Artikel 13 VO (EU) 2024/1366

(1) Bis zum 13 Juni 2025 erstellt die ACER in Zusammenarbeit mit der ENISA einen unverbindlichen Leitfaden für das Benchmarking im Bereich der Cybersicherheit. In dem Leitfaden für die NRB werden die Grundsätze des Benchmarkings der durchgeführten Cybersicherheitskontrollen gemäß Absatz 2 erläutert, wobei die Kosten für die Durchführung der Kontrollen und die Wirksamkeit von Prozessen, Produkten, Diensten, Systemen und Lösungen, die zur Durchführung dieser Kontrollen genutzt werden, zu berücksichtigen sind. Die ACER berücksichtigt bei der Erstellung des unverbindlichen Leitfadens für das Benchmarking im Bereich der Cybersicherheit vorhandene Benchmarking-Berichte. Die ACER übermittelt den unverbindlichen Leitfaden für das Benchmarking im Bereich der Cybersicherheit den NRB zur Information.

(2) Innerhalb von 12 Monaten nach Erstellung des Benchmarking-Leitfadens gemäß Absatz 1 führen die NRB eine Benchmarking-Analyse durch, um zu bewerten, ob die aktuellen Investitionen in die Cybersicherheit

a)

Risiken mit Auswirkungen auf grenzüberschreitende Stromflüsse mindern;

b)

zu den gewünschten Ergebnissen führen und die Effizienz bei der Entwicklung des Elektrizitätssystems verbessern;

c)

effizient sind und in die allgemeine Auftragsvergabe für Vermögenswerte und Dienstleistungen integriert werden.

(3) Bei der Benchmarking-Analyse können die NRB den von der ACER erstellten unverbindlichen Leitfaden für das Benchmarking im Bereich der Cybersicherheit berücksichtigen, wobei sie insbesondere Folgendes bewerten:

a)

die durchschnittlichen Ausgaben für die Cybersicherheit zur Minderung von Risiken, die sich auf grenzüberschreitende Stromflüsse auswirken, insbesondere bei Einrichtungen mit erheblichen oder kritischen Auswirkungen;

b)

in Zusammenarbeit mit ENTSO-E und der EU-VNBO die Durchschnittspreise für Cybersicherheitsdienste, -systeme und -produkte, die in hohem Maß zur Verbesserung und Aufrechterhaltung der Risikomanagementmaßnahmen im Bereich der Cybersicherheit in den verschiedenen Netzbetriebsregionen beitragen;

c)

das Vorhandensein von Cybersicherheitsdiensten, -systemen und -lösungen, die sich für die Durchführung dieser Verordnung eignen, sowie die Vergleichbarkeit der damit verbundenen Kosten und Funktionen, wobei sie mögliche Maßnahmen ermitteln, die zur Verbesserung der Effizienz der Ausgaben erforderlich sind, insbesondere wenn Investitionen in die Cybersicherheitstechnik erforderlich sein könnten.

(4) Alle Informationen zu Benchmarking-Analysen werden gemäß den Anforderungen dieser Verordnung an die Datenklassifizierung, die Mindest-Cybersicherheitskontrollen und den Bericht über die Bewertung des Cybersicherheitsrisikos für grenzüberschreitende Stromflüsse gehandhabt und verarbeitet. Die in den Absätzen 2 und 3 genannte Benchmarking-Analyse wird nicht veröffentlicht.

(5) Unbeschadet der Vertraulichkeitsbestimmungen in Artikel 47 und der Notwendigkeit, die Sicherheit von Einrichtungen zu schützen, die den Bestimmungen dieser Verordnung unterliegen, wird die in den Absätzen 2 und 3 dieses Artikels genannte Benchmarking-Analyse allen NRB, allen zuständigen Behörden, der ACER, der ENISA und der Kommission übermittelt.