Artikel 18 VO (EU) 2024/1366

(1) Bis zum 13 März 2025 legen die ÜNB mit Unterstützung von ENTSO-E sowie in Zusammenarbeit mit der EU-VNBO und nach Konsultation der NIS-Kooperationsgruppe einen Vorschlag für die Methoden zur Bewertung des Cybersicherheitsrisikos auf Unionsebene, auf regionaler Ebene und auf der Ebene der Mitgliedstaaten vor.

(2) Die Methoden zur Bewertung des Cybersicherheitsrisikos auf Unionsebene, auf regionaler Ebene und auf der Ebene der Mitgliedstaaten müssen Folgendes umfassen:

a)

eine Liste der zu berücksichtigenden Cyberbedrohungen, einschließlich mindestens der folgenden Bedrohungen der Lieferkette:

i)

schwere und unerwartete Kompromittierung der Lieferkette;

ii)

Nichtverfügbarkeit von IKT-Produkten, -Diensten oder -Prozessen aus der Lieferkette;

iii)

über Akteure in der Lieferkette ausgelöste Cyberangriffe;

iv)

Weitergabe sensibler Informationen entlang der Lieferkette, einschließlich der Nachverfolgung der Lieferkette;

v)

Einführung von Schwachstellen oder Hintertüren in IKT-Produkten, -Diensten oder Prozessen über Akteure in der Lieferkette;

b)

die Kriterien für die Einstufung der Auswirkungen von Cybersicherheitsrisiken als erheblich oder kritisch, wobei festgelegte Schwellenwerte für deren Folgen und Wahrscheinlichkeit zu nutzen sind;

c)

einen Ansatz zur Analyse der Cybersicherheitsrisiken, die sich aus Altsystemen, den Kaskadeneffekten von Cyberangriffen und dem Echtzeitcharakter der Netzbetriebssysteme ergeben;

d)

einen Ansatz zur Analyse der Cybersicherheitsrisiken, die sich aus der Abhängigkeit von einem einzigen Anbieter von IKT-Produkten, -Diensten oder -Prozessen ergeben.

(3) Die Methoden zur Bewertung des Cybersicherheitsrisikos auf Unionsebene, auf regionaler Ebene und auf der Ebene der Mitgliedstaaten müssen dieselbe Risiko-Auswirkungs-Matrix umfassen. Mit der Risiko-Auswirkungs-Matrix

a)

werden die Folgen von Cyberangriffen anhand folgender Kriterien gemessen:

i)

Lastverlust;

ii)

Verringerung der Stromerzeugung;

iii)

Kapazitätsverlust in der primären Frequenzreserve;

iv)

Verlust von Kapazitäten für die Wiederherstellung des Betriebs eines Stromnetzes ohne Rückgriff auf das externe Übertragungsnetz nach einer vollständigen oder teilweisen Abschaltung ( „Schwarzstart” );

v)

voraussichtliche Dauer eines Stromausfalls mit Auswirkungen auf die Kunden in Verbindung mit dem Ausmaß des Ausfalls (nach Zahl der Kunden) und

vi)

alle sonstigen quantitativen oder qualitativen Kriterien, die als sinnvolle Indikatoren für die Auswirkungen eines Cyberangriffs auf grenzüberschreitende Stromflüsse dienen könnten;

b)

wird die Wahrscheinlichkeit eines Vorfalls als Häufigkeit der Cyberangriffe pro Jahr gemessen.

(4) In den Methoden zur Bewertung des Cybersicherheitsrisikos auf Unionsebene wird beschrieben, wie die ECII-Schwellenwerte für erhebliche und kritische Auswirkungen bestimmt werden. Der ECII muss es den Einrichtungen ermöglichen, im Rahmen der von ihnen gemäß Artikel 26 Absatz 4 Buchstabe c Ziffer i durchgeführten Folgenabschätzungen die Auswirkungen der Risiken auf ihre Geschäftsprozesse mithilfe der in Absatz 2 Buchstabe b genannten Kriterien abzuschätzen.

(5) ENTSO-E unterrichtet die Koordinierungsgruppe „Strom” in Abstimmung mit der EU-VNBO über die Vorschläge für die gemäß Absatz 1 zu entwickelnden Methoden zur Bewertung des Cybersicherheitsrisikos.