Artikel 30 VO (EU) 2024/1366

(1) Die in Artikel 2 Absatz 1 aufgeführten Einrichtungen können bei der jeweils zuständigen Behörde eine Ausnahme von ihrer Verpflichtung zur Anwendung der Mindest-Cybersicherheitskontrollen und der erweiterten Cybersicherheitskontrollen gemäß Artikel 29 Absatz 6 beantragen. Die zuständige Behörde kann eine solche Ausnahme aus folgenden Gründen gewähren:

a)

unter außergewöhnlichen Umständen, wenn die Einrichtung nachweisen kann, dass die Kosten für die Durchführung geeigneter Cybersicherheitskontrollen den Nutzen erheblich übersteigen. Die ACER und ENTSO-E können in Zusammenarbeit mit der EU-VNBO zur Unterstützung der Einrichtungen gemeinsam Leitlinien für die Schätzung der Kosten von Cybersicherheitskontrollen ausarbeiten;

b)

bei Vorlage eines Risikobehandlungsplans auf Ebene der Einrichtung, mit dem die Cybersicherheitsrisiken durch alternative Kontrollen auf ein Niveau verringert werden, das nach den in Artikel 26 Absatz 3 Buchstabe b genannten Risikoakzeptanzkriterien akzeptiert werden kann.

(2) Innerhalb von drei Monaten nach Eingang des in Absatz 1 genannten Antrags entscheidet jede zuständige Behörde, ob eine Ausnahme von den Mindest-Cybersicherheitskontrollen und den erweiterten Cybersicherheitskontrollen gewährt wird. Ausnahmen von den Mindest-Cybersicherheitskontrollen oder den erweiterten Cybersicherheitskontrollen werden für höchstens drei Jahre gewährt und können verlängert werden.

(3) Aggregierte und anonymisierte Informationen zu den gewährten Ausnahmen werden dem umfassenden Bericht über die Bewertung des Cybersicherheitsrisikos für grenzüberschreitende Stromflüsse gemäß Artikel 23 als Anhang beigefügt. ENTSO-E und die EU-VNBO aktualisieren die Liste bei Bedarf gemeinsam.