1.   Denne forordning finder anvendelse på cybersikkerhedsmæssige aspekter af grænseoverskridende elektricitetsstrømme i følgende enheders aktiviteter, hvis de udpeges som enheder med stor indvirkning eller kritisk indvirkning i overensstemmelse med artikel 24:

2.   Følgende myndigheder er inden for rammerne af deres nuværende mandat ansvarlige for at udføre de opgaver, de pålægges ved denne forordning:

3.   Denne forordning finder også anvendelse på alle enheder, som ikke er etableret i Unionen, men som leverer tjenester til enheder i Unionen, forudsat at de er blevet udpeget som enheder med stor indvirkning eller kritisk indvirkning af de kompetente myndigheder i overensstemmelse med artikel 24, stk. 2.

4.   Denne forordning berører ikke medlemsstaternes ansvar for at beskytte den nationale sikkerhed eller deres beføjelse til at beskytte andre væsentlige statslige funktioner, herunder sikring af statens territoriale integritet og opretholdelse af lov og orden.

5.   Denne forordning berører ikke medlemsstaternes ansvar for at beskytte den nationale sikkerhed med hensyn til aktiviteter vedrørende produktion af elektricitet fra kernekraftværker, herunder aktiviteter inden for den nukleare værdikæde, i overensstemmelse med traktaterne.

6.   Enheder, de kompetente myndigheder, de centrale kontaktpunkter på enhedsniveau og CSIRT'erne behandler personoplysninger i det omfang, det er nødvendigt med henblik på denne forordning, og i overensstemmelse med forordning (EU) 2016/679, navnlig på grundlag af artikel 6 i deri.

1.   Hver medlemsstat udpeger hurtigst muligt og under alle omstændigheder senest den 13. december 2024 en national offentlig myndighed på regeringsplan eller en national regulerende myndighed, der er ansvarlig for at udføre de opgaver, den pålægges i denne forordning (»kompetent myndighed«). Indtil den kompetente myndighed er blevet pålagt at udføre opgaverne i denne forordning, udfører den regulerende myndighed, som hver medlemsstat har udpeget i henhold til artikel 57, stk. 1, i direktiv (EU) 2019/944, den kompetente myndigheds opgaver i overensstemmelse med denne forordning.

2.   Medlemsstaterne underretter uden ophold Kommissionen, ACER, ENISA, NIS-samarbejdsgruppen som oprettet i henhold til artikel 14 i direktiv (EU) 2022/2555 og Elektricitetskoordinationsgruppen som oprettet i henhold til artikel 1 i Kommissionens afgørelse af 15. november 2012 (17) og meddeler dem navn og kontaktoplysninger på deres kompetente myndighed som udpeget i henhold til denne artikels stk. 1 og eventuelle senere ændringer heraf.

3.   Medlemsstaterne kan give deres kompetente myndighed tilladelse til at uddelegere de opgaver, den pålægges i denne forordning, til andre nationale myndigheder med undtagelse af opgaverne i artikel 5. Hver kompetent myndighed overvåger, hvorledes de myndigheder, den har uddelegeret opgaver til, anvender denne forordning. Den kompetente myndighed meddeler navn på de myndigheder, som en opgave er blevet uddelegeret til, deres kontaktoplysninger og pålagte opgaver samt eventuelle senere ændringer heraf til Kommissionen, ACER, Elektricitetskoordinationsgruppen, ENISA og NIS-samarbejdsgruppen.

1.   TSO'erne udarbejder i samarbejde med EU DSO-enheden forslag til vilkår og betingelser eller metoder i henhold til stk. 2 eller til planer i henhold til stk. 3.

2.   Følgende vilkår og betingelser eller metoder samt ændringer heraf godkendes af alle kompetente myndigheder:

3.   Forslagene til planer for afbødning af cybersikkerhedsrisici på regionalt plan i henhold til artikel 22 godkendes af alle kompetente myndigheder i det pågældende systemdriftsområde.

4.   Forslagene til vilkår og betingelser eller metoder som omhandlet i stk. 2 eller til planer som omhandlet i stk. 3 skal omfatte et forslag til tidsplan for deres gennemførelse og en beskrivelse af deres forventede indvirkning på målene for denne forordning.

5.   EU DSO-enheden kan afgive en begrundet udtalelse til de berørte TSO'er indtil tre uger før fristen for forelæggelse af forslaget til vilkår og betingelser eller metoder eller til planer til de kompetente myndigheder. De TSO'er, der er ansvarlige for forslaget til vilkår og betingelser eller metoder eller til planer, tager hensyn til den begrundede udtalelse fra EU DSO-enheden forud for forelæggelsen for de kompetente myndigheder med henblik på deres godkendelse. Hvis der ikke er taget hensyn til EU DSO-enhedens udtalelse, redegør TSO'erne for årsagen hertil.

6.   I den fælles udarbejdelse af vilkår, betingelser og metoder eller planer arbejder de deltagende TSO'er tæt sammen. I samråd med ENTSO for elektricitet og i samarbejde med EU DSO-enheden underretter TSO'erne regelmæssigt de kompetente myndigheder og ACER om fremskridtene med at udarbejde vilkår og betingelser eller metoder eller planer.

1.   Hvis TSO'er, der skal træffe afgørelse om forslag til vilkår og betingelser eller metoder, ikke kan nå til enighed, træffer de afgørelse ved kvalificeret flertal. Et kvalificeret flertal for sådanne forslag opgøres således:

2.   Et blokerende mindretal for så vidt angår afgørelser om forslag til vilkår og betingelser eller metoder som omhandlet i artikel 6, stk. 2, skal omfatte TSO'er, der repræsenterer mindst fire medlemsstater; er der ikke et sådant mindretal, anses det kvalificerede flertal for opnået.

3.   Hvis TSO'erne i et systemdriftsområde skal træffe afgørelse om forslag til planer som omhandlet i artikel 6, stk. 2, og ikke kan nå til enighed, og hvis de berørte systemdriftsområder består af mere end fem medlemsstater, træffer TSO'erne afgørelse ved kvalificeret flertal. Et kvalificeret flertal for forslag som omhandlet i artikel 6, stk. 2, kræver følgende flertal:

4.   Såfremt der ikke opnås et blokerende mindretal for så vidt angår afgørelser om planerne, som i givet fald skal bestå af mindst et antal TSO'er, der repræsenterer mindst 35 % af befolkningen i de deltagende medlemsstater og mindst én yderligere berørt medlemsstat, anses det kvalificerede flertal for opnået.

5.   For så vidt angår TSO-afgørelser om forslag til vilkår og betingelser eller metoder i henhold til artikel stk. 6, stk. 2, tildeles medlemsstaterne én stemme hver. Hvis der er mere end én TSO i en medlemsstat, fordeler medlemsstaten stemmerettighederne mellem TSO'erne.

6.   Hvis TSO'erne i samarbejde med EU DSO-enheden ikke forelægger et første forslag eller et ændret forslag til vilkår og betingelser eller metoder eller til planer for de relevante kompetente myndigheder inden fristerne i denne forordning, forelægger de i stedet de relevante udkast til vilkår og betingelser eller metoder eller til planer for de relevante kompetente myndigheder. De redegør for, hvorfor de ikke er nået til enighed. De kompetente myndigheder træffer i fællesskab passende foranstaltninger til vedtagelse af de krævede vilkår og betingelser eller metoder eller planer. Dette kan f.eks. gøres ved at anmode om ændringer af udkastene i henhold til dette stykke, revidere og færdiggøre disse udkast eller, hvis der ikke er forelagt noget udkast, fastlægge og godkende de krævede vilkår og betingelser eller metoder eller planer.

1.   TSO'erne forelægger forslagene til vilkår og betingelser eller metoder eller til planer for de relevante myndigheder med henblik på godkendelse inden fristerne i artikel 18, 23, 29, 33, 34, 35 og 37. De kompetente myndigheder kan under særlige omstændigheder i fællesskab forlænge disse frister, navnlig hvis en frist ikke kan overholdes på grund af omstændigheder, der ligger uden for TSO'ernes eller EU DSO-enhedens kontrol.

2.   Forslag til vilkår og betingelser eller metoder eller til planer i henhold til stk. 1 forelægges for ACER til orientering, samtidig med at de forelægges for de kompetente myndigheder.

3.   Efter fælles anmodning fra de nationale regulerende myndigheder afgiver ACER udtalelse om forslaget til vilkår og betingelser eller metoder eller til planer senest seks måneder efter modtagelsen af forslagene til vilkår og betingelser eller metoder eller til planer og underretter de nationale regulerende myndigheder og de kompetente myndigheder om udtalelsen. De nationale regulerende myndigheder, de kompetente myndigheder med ansvar for cybersikkerhed og alle andre myndigheder, der er udpeget som kompetente myndigheder, koordinerer med hinanden, inden de nationale regulerende myndigheder anmoder ACER om en udtalelse. ACER kan medtage anbefalinger i deres udtalelse. ACER hører ENISA, før det afgiver udtalelse om forslagene, der er omhandlet i artikel 6, stk. 2.

4.   De kompetente myndigheder hører hinanden, arbejder tæt sammen og koordinerer med hinanden med henblik på at nå til enighed om de foreslåede vilkår og betingelser, metoder eller planer. Før de godkender vilkårene og betingelserne eller metoderne eller planerne, reviderer og færdiggør de forslagene, hvis det er nødvendigt, efter høring af ENTSO for elektricitet og EU DSO-enheden med henblik på at sikre, at forslagene er i overensstemmelse med denne forordning og bidrager til et højt fælles cybersikkerhedsniveau i hele Unionen.

5.   De kompetente myndigheder træffer afgørelse om vilkårene og betingelserne eller metoderne eller om planerne, senest seks måneder efter at den pågældende kompetente myndighed eller, hvis det er relevant, den sidste af de pågældende myndigheder har modtaget vilkårene og betingelserne eller metoderne eller planerne.

6.   Hvis ACER afgiver en udtalelse, tager de relevante kompetente myndigheder hensyn til denne udtalelse og træffer deres afgørelser senest seks måneder efter modtagelsen af ACER's udtalelse.

7.   Hvis de kompetente myndigheder i fællesskab kræver en ændring af de foreslåede vilkår og betingelser eller metoder eller planer, udarbejder TSO'erne i samarbejde med EU DSO-enheden et forslag til en sådan ændring af vilkårene og betingelserne eller metoderne eller planerne med henblik på godkendelse. TSO'erne forelægger det ændrede forslag til godkendelse senest to måneder efter de kompetente myndigheders anmodning. De kompetente myndigheder træffer afgørelse om de ændrede vilkår og betingelser eller metoder eller planer senest to måneder efter forelæggelsen.

8.   Hvis de kompetente myndigheder ikke har kunnet nå til enighed inden fristen i stk. 5 eller 7, meddeler de Kommissionen herom. Kommissionen kan træffe passende foranstaltninger til at gøre det muligt at vedtage de krævede vilkår og betingelser eller metoder eller planer.

9.   I samråd med ENTSO for elektricitet offentliggør TSO'erne og EU DSO-enheden vilkårene og betingelserne eller metoderne eller planerne på deres websteder, efter de relevante kompetente myndigheder har godkendt dem, medmindre oplysningerne betragtes som fortrolige i overensstemmelse med artikel 47.

10.   De kompetente myndigheder kan i fællesskab anmode TSO'erne og EU DSO-enheden om forslag til ændringer af de godkendte vilkår og betingelser eller metoder eller planer og fastsætte en frist for forelæggelse af disse forslag. TSO'erne kan også på eget initiativ i samarbejde med EU DSO-enheden foreslå ændringer til de kompetente myndigheder. Forslagene til ændring af vilkårene og betingelserne eller metoderne eller af planerne udarbejdes og godkendes i overensstemmelse med proceduren i denne artikel.

11.   Mindst hvert tredje år efter den første vedtagelse af de pågældende vilkår og betingelser eller metoder eller de pågældende vedtagne planer vurderer TSO'erne i samarbejde med EU DSO-enheden, hvor effektive de vedtagne vilkår og betingelser eller metoder eller planer er, og underretter uden unødigt ophold de kompetente myndigheder og ACER om resultaterne af gennemgangen.

1.   TSO'erne hører med bistand fra ENTSO for elektricitet og i samarbejde med EU DSO-enheden interessenterne, herunder ACER, ENISA og den kompetente myndighed i hver medlemsstat, om udkastene til forslag til vilkår og betingelser eller metoder som omhandlet i artikel 6, stk. 2, eller til planer som omhandlet i artikel 6, stk. 3. Høringen varer mindst én måned.

2.   De forslag til vilkår og betingelser eller metoder som omhandlet i artikel 6, stk. 2, som TSO'erne har forelagt i samarbejde med EU DSO-enheden, offentliggøres og sendes til høring på EU-plan. De forslag til planer som omhandlet i artikel 6, stk. 3, som de relevante TSO'er har forelagt i samarbejde med EU DSO-enheden på regionalt plan, offentliggøres og sendes til høring som minimum på regionalt plan.

3.   TSO'erne og EU DSO-enheden, som er ansvarlig for forslaget til vilkår og betingelser eller metoder eller til planer, tager med bistand fra ENTSO for elektricitet behørigt hensyn til de synspunkter, som interessenterne fremsætter i forbindelse med de høringer, der gennemføres i henhold til stk. 1, inden forslaget forelægges for myndighederne med henblik på deres godkendelse. I alle tilfælde udarbejdes en velfunderet begrundelse for at tage hensyn til eller undlade at tage hensyn til synspunkter, der blevet fremsat i forbindelse med høringen, og denne vedlægges forslaget og offentliggøres inden for rimelig tid inden eller samtidig med forslaget til vilkår og betingelser eller metoder.

1.   De omkostninger, som TSO'er og DSO'er, der er underlagt regulering af nettariffer, bærer, og som følger af de forpligtelser, der er fastsat i denne forordning, herunder de omkostninger, som ENTSO for elektricitet og EU DSO-enheden bærer, vurderes af hver medlemsstats relevante regulerende myndighed.

2.   Omkostninger, der vurderes som rimelige, lønsomme og forholdsmæssige, dækkes ved hjælp af nettariffer eller andre passende mekanismer som fastsat af den relevante nationale regulerende myndighed.

3.   Hvis de relevante nationale regulerende myndigheder anmoder om det, tilvejebringer TSO'er og DSO'er som omhandlet i stk. 1 inden for en rimelig frist, som fastsættes af den nationale regulerende myndighed, de oplysninger, der er nødvendige for at lette vurderingen af de påløbne omkostninger.

1.   ACER overvåger gennemførelsen af denne forordning i overensstemmelse med artikel 32, stk. 1, i forordning (EU) 2019/943 og artikel 4, stk. 2, i forordning (EU) 2019/942. I forbindelse med denne overvågning kan ACER samarbejde med ENISA og anmode om bistand fra ENTSO for elektricitet og EU DSO-enheden. ACER orienterer regelmæssigt Elektricitetskoordinationsgruppen og NIS-samarbejdsgruppen om gennemførelsen af denne forordning.

2.   ACER offentliggør en rapport mindst hvert tredje år efter denne forordnings ikrafttræden med henblik på at

3.   Senest den 13. juni 2025 kan ACER i samarbejde med ENISA og efter høring af ENTSO for elektricitet og EU DSO-enheden udstede retningslinjer for de relevante oplysninger, som skal meddeles ACER med henblik på overvågning, samt for proceduren for og hyppigheden af indsamlingen på grundlag af resultatindikatorerne som fastsat i overensstemmelse med stk. 5.

4.   De kompetente myndigheder kan få adgang til de relevante oplysninger, som ACER er i besiddelse af og har indsamlet i overensstemmelse med denne artikel.

5.   ACER udsteder i samarbejde med ENISA og med støtte fra ENTSO for elektricitet og EU DSO-enheden ikkebindende resultatindikatorer for vurdering af driftsmæssig pålidelighed i forbindelse med cybersikkerhedsmæssige aspekter af grænseoverskridende elektricitetsstrømme.

6.   De enheder, der er omhandlet i artikel 2, stk. 1, i denne forordning forelægger ACER de oplysninger, som er nødvendige for, at ACER kan udføre opgaverne i stk. 2.

1.   Senest den 13. juni 2025 udarbejder ACER i samarbejde med ENISA en ikkebindende vejledning til cybersikkerhedsbenchmarking. Formålet med vejledningen er over for de nationale regulerende myndigheder at redegøre for principperne for benchmarking af den cybersikkerhedskontrol, der gennemføres i henhold til denne artikels stk. 2, under hensyntagen til omkostningerne ved at gennemføre kontrollen, og hvor effektive processerne, produkterne, tjenesterne, systemerne og løsningerne er i gennemførelsen af kontrollen. ACER tager hensyn til eksisterende benchmarkingrapporter i udarbejdelsen af den ikkebindende vejledning til cybersikkerhedsbenchmarking. ACER forelægger den ikkebindende vejledning til cybersikkerhedsbenchmarking for de nationale regulerende myndigheder til deres orientering.

2.   Senest 12 måneder efter udarbejdelsen af benchmarkingvejledningen i henhold til stk. 1 udfører de nationale regulerende myndigheder en benchmarkinganalyse med henblik på at vurdere, om de nuværende investeringer i cybersikkerhed:

3.   I forbindelse med benchmarkinganalysen kan de nationale regulerende myndigheder tage hensyn til ACER's ikkebindende vejledning til cybersikkerhedsbenchmarking og vurderer navnlig:

4.   Enhver oplysning vedrørende benchmarkinganalysen håndteres og behandles i henhold til dataklassificeringskravene i denne forordning, minimumscybersikkerhedskontrollerne og rapporten om cybersikkerhedsrisikovurderingen i forbindelse med grænseoverskridende elektricitetsstrømme. Benchmarkinganalysen i stk. 2 og 3 offentliggøres ikke.

5.   Uden at det berører kravene om fortrolighed i artikel 47 og behovet for at beskytte sikkerheden for enheder, der er omfattet af bestemmelserne i denne forordning, deles den benchmarkinganalyse, der er omhandlet i stk. 2 og 3 i denne artikel, med alle nationale regulerende myndigheder, alle kompetente myndigheder, ACER, ENISA og Kommissionen.

1.   Senest 18 måneder efter denne forordnings ikrafttræden bestræber TSO'er i et systemdriftsområde, der grænser op til et tredjeland, sig på at indgå aftaler med TSO'er i det tilgrænsende tredjeland, der er i overensstemmelse med relevant EU-ret, og som fastlægger grundlaget for samarbejdet om beskyttelse af cybersikkerhed og samarbejdsordningerne for cybersikkerhed med disse TSO'er.

2.   TSO'erne underretter den kompetente myndighed om de aftaler, der er indgået i henhold til stk. 1.

1.   Enheder, der ikke er etableret i Unionen, men som leverer tjenester til enheder i Unionen, og som er underrettet om, at de er blevet udpeget som enheder med stor indvirkning eller kritisk indvirkning i overensstemmelse med artikel 24, stk. 6, udpeger skriftligt og senest tre måneder efter underretningen en repræsentant i Unionen og meddeler den underrettende kompetente myndighed herom.

2.   Repræsentanten har mandat til at blive kontaktet af en kompetent myndighed eller CSIRT i Unionen ud over eller i stedet for enheden med stor indvirkning eller kritisk indvirkning med henblik på enhedens forpligtelser i henhold til denne forordning. Enheden med stor indvirkning eller kritisk indvirkning giver sin retlige repræsentant de nødvendige beføjelser og tilstrækkelige ressourcer til at sikre, at denne kan arbejde effektivt og rettidigt sammen med de relevante kompetente myndigheder eller CSIRT'er.

3.   Repræsentanten skal være etableret i en af de medlemsstater, hvor enheden udbyder sine tjenester. Enheden anses for at høre under jurisdiktionen i den medlemsstat, hvor repræsentanten er etableret. Enheder med stor indvirkning eller kritisk indvirkning meddeler navn, postadresse, e-mailadresse og telefonnummer på deres retlige repræsentant til den kompetente myndighed i den medlemsstat, hvor den retlige repræsentant er bosiddende eller etableret.

4.   Den udpegede retlige repræsentant skal kunne drages til ansvar for manglende overholdelse af forpligtelserne i henhold til denne forordning, uden at det berører det ansvar, som selve enheden med stor indvirkning eller kritisk indvirkning har, eller de retlige skridt, der vil kunne indledes over for denne.

5.   Hvis der ikke findes en repræsentant i Unionen, der er udpeget i henhold til denne artikel, kan enhver medlemsstat, hvor enheden udbyder tjenester, tage retlige skridt mod enheden for manglende overholdelse af forpligtelserne i henhold til denne forordning.

6.   Udpegningen af en retlig repræsentant i Unionen i henhold til stk. 1 udgør ikke en etablering i Unionen.

1.   ENTSO for elektricitet og EU DSO-enheden samarbejder om at udføre cybersikkerhedsrisikovurderinger i henhold til artikel 19 og artikel 21, navnlig i forbindelse med følgende opgaver:

2.   Samarbejdet mellem ENTSO for elektricitet og EU DSO-enheden kan tage form af en arbejdsgruppe vedrørende cybersikkerhedsrisici.

3.   ENTSO for elektricitet og EU DSO-enheden orienterer regelmæssigt ACER, ENISA, NIS-samarbejdsgruppen og Elektricitetskoordinationsgruppen om fremskridtene med hensyn til gennemførelsen af cybersikkerhedsrisikovurderingen på EU-plan og cybersikkerhedsrisikovurderingerne på regionalt plan i henhold til artikel 19 og artikel 21.

1.   Senest den 13. marts 2025 forelægger TSO'erne med bistand fra ENTSO for elektricitet, i samarbejde med EU DSO-enheden og efter høring af NIS-samarbejdsgruppen et forslag til metoder til cybersikkerhedsrisikovurdering på EU-plan, på regionalt plan og på medlemsstatsniveau.

2.   Metoderne til cybersikkerhedsrisikovurdering på EU-plan, regionalt plan og medlemsstatsplan skal omfatte:

3.   Med metoderne til cybersikkerhedsrisikovurdering på EU-plan, regionalt plan og medlemsstatsplan vurderes cybersikkerhedsrisiciene ved hjælp af den samme risikoindvirkningsmatrix. Formålet med risikoindvirkningsmatrixen er at:

4.   Metoderne til cybersikkerhedsrisikovurdering på EU-plan skal omfatte beskrivelse af, hvordan ECII-værdierne for tærsklerne for stor indvirkning og kritisk indvirkning fastlægges. ECII gør det muligt for enhederne ved hjælp af kriterierne i stk. 2, litra b), at vurdere indvirkningen af risiciene på deres forretningsproces i forbindelse med de konsekvensanalyser, de udfører i henhold til artikel 26, stk. 4, litra c), nr. i).

5.   ENTSO for elektricitet orienterer i samarbejde med EU DSO-enheden Elektricitetskoordinationsgruppen om de forslag til metoder til cybersikkerhedsrisikovurdering, som udarbejdes i henhold til stk. 1.

1.   Senest ni måneder efter godkendelsen af metoderne til cybersikkerhedsrisikovurdering i henhold til artikel 8 og hvert tredje år derefter udfører ENTSO for elektricitet i samarbejde med EU DSO-enheden og i samråd med NIS-samarbejdsgruppen, uden at det berører artikel 22 i direktiv (EU) 2022/2555, en cybersikkerhedsrisikovurdering på EU-plan og udarbejder et udkast til rapport om cybersikkerhedsrisikovurderingen på EU-plan. I den forbindelse anvender de de metoder, der er udarbejdet i henhold til artikel 18 og godkendt i henhold til artikel 8, med henblik på at afdække, analysere og vurdere eventuelle konsekvenser af cyberangreb, der påvirker elektricitetssystemets driftssikkerhed og forstyrrer grænseoverskridende elektricitetsstrømme. I cybersikkerhedsrisikovurderingen på EU-plan tages retlig, finansiel eller omdømmemæssig skade som følge af cyberangreb ikke i betragtning.

2.   Rapporten om cybersikkerhedsrisikovurderingen på EU-plan skal indeholde følgende elementer:

3.   Med hensyn til processerne med stor indvirkning på EU-plan og processerne med kritisk indvirkning på EU-plan skal rapporten om cybersikkerhedsrisikovurderingen på EU-plan indeholde:

4.   ENTSO for elektricitet forelægger i samarbejde med EU DSO-enheden udkastet til rapport om cybersikkerhedsrisikovurderingen med resultaterne af cybersikkerhedsrisikovurderingen på EU-plan for ACER med henblik på en udtalelse. ACER afgiver en udtalelse om udkastet til rapporten senest tre måneder efter modtagelsen heraf. ENTSO for elektricitet og EU DSO-enheden tager størst muligt hensyn til ACER's udtalelse i færdiggørelsen af rapporten.

5.   Senest tre måneder efter modtagelsen af ACER's udtalelse formidler ENTSO for elektricitet i samarbejde med EU DSO-enheden den endelige rapport om cybersikkerhedsrisikovurderingen på EU-plan til Kommissionen, ENISA og de kompetente myndigheder.

1.   Hver kompetent myndighed foretager en cybersikkerhedsrisikovurdering på medlemsstatsniveau af alle enheder med stor indvirkning og kritisk indvirkning i den pågældende medlemsstat ved hjælp af de metoder, der er udarbejdet i henhold til artikel 18 og godkendt i henhold til artikel 8. I cybersikkerhedsrisikovurderingen på medlemsstatsniveau kortlægges og analyseres de risici for cyberangreb, der påvirker elektricitetssystemets driftssikkerhed og forstyrrer grænseoverskridende elektricitetsstrømme. I cybersikkerhedsrisikovurderingen på medlemsstatsniveau tages retlig, finansiel eller omdømmemæssig skade som følge af cyberangreb ikke i betragtning.

2.   Senest 21 måneder efter underretningen af enhederne med stor indvirkning og kritisk indvirkning i henhold til artikel 24, stk. 6, og hvert tredje år efter denne dato, og efter høring af den kompetente myndighed med ansvar for cybersikkerhed, der har ansvaret for elektricitet, forelægger hver kompetent myndighed med støtte fra CSIRT'en en rapport om cybersikkerhedsrisikovurderingen på medlemsstatsniveau for ENTSO for elektricitet og EU DSO-enheden med følgende oplysninger for hver forretningsproces med stor indvirkning og kritisk indvirkning:

3.   I rapporten om cybersikkerhedsrisikovurderingen på medlemsstatsniveau tages der hensyn til medlemsstatens risikoberedskabsplan, der er udarbejdet i henhold til artikel 10 i forordning (EU) 2019/941.

4.   Oplysningerne i rapporten om cybersikkerhedsrisikovurderingen på medlemsstatsniveau i henhold til stk. 2, litra a)-d), må ikke være knyttet til specifikke enheder eller aktiver. Rapporten om cybersikkerhedsrisikovurderingen på medlemsstatsniveau skal også indeholde en risikovurdering af de midlertidige undtagelser, der er indrømmet af de kompetente myndigheder i medlemsstaterne i henhold til artikel 30.

5.   ENTSO for elektricitet og EU DSO-enheden kan anmode de kompetente myndigheder om yderligere oplysninger i forbindelse med de opgaver, der er nævnt i stk. 2, litra a) og c).

6.   De kompetente myndigheder sørger for, at de oplysninger, de giver, er nøjagtige og korrekte.

1.   ENTSO for elektricitet foretager i samarbejde med EU DSO-enheden og i samråd med det relevante regionale koordinationscenter en regional cybersikkerhedsrisikovurdering for hvert systemdriftsområde ved hjælp af de metoder, der er udarbejdet i henhold til artikel 19 og godkendt i henhold til artikel 8, for at kortlægge, analysere og vurdere risiciene for cyberangreb, der påvirker elektricitetssystemets driftssikkerhed og forstyrrer grænseoverskridende elektricitetsstrømme. I cybersikkerhedsrisikovurderingerne på regionalt plan tages retlig, finansiel eller omdømmemæssig skade som følge af cyberangreb ikke i betragtning.

2.   Senest 30 måneder efter underretningen af enhederne med stor indvirkning og kritisk indvirkning i henhold til artikel 24, stk. 6, og hvert tredje år herefter udarbejder ENTSO for elektricitet i samarbejde med EU DSO-enheden og i samråd med NIS-samarbejdsgruppen en rapport om cybersikkerhedsrisikovurderingen på regionalt plan for hvert systemdriftsområde.

3.   I rapporten om cybersikkerhedsrisikovurderingen på regionalt plan tages der hensyn til de relevante oplysninger i rapporterne om cybersikkerhedsrisikovurderingen på EU-plan og i rapporterne om cybersikkerhedsrisikovurderingen på medlemsstatsniveau.

4.   I den regionale cybersikkerhedsrisikovurdering tages de i henhold til artikel 6 i forordning (EU) 2019/941 opstillede regionale elkrisescenarier, der vedrører cybersikkerhed, i betragtning.

1.   Senest 36 måneder efter underretningen af enhederne med stor indvirkning og kritisk indvirkning i henhold til artikel 24, stk. 6, og senest den 13. juni 2031 samt hvert tredje år efter denne dato udarbejder TSO'erne med bistand fra ENTSO for elektricitet, i samarbejde med EU DSO-enheden og i samråd med de regionale koordinationscentre og NIS-samarbejdsgruppen en regional plan for afbødning af cybersikkerhedsrisici for hvert systemdriftsområde.

2.   Planerne for afbødning af cybersikkerhedsrisici på regionalt plan skal omfatte:

3.   ENTSO for elektricitet forelægger planerne for afbødning af risici på regionalt plan for de relevante transmissionssystemoperatører, de kompetente myndigheder og Elektricitetskoordinationsgruppen. Elektricitetskoordinationsgruppen kan anbefale ændringer.

4.   TSO'erne ajourfører med bistand fra ENTSO for elektricitet, i samarbejde med EU DSO-enheden og i samråd med NIS-samarbejdsgruppen planerne for afbødning af risici på nationalt plan hvert tredje år, medmindre omstændighederne berettiger hyppigere ajourføringer.

1.   Senest 40 måneder efter underretningen af enhederne med stor indvirkning og kritisk indvirkning i henhold til artikel 24, stk. 6, og hvert tredje år herefter forelægger TSO'erne med bistand fra ENTSO for elektricitet, i samarbejde med EU DSO-enheden og i samråd med NIS-samarbejdsgruppen en rapport om resultatet af vurderingen af cybersikkerhedsrisici i forbindelse med grænseoverskridende elektricitetsstrømme (»den omfattende rapport om cybersikkerhedsrisikovurderingen i forbindelse med grænseoverskridende elektricitetsstrømme«).

2.   Den omfattende rapport om cybersikkerhedsrisikovurderingen i forbindelse med grænseoverskridende elektricitetsstrømme baseres på rapporten om cybersikkerhedsrisikovurderingen på EU-plan, rapporterne om cybersikkerhedsrisikovurderingen på medlemsstatsniveau og rapporterne om cybersikkerhedsrisikovurderingen på regionalt plan og skal indeholde følgende oplysninger:

3.   De i artikel 2, stk. 1, opførte enheder kan bidrage til udarbejdelsen af den omfattende rapport om cybersikkerhedsrisikovurderingen i forbindelse med grænseoverskridende elektricitetsstrømme under overholdelse af fortroligheden af oplysninger i overensstemmelse med artikel 47. TSO'erne hører med bistand fra ENTSO for elektricitet og i samarbejde med EU DSO-enheden disse enheder på et tidligt tidspunkt.

4.   Den omfattende rapport om cybersikkerhedsrisikovurderingen i forbindelse med grænseoverskridende elektricitetsstrømme er omfattet af reglerne om beskyttelse af udveksling af oplysninger i henhold til artikel 46. Uden at det berører artikel 10, stk. 4, og artikel 47, stk. 4, offentliggør ENTSO for elektricitet og EU DSO-enheden en offentlig udgave af rapporten, som ikke må indeholde oplysninger, der kan være til skade for enheder, der er opført i artikel 2, stk. 1. Den offentlige udgave af rapporten offentliggøres kun efter aftale med NIS-samarbejdsgruppen og Elektricitetskoordinationsgruppen. ENTSO for elektricitet er i samarbejde med EU DSO-enheden ansvarlig for sammenfatningen og offentliggørelsen af den offentlige udgave af rapporten.

1.   Hver kompetent myndighed udpeger ved hjælp af ECII og tærsklerne for stor indvirkning og kritisk indvirkning i rapporten om cybersikkerhedsrisikovurderingen på EU-plan, jf. artikel 19, stk. 3, litra b), enheder med stor indvirkning og kritisk indvirkning i sin medlemsstat, som er involverede i processer med stor indvirkning og kritisk indvirkning på EU-plan. De kompetente myndigheder kan anmode en enhed i deres medlemsstat om oplysninger med henblik på at fastlægge ECII-værdierne for den pågældende enhed. Hvis det fastlagte ECII for en enhed ligger over tærsklen for stor indvirkning eller kritisk indvirkning, opføres den udpegede enhed i rapporten om cybersikkerhedsrisikovurderingen på medlemsstatsniveau, jf. artikel 20, stk. 2.

2.   Hver kompetent myndighed udpeger ved hjælp af ECII og tærsklerne for stor indvirkning og kritisk indvirkning i rapporten om cybersikkerhedsrisikovurderingen på EU-plan, jf. artikel 19, stk. 3, litra b), enheder med stor indvirkning og kritisk indvirkning, som ikke er etablerede i Unionen, for så vidt som de er aktive i Unionen. Den kompetente myndighed kan anmode en enhed, der ikke er etableret i Unionen, om oplysninger med henblik på at fastlægge ECII-værdierne for den pågældende enhed.

3.   Hver kompetent myndighed kan udpege yderligere enheder i sin medlemsstat som enheder med stor indvirkning eller kritisk indvirkning, hvis følgende kriterier er opfyldt:

4.   Hvis en kompetent myndighed udpeger yderligere enheder i overensstemmelse med stk. 3, anses alle processer i disse enheder, for hvilke det aggregerede ECII for gruppen ligger over tærsklen for stor indvirkning, for at være processer med stor indvirkning, og alle processer i disse enheder, for hvilke det aggregerede ECII for gruppen ligger over tærsklerne for kritisk indvirkning, anses for at være processer med kritisk indvirkning.

5.   Hvis en kompetent myndighed udpeger enheder som omhandlet i stk. 3, litra a), i mere end én medlemsstat, underretter den de øvrige kompetente myndigheder, ENTSO for elektricitet og EU DSO-enheden herom. På grundlag af de modtagne oplysninger fra alle kompetente myndigheder forelægger ENTSO for elektricitet i samarbejde med EU DSO-enheden de kompetente myndigheder en analyse af de aggregeringer af enheder i mere end én medlemsstat, som kan forårsage en afbrydelse fra flere steder af de grænseoverskridende elektricitetsstrømme og resultere i et cyberangreb. Hvis en gruppe af enheder i flere medlemsstater udpeges som en aggregering, for hvilken ECII ligger over tærsklen for stor indvirkning eller kritisk indvirkning, udpeger alle berørte kompetente myndigheder enhederne i gruppen som enheder med stor indvirkning eller kritisk indvirkning for deres respektive medlemsstat på grundlag af det aggregerede ECII for gruppen af enheder, og de udpegede enheder opføres i rapporten om cybersikkerhedsrisikovurderingen på EU-plan.

6.   Hver kompetent myndighed underretter senest ni måneder efter at være blevet underrettet af ENTSO for elektricitet og EU DSO-enheden om rapporten om cybersikkerhedsrisikovurderingen på EU-plan i henhold til artikel 19, stk. 5, og under alle omstændigheder senest den 13. juni 2028 enhederne på listen om, at de er blevet udpeget som en enhed med stor indvirkning eller kritisk indvirkning i den pågældende medlemsstat.

7.   Når en tjenesteudbyder rapporteres til en kompetent myndighed som værende en kritisk IKT-tjenesteudbyder i henhold til artikel 27, litra c), underretter den kompetente myndighed de kompetente myndigheder i de medlemsstater, på hvis område hjemstedet eller repræsentanten er beliggende, herom. Sidstnævnte kompetente myndighed underretter tjenesteudbyderen om, at denne er blevet udpeget som kritisk tjenesteudbyder.

1.   De kompetente myndigheder kan indføre en national kontrolordning for at verificere, at enheder med kritisk indvirkning, der er udpeget i henhold til artikel 24, stk. 1, har gennemført de nationale love, der indgår i den kortlægningsmatrix, der er omhandlet i artikel 34. Den nationale kontrolordning kan baseres på en inspektion udført af den kompetente myndighed, uafhængige sikkerhedsrevisioner eller gensidige peerevalueringer foretaget af enheder med kritisk indvirkning i samme medlemsstat under tilsyn af den kompetente myndighed.

2.   Hvis en kompetent myndighed beslutter at indføre en national kontrolordning, sikrer den kompetente myndighed, at kontrollen udføres i overensstemmelse med følgende krav:

3.   Hvis en kompetent myndighed beslutter at indføre en national kontrolordning, aflægger den årligt rapport til ACER om, hvor ofte den har foretaget inspektioner under den pågældende ordning.

1.   Hver enhed med stor indvirkning eller kritisk indvirkning som udpeget af de kompetente myndigheder i henhold til artikel 24, stk. 1, foretager cybersikkerhedsrisikostyring for alle sine aktiver i sine områder med stor indvirkning og kritisk indvirkning. Hver enhed med stor indvirkning eller kritisk indvirkning gennemfører hvert tredje år en risikostyring, der omfatter faserne i stk. 2.

2.   Hver enhed med stor indvirkning eller kritisk indvirkning baserer sin cybersikkerhedsrisikostyring på en tilgang, der har til formål at beskytte deres net- og informationssystemer, og som består af følgende faser:

3.   I fasen med bestemmelse af kontekst fastsætter hver enhed med stor indvirkning eller kritisk indvirkning:

4.   I fasen med vurdering af cybersikkerhedsrisici gør hver enhed med stor indvirkning eller kritisk indvirkning følgende:

5.   I fasen med behandling af cybersikkerhedsrisici udarbejder hver enhed med stor indvirkning eller kritisk indvirkning en risikoafbødningsplan på enhedsniveau ved at udvælge de muligheder for risikobehandling, der er egnede til at styre risiciene og afdække residualrisici.

6.   I fasen med accept af cybersikkerhedsrisici beslutter hver enhed med stor indvirkning eller kritisk indvirkning, om residualrisikoen skal accepteres på grundlag af de kriterier for risikoaccept, der er omhandlet i stk. 3, litra b).

7.   Hver enhed med stor indvirkning eller kritisk indvirkning registrerer de aktiver, der er omhandlet i stk. 1, i en fortegnelse over aktiver. Denne fortegnelse over aktiver indgår ikke i risikovurderingsrapporten.

8.   Den kompetente myndighed kan undersøge aktiverne i fortegnelsen i forbindelse med inspektioner.

1.   Den fælles ramme for cybersikkerhed i forbindelse med elektricitetsstrømme består af følgende kontroller og cybersikkerhedsstyringssystem:

2.   Alle enheder med stor indvirkning anvender de minimumscybersikkerhedskontroller, der er nævnt stk. 1, litra a), inden for deres område med stor indvirkning.

3.   Alle enheder med kritisk indvirkning anvender de udvidede cybersikkerhedskontroller, der er nævnt stk. 1, litra b), inden for deres område med kritisk indvirkning.

4.   Senest syv måneder efter forelæggelsen af det første udkast til rapport om cybersikkerhedsrisikovurderingen på EU-plan i henhold til artikel 19, stk. 4, suppleres den fælles ramme for cybersikkerhed i forbindelse med elektricitetsstrømme, der er omhandlet i stk. 1, med de minimumscybersikkerhedskontroller og udvidede cybersikkerhedskontroller i forsyningskæden, der er udviklet i henhold til artikel 33.

1.   Senest syv måneder efter forelæggelsen af det første udkast til rapport om cybersikkerhedsrisikovurderingen på EU-plan i henhold til artikel 19, stk. 4, udarbejder TSO'erne med bistand fra ENTSO for elektricitet og i samarbejde med EU DSO-enheden et forslag til minimumscybersikkerhedskontrol og udvidet cybersikkerhedskontrol.

2.   Senest 6 måneder efter udarbejdelsen af hver rapport om cybersikkerhedsrisikovurderingen på regionalt plan i henhold til artikel 21, stk. 2, foreslår TSO'erne med bistand fra ENTSO for elektricitet og i samarbejde med EU DSO-enheden de kompetente myndigheder ændringer af minimumscybersikkerhedskontrollerne og de udvidede cybersikkerhedskontroller. Forslaget stilles i overensstemmelse med artikel 8, stk. 10, og der tages hensyn til de risici, der er konstateret i den regionale risikovurdering.

3.   Minimumscybersikkerhedskontrollerne og de udvidede cybersikkerhedskontroller skal kunne verificeres ved at være omfattet af en national kontrolordning i overensstemmelse med proceduren i artikel 31 eller ved at blive underkastet uafhængige sikkerhedsrevisioner, der udføres af tredjepart i overensstemmelse med kravene i artikel 25, stk. 2.

4.   I de første minimumscybersikkerhedskontroller og udvidede cybersikkerhedskontroller, der udvikles efter stk. 1, tages der udgangspunkt i de risici, der er konstateret i rapporten om cybersikkerhedsrisikovurderingen på EU-plan, jf. artikel 19, stk. 5. I de ændrede minimumscybersikkerhedskontroller og udvidede cybersikkerhedskontroller, der udvikles efter stk. 2, tages der udgangspunkt rapporten om cybersikkerhedsrisikovurderingen på regionalt plan, jf. artikel 21, stk. 2.

5.   Minimumscybersikkerhedskontrollen omfatter kontroller til beskyttelse af oplysninger, der udveksles i overensstemmelse med artikel 46.

6.   Senest 12 måneder efter godkendelsen af minimumscybersikkerhedskontrollerne og de udvidede cybersikkerhedskontroller i overensstemmelse med artikel 8, stk. 5, eller efter hver opdatering i overensstemmelse med artikel 8, stk. 10, anvender de enheder, der er opført i artikel 2, stk. 1, og som er udpeget som enheder med kritisk indvirkning eller stor indvirkning i henhold til artikel 24, i udarbejdelsen af risikoafbødningsplanen på enhedsniveau i henhold til artikel 26, stk. 5, minimumscybersikkerhedskontrollerne inden for området med stor indvirkning og de udvidede cybersikkerhedskontroller inden for området med kritisk indvirkning.

1.   De i artikel 2, stk. 1, opførte enheder kan anmode den respektive kompetente myndighed om at indrømme en undtagelse fra deres forpligtelse til at anvende de minimumscybersikkerhedskontroller og udvidede cybersikkerhedskontroller, der er omhandlet i artikel 29, stk. 6. Den kompetente myndighed kan indrømme en sådan undtagelse af en af følgende grunde:

2.   Senest tre måneder efter modtagelsen af anmodningen i stk. 1 træffer hver kompetent myndighed afgørelse om, hvorvidt der skal indrømmes en undtagelse fra minimumscybersikkerhedskontrollen og den udvidede cybersikkerhedskontrol. Der indrømmes undtagelser fra minimumscybersikkerhedskontrollen eller den udvidede cybersikkerhedskontrol for en periode på højst tre år med mulighed for forlængelse.

3.   For indrømmede undtagelser bør der medtages aggregerede og anonymiserede oplysninger som et bilag til den omfattende rapport om cybersikkerhedsrisikovurderingen i forbindelse med grænseoverskridende elektricitetsstrømme i artikel 23. ENTSO for elektricitet og EU DSO-enheden ajourfører i fællesskab listen, hvis det er nødvendigt.

1.   Senest 24 måneder efter vedtagelsen af de kontroller, der er omhandlet i artikel 28, stk. 1, litra a), b) og c), og indførelsen af det cybersikkerhedsstyringssystem, der er omhandlet i nævnte artikels litra d), skal hver enhed med kritisk indvirkning, der er udpeget i henhold til artikel 24, stk. 1, efter anmodning fra den kompetente myndighed kunne påvise efterlevelse af cybersikkerhedsstyringssystemet og minimumscybersikkerhedskontrollen eller den udvidede cybersikkerhedskontrol.

2.   Hver enhed med kritisk indvirkning opfylder forpligtelsen i stk. 1 ved at underkaste sig uafhængige sikkerhedsrevisioner, der udføres af tredjepart i overensstemmelse med kravene i artikel 25, stk. 2, eller ved at være omfattet af en national kontrolordning i overensstemmelse med artikel 25, stk. 1.

3.   Kontrollen af, om en enhed med kritisk indvirkning efterlever cybersikkerhedsstyringssystemet og minimumscybersikkerhedskontrollen eller den udvidede cybersikkerhedskontrol, omfatter alle aktiver inden for enheden med kritisk indvirknings område med kritisk indvirkning.

4.   Kontrollen af, om en enhed med kritisk indvirkning efterlever cybersikkerhedsstyringssystemet og minimumscybersikkerhedskontrollen eller den udvidede cybersikkerhedskontrol, gentages med regelmæssige mellemrum, senest 36 måneder efter afslutningen af den første kontrol og hvert tredje år herefter.

5.   Hver enhed med kritisk indvirkning, der er udpeget i henhold til artikel 24, påviser sin efterlevelse af de kontroller, der er omhandlet i artikel 28, stk. 1, litra a), b) og c), og indførelsen af et cybersikkerhedsstyringssystem som omhandlet i nævnte artikels litra d) ved at aflægge rapport om resultatet af overensstemmelseskontrollen til den kompetente myndighed.

1.   Hver enhed med stor indvirkning eller kritisk indvirkning indfører et cybersikkerhedsstyringssystem senest 24 måneder efter at være blevet underrettet af den kompetente myndighed om udpegelsen som enhed med stor indvirkning eller kritisk indvirkning i henhold til artikel 24, stk. 6, og reviderer systemet hvert tredje år herefter med henblik på at:

2.   Anvendelsesområdet for cybersikkerhedsstyringssystemet omfatter alle aktiver inden for området med stor indvirkning og kritisk indvirkning for enheden med stor indvirkning eller kritisk indvirkning.

3.   De kompetente myndigheder tilskynder, uden at påtvinge eller forskelsbehandle til fordel for brug af en bestemt type teknologi, til anvendelse af europæiske eller internationale standarder og specifikationer, der vedrører styringssystemer og er relevante for sikkerheden i net- og informationssystemer.

1.   Senest syv måneder efter forelæggelsen af det første udkast til rapport om cybersikkerhedsrisikovurderingen på EU-plan i henhold til artikel 19, stk. 4, udarbejder TSO'erne med bistand fra ENTSO for elektricitet og i samarbejde med EU DSO-enheden et forslag til minimumscybersikkerhedskontrol og udvidet cybersikkerhedskontrol i forsyningskæden, som afbøder de risici i forsyningskæden, der er konstateret i cybersikkerhedsrisikovurderinngerne på EU-plan, og supplerer den minimumscybersikkerhedskontrol og udvidede cybersikkerhedskontrol, der er udviklet i henhold til artikel 29. Minimumscybersikkerhedskontrollen og den udvidede cybersikkerhedskontrol i forsyningskæden udvikles sammen med minimumscybersikkerhedskontrollen og den udvidede cybersikkerhedskontrol i artikel 29. Minimumscybersikkerhedskontrollen og den udvidede cybersikkerhedskontrol i forsyningskæden omfatter hele livscyklussen for alle IKT-produkter, IKT-tjenester og IKT-processer inden for området med stor indvirkning eller kritisk indvirkning for en enhed med stor indvirkning eller kritisk indvirkning. NIS-samarbejdsgruppen høres i forbindelse med udarbejdelsen af forslaget om minimumscybersikkerhedskontrol og udvidet cybersikkerhedskontrol i forsyningskæden.

2.   Minimumscybersikkerhedskontrollen i forsyningskæden består af kontroller for enheder med stor indvirkning eller kritisk indvirkning, som:

3.   Hvad angår cybersikkerhedsspecifikationerne i den i stk. 2, litra a), omhandlede cybersikkerhedsmæssige henstilling i forbindelse med udbud anvender enheder med stor indvirkning eller kritisk indvirkning i overensstemmelse med artikel 35, stk. 4, udbudsprincipperne i henhold til Europa-Parlamentets og Rådets direktiv 2014/24/EU (19) eller fastsætter deres egne specifikationer på grundlag af resultaterne af cybersikkerhedsrisikovurderingen på enhedsniveau.

4.   Den udvidede cybersikkerhedskontrol i forsyningskæden omfatter kontroller for enheder med kritisk indvirkning for i forbindelse med indkøb at verificere, at IKT-produkter, IKT-tjenester og IKT-processer, der vil blive anvendt som aktiver med kritisk indvirkning, lever op til cybersikkerhedsspecifikationerne. IKT-produktet, IKT-tjenesten eller IKT-processen kontrolleres enten gennem en europæisk cybersikkerhedscertificeringsordning, jf. artikel 31, eller gennem kontrolaktiviteter, der er udvalgt og tilrettelagt af enheden. Kontrolaktiviteternes dybde og omfang skal være tilstrækkelige til at give sikkerhed for, at IKT-produktet, IKT-tjenesten eller IKT-processen kan anvendes til at afbøde de risici, der er konstateret i risikovurderingen på enhedsniveau. Enheden med kritisk indvirkning dokumenterer de skridt, der er taget for at begrænse de konstaterede risici.

5.   Minimumscybersikkerhedskontrollen og den udvidede cybersikkerhedskontrol i forsyningskæden finder anvendelse på indkøb af relevante IKT-produkter, IKT-tjenester og IKT-processer. Minimumscybersikkerhedskontrollen og den udvidede cybersikkerhedskontrol i forsyningskæden finder anvendelse på udbudsprocedurer i enheder, der er udpeget som enheder med kritisk indvirkning eller stor indvirkning i henhold til artikel 24, som begynder seks måneder efter vedtagelsen eller opdateringen af de i artikel 29 omhandlede minimumscybersikkerhedskontroller og udvidede cybersikkerhedskontroller.

6.   Senest seks måneder efter udarbejdelsen af hver rapport om cybersikkerhedsrisikovurderingen på regionalt plan i henhold til artikel 21, stk. 2, foreslår TSO'erne med bistand fra ENTSO for elektricitet og i samarbejde med EU DSO-enheden de kompetente myndigheder ændringer af minimumscybersikkerhedskontrollerne og de udvidede cybersikkerhedskontroller i forsyningskæden. Forslaget stilles i overensstemmelse med artikel 8, stk. 10, og der tages hensyn til de risici, der er konstateret i den regionale risikovurdering.

1.   Senest syv måneder efter forelæggelsen af det første udkast til rapport om cybersikkerhedsrisikovurderingen på EU-plan i henhold til artikel 19, stk. 4, udarbejder TSO'erne med bistand fra ENTSO for elektricitet, i samarbejde med EU DSO-enheden og i samråd med ENISA et forslag til en matrix til kortlægning af de kontroller, der er omhandlet i artikel 28, stk. 1, litra a) og b), i forhold til udvalgte europæiske og internationale standarder samt relevante tekniske specifikationer (»kortlægningsmatrixen«). ENTSO for elektricitet og EU DSO-enheden dokumenterer ækvivalensen mellem de forskellige kontroller og de kontroller, der er omhandlet i artikel 28, stk. 1, litra a) og b).

2.   De kompetente myndigheder kan forelægge ENTSO for elektricitet og EU DSO-enheden en kortlægning af de kontroller, der er omhandlet i artikel 28, stk. 1, litra a) og b), med en henvisning til de relaterede nationale love og administrative bestemmelser, herunder medlemsstaternes relevante nationale standarder, jf. artikel 25 i direktiv (EU) 2022/2555. Hvis en medlemsstats kompetente myndighed foretager en sådan kortlægning, indarbejder ENTSO for elektricitet og EU DSO-enheden denne nationale kortlægning i kortlægningsmatrixen.

3.   Senest seks måneder efter udarbejdelsen af hver rapport om cybersikkerhedsrisikovurderingen på regionalt plan i henhold til artikel 21, stk. 2, foreslår TSO'erne med bistand fra ENTSO for elektricitet, i samarbejde med EU DSO-enheden og i samråd med ENISA de kompetente myndigheder ændringer af kortlægningsmatrixen. Forslaget stilles i overensstemmelse med artikel 8, stk. 10, og der tages hensyn til de risici, der er konstateret i den regionale risikovurdering.

1.   TSO'erne udarbejder med bistand fra ENTSO for elektricitet og i samarbejde med EU DSO-enheden i et arbejdsprogram, der skal fastlægges og ajourføres, hver gang der vedtages en rapport om cybersikkerhedsrisikovurderingen på regionalt plan, en række ikkebindende cybersikkerhedsmæssige henstillinger i forbindelse med udbud, som enheder med stor indvirkning eller kritisk indvirkning kan anvende som grundlag for indkøb af IKT-produkter, IKT-tjenester og IKT-processer i områderne med stor indvirkning og kritisk indvirkning. Arbejdsprogrammet skal omfatte følgende:

2.   Senest seks måneder efter vedtagelsen eller ajourføringen af rapporten om cybersikkerhedsrisikovurderingen på regionalt plan forelægger ENTSO for elektricitet i samarbejde med EU DSO-enheden ACER et sammendrag af arbejdsprogrammet.

3.   TSO'erne bestræber sig med bistand fra ENTSO for elektricitet og i samarbejde med EU DSO-enheden på at sikre, at de ikkebindende cybersikkerhedsmæssige henstillinger i forbindelse med udbud, der er udarbejdet på grundlag af den relevante regionale cybersikkerhedsrisikovurdering, er ens eller sammenlignelige på tværs af systemdriftsområder. De cybersikkerhedsmæssige henstillinger i forbindelse med udbud omfatter som minimum de specifikationer, der er omhandlet i artikel 33, stk. 2, litra a). Hvor det er muligt, udvælges specifikationerne på grundlag af europæiske og internationale standarder.

4.   TSO'erne sikrer med bistand fra ENTSO for elektricitet og i samarbejde med EU DSO-enheden, at de cybersikkerhedsmæssige henstillinger i forbindelse med udbud:

1.   De ikkebindende cybersikkerhedsmæssige henstillinger i forbindelse med udbud, der er udarbejdet i henhold til artikel 35, kan omfatte sektorspecifik vejledning om anvendelse af europæiske cybersikkerhedscertificeringsordninger, når der findes en passende ordning for en bestemt type IKT-produkt, IKT-tjeneste eller IKT-proces, som anvendes af enheder med kritisk indvirkning, uden at dette berører rammen for etablering af europæiske cybersikkerhedscertificeringsordninger i henhold til artikel 46 i forordning (EU) 2019/881.

2.   TSO'erne arbejder med bistand fra ENTSO for elektricitet og i samarbejde med EU DSO-enheden tæt sammen med ENISA om at tilvejebringe den sektorspecifikke vejledning, der indgår i de ikkebindende cybersikkerhedsmæssige henstillinger i forbindelse med udbud, i stk. 1.

1.   Hvis en kompetent myndighed modtager oplysninger vedrørende et indberetningspligtigt cyberangreb, gør den følgende:

2.   Hvis en CSIRT får kendskab til en aktivt udnyttet sårbarhed, der ikke er afhjulpet, gør den følgende:

3.   Hvis en kompetent myndighed får kendskab til en aktivt udnyttet sårbarhed, der ikke er afhjulpet, gør den kompetente myndighed følgende:

4.   Hvis den kompetente myndighed får kendskab til en sårbarhed, der ikke er afhjulpet, men endnu ikke har bevis for, at denne aktivt udnyttes, koordinerer den uden unødigt ophold med CSIRT'en med henblik på koordineret offentliggørelse af sårbarheden som fastsat i artikel 12, stk. 1, i direktiv (EU) 2022/2555.

5.   Hvis en CSIRT modtager oplysninger vedrørende cybertrusler fra én eller flere enheder med stor indvirkning eller kritisk indvirkning i henhold til artikel 38, stk. 6, formidler den disse oplysninger eller andre oplysninger af betydning for at forebygge, opdage, reagere på eller afbøde den pågældende risiko til enheder med kritisk indvirkning eller stor indvirkning i den pågældende medlemsstat og, hvis det er relevant, til alle berørte CSIRT'er og til det nationale centrale kontaktpunkt uden unødigt ophold og senest fire timer efter at have modtaget oplysningerne.

6.   Hvis en kompetent myndighed får kendskab til oplysninger vedrørende cybertrusler fra én eller flere enheder med stor indvirkning eller kritisk indvirkning, videresender den disse oplysninger til CSIRT'en med henblik på stk. 5.

7.   De kompetente myndigheder kan helt eller delvist uddelegere ansvaret i stk. 3 og 4 for så vidt angår en eller flere enheder med stor indvirkning eller kritisk indvirkning, som er aktive i mere end én medlemsstat, til en anden kompetent myndighed i en af disse medlemsstater efter aftale mellem de berørte kompetente myndigheder.

8.   TSO'erne udarbejder med bistand fra ENTSO for elektricitet og i samarbejde med EU DSO-enheden en metode til skalaklassificering af cyberangreb senest den 13. juni 2025 . TSO'erne kan med bistand fra ENTSO for elektricitet og EU DSO-enheden anmode de kompetente myndigheder om at høre ENISA og deres kompetente myndigheder med ansvar for cybersikkerhed med henblik på støtte i udarbejdelsen af en sådan klassificeringsskala. Metoden omfatter klassificering af alvorsgraden af cyberangreb efter fem niveauer, hvoraf de to højeste niveauer er »høj« og »kritisk«. Klassificeringen baseres på en vurdering af følgende parametre:

9.   Senest den 13. juni 2026 foretager ENTSO for elektricitet i samarbejde med EU DSO-enheden en gennemførlighedsundersøgelse for at vurdere muligheden for at udvikle et fælles værktøj, der gør det muligt for alle enheder at dele oplysninger med de relevante nationale myndigheder, og de finansielle omkostninger, det vil kræve at udvikle værktøjet.

10.   I gennemførlighedsundersøgelsen behandles mulighederne for, at et sådant fælles værktøj kan:

11.   ENTSO for elektricitet gør i samarbejde med EU DSO-enheden følgende:

12.   ENTSO for elektricitet kan i samarbejde med EU DSO-enheden analysere og facilitere initiativer, der er foreslået af enheder med kritisk indvirkning eller stor indvirkning, med henblik på at evaluere og afprøve sådanne værktøjer til deling af oplysninger.

1.   Hver enhed med stor indvirkning eller kritisk indvirkning:

2.   ENISA kan som led i den opgave, der er fastsat i artikel 6, stk. 2, i forordning (EU) 2019/881, give ikkebindende vejledning om etablering af en sådan kapacitet eller om underentreprise af tjenester til udbydere af administrerede sikkerhedstjenester.

3.   Hver enhed med kritisk indvirkning eller stor indvirkning deler relevante oplysninger vedrørende et indberetningspligtigt cyberangreb med sine CSIRT'er og sin kompetente myndighed uden unødigt ophold og senest fire timer efter at have fået kendskab til, at hændelsen er indberetningspligtig.

4.   Oplysninger vedrørende et cyberangreb anses for at være indberetningspligtige, når den berørte enhed vurderer cyberangrebet til at have en alvorsgrad, der spænder fra »høj« til »kritisk« efter den i artikel 37, stk. 8, omhandlede metode til skalaklassificering af cyberangreb. Det centrale kontaktpunkt på enhedsniveau, der er udpeget i henhold til stk. 1, litra c), meddeler klassificeringen af hændelsen.

5.   Når enheder med kritisk indvirkning eller stor indvirkning indberetter relevante oplysninger vedrørende aktivt udnyttede sårbarheder, der ikke er afhjulpet, til en CSIRT, kan sidstnævnte fremsende oplysningerne til sin kompetente myndighed. Alt efter følsomhedsgraden af de indberettede oplysninger kan CSIRT'en tilbageholde oplysningerne eller udsætte fremsendelsen af dem af begrundede cybersikkerhedsrelaterede årsager.

6.   Hver enhed med kritisk indvirkning eller stor indvirkning stiller uden unødigt ophold alle oplysninger vedrørende en indberetningspligtig cybertrussel, som kan have en grænseoverskridende virkning, til rådighed for sine CSIRT'er. Oplysninger vedrørende en cybertrussel anses for at være indberetningspligtige, når mindst én af følgende betingelser er opfyldt:

7.   Hver enhed med kritisk indvirkning eller stor indvirkning angiver ved deling af oplysninger i henhold til denne artikel følgende:

8.   Når en enhed med kritisk indvirkning eller stor indvirkning underretter om en væsentlig hændelse i henhold til artikel 23 i direktiv (EU) 2022/2555, og underretningen af hændelsen i henhold til nævnte artikel indeholder relevante oplysninger som omhandlet i nærværende artikels stk. 3, udgør enhedens underretning i henhold til nævnte direktivs artikel 23, stk. 1, indberetning af oplysninger i henhold til nærværende artikels stk. 3.

9.   Hver enhed med kritisk indvirkning eller stor indvirkning rapporterer til sin kompetente myndighed eller CSIRT og angiver klart specifikke oplysninger, som kun må deles med den kompetente myndighed eller CSIRT'en, hvis delingen af oplysningerne kan være kilde til et cyberangreb. Hver enhed med kritisk indvirkning eller stor indvirkning har ret til at fremsende en ikkefortrolig udgave af oplysningerne til den kompetente CSIRT.

1.   Enheder med kritisk indvirkning eller stor indvirkning udvikler den nødvendige kapacitet til at håndtere afslørede cyberangreb med den nødvendige støtte fra den relevante kompetente myndighed, ENTSO for elektricitet og EU DSO-enheden. Enheder med kritisk indvirkning eller stor indvirkning kan støttes af den CSIRT, der er udpeget i deres respektive medlemsstat, som led i den opgave, der er tildelt CSIRT'erne i henhold til artikel 11, stk. 5, litra a), i direktiv (EU) 2022/2555. Enheder med kritisk indvirkning eller stor indvirkning indfører effektive procedurer til at afsløre, klassificere og reagere på cyberangreb, der vil eller kan påvirke grænseoverskridende elektricitetsstrømme, med henblik på at minimere deres virkning.

2.   Hvis et cyberangreb påvirker grænseoverskridende elektricitetsstrømme, samarbejder de centrale kontaktpunkter på enhedsniveau for de berørte enheder med kritisk indvirkning eller stor indvirkning om at dele oplysninger mellem dem under koordinering af den kompetente myndighed i den medlemsstat, hvor cyberangrebet første gang blev indberettet.

3.   Enheder med kritisk indvirkning eller stor indvirkning:

4.   De i stk. 1 nævnte opgaver kan af medlemsstaterne også uddelegeres til de regionale koordinationscentre i overensstemmelse med artikel 37, stk. 2, i forordning (EU) 2019/943.

1.   Når den kompetente myndighed konstaterer, at en elkrise er forbundet med et cyberangreb, der påvirker mere end én medlemsstat, opretter de kompetente myndigheder i de berørte medlemsstater, de kompetente myndigheder med ansvar for cybersikkerhed, de myndigheder, der er kompetente inden for risikoberedskab, og NIS-cyberkrisestyringsmyndighederne fra de berørte medlemsstater i fællesskab en ad hoc-gruppe for grænseoverskridende krisekoordinering.

2.   Ad hoc-gruppen for grænseoverskridende krisekoordinering:

3.   Hvis cyberangrebet kvalificeres eller forventes at kunne kvalificeres som en omfattende cybersikkerhedshændelse, underretter ad hoc-gruppen for grænseoverskridende krisekoordinering omgående de nationale cyberkrisestyringsmyndigheder som omhandlet i artikel 9, stk. 1, i direktiv (EU) 2022/2555 i de medlemsstater, der er berørt af hændelsen, samt Kommissionen og EU-CyCLONe. I disse tilfælde støtter ad hoc-gruppen for grænseoverskridende krisekoordinering EU-CyCLONe med hensyn til særlige sektorspecifikke forhold.

4.   Enheder med kritisk indvirkning eller stor indvirkning udvikler og råder over kapacitet, interne retningslinjer, beredskabsplaner og personale til at tage del i at afdække og afbøde grænseoverskridende kriser. Enheder med kritisk indvirkning eller stor indvirkning, som er berørt af en samtidig elkrise, undersøger den grundlæggende årsag til denne krise i samarbejde med deres kompetente myndighed for at fastslå, i hvilket omfang krisen er forbundet med et cyberangreb.

5.   Opgaverne i stk. 4 kan af medlemsstaterne også uddelegeres til de regionale koordinationscentre i overensstemmelse med artikel 37, stk. 2, i forordning (EU) 2019/943.

1.   Senest 24 måneder efter underretningen af ACER om rapporten om risikovurderingen på EU-plan udarbejder ACER i tæt samarbejde med ENISA, ENTSO for elektricitet, EU DSO-enheden, kompetente myndigheder med ansvar for cybersikkerhed, kompetente myndigheder, myndigheder, der er kompetente inden for risikoberedskab, nationale regulerende myndigheder og de nationale NIS-cyberkrisestyringsmyndigheder en cybersikkerhedskrisestyrings- og -beredskabsplan på EU-plan for elsektoren.

2.   Senest 12 måneder efter ACER's udarbejdelse af cybersikkerhedskrisestyrings- og -beredskabsplanen på EU-plan for elsektoren i henhold til stk. 1 udarbejder hver kompetent myndighed en national cybersikkerhedskrisestyrings- og -beredskabsplan for grænseoverskridende elektricitetsstrømme under hensyntagen til cybersikkerhedskrisestyringsplanen på EU-plan og den nationale risikoberedskabsplan, der er udarbejdet i henhold til artikel 10 i forordning (EU) 2019/941. Planen skal være i overensstemmelse med beredskabsplanen for omfattende cybersikkerhedshændelser og kriser i henhold til artikel 9, stk. 4, i direktiv (EU) 2022/2555. Den kompetente myndighed koordinerer med enhederne med kritisk indvirkning og stor indvirkning og med den myndighed, der er kompetent inden for risikoberedskab i den pågældende medlemsstat.

3.   Den nationale beredskabsplan for omfattende cybersikkerhedshændelser og kriser i henhold til artikel 9, stk. 4, i direktiv (EU) 2022/2555 anses for at være en national cybersikkerhedskrisestyringsplan som omhandlet i nærværende artikel, hvis den omfatter krisestyrings- og beredskabsbestemmelser med hensyn til de grænseoverskridende elektricitetsstrømme.

4.   Opgaverne i stk. 1 og 2 kan af medlemsstaterne også uddelegeres til de regionale koordinationscentre i overensstemmelse med artikel 37, stk. 2, i forordning (EU) 2019/943.

5.   Enheder med kritisk indvirkning eller stor indvirkning sørger for, at deres cybersikkerhedsrelaterede krisestyringsprocedurer:

6.   Senest 12 måneder efter underretningen af enheder med stor indvirkning og kritisk indvirkning i henhold til artikel 24, stk. 6, og hvert tredje år herefter udarbejder enheder med kritisk indvirkning og stor indvirkning en krisestyringsplan på enhedsniveau for cybersikkerhedsrelaterede kriser, og denne indgår i deres overordnede krisestyringsplaner. Planen skal mindst omfatte følgende oplysninger:

7.   Krisestyringsforanstaltninger som omhandlet i artikel 21, stk. 2, litra c), i direktiv (EU) 2022/2555 betragtes som en krisestyringsplan på enhedsniveau for elsektoren i henhold til nærværende artikel, hvis den opfylder alle krav i stk. 6.

8.   Krisestyringsplanerne afprøves under de cybersikkerhedsøvelser, der er omhandlet i artikel 43, 44 og 45.

9.   Enheder med kritisk indvirkning eller stor indvirkning medtager deres krisestyringsplaner på enhedsniveau i deres forretningskontinuitetsplaner for processer med kritisk indvirkning og stor indvirkning. Krisestyringsplanerne på enhedsniveau skal omfatte:

10.   Enheder med kritisk indvirkning eller stor indvirkning ajourfører deres krisestyringsplaner på enhedsniveau mindst hvert tredje år, og når det er nødvendigt.

11.   ACER ajourfører den cybersikkerhedskrisestyrings- og -beredskabsplan på EU-plan for elsektoren, der er udarbejdet i henhold til stk. 1, mindst hvert tredje år, og når det er nødvendigt.

12.   Hver kompetent myndighed ajourfører den nationale cybersikkerhedskrisestyrings- og -beredskabsplan for grænseoverskridende elektricitetsstrømme, der er udarbejdet i henhold til stk. 2, mindst hvert tredje år, og når det er nødvendigt.

13.   Enheder med kritisk indvirkning eller stor indvirkning afprøver deres forretningskontinuitetsplaner mindst én gang hvert tredje år eller efter større ændringer i en proces med kritisk indvirkning. Resultatet af afprøvninger af forretningskontinuitetsplanerne dokumenteres. Enheder med kritisk indvirkning eller stor indvirkning kan lade afprøvningen af deres forretningskontinuitetsplan indgå i cybersikkerhedsøvelserne.

14.   Enheder med kritisk indvirkning eller stor indvirkning ajourfører deres forretningskontinuitetsplan, når det er nødvendigt, og mindst én gang hvert tredje år under hensyntagen til resultatet af afprøvningen.

15.   Hvis der ved en afprøvning konstateres mangler i forretningskontinuitetsplanen, afhjælper enheden med kritisk indvirkning eller stor indvirkning disse mangler senest 180 kalenderdage efter afprøvningen og gennemfører en ny afprøvning for at dokumentere, at de korrigerende foranstaltninger har haft effekt.

16.   Hvis en enhed med kritisk indvirkning eller stor indvirkning ikke kan afhjælpe manglerne inden for 180 kalenderdage, medtager enheden årsagerne hertil i den rapport, der skal forelægges enhedens kompetente myndighed i henhold til artikel 27.

1.   De kompetente myndigheder samarbejder med ENISA om at udvikle kapacitet til tidlig varsling i cybersikkerhedsspørgsmål i forbindelse med elektricitetsstrømme (ECEAC) som en del af bistanden til medlemsstaterne i henhold til artikel 6, stk. 2 og 7, i forordning (EU) 2019/881.

2.   ECEAC sætter ENISA i stand til, når det udfører opgaverne i artikel 7, stk. 7, i forordning (EU) 2019/881:

3.   CSIRT'erne formidler uden ophold oplysninger modtaget fra ENISA til de berørte enheder inden for rammerne af deres opgaver i artikel 11, stk. 3, litra b), i direktiv (EU) 2022/2555.

4.   ACER overvåger, hvor effektiv ECEAC'en er. ENISA bistår ACER ved at stille alle nødvendige oplysninger til rådighed i overensstemmelse med artikel 6, stk. 2, og artikel 7, stk. 1, i forordning (EU) 2019/881. Analysen af denne overvågning er en del af overvågningen i henhold til nærværende forordnings artikel 12.

1.   Senest den 31. december i året efter underretningen af enheder med kritisk indvirkning og hvert tredje år herefter gennemfører hver enhed med kritisk indvirkning en cybersikkerhedsøvelse, der omfatter ét eller flere scenarier med cyberangreb, der direkte eller indirekte påvirker grænseoverskridende elektricitetsstrømme, og vedrører de risici, der er konstateret i cybersikkerhedsrisikovurderingerne på medlemsstatsniveau og enhedsniveau, jf. artikel 20 og artikel 27.

2.   Uanset stk. 1 kan den myndighed, der er kompetent inden for risikoberedskab, efter høring af den kompetente myndighed og den relevante cyberkrisestyringsmyndighed som udpeget eller oprettet i henhold til artikel 9 i direktiv (EU) 2022/2555 beslutte at tilrettelægge en cybersikkerhedsøvelse på medlemsstatsniveau som beskrevet i stk. 1 i stedet for at gennemføre cybersikkerhedsøvelsen på enhedsniveau. I den forbindelse underretter den kompetente myndighed:

3.   Den myndighed, der er kompetent inden for risikoberedskab, tilrettelægger med teknisk støtte fra sine CSIRT'er den i stk. 2 beskrevne cybersikkerhedsøvelse på medlemsstatsniveau uafhængigt af eller i forbindelse med en anden cybersikkerhedsøvelse i den pågældende medlemsstat. For at kunne gruppere øvelserne kan den myndighed, der er kompetent inden for risikoberedskab, udsætte cybersikkerhedsøvelsen på medlemsstatsniveau i stk. 1 med ét år.

4.   Cybersikkerhedsøvelserne på enhedsniveau og medlemsstatsniveau skal være i overensstemmelse med de nationale rammer for cybersikkerhedskrisestyring, jf. artikel 9, stk. 4, litra d), i direktiv (EU) 2022/2555.

5.   Senest den 31. december 2026 og hvert tredje år herefter stiller ENTSO for elektricitet i samarbejde med EU DSO-enheden en model for et øvelsesscenarium til rådighed med henblik på gennemførelse af cybersikkerhedsøvelserne på enhedsniveau og medlemsstatsniveau i stk. 1. I modellen tages der hensyn til resultaterne af de senest gennemførte cybersikkerhedsrisikovurderinger på enhedsniveau og medlemsstatsniveau, og den skal omfatte centrale succeskriterier. ENTSO for elektricitet og EU DSO-enheden inddrager ACER og ENISA i udarbejdelsen af modellen.

1.   Senest den 31. december 2029 og hvert tredje år herefter tilrettelægger ENTSO for elektricitet i samarbejde med EU DSO-enheden en regional cybersikkerhedsøvelse i hvert systemdriftsområde. Enhederne med kritisk indvirkning i systemdriftsområdet deltager i den regionale cybersikkerhedsøvelse. ENTSO for elektricitet kan i samarbejde med EU DSO-enheden i stedet for en regional cybersikkerhedsøvelse tilrettelægge en tværregional cybersikkerhedsøvelse i mere end ét systemdriftsområde inden for samme tidsramme. I øvelsen bør der tages hensyn til andre, eksisterende cybersikkerhedsrisikovurderinger og -scenarier på EU-plan.

2.   ENISA støtter ENTSO for elektricitet og EU DSO-enheden i forberedelsen og tilrettelæggelsen af cybersikkerhedsøvelsen på regionalt eller tværregionalt plan.

3.   ENTSO for elektricitet underretter i samarbejde med EU DSO-enheden de enheder med kritisk indvirkning, der skal deltage i den regionale eller tværregionale cybersikkerhedsøvelse, seks måneder før øvelsen afholdes.

4.   Tilrettelæggeren af en regelmæssig cybersikkerhedsøvelse på EU-plan i henhold til artikel 7, stk. 5, i forordning (EU) 2019/881 eller en anden obligatorisk cybersikkerhedsøvelse med forbindelse til elsektoren inden for samme geografiske område kan indbyde ENTSO for elektricitet og EU DSO-enheden til at deltage. I disse tilfælde finder forpligtelsen i stk. 1 ikke anvendelse, forudsat at alle enheder med kritisk indvirkning i systemdriftsområdet deltager i samme øvelse.

5.   Hvis ENTSO for elektricitet og EU DSO-enheden deltager i en cybersikkerhedsøvelse som omhandlet i stk. 4, kan de udsætte den regionale eller tværregionale cybersikkerhedsøvelse i stk. 1 med ét år.

6.   Senest den 31. december 2027 og hvert tredje år efter denne dato stiller ENTSO for elektricitet i samarbejde med EU DSO-enheden en øvelsesmodel til rådighed med henblik på gennemførelse af regionale og tværregionale cybersikkerhedsøvelser. I modellen tages der hensyn til resultaterne af de senest gennemførte cybersikkerhedsrisikovurderinger på regionalt plan, og den skal omfatte centrale succeskriterier. ENTSO for elektricitet hører Kommissionen og kan rådføre sig med ACER, ENISA og Det Fælles Forskningscenter om tilrettelæggelsen og gennemførelsen af de regionale og tværregionale cybersikkerhedsøvelser.

1.   Efter anmodning fra en enhed med kritisk indvirkning deltager kritiske tjenesteudbydere i de cybersikkerhedsøvelser, der er omhandlet i artikel 43, stk. 1 og 2, og i artikel 44, stk. 1, hvis de leverer tjenester til enheden med kritisk indvirkning på et område, der er omfattet af den pågældende cybersikkerhedsøvelse.

2.   Tilrettelæggerne af de cybersikkerhedsøvelser, der er omhandlet i artikel 43, stk. 1 og 2, og i artikel 44, stk. 1, analyserer og afslutter med rådgivning fra ENISA, hvis de anmoder herom og i overensstemmelse med artikel 7, stk. 5, i forordning (EU) 2019/881, den pågældende cybersikkerhedsøvelse med en rapport, der sammenfatter erfaringerne, og som er henvendt til alle deltagere. Rapporten skal omfatte:

3.   Hvis CSIRT-netværket, NIS-samarbejdsgruppen eller EU-CyCLONe anmoder herom, deler tilrettelæggerne af de cybersikkerhedsøvelser, der er omhandlet i artikel 43, stk. 1 og 2, og i artikel 44, stk. 1, resultatet af den pågældende cybersikkerhedsøvelse. Tilrettelæggerne deler de oplysninger, der er omhandlet i nærværende artikels stk. 2, litra a) og b), med hver enhed, der deltog i øvelserne. Tilrettelæggerne deler listen over anbefalinger i nævnte stykkes litra c) udelukkende med de enheder, der er omfattet af anbefalingerne.

4.   Tilrettelæggerne af de cybersikkerhedsøvelser, der er omhandlet i artikel 43, stk. 1 og 2, og artikel 44, stk. 1, følger regelmæssigt op med de enheder, der deltager i øvelserne, om gennemførelsen af de anbefalinger, der er omhandlet i nærværende artikels stk. 2, litra c).

1.   De enheder, der er opført i artikel 2, stk. 1, sikrer, at oplysninger, der stilles til rådighed, modtages, udveksles eller videregives i henhold til denne forordning, kun er tilgængelige efter need-to-know-princippet og i overensstemmelse med relevante EU-regler og nationale regler om informationssikkerhed.

2.   De enheder, der er opført i artikel 2, stk. 1, sikrer, at oplysninger, der stilles til rådighed, modtages, udveksles eller videregives i henhold til denne forordning, håndteres og spores i hele oplysningernes livscyklus, og at de kun kan frigives ved afslutningen af deres livscyklus efter at være blevet anonymiseret.

3.   De enheder, der er opført i artikel 2, stk. 1, sikrer, at der er truffet alle de beskyttelsesforanstaltninger af organisatorisk eller teknisk art, der er nødvendige for at garantere og beskytte fortroligheden, integriteten, tilgængeligheden og uafviseligheden af de oplysninger, der stilles til rådighed, modtages, udveksles eller videregives i henhold til denne forordning, uafhængigt af de anvendte midler. Beskyttelsesforanstaltningerne skal:

4.   De enheder, der er opført i artikel 2, stk. 1, sikrer, at enhver person, som gives adgang til oplysninger, der er stillet til rådighed, modtaget, udvekslet eller videregivet i henhold til denne forordning, instrueres om de sikkerhedsregler, der finder anvendelse på enhedsniveau, og om de foranstaltninger og procedurer, der er relevante for beskyttelsen af oplysningerne. Enhederne sikrer, at den pågældende person anerkender ansvaret for at beskytte oplysningerne i overensstemmelse med instruksen.

5.   De enheder, der er opført i artikel 2, stk. 1, sikrer, at adgangen til oplysninger, der stilles til rådighed, modtages, udveksles eller videregives i henhold til denne forordning, er begrænset til enkeltpersoner:

6.   De enheder, der er opført i artikel 2, stk. 1, opnår skriftlig godkendelse fra den fysiske eller juridiske person, der oprindeligt skabte oplysningerne eller stillede dem til rådighed, inden de videregiver disse oplysninger til en tredjepart, der falder uden for denne forordnings anvendelsesområde.

7.   En enhed, der er opført i artikel 2, stk. 1, kan vurdere, at oplysningerne skal deles uden at overholde nærværende artikels stk. 1 og 4 for at forhindre en samtidig elkrise, hvis grundlæggende årsag er relateret til cybersikkerhed, eller en grænseoverskridende krise i Unionen i en anden sektor. I disse tilfælde skal den:

8.   Uanset denne artikels stk. 6 kan de kompetente myndigheder give oplysninger, der er stillet til rådighed, modtaget, udvekslet eller videregivet i henhold til denne forordning, til en tredjepart, der ikke er opført i artikel 2, stk. 1, uden forudgående skriftligt samtykke fra ophavsmanden til oplysningerne, men skal underrette sidstnævnte så hurtigt som muligt. Inden den pågældende kompetente myndighed videregiver oplysninger, der er stillet til rådighed, modtaget, udvekslet eller videregivet i henhold til denne forordning, til en tredjepart, der ikke er opført i artikel 2, stk. 1, sikrer den med rimelighed, at den pågældende tredjepart er bekendt med de gældende sikkerhedsregler, og opnår rimelig sikkerhed for, at den pågældende tredjepart kan beskytte de modtagne oplysninger i overensstemmelse med nærværende artikels stk. 1-5. Den kompetente myndighed anonymiserer oplysningerne, uden at de elementer, der er nødvendige for at informere offentligheden om en overhængende og alvorlig risiko, der påvirker grænseoverskridende elektricitetsstrømme, og mulige afbødende foranstaltninger, går tabt, og beskytter identiteten af ophavsmanden til oplysningerne. I disse tilfælde beskytter tredjeparten, som ikke er opført i artikel 2, stk. 1, de modtagne oplysninger i overensstemmelse med allerede gældende bestemmelser på enhedsniveau eller, hvis dette ikke er muligt, med de bestemmelser og instrukser, som den relevante kompetente myndighed har givet.

9.   Denne artikel finder ikke anvendelse på enheder, der ikke er opført i artikel 2, stk. 1, og som modtager oplysninger efter nærværende artikels stk. 6. I disse tilfælde finder nærværende artikels stk. 7 anvendelse, eller den kompetente myndighed kan give den pågældende enhed skriftlige bestemmelser, der finder anvendelse i tilfælde, hvor der modtages oplysninger i henhold til denne forordning.

1.   Alle oplysninger, der stilles til rådighed, modtages, udveksles eller videregives i henhold til denne forordning, er underlagt de betingelser vedrørende tavshedspligt, der er fastsat i denne artikels stk. 2-5, og de krav, der er fastsat i artikel 65 i forordning (EU) 2019/943. Alle oplysninger, der stilles til rådighed, modtages, udveksles eller videregives blandt enheder, der er opført i nærværende forordnings artikel 2, med henblik på gennemførelsen af nærværende forordning, beskyttes under hensyntagen til den fortrolighedsgrad, som ophavsmanden anvender for oplysningerne.

2.   Tavshedspligten gælder for de enheder, der er opført i artikel 2.

3.   De kompetente myndigheder med ansvar for cybersikkerhed, de nationale regulerende myndigheder, de myndigheder, der er kompetente inden for risikoberedskab, og CSIRT'erne udveksler alle de oplysninger, der er nødvendige for, at de kan udføre deres opgaver.

4.   Alle oplysninger, der stilles til rådighed, modtages, udveksles eller videregives blandt enheder, der er opført i artikel 2, stk. 1, med henblik på gennemførelsen af artikel 23, anonymiseres og aggregeres.

5.   Oplysninger, der modtages af en enhed eller myndighed, der er omfattet af denne forordning, i forbindelse med deres hverv, må ikke videregives til andre enheder eller myndigheder, medmindre dette sker i tilfælde, der er omfattet af national lovgivning, andre bestemmelser i denne forordning eller anden relevant EU-lovgivning.

6.   Uden at det berører national lovgivning eller EU-lovgivning, må en myndighed, en enhed eller en fysisk person, der modtager oplysninger i henhold til denne forordning, ikke anvende dem til andre formål end at udføre sine opgaver i henhold til denne forordning.

7.   ACER udsteder senest den 13. juni 2025 efter høring af ENISA, alle kompetente myndigheder, ENTSO for elektricitet og EU-DSO-enheden retningslinjer vedrørende mekanismer til udveksling af oplysninger for alle enheder, der er opført i artikel 2, stk. 1, navnlig påtænkte kommunikationsstrømme, og metoder til anonymisering og aggregering af oplysninger med henblik på gennemførelsen af nærværende artikel.

8.   Oplysninger, der er fortrolige i henhold til EU-bestemmelser eller nationale regler, udveksles kun med Kommissionen og andre relevante myndigheder, hvis en sådan udveksling er nødvendig for anvendelsen af denne forordning. De udvekslede oplysninger begrænses til, hvad der er nødvendigt og forholdsmæssigt under hensyntagen til formålet med udvekslingen. I udvekslingen af oplysninger sikres oplysningernes fortrolighed, og sikkerheden og kommercielle interesser hos enheder med kritisk indvirkning eller stor indvirkning beskyttes.

1.   Indtil de vilkår og betingelser eller metoder, der er omhandlet i artikel 6, stk. 2, eller de planer, der er omhandlet i artikel 6, stk. 3, er blevet godkendt, udarbejder ENTSO for elektricitet i samarbejde med EU DSO-enheden ikkebindende vejledning om følgende spørgsmål:

2.   Senest den 13. oktober 2024 udarbejder ENTSO for elektricitet i samarbejde med EU DSO-enheden en anbefaling om et foreløbigt ECII. ENTSO for elektricitet meddeler i samarbejde med EU DSO-enheden de kompetente myndigheder det anbefalede foreløbige ECII.

3.   Fire måneder efter modtagelsen af det anbefalede foreløbige ECII eller senest den 13. februar 2025 udpeger de kompetente myndigheder kandidater til enheder med stor indvirkning og kritisk indvirkning i deres medlemsstat på grundlag af det anbefalede ECII og udarbejder en foreløbig liste over enheder med stor indvirkning og kritisk indvirkning. Enheder med stor indvirkning eller kritisk indvirkning, der er opført på den foreløbige liste, kan frivilligt opfylde deres forpligtelser i henhold til denne forordning ud fra et forsigtighedsprincip. Senest den 13. marts 2025 underretter de kompetente myndigheder de enheder, der er opført på den foreløbige liste, om, at de er blevet udpeget som en enhed med stor indvirkning eller kritisk indvirkning.

4.   Senest den 13. december 2024 udarbejder ENTSO for elektricitet i samarbejde med EU DSO-enheden en foreløbig liste over processer med stor indvirkning og kritisk indvirkning på EU-plan. De enheder, der underrettes i henhold til stk. 3, og som frivilligt beslutter at opfylde deres forpligtelser i henhold til denne forordning ud fra et forsigtighedsprincip, anvender den foreløbige liste over processer med stor indvirkning og kritisk indvirkning til at fastlægge de foreløbige områder med stor indvirkning og kritisk indvirkning og til at afgøre, hvilke aktiver der skal medtages i den første cybersikkerhedsrisikovurdering på enhedsniveau.

5.   Senest den 13. September 2024 forelægger hver kompetent myndighed som omhandlet i artikel 4, stk. 1, ENTSO for elektricitet og EU DSO-enheden en liste over sin nationale lovgivning af relevans for cybersikkerhedsmæssige aspekter af grænseoverskridende elektricitetsstrømme.

6.   Senest den 13. juni 2025 udarbejder ENTSO for elektricitet i samarbejde med EU DSO-enheden en foreløbig liste over europæiske og internationale standarder og kontroller, der kræves i henhold til national lovgivning, og som er relevante for cybersikkerhedsmæssige aspekter af grænseoverskridende elektricitetsstrømme, under hensyntagen til oplysningerne fra de kompetente myndigheder.

7.   Den foreløbige liste over europæiske og internationale standarder og kontroller skal omfatte:

8.   ENTSO for elektricitet og EU DSO-enheden tager hensyn til ENISA's og ACER's synspunkter i færdiggørelsen af den foreløbige liste over standarder. ENTSO for elektricitet og EU DSO-enheden offentliggør den foreløbige liste over europæiske og internationale standarder og kontroller på deres websteder.

9.   ENTSO for elektricitet og EU DSO-enheden hører ENISA og ACER om forslag til ikkebindende vejledning i henhold til stk. 1.

10.   Indtil minimumscybersikkerhedskontrollen og den udvidede cybersikkerhedskontrol er udviklet i henhold til artikel 29 og vedtaget i henhold til artikel 8, bestræber alle enheder, der er opført i artikel 2, stk. 1, sig på gradvist at anvende den ikkebindende vejledning, der er udarbejdet i henhold til stk. 1.