Artikel 37 VO (EU) 2024/1366

(1) Erhält eine zuständige Behörde Informationen über einen meldepflichtigen Cyberangriff,

a)

bewertet sie den Grad der Vertraulichkeit dieser Informationen und unterrichtet die Einrichtung unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Eingang der Informationen, über das Ergebnis ihrer Bewertung;

b)

versucht sie, andere ähnliche Cyberangriffe in der Union zu ermitteln, die anderen zuständigen Behörden gemeldet wurden, um die zu dem meldepflichtigen Cyberangriff eingegangenen Informationen mit Informationen zu vergleichen, die zu anderen Cyberangriffen bereitgestellt wurden, und um vorhandene Informationen zu ergänzen sowie die Reaktion im Bereich der Cybersicherheit zu stärken und zu koordinieren;

c)

ist sie für die Entfernung von Geschäftsgeheimnissen und die Anonymisierung der Informationen im Einklang mit den einschlägigen nationalen Vorschriften und Unionsvorschriften verantwortlich;

d)

übermittelt sie die Informationen unverzüglich, spätestens jedoch 24 Stunden nach Eingang der Informationen über einen meldepflichtigen Cyberangriff, den nationalen zentralen Anlaufstellen, den CSIRTs und allen gemäß Artikel 4 benannten zuständigen Behörden anderer Mitgliedstaten und stellt diesen Behörden oder Stellen regelmäßig aktualisierte Informationen zur Verfügung;

e)

übermittelt sie die Informationen über den Cyberangriff nach Anonymisierung und Entfernung von Geschäftsgeheimnissen gemäß Absatz 1 Buchstabe c unverzüglich, spätestens jedoch 24 Stunden nach Eingang der Informationen gemäß Absatz 1 Buchstabe a, den Einrichtungen mit kritischen oder erheblichen Auswirkungen in ihrem Mitgliedstaat und stellt regelmäßig aktualisierte Informationen bereit, um den Einrichtungen einen wirksamen Schutz zu ermöglichen;

f)

kann sie die meldende Einrichtung mit erheblichen oder kritischen Auswirkungen auffordern, die meldepflichtigen Informationen über Cyberangriffe auf sichere Weise an andere möglicherweise betroffene Einrichtungen weiterzuleiten, um den Elektrizitätssektor für die Lage zu sensibilisieren und zu verhindern, dass ein Risiko eintritt, das dort zu einem grenzüberschreitenden Cybersicherheitsvorfall eskalieren könnte;

g)

übermittelt sie der ENISA nach Anonymisierung und Entfernung von Geschäftsgeheimnissen einen zusammenfassenden Bericht mit den Informationen zu dem Cyberangriff.

(2) Erhält ein CSIRT Kenntnis von einer aktiv ausgenutzten Schwachstelle ohne Patch, so

a)

teilt es diese der ENISA unverzüglich über einen geeigneten Kanal für den sicheren Informationsaustausch mit, sofern in anderen Rechtsvorschriften der Union nichts anderes bestimmt ist;

b)

unterstützt es die betroffene Einrichtung dabei, vom Hersteller oder Anbieter eine wirksame, koordinierte und rasche Behandlung der aktiv ausgenutzten Schwachstelle ohne Patch oder wirksame und effiziente Abhilfemaßnahmen zu erhalten;

c)

tauscht es die verfügbaren Informationen mit dem Verkäufer aus und fordert den Hersteller oder Anbieter auf, möglichst eine Liste der CSIRTs in den Mitgliedstaaten vorzulegen, die von der aktiv ausgenutzten Schwachstelle ohne Patch betroffen sind und informiert werden müssen;

d)

tauscht es verfügbare Informationen nach dem Grundsatz „Kenntnis nur, wenn nötig” mit den unter obigem Buchstaben genannten CSIRTs aus;

e)

stellt es Informationen über etwaige vorhandene Abhilfestrategien und -maßnahmen in Bezug auf die aktiv ausgenutzte Schwachstelle ohne Patch bereit.

(3) Erhält eine zuständige Behörde Kenntnis von einer aktiv ausgenutzten Schwachstelle ohne Patch, so

a)

informiert sie in Abstimmung mit den CSIRTs in ihrem Mitgliedstaat über etwaige vorhandene Abhilfestrategien und -maßnahmen in Bezug auf die aktiv ausgenutzte Schwachstelle ohne Patch;

b)

übermittelt sie die Informationen an ein CSIRT in dem Mitgliedstaat, in dem die aktiv ausgenutzte Schwachstelle ohne Patch gemeldet wurde.

(4) Erhält die zuständige Behörde Kenntnis von einer Schwachstelle ohne Patch, in Bezug auf die keine Beweise für eine aktive Ausnutzung vorliegen, stimmt sie sich unverzüglich mit dem CSIRT im Hinblick auf eine koordinierte Offenlegung von Schwachstellen gemäß Artikel 12 Absatz 1 der Richtlinie (EU) 2022/2555 ab.

(5) Erhält ein CSIRT gemäß Artikel 38 Absatz 6 von einer oder mehreren Einrichtungen mit erheblichen oder kritischen Auswirkungen Informationen in Bezug auf Cyberbedrohungen, so leitet es diese oder andere Informationen, die für die Verhütung, Erkennung, Behandlung oder Minderung des damit verbundenen Risikos von Bedeutung sind, an die Einrichtungen mit kritischen oder erheblichen Auswirkungen in seinem Mitgliedstaat und gegebenenfalls an alle betroffenen CSIRTs und seine nationale zentralen Anlaufstelle unverzüglich, spätestens jedoch vier Stunden nach Eingang der Informationen, weiter.

(6) Erhält eine zuständige Behörde von einer oder mehreren Einrichtungen mit erheblichen oder kritischen Auswirkungen Informationen über Cyberbedrohungen, so leitet sie diese Informationen für die Zwecke des Absatzes 5 an das CSIRT weiter.

(7) Die zuständigen Behörden können die Zuständigkeiten nach den Absätzen 3 und 4 in Bezug auf eine oder mehrere Einrichtungen mit erheblichen oder kritischen Auswirkungen, die in mehr als einem Mitgliedstaat tätig sind, ganz oder teilweise an eine andere zuständige Behörde in einem dieser Mitgliedstaaten delegieren, sofern sich die betroffenen zuständigen Behörden darauf geeinigt haben.

(8) Die ÜNB entwickeln mit Unterstützung von ENTSO-E und in Zusammenarbeit mit der EU-VNBO bis zum 13 Juni 2025 eine Klassifizierungsmethode für Cyberangriffe. Die ÜNB können mit Unterstützung von ENTSO-E und der EU-VNBO die zuständigen Behörden ersuchen, die ENISA und ihre für Cybersicherheit zuständigen Behörden zur Unterstützung bei der Entwicklung einer solchen Klassifizierungsskala zu konsultieren. Die Methode muss fünf Stufen für die Schwere eines Cyberangriffs enthalten, wobei „erheblich” und „kritisch” die höchsten Stufen darstellen. Die Klassifizierung muss sich auf die Bewertung der folgenden Parameter stützen:

a)

die potenziellen Auswirkungen unter Berücksichtigung der gemäß Artikel 26 Absatz 4 Buchstabe c ermittelten exponierten Vermögenswerte und Perimeter und

b)

die Schwere des Cyberangriffs.

(9) Bis zum 13 Juni 2026 führt ENTSO-E in Zusammenarbeit mit der EU-VNBO eine Machbarkeitsstudie hinsichtlich der Möglichkeit durch, ein gemeinsames Instrument zu entwickeln, das es allen Einrichtungen ermöglicht, Informationen mit den zuständigen nationalen Behörden auszutauschen, und prüft die damit verbundenen finanziellen Kosten.

(10) In der Machbarkeitsstudie wird die Möglichkeit geprüft, ein solches gemeinsames Instrument

a)

zu nutzen, um Einrichtungen mit kritischen oder erheblichen Auswirkungen durch einschlägige sicherheitsrelevante Informationen für den Betrieb grenzüberschreitender Stromflüsse zu unterstützen, z. B. durch echtzeitnahe Berichterstattung über Cyberangriffe, Frühwarnungen im Zusammenhang mit Cybersicherheitsfragen und nicht offengelegten Schwachstellen von Geräten, die im Elektrizitätssystem eingesetzt werden;

b)

in einem geeigneten und äußerst vertrauenswürdigen Umfeld zu pflegen;

c)

zu nutzen, um Daten bei Einrichtungen mit kritischen oder erheblichen Auswirkungen zu erheben und die Entfernung vertraulicher Informationen und die Anonymisierung der Daten zu unterstützen und diese unverzüglich an Einrichtungen mit kritischen oder erheblichen Auswirkungen weiterzuleiten.

(11) In Zusammenarbeit mit der EU-VNBO

a)

konsultiert ENTSO-E bei der Machbarkeitsstudie die ENISA und die NIS-Kooperationsgruppe, die nationalen zentralen Anlaufstellen und die Vertreter der wichtigsten Interessenträger;

b)

legt ENTSO-E die Ergebnisse der Machbarkeitsstudie der ACER und der NIS-Kooperationsgruppe vor.

(12) ENTSO-E kann in Zusammenarbeit mit der EU-VNBO Initiativen analysieren und unterstützen, die von Einrichtungen mit kritischen oder erheblichen Auswirkungen vorgeschlagen werden, um solche Instrumente für den Informationsaustausch zu bewerten und zu testen.