Artikel 48 VO (EU) 2024/1366

(1) Bis zur Genehmigung der Modalitäten oder Methoden gemäß Artikel 6 Absatz 2 oder der Pläne gemäß Artikel 6 Absatz 3 erstellt ENTSO-E in Zusammenarbeit mit der EU-VNBO unverbindliche Leitlinien zu folgenden Themen:

a)

einem vorläufigen Index für die Auswirkungen auf die Cybersicherheit im Elektrizitätssektor (im Folgenden „ECII” ) gemäß Absatz 2;

b)

einer vorläufigen Liste der unionsweiten Prozesse mit erheblichen oder kritischen Auswirkungen gemäß Absatz 4 sowie

c)

einer vorläufigen Liste europäischer und internationaler Normen und Kontrollen gemäß Absatz 6, die nach nationalen Rechtsvorschriften erforderlich und für Cybersicherheitsaspekte grenzüberschreitender Stromflüsse relevant sind.

(2) Bis zum 13 Oktober 2024 erarbeitet ENTSO-E in Zusammenarbeit mit der EU-VNBO eine Empfehlung für einen vorläufigen ECII. ENTSO-E teilt den zuständigen Behörden in Zusammenarbeit mit der EU-VNBO den empfohlenen vorläufigen ECII mit.

(3) Vier Monate nach Erhalt des empfohlenen vorläufigen ECII oder bis spätestens 13 Februar 2025 ermitteln die zuständigen Behörden auf der Grundlage des empfohlenen ECII Einrichtungen, die als Einrichtungen mit erheblichen oder kritischen Auswirkungen in ihrem Mitgliedstaat in Betracht kommen, und erstellen eine vorläufige Liste von Einrichtungen mit erheblichen oder kritischen Auswirkungen. Die in der vorläufigen Liste aufgeführten Einrichtungen mit erheblichen oder kritischen Auswirkungen können ihren in dieser Verordnung festgelegten Verpflichtungen nach dem Vorsorgeprinzip freiwillig nachkommen. Bis zum 13 März 2025 teilen die zuständigen Behörden den in der vorläufigen Liste aufgeführten Einrichtungen mit, dass sie als Einrichtung mit erheblichen oder kritischen Auswirkungen eingestuft wurden.

(4) Bis zum 13 Dezember 2024 erarbeitet ENTSO-E in Zusammenarbeit mit der EU-VNBO eine vorläufige Liste von unionsweiten Prozessen mit erheblichen oder kritischen Auswirkungen. Die gemäß Absatz 3 unterrichteten Einrichtungen, die freiwillig beschließen, ihre in dieser Verordnung festgelegten Verpflichtungen nach dem Vorsorgeprinzip zu erfüllen, nutzen die vorläufige Liste von unionsweiten Prozessen mit erheblichen oder kritischen Auswirkungen, um vorläufige Perimeter mit erheblichen oder kritischen Auswirkungen zu bestimmen und um zu ermitteln, welche Vermögenswerte in die erste Bewertung des Cybersicherheitsrisikos auf Ebene der Einrichtung einzubeziehen sind.

(5) Bis zum 13 September 2024 übermittelt jede gemäß Artikel 4 Absatz 1 zuständige Behörde ENTSO-E und der EU-VNBO eine Liste ihrer nationalen Rechtsvorschriften, die für Cybersicherheitsaspekte grenzüberschreitender Stromflüsse relevant sind.

(6) Bis zum 13 Juni 2025 erstellt ENTSO-E in Zusammenarbeit mit der EU-VNBO unter Berücksichtigung der von den zuständigen Behörden bereitgestellten Informationen eine vorläufige Liste der nach nationalem Recht vorgeschriebenen europäischen und internationalen Normen und Kontrollen, die für Cybersicherheitsaspekte grenzüberschreitender Stromflüsse relevant sind.

(7) Die vorläufige Liste der europäischen und internationalen Normen und Kontrollen muss Folgendes enthalten:

a)

europäische und internationale Normen und nationale Rechtsvorschriften, die Leitlinien für Methoden für das Risikomanagement im Bereich der Cybersicherheit auf Ebene der Einrichtungen enthalten, und

b)

Cybersicherheitskontrollen, die denjenigen gleichwertig sind, die voraussichtlich Teil der Mindest-Cybersicherheitskontrollen und der erweiterten Cybersicherheitskontrollen sein werden.

(8) ENTSO-E und die EU-VNBO berücksichtigen bei der Fertigstellung der vorläufigen Liste von Normen die Stellungnahmen der ENISA und der ACER. ENTSO-E und die EU-VNBO veröffentlichen die vorläufige Liste der europäischen und internationalen Normen und Kontrollen auf ihren Websites.

(9) ENTSO-E und die EU-VNBO konsultieren die ENISA und die ACER zu den gemäß Absatz 1 erstellten Vorschlägen für unverbindliche Leitlinien.

(10) Bis die Mindest-Cybersicherheitskontrollen und die erweiterten Cybersicherheitskontrollen gemäß Artikel 29 entwickelt und gemäß Artikel 8 angenommen sind, bemühen sich alle in Artikel 2 Absatz 1 aufgeführten Einrichtungen, die gemäß Absatz 1 des vorliegenden Artikels erstellten unverbindlichen Leitlinien nach und nach anzuwenden.