Artikel 39 VO (EU) 2024/1366

(1) Einrichtungen mit erheblichen oder kritischen Auswirkungen entwickeln mit der erforderlichen Unterstützung der jeweils zuständigen Behörde, von ENTSO-E und der EU-VNBO die erforderlichen Kapazitäten für den Umgang mit entdeckten Cyberangriffen. Einrichtungen mit kritischen oder erheblichen Auswirkungen können von dem CSIRT unterstützt werden, das in ihrem jeweiligen Mitgliedstaat im Rahmen der den CSIRTs gemäß Artikel 11 Absatz 5 Buchstabe a der Richtlinie (EU) 2022/2555 übertragenen Aufgabe benannt wurde. Einrichtungen mit kritischen oder erheblichen Auswirkungen setzen wirksame Verfahren zur Ermittlung, Klassifizierung und Bewältigung von Cyberangriffen ein, die sich auf grenzüberschreitende Stromflüsse auswirken oder auswirken könnten, um deren Auswirkungen möglichst gering zu halten.

(2) Hat ein Cyberangriff Auswirkungen auf grenzüberschreitende Stromflüsse, so arbeiten die zentralen Anlaufstellen auf Ebene der betroffenen Einrichtungen mit kritischen oder erheblichen Auswirkungen zusammen, um Informationen untereinander auszutauschen, wobei sie von der zuständigen Behörde des Mitgliedstaats, in dem der Cyberangriff zuerst gemeldet wurde, koordiniert werden.

(3) Einrichtungen mit kritischen oder erheblichen Auswirkungen

a)

stellen sicher, dass ihre eigene zentrale Anlaufstelle auf Ebene der Einrichtung nach dem Grundsatz „Kenntnis nur, wenn nötig” Zugang zu den Informationen hat, die sie von der nationalen zentralen Anlaufstelle über ihre zuständige Behörde erhalten hat;

b)

übermitteln, sofern dies nicht bereits gemäß Artikel 3 Absatz 4 der Richtlinie (EU) 2022/2555 geschehen ist, der zuständigen Behörde des Mitgliedstaats, in dem sie niedergelassen sind, und der nationalen zentralen Anlaufstelle eine Liste ihrer für die Cybersicherheit zuständigen zentralen Anlaufstellen,

i)

von denen die zuständige Behörde und die nationale zentrale Anlaufstelle Informationen über meldepflichtige Cyberangriffe erhalten könnte;

ii)

an die die zuständigen Behörden und die nationalen zentralen Anlaufstellen gegebenenfalls Informationen übermitteln müssen;

c)

richten auf der Grundlage der beobachtbaren Entwicklung des Cyberangriffs innerhalb der Perimeter mit kritischen oder erheblichen Auswirkungen Verfahren zur Bewältigung von Cyberangriffen ein, einschließlich Rollen und Zuständigkeiten, Aufgaben und Reaktionen;

d)

testen mindestens einmal jährlich alle Verfahren zur Bewältigung von Cyberangriffen, wobei sie mindestens ein Szenario testen, das sich direkt oder indirekt auf grenzüberschreitende Stromflüsse auswirkt. Dieser jährliche Test kann von Einrichtungen mit kritischen oder erheblichen Auswirkungen während der regelmäßigen Übungen gemäß Artikel 43 durchgeführt werden. Jede Live-Reaktionsmaßnahme auf einen Cyberangriff mit einer Folge, die gemäß der in Artikel 37 Absatz 8 genannten Klassifizierungsmethode für Cyberangriffe mindestens in die Stufe 2 eingestuft wird und der eine Cybersicherheitsursache zugrunde liegt, kann als jährlicher Test des Plans für die Reaktion auf Cyberangriffe betrachtet werden.

(4) Die in Absatz 1 aufgeführten Aufgaben können von den Mitgliedstaaten gemäß Artikel 37 Absatz 2 der Verordnung (EU) 2019/943 auch an die regionalen Koordinierungszentren delegiert werden.