot o dużym wpływie ma prawo przekazać właściwemu CSIRT nieopatrzoną klauzulą poufności wersję informacji.

Artykuł 39

Wykrywanie cyberataków i postępowanie z powiązanymi informacjami

1. Podmioty o krytycznym wpływie i podmioty o dużym wpływie rozwijają zdolności niezbędne do radzenia sobie z wykrytymi cyberatakami przy niezbędnym wsparciu ze strony odpowiedniego właściwego organu, ENTSO energii elektrycznej i organizacji OSD UE. CSIRT wyznaczony w odnośnym państwie członkowskim w ramach zadania przydzielonego CSIRT na mocy art. 11 ust. 5 lit. a) dyrektywy (UE) 2022/2555 może zapewniać wsparcie podmiotom o krytycznym wpływie i podmiotom o dużym wpływie. Podmioty o krytycznym wpływie i podmioty o dużym wpływie wdrażają skuteczne procesy w celu identyfikacji i klasyfikacji cyberataków, które będą lub mogą mieć wpływ na transgraniczne przepływy energii elektrycznej, oraz zminimalizowania ich wpływu i reagowania na nie.

2. Jeżeli cyberatak ma wpływ na transgraniczne przepływy energii elektrycznej pojedyncze punkty kontaktowe na poziomie podmiotu o krytycznym wpływie i podmiotu o dużym wpływie dotkniętego tym wpływem podejmują współpracę w celu prowadzenia wymiany informacji koordynowanej przez właściwy organ państwa członkowskiego, w którym cyberatak został po raz pierwszy zgłoszony.

3. Podmioty o krytycznym wpływie i podmioty o dużym wpływie:

4. Państwa członkowskie mogą przekazać zadania, o których mowa w ust. 1, również regionalnym centrom koordynacyjnym zgodnie z art. 37 ust. 2 rozporządzenia (UE) 2019/943.

Artykuł 40

Zarządzanie w sytuacji kryzysowej

1. Jeżeli właściwy organ stwierdzi, że kryzys elektroenergetyczny jest związany z cyberatakiem, który ma wpływ na więcej niż jedno państwo członkowskie, właściwe organy z państw członkowskich dotkniętych kryzysem, właściwe organy odpowiedzialne za cyberbezpieczeństwo, właściwe organy ds. gotowości na wypadek zagrożeń oraz organy ds. zarządzania kryzysowego w cyberbezpieczeństwie w ramach NIS z państw członkowskich dotkniętych kryzysem tworzą wspólnie grupę koordynacyjną ad hoc ds. kryzysów transgranicznych.

2. Transgraniczna grupa koordynacyjna ad hoc ds. kryzysu:

3. W przypadku gdy cyberatak kwalifikuje się lub oczekuje się, że będzie się kwalifikować jako incydent w cyberbezpieczeństwie na dużą skalę, grupa koordynacyjna ad hoc ds. kryzysów transgranicznych niezwłocznie informuje krajowe organy ds. zarządzania kryzysowego w cyberbezpieczeństwie zgodnie z art. 9 ust. 1 dyrektywy (UE) 2022/2555 w państwach członkowskich, których dotyczy incydent, a także Komisję i EU-CyCLONe. W takiej sytuacji grupa koordynacyjna ad hoc ds. kryzysów transgranicznych wspiera EU-CyCLONe w odniesieniu do kwestii specyficznych dla sektora.

4. Podmioty o krytycznym wpływie i podmioty o dużym wpływie rozwijają i utrzymują zdolności w zakresie wykrywania i łagodzenia kryzysów transgranicznych oraz opracowują i utrzymują wewnętrzne wytyczne i plany gotowości w tym zakresie, a ponadto posiadają personel biorący udział w wykrywaniu i łagodzeniu takich kryzysów. Podmiot o krytycznym wpływie lub podmiot o dużym wpływie, na który ma wpływ jednoczesny kryzys elektroenergetyczny, bada podstawową przyczynę takiego kryzysu we współpracy ze swoim właściwym organem w celu określenia zakresu, w jakim kryzys jest związany z cyberatakiem.

5. Państwa członkowskie mogą przekazać zadania określone w ust. 4 również regionalnym centrom koordynacyjnym zgodnie z art. 37 ust. 2 rozporządzenia (UE) 2019/943.

Artykuł 41

Plany zarządzania kryzysami w dziedzinie cyberbezpieczeństwa i reagowania na nie

1. W terminie 24 miesięcy od przekazania ACER ogólnounijnego sprawozdania z oceny ryzyka ACER opracowuje w ścisłej współpracy z ENISA, ENTSO energii elektrycznej, organizacją OSD UE, właściwymi organami odpowiedzialnymi za cyberbezpieczeństwo, właściwymi organami, właściwymi organami ds. gotowości na wypadek zagrożeń, oraz krajowymi organami ds. zarządzania kryzysowego w cyberbezpieczeństwie w ramach NIS oraz krajowymi organami regulacyjnymi plan zarządzania kryzysami w dziedzinie cyberbezpieczeństwa i reagowania na nie na szczeblu Unii dla sektora energii elektrycznej.

2. W terminie 12 miesięcy od opracowania przez ACER planu zarządzania kryzysami w dziedzinie cyberbezpieczeństwa i reagowania na nie na szczeblu Unii dla sektora energii elektrycznej zgodnie z ust. 1 każdy właściwy organ opracowuje krajowy plan zarządzania kryzysami w dziedzinie cyberbezpieczeństwa i reagowania na nie w odniesieniu do transgranicznych przepływów energii elektrycznej, uwzględniając plan zarządzania kryzysami w dziedzinie cyberbezpieczeństwa na szczeblu Unii oraz krajowy plan gotowości na wypadek zagrożeń ustanowiony zgodnie z art. 10 rozporządzenia (UE) 2019/941. Plan ten musi być spójny z planem reagowania na incydenty i sytuacje kryzysowe w cyberbezpieczeństwie na dużą skalę przyjętym na podstawie art. 9 ust. 4 dyrektywy (UE) 2022/2555. Właściwy organ koordynuje działania z podmiotami o krytycznym wpływie i podmiotami o dużym wpływie oraz z właściwym organem ds. gotowości na wypadek zagrożeń w swoim państwie członkowskim.

3. Krajowy plan reagowania na incydenty i sytuacje kryzysowe w cyberbezpieczeństwie na dużą skalę wymagany na podstawie art. 9 ust. 4 dyrektywy (UE) 2022/2555 uznaje się za krajowy plan zarządzania kryzysami w dziedzinie cyberbezpieczeństwa i reagowania na nie na podstawie niniejszego artykułu, jeżeli zawiera on postanowienia dotyczące zarządzania kryzysami i reagowania na nie w odniesieniu do transgranicznych przepływów energii elektrycznej.

4. Państwa członkowskie mogą przekazać zadania wymienione w ust. 1 i 2 również regionalnym centrom koordynacyjnym zgodnie z art. 37 ust. 2 rozporządzenia (UE) 2019/943.

5. Podmioty o krytycznym wpływie i podmioty o dużym wpływie zapewniają, że ich procesy związane z zarządzaniem kryzysami w dziedzinie cyberbezpieczeństwa:

6. W terminie 12 miesięcy od powiadomienia podmiotów o dużym wpływie i podmiotów o krytycznym wpływie zgodnie z art. 24 ust. 6, a następnie co trzy lata, podmioty o krytycznym wpływie i podmioty o dużym wpływie opracowują na poziomie podmiotu plan zarządzania kryzysowego dotyczący kryzysu związanego z cyberbezpieczeństwem, który to plan uwzględniają w swoich ogólnych planach zarządzania kryzysowego. Plan ten zawiera co najmniej następujące elementy:

7. Środki zarządzania kryzysowego na podstawie art. 21 ust. 2 lit. c) dyrektywy (UE) 2022/2555 uznaje się za plan zarządzania kryzysowego na poziomie podmiotu dla sektora energii elektrycznej na podstawie niniejszego artykułu, jeżeli obejmuje on wszystkie wymogi wymienione w ust. 6.

8. Plany zarządzania kryzysowego testuje się podczas ćwiczeń w dziedzinie cyberbezpieczeństwa, o których mowa w art. 43, 44 i 45.

9. Podmioty o krytycznym wpływie i podmioty o dużym wpływie włączają swoje plany zarządzania kryzysowego na poziomie podmiotu do swoich planów ciągłości działania dotyczących procesów o krytycznym wpływie i procesów o dużym wpływie. Plany zarządzania kryzysowego na poziomie podmiotu obejmują:

10. Podmioty o krytycznym wpływie i podmioty o dużym wpływie aktualizują swoje plany zarządzania kryzysowego na poziomie podmiotu co najmniej raz na trzy lata oraz w razie potrzeby.

11. ACER aktualizuje plan zarządzania kryzysami w dziedzinie cyberbezpieczeństwa i reagowania na nie na szczeblu Unii dla sektora energii elektrycznej, opracowany zgodnie z ust. 1, co najmniej raz na trzy lata oraz w razie potrzeby.

12. Każdy właściwy organ aktualizuje krajowy plan zarządzania kryzysami w dziedzinie cyberbezpieczeństwa i reagowania na nie w odniesieniu do transgranicznych przepływów energii elektrycznej opracowany zgodnie z ust. 2 co najmniej raz na trzy lata i w razie potrzeby.

13. Podmioty o krytycznym wpływie i podmioty o dużym wpływie testują swoje plany ciągłości działania co najmniej raz na trzy lata lub po istotnych zmianach w procesach o krytycznym wpływie. Wyniki testów planu ciągłości działania są dokumentowane. Podmioty o krytycznym wpływie i podmioty o dużym wpływie mogą włączyć test swojego planu ciągłości działania do ćwiczeń w dziedzinie cyberbezpieczeństwa.

14. Podmioty o krytycznym wpływie i podmioty o dużym wpływie aktualizują swój plan ciągłości działania w razie potrzeby i co najmniej raz na trzy lata, z uwzględnieniem wyników testu.

15. Jeżeli w wyniku testu wykryte zostaną niedociągnięcia w planie ciągłości działania, podmiot o krytycznym wpływie i podmiot o dużym wpływie koryguje te niedociągnięcia w terminie 180 dni kalendarzowych od przeprowadzenia testu i przeprowadza nowy test w celu przedstawienia dowodów na to, że środki naprawcze są skuteczne.

16. Jeżeli podmiot o krytycznym wpływie lub podmiot o dużym wpływie nie jest w stanie usunąć niedociągnięć w terminie 180 dni kalendarzowych, przedstawia uzasadnienie w sprawozdaniu przekazywanym właściwemu organowi zgodnie z art. 27.

Artykuł 42

Zdolności wczesnego ostrzegania w zakresie cyberbezpieczeństwa w odniesieniu do sektora energii elektrycznej

1. Właściwe organy współpracują z ENISA w celu rozwijania zdolności wczesnego ostrzegania w zakresie cyberbezpieczeństwa w odniesieniu do energii elektrycznej (ECEAC) w ramach pomocy udzielanej państwom członkowskim zgodnie z art. 6 ust. 2 i 7 rozporządzenia (UE) 2019/881.

2. ECEAC umożliwiają ENISA, podczas wykonywania zadań wymienionych w art. 7 ust. 7 rozporządzenia (UE) 2019/881:

3. CSIRT niezwłocznie przekazują informacje otrzymane od ENISA zainteresowanym podmiotom w ramach ich zadań określonych w art. 11 ust. 3 lit. b) dyrektywy (UE) 2022/2555.

4. ACER monitoruje skuteczność ECEAC. ENISA wspiera ACER, przekazując wszelkie niezbędne informacje zgodnie z art. 6 ust. 2 i art. 7 ust. 1 rozporządzenia (UE) 2019/881. Analiza tego działania w zakresie monitorowania stanowi część monitorowania zgodnie z art. 12 niniejszego rozporządzenia.

ROZDZIAŁ VI

RAMY ĆWICZEŃ W DZIEDZINIE CYBERBEZPIECZEŃSTWA W ODNIESIENIU DO ENERGII ELEKTRYCZNEJ

Artykuł 43

Ćwiczenia w dziedzinie cyberbezpieczeństwa na poziomie podmiotu i na poziomie państwa członkowskiego

1. Do dnia 31 grudnia roku następującego po powiadomieniu podmiotów o krytycznym wpływie, a następnie co trzy lata, każdy podmiot o krytycznym wpływie przeprowadza ćwiczenie w dziedzinie cyberbezpieczeństwa obejmujące co najmniej jeden scenariusz cyberataków mających bezpośredni lub pośredni wpływ na transgraniczne przepływy energii elektrycznej i związanych z ryzykiem zidentyfikowanym w ramach ocen ryzyka w cyberprzestrzeni na poziomie państwa członkowskiego i podmiotu zgodnie z art. 20 i art. 27.

2. Na zasadzie odstępstwa od ust. 1 właściwy organ ds. gotowości na wypadek zagrożeń po konsultacji z właściwym organem i odpowiednim organem ds. zarządzania kryzysowego w cyberbezpieczeństwie wyznaczonymi lub ustanowionymi na podstawie art. 9 dyrektywy (UE) 2022/2555 może podjąć decyzję o zorganizowaniu ćwiczenia w dziedzinie cyberbezpieczeństwa na poziomie państwa członkowskiego, jak opisano w ust. 1, zamiast przeprowadzania ćwiczenia w dziedzinie cyberbezpieczeństwa na poziomie podmiotu. W tym względzie właściwy organ informuje:

3. Właściwy organ ds. gotowości na wypadek zagrożeń przy wsparciu technicznym jego CSIRT organizuje ćwiczenie w dziedzinie cyberbezpieczeństwa określone w ust. 2 na poziomie państwa członkowskiego niezależnie lub w kontekście innego ćwiczenia w dziedzinie cyberbezpieczeństwa w danym państwie członkowskim. Aby móc grupować te ćwiczenia, właściwy organ ds. gotowości na wypadek zagrożeń może odroczyć o jeden rok przeprowadzenie ćwiczenia w dziedzinie cyberbezpieczeństwa na poziomie państwa członkowskiego, o którym mowa w ust. 1.

4. Ćwiczenia w dziedzinie cyberbezpieczeństwa na poziomie podmiotu i na poziomie państw członkowskich muszą być spójne z krajowymi ramami zarządzania kryzysowego w cyberbezpieczeństwie zgodnie z art. 9 ust. 4 lit. d) dyrektywy (UE) 2022/2555.

5. Do dnia 31 grudnia 2026 r., a następnie co trzy lata ENTSO energii elektrycznej we współpracy z organizacją OSD UE udostępnia wzór scenariusza ćwiczeń na potrzeby przeprowadzania ćwiczeń w dziedzinie cyberbezpieczeństwa na poziomie podmiotu i państwa członkowskiego, o których mowa w ust. 1. We wzorze tym bierze się pod uwagę wyniki ostatnio przeprowadzonej oceny ryzyka w cyberprzestrzeni na poziomie podmiotu i państwa członkowskiego oraz uwzględnia się kluczowe kryteria powodzenia. ENTSO energii elektrycznej i organizacja OSD UE angażują ACER i ENISA w opracowywanie takiego wzoru.

Artykuł 44

Regionalne lub międzyregionalne ćwiczenia w dziedzinie cyberbezpieczeństwa

1. Do dnia 31 grudnia 2029 r., a następnie co trzy lata, w każdym regionie pracy systemu ENTSO energii elektrycznej we współpracy z organizacją OSD UE organizuje regionalne ćwiczenie w dziedzinie cyberbezpieczeństwa. Podmioty o krytycznym wpływie w danym regionie pracy systemu uczestniczą w regionalnym ćwiczeniu w dziedzinie cyberbezpieczeństwa. ENTSO energii elektrycznej we współpracy z organizacją OSD UE może zamiast regionalnego ćwiczenia w dziedzinie cyberbezpieczeństwa zorganizować międzyregionalne ćwiczenia w dziedzinie cyberbezpieczeństwa w więcej niż jednym regionie pracy systemu w tych samych ramach czasowych. W ćwiczeniu tym należy uwzględnić inne istniejące oceny ryzyka i scenariusze w zakresie cyberbezpieczeństwa i scenariusze opracowane na poziomie Unii.

2. ENISA wspiera ENTSO energii elektrycznej i organizację OSD UE w przygotowaniu i organizacji ćwiczenia w dziedzinie cyberbezpieczeństwa na poziomie regionalnym lub międzyregionalnym.

3. ENTSO energii elektrycznej w koordynacji z organizacją OSD UE informuje podmioty o krytycznym wpływie, które uczestniczą w regionalnym lub międzyregionalnym ćwiczeniu w dziedzinie cyberbezpieczeństwa, na sześć miesięcy przed jego przeprowadzeniem.

4. Organizator regularnego ćwiczenia w dziedzinie cyberbezpieczeństwa na poziomie unijnym zgodnie z art. 7 ust. 5 rozporządzenia (UE) 2019/881 lub jakiegokolwiek obowiązkowego ćwiczenia w dziedzinie cyberbezpieczeństwa związanego z sektorem energii elektrycznej w tym samym obszarze geograficznym może zaprosić do udziału ENTSO energii elektrycznej i organizację OSD UE. W takich przypadkach obowiązek określony w ust. 1 nie ma zastosowania, pod warunkiem że w tym samym działaniu uczestniczą wszystkie podmioty o krytycznym wpływie w danym regionie pracy systemu.

5. Jeżeli ENTSO energii elektrycznej i organizacja OSD UE uczestniczą w ćwiczeniu w dziedzinie cyberbezpieczeństwa, o którym mowa w ust. 4, mogą odroczyć o jeden rok przeprowadzenie regionalnego lub międzyregionalnego ćwiczenia w dziedzinie cyberbezpieczeństwa, o którym mowa w ust. 1.

6. Do dnia 31 grudnia 2027 r., a następnie co trzy lata ENTSO energii elektrycznej w koordynacji z organizacją OSD UE udostępnia wzór ćwiczeń na potrzeby przeprowadzania regionalnych i międzyregionalnych ćwiczeń w dziedzinie cyberbezpieczeństwa. We wzorze tym bierze się pod uwagę wyniki ostatnio przeprowadzonej oceny ryzyka w cyberprzestrzeni na poziomie regionalnym oraz uwzględnia się kluczowe kryteria powodzenia. ENTSO energii elektrycznej konsultuje się z Komisją oraz może zasięgać porady ACER, ENISA i Wspólnego Centrum Badawczego w kwestii organizacji i przeprowadzania regionalnych i międzyregionalnych ćwiczeń w dziedzinie cyberbezpieczeństwa.

Artykuł 45

Wyniki ćwiczeń w dziedzinie cyberbezpieczeństwa na poziomie podmiotu, państwa członkowskiego, regionalnym lub międzyregionalnym

1. Na wniosek podmiotu o krytycznym wpływie kluczowi dostawcy usług uczestniczą w ćwiczeniach w dziedzinie cyberbezpieczeństwa, o których mowa w art. 43 ust. 1 i 2 oraz w art. 44 ust. 1, jeżeli świadczą usługi na rzecz podmiotu o krytycznym wpływie w obszarze odpowiadającym zakresowi odpowiedniego ćwiczenia w dziedzinie cyberbezpieczeństwa.

2. Organizatorzy ćwiczeń w dziedzinie cyberbezpieczeństwa, o których mowa w art. 43 ust. 1 i 2 oraz w art. 44 ust. 1, za radą ENISA, jeżeli o to wniosą, i zgodnie z art. 7 ust. 5 rozporządzenia (UE) 2019/881, analizują i finalizują odpowiednie ćwiczenia w dziedzinie cyberbezpieczeństwa w drodze sprawozdania podsumowującego wnioski skierowanego do wszystkich uczestników. Sprawozdanie to obejmuje:

3. Na wniosek sieci CSIRT, grupy współpracy NIS lub EU-CyCLONe, organizatorzy ćwiczeń w dziedzinie cyberbezpieczeństwa, o których mowa w art. 43 ust. 1 i 2 oraz art. 44 ust. 1, udostępniają wyniki odpowiedniego ćwiczenia w dziedzinie cyberbezpieczeństwa. Organizatorzy udostępniają każdemu podmiotowi uczestniczącemu w ćwiczeniach informacje, o których mowa w ust. 2 lit. a) i b) niniejszego artykułu. Organizatorzy udostępniają wykaz zaleceń, o którym mowa w tym ustępie lit. c), wyłącznie podmiotom, do których odnoszą się te zalecenia.

4. Organizatorzy ćwiczeń w dziedzinie cyberbezpieczeństwa, o których mowa w art. 43 ust. 1 i 2 oraz art. 44 ust. 1, regularnie podejmują wraz z podmiotami uczestniczącymi w ćwiczeniach działania następcze w związku z wdrażaniem zaleceń zgodnie z ust. 2 lit. c) niniejszego artykułu.

ROZDZIAŁ VII

OCHRONA INFORMACJI

Artykuł 46

Zasady ochrony informacji podlegających wymianie

1. Podmioty wymienione w art. 2 ust. 1 zapewniają, aby informacje dostarczane, otrzymywane, wymieniane lub przekazywane na podstawie niniejszego rozporządzenia były dostępne wyłącznie na zasadzie ograniczonego dostępu i zgodnie z odpowiednimi przepisami Unii oraz przepisami krajowymi dotyczącymi bezpieczeństwa informacji.

2. Podmioty wymienione w art. 2 ust. 1 zapewniają, aby informacje dostarczane, otrzymywane, wymieniane lub przekazywane na podstawie niniejszego rozporządzenia były przetwarzane i monitorowane przez cały cykl życia tych informacji oraz aby informacje te można było udostępnić po zakończeniu ich cyklu życia dopiero wtedy, gdy zostaną zanonimizowane.

3. Podmioty wymienione w art. 2 ust. 1 zapewniają wprowadzenie wszelkich niezbędnych środków ochrony o charakterze organizacyjnym i technicznym w celu zabezpieczenia i ochrony poufności, integralności, dostępności i niezaprzeczalności informacji dostarczanych, otrzymywanych, wymienianych lub przekazywanych na podstawie niniejszego rozporządzenia, niezależnie od wykorzystanych środków. Środki ochrony powinny:

4. Podmioty wymienione w art. 2 ust. 1 zapewniają, aby każda osoba fizyczna, której przyznano dostęp do informacji dostarczanych, otrzymywanych, wymienianych lub przekazywanych na podstawie niniejszego rozporządzenia, była informowana o zasadach bezpieczeństwa mających zastosowanie na poziomie podmiotu oraz o środkach i procedurach mających znaczenie do celów ochrony informacji. Podmioty te zapewniają, aby zainteresowana osoba fizyczna uznała odpowiedzialność za ochronę informacji zgodnie z instrukcjami przekazanymi w ramach briefingu.

5. Podmioty wymienione w art. 2 ust. 1 zapewniają, aby dostęp do informacji dostarczanych, otrzymywanych, wymienianych lub przekazywanych na podstawie niniejszego rozporządzenia był ograniczony do osób fizycznych:

6. Przed przekazaniem informacji osobie trzeciej nieobjętej zakresem stosowania niniejszego rozporządzenia podmioty wymienione w art. 2 ust. 1 muszą uzyskać pisemną zgodę osoby fizycznej lub prawnej, która pierwotnie stworzyła lub przekazała te informacje.

7. Podmiot wymieniony w art. 2 ust. 1 może uznać, że informacje te muszą zostać udostępnione bez zapewnienia zgodności z ust. 1 i 4 niniejszego artykułu, aby zapobiec jednoczesnemu kryzysowi elektroenergetycznemu, którego podstawową przyczyną jest cyberbezpieczeństwo, lub jakimkolwiek kryzysom transgranicznym w Unii w innym sektorze. W takim przypadku podmiot ten:

8. Na zasadzie odstępstwa od ust. 6 niniejszego artykułu właściwe organy mogą przekazywać informacje dostarczone, otrzymane, wymienione lub przekazane na podstawie niniejszego rozporządzenia osobie trzeciej niewymienionej w art. 2 ust. 1 bez uprzedniej pisemnej zgody inicjatora informacji, ale informując go w jak najkrótszym czasie. Przed ujawnieniem jakichkolwiek informacji dostarczonych, otrzymanych, wymienionych lub przekazanych na podstawie niniejszego rozporządzenia osobie trzeciej niewymienionej w art. 2 ust. 1 zainteresowany właściwy organ w sposób uzasadniony zapewnia, aby dana osoba trzecia znała obowiązujące przepisy bezpieczeństwa, i uzyskuje wystarczającą pewność, że dana osoba trzecia może chronić otrzymane informacje zgodnie z ust. 1-5 niniejszego artykułu. Właściwy organ anonimizuje takie informacje, nie tracąc przy tym elementów niezbędnych, by poinformować opinię publiczną o bezpośrednim i poważnym zagrożeniu dla transgranicznych przepływów energii elektrycznej oraz o możliwych środkach łagodzących, a także chroni tożsamość inicjatora informacji. W takim przypadku osoba trzecia niewymieniona w art. 2 ust. 1 chroni otrzymane informacje zgodnie z przepisami obowiązującymi już na poziomie podmiotu lub, jeżeli nie jest to możliwe, zgodnie z przepisami i instrukcjami przekazanymi przez odpowiedni właściwy organ.

9. Niniejszy artykuł nie ma zastosowania do podmiotów niewymienionych w art. 2 ust. 1, które otrzymują informacje zgodnie z ust. 6 niniejszego artykułu. W takim przypadku stosuje się ust. 7 niniejszego artykułu lub właściwy organ może przekazać temu podmiotowi na piśmie przepisy, które będą miały zastosowanie w przypadku otrzymania informacji na podstawie niniejszego rozporządzenia.

Artykuł 47

Poufność informacji

1. Wszelkie informacje dostarczane, otrzymywane, wymieniane lub przekazywane na podstawie niniejszego rozporządzenia podlegają warunkom tajemnicy zawodowej określonym w ust. 2-5 niniejszego artykułu niniejszego rozporządzenia oraz wymogom określonym w art. 65 rozporządzenia (UE) 2019/943. Wszelkie informacje dostarczane, otrzymywane, wymieniane lub przekazywane między podmiotami wymienionymi w art. 2 niniejszego rozporządzenia do celów wdrożenia niniejszego rozporządzenia podlegają ochronie z uwzględnieniem poziomu poufności informacji zastosowanego przez inicjatora.

2. Do podmiotów wymienionych w art. 2 ma zastosowanie obowiązek zachowania tajemnicy zawodowej.

3. Właściwe organy odpowiedzialne za cyberbezpieczeństwo, krajowe organy regulacyjne, właściwe organy ds. gotowości na wypadek zagrożeń i CSIRT wymieniają się wszelkimi informacjami niezbędnymi do wykonywania ich zadań.

4. Wszelkie informacje otrzymywane, wymieniane lub przekazywane między podmiotami wymienionymi w art. 2 w ust. 1 do celów wdrożenia art. 23 są anonimizowane i agregowane.

5. Informacje, które każdy podmiot lub organ podlegający przepisom niniejszego rozporządzenia otrzymał w trakcie wykonywania swoich obowiązków, nie mogą zostać ujawnione żadnym innym podmiotom ani organom, bez uszczerbku dla przypadków objętych prawem krajowym, innymi przepisami niniejszego rozporządzenia bądź innymi mającymi zastosowanie przepisami Unii.

6. Bez uszczerbku dla przepisów krajowych lub unijnych organ, podmiot lub osoba fizyczna, które otrzymują informacje na podstawie niniejszego rozporządzenia, nie mogą wykorzystywać ich do żadnych innych celów niż wykonywanie swoich obowiązków wynikających z niniejszego rozporządzenia.

7. ACER, po konsultacji z ENISA, wszystkimi właściwymi organami, ENTSO energii elektrycznej i organizacją OSD UE do dnia 13 czerwca 2025 r. wydaje wytyczne dotyczące mechanizmów wymiany informacji dla wszystkich podmiotów wymienionych w art. 2 ust. 1, a w szczególności przewidywanych przepływów wymiany informacji, oraz dotyczące metod anonimizacji i agregowania informacji do celów wykonywania przepisów niniejszego artykułu.

8. Informacje, które są poufne zgodnie z przepisami unijnymi i krajowymi, wymienia się z Komisją i innymi właściwymi organami tylko wtedy, gdy taka wymiana jest niezbędna do stosowania niniejszego rozporządzenia. Informacje podlegające wymianie ograniczają się do tego, co jest niezbędne na potrzeby takiej wymiany i proporcjonalne do jej celów. W ramach wymiany informacji zachowuje się poufność tych informacji oraz chroni się bezpieczeństwo i interesy handlowe podmiotów o krytycznym wpływie lub podmiotów o dużym wpływie.

ROZDZIAŁ VIII

PRZEPISY KOŃCOWE

Artykuł 48

Przepisy przejściowe

1. Do czasu zatwierdzenia warunków lub metod, o których mowa w art. 6 ust. 2, lub planów, o których mowa w art. 6 ust. 3, ENTSO energii elektrycznej we współpracy z organizacją OSD UE opracowuje niewiążące wytyczne dotyczące następujących kwestii:

2. Do dnia 13 października 2024 r. ENTSO energii elektrycznej we współpracy z organizacją OSD UE opracowuje zalecenie dotyczące tymczasowego ECII. ENTSO energii elektrycznej we współpracy z organizacją OSD UE powiadamia właściwe organy o zalecanym tymczasowym ECII.

3. Cztery miesiące od otrzymania zalecanego tymczasowego wskaźnika wpływu na cyberbezpieczeństwo w odniesieniu do energii elektrycznej lub najpóźniej do dnia 13 lutego 2025 r. właściwe organy określają kandydatów na podmioty o dużym wpływie podmioty o krytycznym wpływie w ich państwie członkowskim na podstawie zalecanego ECII i opracowują wstępny wykaz podmiotów o dużym wpływie i podmiotów o krytycznym wpływie. Podmioty o dużym wpływie i podmioty o krytycznym wpływie wskazane w wstępnym wykazie mogą dobrowolnie wypełniać swoje obowiązki określone w niniejszym rozporządzeniu w oparciu o zasadę ostrożności. Do dnia 13 marca 2025 r. właściwe organy powiadamiają podmioty wskazane w wykazie tymczasowym o tym, że zostały one uznane za podmioty o dużym wpływie lub podmioty o krytycznym wpływie.

4. Do dnia 13 grudnia 2024 r. ENTSO energii elektrycznej we współpracy z organizacją OSD UE opracowuje wstępny wykaz ogólnounijnych procesów o dużym wpływie i procesów o krytycznym wpływie. Podmioty powiadomione zgodnie z ust. 3, które dobrowolnie podejmują decyzję o wypełnieniu swoich obowiązków określonych w niniejszym rozporządzeniu w oparciu o zasadę ostrożności, stosują wstępny wykaz procesów o dużym wpływie i procesów o krytycznym wpływie w celu określenia wstępnych obszarów o dużym wpływie i obszarów o krytycznym wpływie oraz ustalenia, które aktywa należy uwzględnić w pierwszej ocenie ryzyka w cyberprzestrzeni na poziomie podmiotu.

5. Do dnia 13 września 2024 r. każdy właściwy organ zgodnie z art. 4 ust. 1 przedstawia ENTSO energii elektrycznej i organizacji OSD UE wykaz swoich przepisów krajowych mających znaczenie dla aspektów cyberbezpieczeństwa w transgranicznych przepływach energii elektrycznej.

6. Do dnia 13 czerwca 2025 r. ENTSO energii elektrycznej we współpracy z organizacją OSD UE przygotowuje wstępny wykaz europejskich i międzynarodowych norm i kontroli wymaganych na mocy przepisów krajowych, mających znaczenie dla aspektów cyberbezpieczeństwa w transgranicznych przepływach energii elektrycznej, z uwzględnieniem informacji przekazanych przez właściwe organy.

7. Wstępny wykaz europejskich i międzynarodowych norm i kontroli obejmuje:

8. ENTSO energii elektrycznej i organizacja OSD UE uwzględniają opinie przedstawione przez ENISA i ACER przy finalizacji wstępnego wykazu norm. ENTSO energii elektrycznej i organizacja OSD UE publikują wstępny wykaz europejskich i międzynarodowych norm i kontroli na swoich stronach internetowych.

9. ENTSO energii elektrycznej i organizacja OSD UE konsultują się z ENISA i ACER w kwestii propozycji niewiążących wytycznych opracowanych zgodnie z ust. 1.

10. Do czasu opracowania minimalnych i zaawansowanych kontroli cyberbezpieczeństwa zgodnie z art. 29 i przyjęcia ich zgodnie z art. 8 wszystkie podmioty wymienione w art. 2 ust. 1 dążą do tego, by stopniowo coraz szerzej stosować niewiążące wytyczne opracowane zgodnie z ust. 1.

Artykuł 49

Wejście w życie

Niniejsze rozporządzenie wchodzi w życie dwudziestego dnia po jego opublikowaniu w Dzienniku Urzędowym Unii Europejskiej.