Artikel 45 VO (EU) 2024/1366

(1) Auf Ersuchen einer Einrichtung mit kritischen Auswirkungen nehmen die Anbieter kritischer Dienste an den in Artikel 43 Absätze 1 und 2 und in Artikel 44 Absatz 1 genannten Cybersicherheitsübungen teil, wenn sie Dienste für die Einrichtung mit kritischen Auswirkungen in dem Bereich erbringen, der dem Anwendungsbereich der betreffenden Cybersicherheitsübung entspricht.

(2) Die Organisatoren der in Artikel 43 Absätze 1 und 2 und in Artikel 44 Absatz 1 genannten Cybersicherheitsübungen analysieren und beenden die einschlägigen Cybersicherheitsübungen mit einem an alle Teilnehmer gerichteten Bericht, in dem die gewonnenen Erkenntnisse zusammengefasst werden, wobei sie bei der ENISA gemäß Artikel 7 Absatz 5 der Verordnung (EU) 2019/881 Rat einholen können. Der Bericht muss Folgendes enthalten:

a)

die Übungsszenarien, Sitzungsberichte, wichtigsten Standpunkte, Erfolge und Erkenntnisse auf allen Ebenen der Elektrizitätswertschöpfungskette;

b)

die Angabe, ob die wichtigsten Leistungskriterien erfüllt wurden;

c)

eine Liste von Empfehlungen für Einrichtungen, die an der einschlägigen Cybersicherheitsübung teilnehmen, in Bezug auf eine Korrektur, Anpassung oder Änderung von Cybersicherheitskrisenprozessen, -verfahren, zugehörigen Governance-Modellen und etwaigen bestehenden vertraglichen Verpflichtungen mit Anbietern kritischer Dienste.

(3) Auf Ersuchen des CSIRTs-Netzes, der NIS-Kooperationsgruppe oder des EU-CyCLONe leiten die Organisatoren der in Artikel 43 Absätze 1 und 2 und in Artikel 44 Absatz 1 genannten Cybersicherheitsübungen die Ergebnisse der einschlägigen Cybersicherheitsübung weiter. Die Organisatoren teilen jeder an den Übungen teilnehmenden Einrichtung die in Absatz 2 Buchstaben a und b dieses Artikels genannten Informationen mit. Die Organisatoren übermitteln die Liste der in Absatz 2 Buchstabe c genannten Empfehlungen ausschließlich an die Einrichtungen, an die sich die Empfehlungen richten.

(4) Die Organisatoren der in Artikel 43 Absätze 1 und 2 und in Artikel 44 Absatz 1 genannten Cybersicherheitsübungen treffen mit den an den Übungen teilnehmenden Einrichtungen regelmäßig Folgemaßnahmen in Bezug auf die Umsetzung der Empfehlungen gemäß Absatz 2 Buchstabe c des vorliegenden Artikels.