Artikel 19 VO (EU) 2024/1366

(1) Innerhalb von neun Monaten nach der Genehmigung der Methoden zur Bewertung des Cybersicherheitsrisikos gemäß Artikel 8 und danach alle drei Jahre führt ENTSO-E in Zusammenarbeit mit der EU-VNBO und in Absprache mit der NIS-Kooperationsgruppe unbeschadet des Artikels 22 der Richtlinie (EU) 2022/2555 eine unionsweite Bewertung des Cybersicherheitsrisikos durch und erstellt einen Entwurf eines Berichts über die unionsweite Bewertung des Cybersicherheitsrisikos. Dabei wenden sie die gemäß Artikel 18 entwickelten und gemäß Artikel 8 genehmigten Methoden an, um die möglichen Folgen von Cyberangriffen, die sich auf die Betriebssicherheit des Elektrizitätssystems auswirken und grenzüberschreitende Stromflüsse stören, zu ermitteln, zu analysieren und zu bewerten. Bei der unionsweiten Bewertung des Cybersicherheitsrisikos werden die mit Cyberangriffen verbundenen rechtlichen und finanziellen Schäden sowie Rufschädigungen nicht berücksichtigt.

(2) Der Bericht über die unionsweite Bewertung des Cybersicherheitsrisikos muss Folgendes enthalten:

a)

die unionsweiten Prozesse mit erheblichen oder kritischen Auswirkungen;

b)

eine Risiko-Auswirkungs-Matrix, die Einrichtungen und die zuständigen Behörden nutzen müssen, um die Cybersicherheitsrisiken zu bewerten, die in der Bewertung des Cybersicherheitsrisikos auf der Ebene der Mitgliedstaaten gemäß Artikel 20 und in der Bewertung des Cybersicherheitsrisikos auf der Ebene von Einrichtungen gemäß Artikel 26 Absatz 2 Buchstabe b ermittelt wurden.

(3) In Bezug auf die unionsweiten Prozesse mit erheblichen oder kritischen Auswirkungen muss der Bericht über die unionsweite Bewertung des Cybersicherheitsrisikos Folgendes enthalten:

a)

eine Bewertung der möglichen Folgen eines Cyberangriffs anhand der Parameter, die in der gemäß Artikel 18 Absätze 2, 3 und 4 entwickelten und gemäß Artikel 8 genehmigten Methode zur Bewertung des Cybersicherheitsrisikos festgelegt sind;

b)

den ECII und die Schwellenwerte für erhebliche und kritische Auswirkungen, die die zuständigen Behörden gemäß Artikel 24 Absätze 1 und 2 nutzen müssen, um Einrichtungen mit erheblichen oder kritischen Auswirkungen zu ermitteln, die an unionsweiten Prozessen mit erheblichen bzw. kritischen Auswirkungen beteiligt sind.

(4) ENTSO-E legt der ACER in Zusammenarbeit mit der EU-VNBO den Entwurf des Berichts über die unionsweite Bewertung des Cybersicherheitsrisikos mit den Ergebnissen der unionsweiten Bewertung des Cybersicherheitsrisikos zur Stellungnahme vor. Die ACER gibt innerhalb von drei Monaten nach Eingang eine Stellungnahme zu dem Entwurf des Berichts ab. ENTSO-E und die EU-VNBO tragen der Stellungnahme der ACER bei der Fertigstellung dieses Berichts so weit wie möglich Rechnung.

(5) Innerhalb von drei Monaten nach Eingang der Stellungnahme der ACER übermittelt ENTSO-E in Zusammenarbeit mit der EU-VNBO der ACER, der Kommission, der ENISA und den zuständigen Behörden den endgültigen Bericht über die unionsweite Bewertung des Cybersicherheitsrisikos.