Delegierte Verordnung (EU) 2024/1366 der Kommission vom 11. März 2024 zur Ergänzung der Verordnung (EU) 2019/943 des Europäischen Parlaments und des Rates durch Festlegung eines Netzkodex mit sektorspezifischen Vorschriften für Cybersicherheitsaspekte grenzüberschreitender Stromflüsse

<p><p>Innerhalb von 12 Monaten nach der Unterrichtung der Einrichtungen mit erheblichen oder kritischen Auswirkungen gemäß Artikel 24 Absatz 6 und danach alle drei Jahre legt jede Einrichtung mit erheblichen oder kritischen Auswirkungen der zuständigen Behörde einen Bericht vor, der folgende Informationen enthält:</p>
            <dl>
              <dt style="float: left">1.</dt><dd>eine Liste der für den Risikominderungsplan auf Ebene der Einrichtung gemäß Artikel 26 Absatz 5 ausgewählten Kontrollen mit dem aktuellen Stand der Umsetzung jeder Kontrolle;</dd>
              
              <dt style="float: left">2.</dt><dd>für jeden unionsweiten Prozess mit erheblichen oder kritischen Auswirkungen eine Schätzung des Risikos einer Beeinträchtigung der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen und relevanten Vermögenswerten. Die Schätzung dieses Risikos ist im Einklang mit der Risiko-Auswirkungs-Matrix gemäß Artikel 19 Absatz 2 zu bestimmen;</dd>
              <dt style="float: left">3.</dt><dd>für ihre Prozesse mit kritischen Auswirkungen eine Liste der Anbieter kritischer IKT-Dienste.</dd>
            </dl></p>

Berichterstattung über die Risikobewertung auf Ebene der Einrichtung

ALLGEMEINE BESTIMMUNGEN

KAPITEL I

Gegenstand

Anwendungsbereich

Begriffsbestimmungen

Zuständige Behörde

Zusammenarbeit zwischen den zuständigen Behörden und Stellen auf nationaler Ebene

Modalitäten oder Methoden oder Pläne

Vorschriften für Abstimmungen der ÜNB

Einreichung von Vorschlägen bei den zuständigen Behörden

Konsultationen

Einbeziehung der Interessenträger

Kostenerstattung

Überwachung

Benchmarking

Vereinbarungen mit ÜNB von Drittländern

Gesetzlicher Vertreter

Zusammenarbeit zwischen ENTSO-E und der EU-VNBO

Zusammenarbeit zwischen der ACER und den zuständigen Behörden

RISIKOBEWERTUNG UND ERMITTLUNG DER RELEVANTEN CYBERSICHERHEITSRISIKEN

KAPITEL II

Methoden zur Bewertung des Cybersicherheitsrisikos

Unionsweite Bewertung des Cybersicherheitsrisikos

Bewertung des Cybersicherheitsrisikos der Mitgliedstaaten

Regionale Bewertungen des Cybersicherheitsrisikos

Regionale Pläne zur Minderung des Cybersicherheitsrisikos

Umfassender Bericht über die Bewertung des Cybersicherheitsrisikos für grenzüberschreitende Stromflüsse

Ermittlung von Einrichtungen mit erheblichen oder kritischen Auswirkungen

Nationale Überprüfungssysteme

Cybersicherheitsrisikomanagement auf Ebene der Einrichtungen

GEMEINSAMER RAHMEN FÜR DIE CYBERSICHERHEIT IM ELEKTRIZITÄTSSEKTOR

KAPITEL III

Zusammensetzung, Funktionsweise und Überprüfung des gemeinsamen Rahmens für die Cybersicherheit im Elektrizitätssektor

Mindest-Cybersicherheitskontrollen und erweiterte Cybersicherheitskontrollen

Ausnahmen von den Mindest-Cybersicherheitskontrollen und den erweiterten Cybersicherheitskontrollen

Überprüfung des gemeinsamen Rahmens für die Cybersicherheit im Elektrizitätssektor

Cybersicherheitsmanagementsystem

Mindest-Cybersicherheitskontrollen und erweiterte Cybersicherheitskontrollen in der Lieferkette

Vergleichsmatrix für Cybersicherheitskontrollen im Elektrizitätssektor anhand von Normen

EMPFEHLUNGEN FÜR DIE CYBERSICHERHEIT BEI DER AUFTRAGSVERGABE

KAPITEL IV

Empfehlungen für die Cybersicherheit bei der Auftragsvergabe

Leitlinien für die Nutzung europäischer Schemata für die Cybersicherheitszertifizierung bei der Beschaffung von IKT-Produkten, -Diensten und -Prozessen

INFORMATIONSFLÜSSE, CYBERANGRIFFE UND KRISENMANAGEMENT

KAPITEL V

Vorschriften für den Informationsaustausch

Aufgaben von Einrichtungen mit erheblichen oder kritischen Auswirkungen beim Informationsaustausch

Erkennung von Cyberangriffen und Umgang mit den damit zusammenhängenden Informationen

Krisenmanagement

Cybersicherheitskrisenmanagement- und -reaktionspläne

Cybersicherheits-Frühwarnkapazitäten für den Elektrizitätssektor

RAHMEN FÜR CYBERSICHERHEITSÜBUNGEN IM ELEKTRIZITÄTSSEKTOR

KAPITEL VI

Cybersicherheitsübungen auf Ebene der Einrichtungen und der Mitgliedstaaten

Regionale oder überregionale Cybersicherheitsübungen

Ergebnisse von Cybersicherheitsübungen auf regionaler oder überregionaler Ebene oder auf der Ebene von Einrichtungen oder Mitgliedstaaten

Artikel 27 VO (EU) 2024/1366

Berichterstattung über die Risikobewertung auf Ebene der Einrichtung