Artikel 23 VO (EU) 2024/1366

(1) Innerhalb von 40 Monaten nach Unterrichtung der Einrichtungen mit erheblichen oder kritischen Auswirkungen gemäß Artikel 24 Absatz 6 und danach alle drei Jahre übermitteln die ÜNB mit Unterstützung von ENTSO-E sowie in Zusammenarbeit mit der EU-VNBO und in Absprache mit der NIS-Kooperationsgruppe der Koordinierungsgruppe „Strom” einen Bericht über die Ergebnisse der Bewertung der Cybersicherheitsrisiken in Bezug auf grenzüberschreitende Stromflüsse (im Folgenden „umfassender Bericht über die Bewertung des Cybersicherheitsrisikos für grenzüberschreitende Stromflüsse” ).

(2) Der umfassende Bericht über die Bewertung des Cybersicherheitsrisikos für grenzüberschreitende Stromflüsse stützt sich auf den Bericht über die unionsweite Bewertung des Cybersicherheitsrisikos, die Berichte der Mitgliedstaaten über die Bewertung des Cybersicherheitsrisikos und die Berichte über die regionale Bewertung des Cybersicherheitsrisikos und muss folgende Informationen enthalten:

a)

die Liste der unionsweiten Prozesse mit erheblichen oder kritischen Auswirkungen, die im Bericht über die unionsweite Bewertung des Cybersicherheitsrisikos gemäß Artikel 19 Absatz 2 Buchstabe a ermittelt wurden, einschließlich der Schätzung der Wahrscheinlichkeit und der Auswirkungen von Cybersicherheitsrisiken, die in den Berichten über die regionale Bewertung des Cybersicherheitsrisikos gemäß Artikel 21 Absatz 2 und Artikel 19 Absatz 3 Buchstabe a bewertet wurden;

b)

aktuelle Cyberbedrohungen, insbesondere neu aufkommende Bedrohungen und Risiken für das Elektrizitätssystem;

c)

Cyberangriffe im vorangegangenen Zeitraum auf Unionsebene mit einem kritischen Überblick darüber, wie sich diese Cyberangriffe auf grenzüberschreitende Stromflüsse ausgewirkt haben könnten;

d)

allgemeiner Stand der Umsetzung der Cybersicherheitsmaßnahmen;

e)

Stand der Umsetzung der Informationsflüsse gemäß den Artikeln 37 und 38;

f)

Liste der Informationen oder spezifische Kriterien für die Klassifizierung von Informationen gemäß Artikel 46;

g)

ermittelte und besonders zu beachtende Risiken, die sich aus einem unsicheren Lieferkettenmanagement ergeben können;

h)

Ergebnisse der regionalen und überregionalen Cybersicherheitsübungen gemäß Artikel 44 und dabei insgesamt gewonnene Erfahrungen;

i)

eine Analyse der Entwicklung des allgemeinen Cybersicherheitsrisikos für grenzüberschreitende Stromflüsse seit den letzten regionalen Bewertungen des Cybersicherheitsrisikos;

j)

alle sonstigen Informationen, die nützlich sein können, um mögliche Verbesserungen dieser Verordnung oder die Notwendigkeit einer Überarbeitung dieser Verordnung oder ihrer Instrumente zu ermitteln, sowie

k)

aggregierte und anonymisierte Informationen über die gemäß Artikel 30 Absatz 3 gewährten Ausnahmen.

(3) Die in Artikel 2 Absatz 1 aufgeführten Einrichtungen können zur Ausarbeitung des umfassenden Berichts über die Bewertung des Cybersicherheitsrisikos für grenzüberschreitende Stromflüsse beitragen, wobei sie die Vertraulichkeit der Informationen gemäß Artikel 47 wahren müssen. Die ÜNB konsultieren diese Einrichtungen mit Unterstützung von ENTSO-E und in Zusammenarbeit mit der EU-VNBO frühzeitig.

(4) Der umfassende Bericht über die Bewertung des Cybersicherheitsrisikos für grenzüberschreitende Stromflüsse unterliegt den Bestimmungen des Artikels 46 über den Schutz ausgetauschter Informationen. Unbeschadet des Artikels 10 Absatz 4 und des Artikels 47 Absatz 4 veröffentlichen ENTSO-E und die EU-VNBO eine öffentliche Fassung dieses Berichts, die keine Informationen enthält, die den in Artikel 2 Absatz 1 aufgeführten Einrichtungen schaden können. Die öffentliche Fassung dieses Berichts wird nur mit Zustimmung der NIS-Kooperationsgruppe und der Koordinierungsgruppe „Strom” veröffentlicht. ENTSO-E ist in Abstimmung mit der EU-VNBO für die Zusammenstellung und Veröffentlichung der öffentlichen Fassung des Berichts verantwortlich.