Delegierte Verordnung (EU) 2024/1366 der Kommission vom 11. März 2024 zur Ergänzung der Verordnung (EU) 2019/943 des Europäischen Parlaments und des Rates durch Festlegung eines Netzkodex mit sektorspezifischen Vorschriften für Cybersicherheitsaspekte grenzüberschreitender Stromflüsse

(1) Unbeschadet des Rahmens für die Schaffung europäischer Schemata für die Cybersicherheitszertifizierung gemäß Artikel 46 der Verordnung (EU) 2019/881 können die gemäß Artikel 35 entwickelten unverbindlichen Empfehlungen für die Cybersicherheit bei der Auftragsvergabe sektorspezifische Leitlinien für die Verwendung europäischer Schemata für die Cybersicherheitszertifizierung umfassen, wenn für eine von Einrichtungen mit kritischen Auswirkungen verwendete Art von IKT-Produkten, -Diensten oder -Prozessen ein geeignetes Schema zur Verfügung steht.(2) Die ÜNB arbeiten mit Unterstützung von ENTSO-E und in Zusammenarbeit mit der EU-VNBO eng mit der ENISA zusammen, um die sektorspezifischen Leitlinien bereitzustellen, die in den unverbindlichen Empfehlungen für die Cybersicherheit bei der Auftragsvergabe gemäß Absatz 1 enthalten sind.

Leitlinien für die Nutzung europäischer Schemata für die Cybersicherheitszertifizierung bei der Beschaffung von IKT-Produkten, -Diensten und -Prozessen

ALLGEMEINE BESTIMMUNGEN

KAPITEL I

Gegenstand

Anwendungsbereich

Begriffsbestimmungen

Zuständige Behörde

Zusammenarbeit zwischen den zuständigen Behörden und Stellen auf nationaler Ebene

Modalitäten oder Methoden oder Pläne

Vorschriften für Abstimmungen der ÜNB

Einreichung von Vorschlägen bei den zuständigen Behörden

Konsultationen

Einbeziehung der Interessenträger

Kostenerstattung

Überwachung

Benchmarking

Vereinbarungen mit ÜNB von Drittländern

Gesetzlicher Vertreter

Zusammenarbeit zwischen ENTSO-E und der EU-VNBO

Zusammenarbeit zwischen der ACER und den zuständigen Behörden

RISIKOBEWERTUNG UND ERMITTLUNG DER RELEVANTEN CYBERSICHERHEITSRISIKEN

KAPITEL II

Methoden zur Bewertung des Cybersicherheitsrisikos

Unionsweite Bewertung des Cybersicherheitsrisikos

Bewertung des Cybersicherheitsrisikos der Mitgliedstaaten

Regionale Bewertungen des Cybersicherheitsrisikos

Regionale Pläne zur Minderung des Cybersicherheitsrisikos

Umfassender Bericht über die Bewertung des Cybersicherheitsrisikos für grenzüberschreitende Stromflüsse

Ermittlung von Einrichtungen mit erheblichen oder kritischen Auswirkungen

Nationale Überprüfungssysteme

Cybersicherheitsrisikomanagement auf Ebene der Einrichtungen

Berichterstattung über die Risikobewertung auf Ebene der Einrichtung

GEMEINSAMER RAHMEN FÜR DIE CYBERSICHERHEIT IM ELEKTRIZITÄTSSEKTOR

KAPITEL III

Zusammensetzung, Funktionsweise und Überprüfung des gemeinsamen Rahmens für die Cybersicherheit im Elektrizitätssektor

Mindest-Cybersicherheitskontrollen und erweiterte Cybersicherheitskontrollen

Ausnahmen von den Mindest-Cybersicherheitskontrollen und den erweiterten Cybersicherheitskontrollen

Überprüfung des gemeinsamen Rahmens für die Cybersicherheit im Elektrizitätssektor

Cybersicherheitsmanagementsystem

Mindest-Cybersicherheitskontrollen und erweiterte Cybersicherheitskontrollen in der Lieferkette

Vergleichsmatrix für Cybersicherheitskontrollen im Elektrizitätssektor anhand von Normen

EMPFEHLUNGEN FÜR DIE CYBERSICHERHEIT BEI DER AUFTRAGSVERGABE

KAPITEL IV

Empfehlungen für die Cybersicherheit bei der Auftragsvergabe

INFORMATIONSFLÜSSE, CYBERANGRIFFE UND KRISENMANAGEMENT

KAPITEL V

Vorschriften für den Informationsaustausch

Aufgaben von Einrichtungen mit erheblichen oder kritischen Auswirkungen beim Informationsaustausch

Erkennung von Cyberangriffen und Umgang mit den damit zusammenhängenden Informationen

Krisenmanagement

Cybersicherheitskrisenmanagement- und -reaktionspläne

Cybersicherheits-Frühwarnkapazitäten für den Elektrizitätssektor

RAHMEN FÜR CYBERSICHERHEITSÜBUNGEN IM ELEKTRIZITÄTSSEKTOR

KAPITEL VI

Cybersicherheitsübungen auf Ebene der Einrichtungen und der Mitgliedstaaten

Regionale oder überregionale Cybersicherheitsübungen

Ergebnisse von Cybersicherheitsübungen auf regionaler oder überregionaler Ebene oder auf der Ebene von Einrichtungen oder Mitgliedstaaten

Artikel 36 VO (EU) 2024/1366

Leitlinien für die Nutzung europäischer Schemata für die Cybersicherheitszertifizierung bei der Beschaffung von IKT-Produkten, -Diensten und -Prozessen