Artikel 20 VO (EU) 2024/1366

(1) Jede zuständige Behörde führt in Bezug auf alle Einrichtungen mit erheblichen oder kritischen Auswirkungen in ihrem Mitgliedstaat eine Bewertung des Cybersicherheitsrisikos des Mitgliedstaats durch und nutzt dabei die gemäß Artikel 18 entwickelten und gemäß Artikel 8 genehmigten Methoden. Bei der Bewertung des Cybersicherheitsrisikos der Mitgliedstaaten werden die Risiken von Cyberangriffen ermittelt und analysiert, die die Betriebssicherheit des Elektrizitätssystems beeinträchtigen und grenzüberschreitende Stromflüsse stören. Bei der Bewertung des Cybersicherheitsrisikos der Mitgliedstaaten werden die mit Cyberangriffen verbundenen rechtlichen und finanziellen Schäden sowie Rufschädigungen nicht berücksichtigt.

(2) Innerhalb von 21 Monaten nach der Unterrichtung der Einrichtungen mit erheblichen oder kritischen Auswirkungen gemäß Artikel 24 Absatz 6 und danach alle drei Jahre übermittelt jede zuständige Behörde mit Unterstützung des CSIRT und nach Konsultation der für Elektrizität zuständigen CS-NCA dem ENTSO-E und der EU-VNBO einen Bericht über die Bewertung des Cybersicherheitsrisikos des Mitgliedstaats, der in Bezug auf jeden Geschäftsprozess mit erheblichen oder kritischen Auswirkungen folgende Informationen enthält:

a)

den Stand der Umsetzung der Mindest-Cybersicherheitskontrollen und der erweiterten Cybersicherheitskorntrollen gemäß Artikel 29;

b)

eine Liste aller in den letzten drei Jahren gemäß Artikel 38 Absatz 3 gemeldeten Cyberangriffe;

c)

eine Zusammenfassung aller in den letzten drei Jahren gemäß Artikel 38 Absatz 6 gemeldeten Informationen zu Cyberbedrohungen;

d)

für jeden unionsweiten Prozess mit erheblichen oder kritischen Auswirkungen eine Schätzung der mit einer Beeinträchtigung der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen und relevanten Vermögenswerten verbundenen Risiken;

e)

erforderlichenfalls eine Liste zusätzlicher Einrichtungen, die gemäß Artikel 24 Absätze 1, 2, 3 und 5 als Einrichtungen mit erheblichen oder kritischen Auswirkungen ermittelt wurden.

(3) Der Bericht über die Bewertung des Cybersicherheitsrisikos des Mitgliedstaats muss dem gemäß Artikel 10 der Verordnung (EU) 2019/941 erstellten Risikovorsorgeplan des Mitgliedstaats Rechnung tragen.

(4) Die Informationen in dem Bericht über die Bewertung des Cybersicherheitsrisikos des Mitgliedstaats gemäß Absatz 2 Buchstaben a bis d dürfen nicht mit bestimmten Einrichtungen oder Vermögenswerten verknüpft sein. In dem Bericht über die Bewertung des Cybersicherheitsrisikos des Mitgliedstaats sind auch die Risiken im Zusammenhang mit den von den zuständigen Behörden der Mitgliedstaaten gemäß Artikel 30 gewährten befristeten Ausnahmen zu bewerten.

(5) ENTSO-E und die EU-VNBO können im Zusammenhang mit den in Unterabsatz 2 Buchstaben a und c genannten Aufgaben die zuständigen Behörden um zusätzliche Informationen ersuchen.

(6) Die zuständigen Behörden stellen sicher, dass die von ihnen bereitgestellten Informationen genau und zutreffend sind.