Artikel 25 VO (EU) 2024/1366

(1) Die zuständigen Behörden können ein nationales Überprüfungssystem einrichten, um zu überprüfen, ob die gemäß Artikel 24 Absatz 1 ermittelten Einrichtungen mit kritischen Auswirkungen den nationalen Rechtsrahmen umgesetzt haben, der in der Vergleichsmatrix gemäß Artikel 34 aufgeführt ist. Das nationale Überprüfungssystem kann sich auf eine von der zuständigen Behörde durchgeführte Inspektion, unabhängige Sicherheitsaudits oder gegenseitige Peer Reviews durch Einrichtungen mit kritischen Auswirkungen in demselben Mitgliedstaat, die von der zuständigen Behörde beaufsichtigt werden, stützen.

(2) Beschließt eine zuständige Behörde, ein nationales Überprüfungssystem einzurichten, so stellt sie sicher, dass die Überprüfung nach den folgenden Anforderungen durchgeführt wird:

a)

Jede Partei, die die Peer Review, das Audit oder die Inspektion durchführt, muss von der zu überprüfenden Einrichtung mit kritischen Auswirkungen unabhängig sein und darf sich nicht in einem Interessenkonflikt befinden;

b)

das Personal, das die Peer Reviews, Audits oder Inspektionen durchführt, muss nachweislich Kenntnisse haben über

i)

die Cybersicherheit im Elektrizitätssektor;

ii)

Cybersicherheitsmanagementsysteme;

iii)

Audit-Grundsätze;

iv)

die Bewertung von Cybersicherheitsrisiken;

v)

den gemeinsamen Rahmen für die Cybersicherheit im Elektrizitätssektor;

vi)

den nationalen Rechts- und Verwaltungsrahmen sowie europäische und internationale Normen, die für die Überprüfung relevant sind;

vii)

die Prozesse mit kritischen Auswirkungen, die Gegenstand der Überprüfung sind;

c)

die Partei, die die Peer Reviews, Audits oder Inspektionen durchführt, erhält ausreichend Zeit für die Durchführung dieser Tätigkeiten;

d)

die Partei, die die Peer Reviews, Audits oder Inspektionen durchführt, ergreift geeignete Maßnahmen, um die bei der Überprüfung erhobenen Informationen im Einklang mit ihrem Vertraulichkeitsgrad zu schützen, und

e)

Peer Reviews, Audits oder Inspektionen werden mindestens einmal jährlich durchgeführt und umfassen mindestens alle drei Jahre den gesamten Prüfumfang.

(3) Beschließt eine zuständige Behörde, ein nationales Überprüfungssystem einzurichten, so teilt sie der ACER jährlich mit, wie oft sie Inspektionen im Rahmen dieses Systems durchgeführt hat.