Artikel 26 VO (EU) 2024/1366

(1) Jede von den zuständigen Behörden gemäß Artikel 24 Absatz 1 ermittelte Einrichtung mit erheblichen oder kritischen Auswirkungen führt das Cybersicherheitsrisikomanagement für alle ihre Vermögenswerte in ihren Perimetern mit erheblichen oder kritischen Auswirkungen durch. Jede Einrichtung mit erheblichen oder kritischen Auswirkungen führt alle drei Jahre ein Risikomanagement durch, das die in Absatz 2 genannten Phasen umfasst.

(2) Jede Einrichtung mit erheblichen oder kritischen Auswirkungen stützt ihr Cybersicherheitsrisikomanagement auf einen Ansatz, der auf den Schutz ihrer Netz- und Informationssysteme abzielt und folgende Phasen umfasst:

a)

Bestimmung des Kontexts;

b)

Bewertung des Cybersicherheitsrisikos auf der Ebene der Einrichtung;

c)

Behandlung von Cybersicherheitsrisiken;

d)

Akzeptanz von Cybersicherheitsrisiken.

(3) Bei der Bestimmung des Kontexts trifft jede Einrichtung mit erheblichen oder kritischen Auswirkungen folgende Maßnahmen:

a)

Festlegung des Umfangs der Bewertung des Cybersicherheitsrisikos, einschließlich der von ENTSO-E und der EU-VNBO ermittelten Prozesse mit erheblichen oder kritischen Auswirkungen sowie anderer Prozesse, die Ziel von Cyberangriffen mit erheblichen oder kritischen Auswirkungen auf grenzüberschreitende Stromflüsse sein können, und

b)

Festlegung der Kriterien für die Risikobewertung und die Risikoakzeptanz im Einklang mit der Risiko-Auswirkungs-Matrix, die Einrichtungen und die zuständigen Behörden nach den von ENTSO-E und der EU-VNBO gemäß Artikel 19 Absatz 2 entwickelten Methoden zur Bewertung des Cybersicherheitsrisikos auf Unionsebene, auf regionaler Ebene und auf Ebene der Mitgliedstaaten nutzen müssen, um Cybersicherheitsrisiken zu bewerten.

(4) Bei der Bewertung des Cybersicherheitsrisikos muss jede Einrichtung mit erheblichen oder kritischen Auswirkungen

a)

Cybersicherheitsrisiken unter Berücksichtigung folgender Aspekte ermitteln:

i)

aller Vermögenswerte, die unionsweite Prozesse mit erheblichen oder kritischen Auswirkungen unterstützen, wobei die möglichen Auswirkungen auf grenzüberschreitende Stromflüsse für den Fall einer Kompromittierung des Vermögenswerts zu bewerten sind;

ii)

möglicher Cyberbedrohungen unter Berücksichtigung der Cyberbedrohungen, die im jüngsten umfassenden Bericht über die Bewertung des Cybersicherheitsrisikos für grenzüberschreitende Stromflüsse gemäß Artikel 23 ermittelt wurden, sowie Bedrohungen der Lieferkette;

iii)

Schwachstellen, einschließlich Schwachstellen in Altsystemen;

iv)

möglicher Szenarien von Cyberangriffen, einschließlich Cyberangriffen, die die Betriebssicherheit des Elektrizitätssystems beeinträchtigen und grenzüberschreitende Stromflüsse stören;

v)

einschlägiger Risikobeurteilungen und -bewertungen auf Unionsebene, einschließlich koordinierter Risikobewertungen kritischer Lieferketten gemäß Artikel 22 der Richtlinie (EU) 2022/2555, und

vi)

bestehender umgesetzter Kontrollen;

b)

die Wahrscheinlichkeit und Folgen der unter Buchstabe a genannten Cybersicherheitsrisiken analysieren und das Ausmaß des Cybersicherheitsrisikos anhand der Risiko-Auswirkungs-Matrix bestimmen, die in den von den ÜNB mit Unterstützung von ENTSO-E und in Zusammenarbeit mit der EU-VNBO gemäß Artikel 19 Absatz 2 entwickelten Methoden zur Bewertung des Cybersicherheitsrisikos auf Unionsebene, auf regionaler Ebene und auf Ebene der Mitgliedstaaten genutzt wird, um Cybersicherheitsrisiken zu bewerten;

c)

Vermögenswerte nach den möglichen Folgen einer Beeinträchtigung der Cybersicherheit klassifizieren und Perimeter mit erheblichen oder kritischen Auswirkungen wie folgt ermitteln:

i)

Durchführung einer Folgenabschätzung für Geschäftsprozesse anhand des ECII für alle Prozesse, die Gegenstand der Bewertung des Cybersicherheitsrisikos sind;

ii)

Einstufung eines Prozesses als Prozess mit erheblichen oder kritischen Auswirkungen, wenn sein ECII über dem Schwellenwert für erhebliche bzw. kritische Auswirkungen liegt;

iii)

Bestimmung aller Vermögenswerte mit erheblichen oder kritischen Auswirkungen als die Vermögenswerte, die für Prozesse mit erheblichen bzw. kritischen Auswirkungen erforderlich sind;

iv)

Bestimmung der Perimeter mit erheblichen oder kritischen Auswirkungen als Perimeter, die alle Vermögenswerte mit erheblichen bzw. kritischen Auswirkungen umfassen, damit der Zugang zu diesen Perimetern kontrolliert werden kann;

d)

Cybersicherheitsrisiken durch Priorisierung anhand von Risikobewertungs- und Risikoakzeptanzkriterien gemäß Absatz 3 Buchstabe b beurteilen.

(5) Bei der Behandlung des Cybersicherheitsrisikos erstellt jede Einrichtung mit erheblichen oder kritischen Auswirkungen einen Risikominderungsplan auf Ebene der Einrichtung, wobei sie geeignete Optionen für die Behandlung des Risikos wählt, um die Risiken zu bewältigen und das Restrisiko zu bestimmen.

(6) Bei der Akzeptanz von Cybersicherheitsrisiken entscheidet jede Einrichtung mit erheblichen oder kritischen Auswirkungen auf der Grundlage der in Absatz 3 Buchstabe b festgelegten Risikoakzeptanzkriterien, ob sie das Restrisiko akzeptiert.

(7) Jede Einrichtung mit erheblichen oder kritischen Auswirkungen erfasst die in Absatz 1 genannten Vermögenswerte in einem Vermögensinventar. Dieses Vermögensinventar ist nicht Teil des Berichts über die Risikobewertung.

(8) Die zuständige Behörde kann die im Vermögensinventar enthaltenen Vermögenswerte während der Inspektionen einsehen.