Artikel 41 VO (EU) 2024/1366

(1) Innerhalb von 24 Monaten nach der Übermittlung des Berichts über die unionsweite Risikobewertung an die ACER entwickelt diese in enger Zusammenarbeit mit der ENISA, ENTSO-E, der EU-VNBO, den CS-NCA, den zuständigen Behörden, den RP-NCA, den NRB und den nationalen NIS-Behörden für das Cyberkrisenmanagement einen unionsweiten Cybersicherheitskrisenmanagement- und -reaktionsplan für den Elektrizitätssektor.

(2) Innerhalb von 12 Monaten nach der Ausarbeitung des unionsweiten Cybersicherheitskrisenmanagement- und -reaktionsplans für den Elektrizitätssektor gemäß Absatz 1 durch die ACER erstellt jede zuständige Behörde einen nationalen Cybersicherheitskrisenmanagement- und -reaktionsplan für grenzüberschreitende Stromflüsse unter Berücksichtigung des unionsweiten Cybersicherheitskrisenmanagement- und -reaktionsplans für den Elektrizitätssektor und des gemäß Artikel 10 der Verordnung (EU) 2019/941 erstellten nationalen Risikovorsorgeplans. Dieser Plan muss mit dem Plan für die Reaktion auf Cybersicherheitsvorfälle großen Ausmaßes und Krisen gemäß Artikel 9 Absatz 4 der Richtlinie (EU) 2022/2555 im Einklang stehen. Die zuständige Behörde stimmt sich mit den Einrichtungen mit kritischen oder erheblichen Auswirkungen sowie mit der RP-NCA in ihrem Mitgliedstaat ab.

(3) Der gemäß Artikel 9 Absatz 4 der Richtlinie (EU) 2022/2555 erforderliche nationale Plan für die Reaktion auf Cybersicherheitsvorfälle großen Ausmaßes und Krisen gilt als nationaler Plan für das Cybersicherheitskrisenmanagement im Sinne dieses Artikels, wenn er Bestimmungen für das Krisenmanagement und die Krisenreaktion in Bezug auf grenzüberschreitende Stromflüsse enthält.

(4) Die in den Absätzen 1 und 2 aufgeführten Aufgaben können von den Mitgliedstaaten gemäß Artikel 37 Absatz 2 der Verordnung (EU) 2019/943 auch an die regionalen Koordinierungszentren delegiert werden.

(5) Einrichtungen mit kritischen oder erheblichen Auswirkungen stellen sicher, dass ihre Krisenmanagementprozesse im Bereich der Cybersicherheit

a)

kompatible Verfahren für die grenzüberschreitende Bewältigung von Cybersicherheitsvorfällen gemäß Artikel 6 Nummer 8 der Richtlinie (EU) 2022/2555 umfassen, die förmlich in ihren Krisenmanagementpläne enthalten sind;

b)

Teil der allgemeinen Krisenmanagementmaßnahmen sind.

(6) Innerhalb von 12 Monaten nach der Unterrichtung der Einrichtungen mit erheblichen oder kritischen Auswirkungen gemäß Artikel 24 Absatz 6 und danach alle drei Jahre erstellen Einrichtungen mit kritischen oder erheblichen Auswirkungen auf Ebene der Einrichtung einen Krisenmanagementplan für Cybersicherheitskrisen, der in ihre allgemeinen Krisenmanagementpläne aufgenommen wird. Dieser Plan muss mindestens Folgendes umfassen:

a)

Regeln für die Erklärung einer Krise gemäß Artikel 14 Absätze 2 und 3 der Verordnung (EU) 2019/941;

b)

klare Aufgaben und Zuständigkeiten für das Krisenmanagement, einschließlich der Rolle anderer relevanter Einrichtungen mit kritischen oder erheblichen Auswirkungen;

c)

aktuelle Kontaktinformationen sowie Regeln für die Kommunikation und den Informationsaustausch während einer Krisensituation, einschließlich der Verbindung zu den CSIRTs.

(7) Die Maßnahmen für das Krisenmanagement gemäß Artikel 21 Absatz 2 Buchstabe c der Richtlinie (EU) 2022/2555 gelten als Krisenmanagementplan auf Ebene der Einrichtung für den Elektrizitätssektor im Sinne dieses Artikels, wenn sie alle in Absatz 6 aufgeführten Anforderungen erfüllen.

(8) Die Krisenmanagementpläne werden in den Cybersicherheitsübungen gemäß den Artikeln 43, 44 und 45 getestet.

(9) In Bezug auf Prozesse mit kritischen oder erheblichen Auswirkungen nehmen Einrichtungen mit kritischen oder erheblichen Auswirkungen ihre Krisenmanagementpläne auf Ebene der Einrichtung in ihre Pläne zur Aufrechterhaltung des Geschäftsbetriebs (Business Continuity) auf. Die Krisenmanagementpläne auf Ebene der Einrichtung müssen Folgendes umfassen:

a)

Prozesse, die von der Verfügbarkeit, Integrität und Zuverlässigkeit von IT-Diensten abhängen;

b)

alle Standorte für die Aufrechterhaltung des Geschäftsbetriebs, einschließlich der Standorte für Hardware und Software;

c)

alle internen Aufgaben und Zuständigkeiten im Zusammenhang mit den Verfahren zur Aufrechterhaltung des Geschäftsbetriebs.

(10) Einrichtungen mit kritischen oder erheblichen Auswirkungen aktualisieren ihre Krisenmanagementpläne auf Ebene der Einrichtung mindestens alle drei Jahre sowie immer dann, wenn dies erforderlich ist.

(11) Die ACER aktualisiert den gemäß Absatz 1 erstellten unionsweiten Cybersicherheitskrisenmanagement- und -reaktionsplan für den Elektrizitätssektor mindestens alle drei Jahre sowie immer dann, wenn dies erforderlich ist.

(12) Jede zuständige Behörde aktualisiert den gemäß Absatz 2 erstellten nationalen Cybersicherheitskrisenmanagement- und -reaktionsplan für grenzüberschreitende Stromflüsse mindestens alle drei Jahre sowie immer dann, wenn dies erforderlich ist.

(13) Einrichtungen mit kritischen oder erheblichen Auswirkungen testen ihre Pläne zur Aufrechterhaltung des Geschäftsbetriebs mindestens einmal alle drei Jahre oder nach größeren Änderungen in einem Prozess mit kritischen Auswirkungen. Die Ergebnisse der Tests der Pläne zur Aufrechterhaltung des Geschäftsbetriebs werden dokumentiert. Einrichtungen mit kritischen oder erheblichen Auswirkungen können den Test ihres Plans zur Aufrechterhaltung des Geschäftsbetriebs in die Cybersicherheitsübungen einbeziehen.

(14) Einrichtungen mit kritischen oder erheblichen Auswirkungen aktualisieren ihren Plan zur Aufrechterhaltung des Geschäftsbetriebs immer bei Bedarf und mindestens einmal alle drei Jahre unter Berücksichtigung der Ergebnisse des Tests.

(15) Werden bei einem Test Mängel im Plan zur Aufrechterhaltung des Geschäftsbetriebs festgestellt, behebt die Einrichtung mit kritischen oder erheblichen Auswirkungen diese Mängel innerhalb von 180 Kalendertagen nach dem Test und führt einen neuen Test durch, um nachzuweisen, dass die Korrekturmaßnahmen wirksam sind.

(16) Kann eine Einrichtung mit kritischen oder erheblichen Auswirkungen die Mängel nicht innerhalb von 180 Kalendertagen beheben, nimmt sie die Gründe in den Bericht auf, der der für sie zuständigen Behörde gemäß Artikel 27 vorzulegen ist.