1.   Ο παρών κανονισμός εφαρμόζεται στις πτυχές της κυβερνοασφάλειας των διασυνοριακών ροών ηλεκτρικής ενέργειας στις δραστηριότητες των ακόλουθων οντοτήτων, εάν χαρακτηρίζονται ως οντότητες υψηλού ή κρίσιμου αντικτύπου σύμφωνα με το άρθρο 24:

2.   Οι ακόλουθες αρχές είναι, στο πλαίσιο της τρέχουσας εντολής τους, υπεύθυνες για την εκτέλεση καθηκόντων που ανατίθενται με τον παρόντα κανονισμό:

3.   Ο παρών κανονισμός εφαρμόζεται επίσης σε όλες τις οντότητες που δεν είναι εγκατεστημένες στην Ένωση αλλά παρέχουν υπηρεσίες σε οντότητες εντός της Ένωσης, υπό την προϋπόθεση ότι έχουν χαρακτηριστεί από τις αρμόδιες αρχές ως οντότητες υψηλού ή κρίσιμου αντικτύπου σύμφωνα με το άρθρο 24 παράγραφος 2.

4.   Ο παρών κανονισμός εφαρμόζεται με την επιφύλαξη της ευθύνης των κρατών μελών για τη διαφύλαξη της εθνικής ασφάλειας και του κυριαρχικού τους δικαιώματος να διαφυλάσσουν άλλες ουσιώδεις λειτουργίες του κράτους, συμπεριλαμβανομένων της διασφάλισης της εδαφικής ακεραιότητας του κράτους και της διατήρησης της δημόσιας τάξης.

5.   Ο παρών κανονισμός δεν θίγει την αρμοδιότητα των κρατών μελών να διαφυλάσσουν την εθνική ασφάλεια όσον αφορά τις δραστηριότητες παραγωγής ηλεκτρικής ενέργειας από πυρηνικούς σταθμούς ηλεκτροπαραγωγής, συμπεριλαμβανομένων των δραστηριοτήτων εντός της αξιακής αλυσίδας της πυρηνικής ενέργειας, σύμφωνα με τις Συνθήκες.

6.   Οι οντότητες, οι αρμόδιες αρχές, τα ενιαία σημεία επαφής σε επίπεδο οντότητας και οι CSIRT επεξεργάζονται δεδομένα προσωπικού χαρακτήρα στον βαθμό που είναι αναγκαίο για τους σκοπούς του παρόντος κανονισμού και σύμφωνα με τον κανονισμό (ΕΕ) 2016/679, ειδικότερα δε η εν λόγω επεξεργασία βασίζεται στο άρθρο 6 του εν λόγω κανονισμού.

1.   Το συντομότερο δυνατόν και σε κάθε περίπτωση έως τις 13ης Δεκεμβρίου 2024, κάθε κράτος μέλος ορίζει εθνική κυβερνητική ή ρυθμιστική αρχή υπεύθυνη για την εκτέλεση των καθηκόντων που της ανατίθενται με τον παρόντα κανονισμό (στο εξής: αρμόδια αρχή). Έως ότου ανατεθεί στην αρμόδια αρχή η εκτέλεση των καθηκόντων δυνάμει του παρόντος κανονισμού, η ρυθμιστική αρχή που ορίζεται από κάθε κράτος μέλος σύμφωνα με το άρθρο 57 παράγραφος 1 της οδηγίας (ΕΕ) 2019/944 εκτελεί τα καθήκοντα της αρμόδιας αρχής σύμφωνα με τον παρόντα κανονισμό.

2.   Τα κράτη μέλη ειδοποιούν, χωρίς καθυστέρηση, την Επιτροπή, τον ACER, τον ENISA, την Ομάδα Συνεργασίας NIS που έχει συσταθεί σύμφωνα με το άρθρο 14 της οδηγίας (ΕΕ) 2022/2555 και τη Συντονιστική Ομάδα στον τομέα του Ηλεκτρισμού που έχει συσταθεί δυνάμει του άρθρου 1 της απόφασης της Επιτροπής, της 15ης Νοεμβρίου 2012 (17), και τους κοινοποιούν το όνομα και τα στοιχεία επικοινωνίας της οικείας αρμόδιας αρχής που ορίζεται σύμφωνα με την παράγραφο 1 του παρόντος άρθρου και τυχόν μεταγενέστερες αλλαγές σε αυτά.

3.   Τα κράτη μέλη μπορούν να επιτρέπουν στην οικεία αρμόδια αρχή να αναθέτει καθήκοντα που της ανατίθενται με τον παρόντα κανονισμό σε άλλες εθνικές αρχές, με εξαίρεση τα καθήκοντα που αναφέρονται στο άρθρο 5. Κάθε αρμόδια αρχή παρακολουθεί την εφαρμογή του παρόντος κανονισμού από τις αρχές στις οποίες έχει αναθέσει καθήκοντα. Η αρμόδια αρχή κοινοποιεί το όνομα και τα στοιχεία επικοινωνίας των αρχών στις οποίες έχει αναθέσει καθήκοντα, τα καθήκοντα που έχουν ανατεθεί και τυχόν μεταγενέστερες αλλαγές στα στοιχεία αυτά στην Επιτροπή, στον ACER, στη Συντονιστική Ομάδα στον τομέα του Ηλεκτρισμού, στον ENISA και στην Ομάδα Συνεργασίας NIS.

1.   Οι ΔΣΜ καταρτίζουν, σε συνεργασία με τον φορέα ΔΣΔ της ΕΕ, προτάσεις για τους όρους και τις προϋποθέσεις ή τις μεθοδολογίες σύμφωνα με την παράγραφο 2, ή για σχέδια σύμφωνα με την παράγραφο 3.

2.   Οι παρακάτω όροι και προϋποθέσεις ή μεθοδολογίες και τυχόν τροποποιήσεις αυτών υπόκεινται σε έγκριση από όλες τις αρμόδιες αρχές:

3.   Οι προτάσεις για τα περιφερειακά σχέδια μετριασμού των κινδύνων για την κυβερνοασφάλεια σύμφωνα με το άρθρο 22 υπόκεινται σε έγκριση από όλες τις αρμόδιες αρχές της οικείας λειτουργικής περιφέρειας συστήματος.

4.   Οι προτάσεις για όρους και προϋποθέσεις ή μεθοδολογίες που αναφέρονται στην παράγραφο 2 ή για σχέδια που αναφέρονται στην παράγραφο 3 περιλαμβάνουν προτεινόμενο χρονοδιάγραμμα για την εφαρμογή τους και περιγραφή του αναμενόμενου αντικτύπου τους στους στόχους του παρόντος κανονισμού.

5.   Ο φορέας ΔΣΔ της ΕΕ μπορεί να υποβάλει αιτιολογημένη γνώμη στους ενδιαφερόμενους ΔΣΜ έως 3 εβδομάδες πριν από τη λήξη της προθεσμίας υποβολής της πρότασης όρων και προϋποθέσεων ή μεθοδολογιών, ή σχεδίων, στις αρμόδιες αρχές. Οι ΔΣΜ που είναι υπεύθυνοι για την πρόταση όρων και προϋποθέσεων ή μεθοδολογιών, ή σχεδίων, λαμβάνουν υπόψη την αιτιολογημένη γνώμη του φορέα ΔΣΔ της ΕΕ πριν από την υποβολή της πρότασης στις αρμόδιες αρχές προς έγκριση. Οι ΔΣΜ αιτιολογούν τις περιπτώσεις στις οποίες δεν λαμβάνεται υπόψη η γνώμη του φορέα ΔΣΔ της ΕΕ.

6.   Κατά την από κοινού κατάρτιση όρων, προϋποθέσεων, μεθοδολογιών και σχεδίων, οι συμμετέχοντες ΔΣΜ συνεργάζονται στενά. Οι ΔΣΜ, με τη συνδρομή του ΕΔΔΣΜ ηλεκτρικής ενέργειας και σε συνεργασία με τον φορέα ΔΣΔ της ΕΕ, ενημερώνουν τακτικά τις αρμόδιες αρχές και τον ACER σχετικά με την πρόοδο ως προς την κατάρτιση των όρων και προϋποθέσεων ή μεθοδολογιών, ή των σχεδίων.

1.   Όταν οι ΔΣΜ που αποφασίζουν επί προτάσεων όρων και προϋποθέσεων ή μεθοδολογιών δεν μπορούν να καταλήξουν σε συμφωνία, αποφασίζουν με ειδική πλειοψηφία. Η ειδική πλειοψηφία για τις εν λόγω προτάσεις υπολογίζεται ως εξής:

2.   Η μειοψηφία αρνησικυρίας για αποφάσεις επί προτάσεων για όρους και προϋποθέσεις ή μεθοδολογίες που αναφέρονται στο άρθρο 6 παράγραφος 2 αποτελείται από ΔΣΜ που εκπροσωπούν τουλάχιστον τέσσερα κράτη μέλη, ειδάλλως θεωρείται ότι επιτυγχάνεται ειδική πλειοψηφία.

3.   Όταν οι ΔΣΜ μιας λειτουργικής περιοχής συστήματος που αποφασίζουν επί προτάσεων για σχέδια που αναφέρονται στο άρθρο 6 παράγραφος 2 δεν μπορούν να καταλήξουν σε συμφωνία και όταν η οικεία λειτουργική περιοχή συστήματος αποτελείται από περισσότερα από πέντε κράτη μέλη, οι ΔΣΜ αποφασίζουν με ειδική πλειοψηφία. Η ειδική πλειοψηφία για προτάσεις που αναφέρονται στο άρθρο 6 παράγραφος 2 συνίσταται στην εξής πλειοψηφία:

4.   Η μειοψηφία αρνησικυρίας για αποφάσεις επί προτάσεων για σχέδια περιλαμβάνει τουλάχιστον τον ελάχιστο αριθμό των ΔΣΜ που εκπροσωπούν πάνω από το 35 % του πληθυσμού των συμμετεχόντων κρατών μελών, συν τους ΔΣΜ που εκπροσωπούν τουλάχιστον ένα επιπλέον οικείο κράτος μέλος, ειδάλλως θεωρείται ότι επιτυγχάνεται ειδική πλειοψηφία.

5.   Για τις αποφάσεις των ΔΣΜ επί προτάσεων όρων και προϋποθέσεων ή μεθοδολογιών σύμφωνα με το άρθρο 6 παράγραφος 2, αποδίδεται μία ψήφος ανά κράτος μέλος. Εάν υπάρχουν περισσότεροι του ενός ΔΣΜ στην επικράτεια κράτους μέλους, το κράτος μέλος κατανέμει τα δικαιώματα ψήφου μεταξύ των ΔΣΜ.

6.   Εάν οι ΔΣΜ, σε συνεργασία με τον φορέα ΔΣΔ της ΕΕ, δεν υποβάλουν αρχική ή τροποποιημένη πρόταση όρων και προϋποθέσεων ή μεθοδολογιών, ή σχεδίων, στις σχετικές αρμόδιες αρχές εντός των προθεσμιών που ορίζονται στον παρόντα κανονισμό, υποβάλλουν στις σχετικές αρμόδιες αρχές και στον ACER τα σχετικά σχέδια όρων και προϋποθέσεων ή μεθοδολογιών ή τα σχετικά προσχέδια. Εξηγούν τους λόγους που τους εμπόδισαν να καταλήξουν σε συμφωνία. Οι αρμόδιες αρχές λαμβάνουν από κοινού τα κατάλληλα μέτρα για την έγκριση των απαιτούμενων όρων και προϋποθέσεων ή μεθοδολογιών, ή των απαιτούμενων σχεδίων. Αυτό μπορούν να το πράξουν για παράδειγμα, ζητώντας τροποποιήσεις στα προσχέδια σύμφωνα με την παρούσα παράγραφο, αναθεωρώντας και συμπληρώνοντας τα εν λόγω προσχέδια ή, εάν δεν έχουν υποβληθεί προσχέδια, καθορίζοντας και εγκρίνοντας τους απαιτούμενους όρους και προϋποθέσεις ή μεθοδολογίες ή τα απαιτούμενα σχέδια.

1.   Οι ΔΣΜ υποβάλλουν τις προτάσεις για όρους και προϋποθέσεις ή μεθοδολογίες ή για σχέδια προς έγκριση στις σχετικές αρμόδιες αρχές εντός των αντίστοιχων προθεσμιών που ορίζονται στα άρθρα 18, 23, 29, 33, 34, 35 και 37. Οι αρμόδιες αρχές μπορούν να παρατείνουν από κοινού τις εν λόγω προθεσμίες σε εξαιρετικές περιστάσεις, κυρίως σε περιπτώσεις στις οποίες η προθεσμία δεν μπορεί να τηρηθεί λόγω περιστάσεων εκτός της σφαίρας επιρροής των ΔΣΜ ή του φορέα ΔΣΔ της ΕΕ.

2.   Οι προτάσεις για όρους και προϋποθέσεις ή μεθοδολογίες ή για σχέδια σύμφωνα με την παράγραφο 1 υποβάλλονται προς ενημέρωση στον ACER ταυτόχρονα με την υποβολή τους στις αρμόδιες αρχές.

3.   Κατόπιν κοινού αιτήματος των εθνικών ρυθμιστικών αρχών, ο ACER εκδίδει γνωμοδότηση σχετικά με την πρόταση για όρους και προϋποθέσεις ή μεθοδολογίες ή για σχέδια, εντός έξι μηνών από την παραλαβή των προτάσεων για όρους και προϋποθέσεις ή μεθοδολογίες ή για σχέδια, και κοινοποιεί τη γνώμη στις εθνικές ρυθμιστικές αρχές και τις αρμόδιες αρχές. Οι εθνικές ρυθμιστικές αρχές, οι ΕΑΑ κυβερνοασφάλειας και οποιεσδήποτε άλλες αρχές που ορίζονται ως αρμόδιες αρχές συντονίζονται μεταξύ τους προτού οι εθνικές ρυθμιστικές αρχές ζητήσουν τη γνωμοδότηση του ACER. Ο ACER μπορεί να συμπεριλάβει συστάσεις στην εν λόγω γνωμοδότηση. Ο ACER ζητεί τη γνώμη του ENISA προτού εκδώσει γνωμοδότηση επί των προτάσεων που αναφέρονται στο άρθρο 6 παράγραφος 2.

4.   Οι αρμόδιες αρχές διαβουλεύονται, συνεργάζονται στενά και συντονίζονται μεταξύ τους προκειμένου να καταλήξουν σε συμφωνία σχετικά με τους προτεινόμενους όρους και προϋποθέσεις, μεθοδολογίες ή σχέδια. Πριν από την έγκριση των όρων και προϋποθέσεων ή μεθοδολογιών, ή των σχεδίων, αναθεωρούν και συμπληρώνουν τις προτάσεις, κατά περίπτωση, αφού ζητήσουν τη γνώμη του ΕΔΔΣΜ ηλεκτρικής ενέργειας και του φορέα ΔΣΔ της ΕΕ, προκειμένου να διασφαλιστεί ότι οι προτάσεις συνάδουν με τον παρόντα κανονισμό και συμβάλλουν στην επίτευξη υψηλού κοινού επιπέδου κυβερνοασφάλειας σε ολόκληρη την Ένωση.

5.   Οι αρμόδιες αρχές αποφασίζουν επί των όρων και προϋποθέσεων ή μεθοδολογιών ή επί των σχεδίων εντός έξι μηνών από την παραλαβή των όρων και προϋποθέσεων ή μεθοδολογιών ή των σχεδίων από τη σχετική αρμόδια αρχή ή, κατά περίπτωση, από την τελευταία σχετική ενδιαφερόμενη αρμόδια αρχή.

6.   Όταν ο ACER εκδίδει γνωμοδότηση, οι σχετικές αρμόδιες αρχές λαμβάνουν υπόψη την εν λόγω γνωμοδότηση και λαμβάνουν τις αποφάσεις τους εντός έξι μηνών από την παραλαβή της γνωμοδότησης του ACER.

7.   Όταν οι αρμόδιες αρχές απαιτούν από κοινού τροποποίηση των προτεινόμενων όρων και προϋποθέσεων ή μεθοδολογιών, ή σχεδίων, προκειμένου να τα εγκρίνουν, οι ΔΣΜ καταρτίζουν, σε συνεργασία με τον φορέα ΔΣΔ της ΕΕ, πρόταση για την εν λόγω τροποποίηση των όρων και προϋποθέσεων ή μεθοδολογιών ή των σχεδίων. Οι ΔΣΜ υποβάλλουν την τροποποιημένη πρόταση προς έγκριση εντός δύο μηνών από το αίτημα των αρμόδιων αρχών. Οι αρμόδιες αρχές λαμβάνουν απόφαση επί των τροποποιημένων όρων και προϋποθέσεων ή μεθοδολογιών, ή σχεδίων, εντός δύο μηνών από την υποβολή τους.

8.   Εάν οι αρμόδιες αρχές δεν καταφέρουν να καταλήξουν σε συμφωνία εντός της προθεσμίας που αναφέρεται στην παράγραφο 5 ή 7, ενημερώνουν σχετικά την Επιτροπή. Η Επιτροπή μπορεί να λάβει κατάλληλα μέτρα για να καταστήσει δυνατή την έγκριση των απαιτούμενων όρων και προϋποθέσεων ή μεθοδολογιών ή των απαιτούμενων σχεδίων.

9.   Οι ΔΣΜ, με τη συνδρομή του ΕΔΔΣΜ ηλεκτρικής ενέργειας, και ο φορέας ΔΣΔ της ΕΕ δημοσιεύουν τους όρους και προϋποθέσεις ή τις μεθοδολογίες, ή τα σχέδια. στους δικτυακούς τόπους τους κατόπιν έγκρισης από τις σχετικές αρμόδιες αρχές, εκτός εάν οι εν λόγω πληροφορίες θεωρούνται εμπιστευτικές σύμφωνα με το άρθρο 47.

10.   Οι αρμόδιες αρχές μπορούν να ζητήσουν από κοινού προτάσεις τροποποίησης των εγκεκριμένων όρων και προϋποθέσεων ή μεθοδολογιών, ή των εγκεκριμένων σχεδίων, από τους ΔΣΜ και τον φορέα ΔΣΔ της ΕΕ και να καθορίσουν προθεσμία για την υποβολή των εν λόγω προτάσεων. Οι ΔΣΜ, σε συνεργασία με τον φορέα ΔΣΔ της ΕΕ, μπορούν επίσης να προτείνουν τροποποιήσεις στις αρμόδιες αρχές με δική τους πρωτοβουλία. Οι προτάσεις τροποποίησης των όρων και προϋποθέσεων ή μεθοδολογιών, ή τροποποίησης των σχεδίων, καταρτίζονται και εγκρίνονται σύμφωνα με τη διαδικασία του παρόντος άρθρου.

11.   Τουλάχιστον ανά τριετία μετά την πρώτη έγκριση των αντίστοιχων όρων και προϋποθέσεων ή μεθοδολογιών, ή των αντίστοιχων εγκεκριμένων σχεδίων, οι ΔΣΜ, σε συνεργασία με τον φορέα ΔΣΔ της ΕΕ, επανεξετάζουν την αποτελεσματικότητα των εγκεκριμένων όρων και προϋποθέσεων ή μεθοδολογιών, ή των εγκεκριμένων σχεδίων, και αναφέρουν τα πορίσματα της επανεξέτασης στις αρμόδιες αρχές και στον ACER χωρίς αδικαιολόγητη καθυστέρηση.

1.   Οι ΔΣΜ, με τη συνδρομή του ΕΔΔΣΜ ηλεκτρικής ενέργειας και σε συνεργασία με τον φορέα ΔΣΔ της ΕΕ, διαβουλεύονται με τα ενδιαφερόμενα μέρη, συμπεριλαμβανομένων του ACER, του ENISA και της αρμόδιας αρχής κάθε κράτους μέλους, σχετικά με τα σχέδια προτάσεων όρων και προϋποθέσεων ή μεθοδολογιών που αναφέρονται στο άρθρο 6 παράγραφος 2 και σχεδίων που αναφέρονται στο άρθρο 6 παράγραφος 3. Η διαβούλευση διαρκεί για τουλάχιστον έναν μήνα.

2.   Οι προτάσεις όρων και προϋποθέσεων ή μεθοδολογιών που αναφέρονται στο άρθρο 6 παράγραφος 2, οι οποίες υποβάλλονται από τους ΔΣΜ, σε συνεργασία με τον φορέα ΔΣΔ της ΕΕ, δημοσιεύονται και υποβάλλονται προς διαβούλευση σε επίπεδο Ένωσης. Οι προτάσεις σχεδίων που αναφέρονται στο άρθρο 6 παράγραφος 3, οι οποίες υποβάλλονται από τους οικείους ΔΣΜ, σε συνεργασία με τον φορέα ΔΣΔ της ΕΕ, σε περιφερειακό επίπεδο υποβάλλονται προς διαβούλευση τουλάχιστον σε περιφερειακό επίπεδο.

3.   Οι ΔΣΜ, με τη βοήθεια του ΕΔΔΣΜ ηλεκτρικής ενέργειας, και ο φορέας ΔΣΔ της ΕΕ που είναι αρμόδιοι για την υποβολή προτάσεων όρων και προϋποθέσεων ή μεθοδολογιών, ή σχεδίων, λαμβάνουν δεόντως υπόψη τις απόψεις των ενδιαφερόμενων μερών που διατυπώνονται κατά τις διαβουλεύσεις που διενεργούνται σύμφωνα με την παράγραφο 1, πριν από την υποβολή της πρότασης για έγκριση από τις ρυθμιστικές αρχές. Σε κάθε περίπτωση, κατά την υποβολή παρέχεται τεκμηριωμένη αιτιολόγηση της αποδοχής ή μη αποδοχής των απόψεων που διατυπώθηκαν κατά τη διαβούλευση, η οποία δημοσιεύεται εγκαίρως, πριν από την πρόταση όρων και προϋποθέσεων ή μεθοδολογιών ή ταυτόχρονα με αυτήν.

1.   Οι δαπάνες οι οποίες βαρύνουν τους ΔΣΜ και τους ΔΣΔ που υπόκεινται σε ρύθμιση τιμολογίων δικτύου και απορρέουν από τις υποχρεώσεις που ορίζονται στον παρόντα κανονισμό, συμπεριλαμβανομένων των δαπανών οι οποίες βαρύνουν το ΕΔΔΣΜ ηλεκτρικής ενέργειας και τον φορέα ΔΣΔ της ΕΕ, αξιολογούνται από τη σχετική εθνική ρυθμιστική αρχή κάθε κράτους μέλους.

2.   Οι δαπάνες που αξιολογούνται ως εύλογες, αποδοτικές και αναλογικές ανακτώνται μέσω τιμολογίων δικτύου ή άλλων κατάλληλων μηχανισμών, όπως καθορίζονται από τη σχετική εθνική ρυθμιστική αρχή.

3.   Εάν ζητηθεί από τις σχετικές εθνικές ρυθμιστικές αρχές, οι ΔΣΜ και οι ΔΣΔ που αναφέρονται στην παράγραφο 1 παρέχουν, εντός εύλογου χρονικού διαστήματος που καθορίζεται από την εθνική ρυθμιστική αρχή, τις πληροφορίες που είναι αναγκαίες για τη διευκόλυνση της αξιολόγησης των δαπανών που προκύπτουν.

1.   Ο ACER παρακολουθεί την εφαρμογή του παρόντος κανονισμού σύμφωνα με το άρθρο 32 παράγραφος 1 του κανονισμού (ΕΕ) 2019/943 και το άρθρο 4 παράγραφος 2 του κανονισμού (ΕΕ) 2019/942. Κατά τη διενέργεια της εν λόγω παρακολούθησης, ο ACER μπορεί να συνεργάζεται με τον ENISA και να ζητεί υποστήριξη από το ΕΔΔΣΜ ηλεκτρικής ενέργειας και τον φορέα ΔΣΔ της ΕΕ. Ο ACER ενημερώνει τακτικά τη Συντονιστική Ομάδα στον τομέα του Ηλεκτρισμού και την Ομάδα Συνεργασίας NIS σχετικά με την εφαρμογή του παρόντος κανονισμού.

2.   Ο ACER δημοσιεύει έκθεση τουλάχιστον ανά τριετία μετά την έναρξη ισχύος του παρόντος κανονισμού για:

3.   Έως τις 13 Ιουνίου 2025 ο ACER, σε συνεργασία με τον ENISA και κατόπιν διαβούλευσης με το ΕΔΔΣΜ ηλεκτρικής ενέργειας και τον φορέα ΔΣΔ της ΕΕ, μπορεί να εκδίδει καθοδήγηση για τις σχετικές πληροφορίες που πρέπει να κοινοποιούνται στον ACER για σκοπούς παρακολούθησης, καθώς και για τη διαδικασία και τη συχνότητα της συλλογής, με βάση τους δείκτες επιδόσεων που ορίζονται σύμφωνα με την παράγραφο 5.

4.   Οι αρμόδιες αρχές μπορούν να έχουν πρόσβαση στις σχετικές πληροφορίες που έχει στην κατοχή του ο ACER και τις οποίες έχει συλλέξει σύμφωνα με το παρόν άρθρο.

5.   Ο ACER, σε συνεργασία με τον ENISA και με την υποστήριξη του ΕΔΔΣΜ ηλεκτρικής ενέργειας και του φορέα ΔΣΔ της ΕΕ, εκδίδει μη δεσμευτικούς δείκτες επιδόσεων για την αξιολόγηση της επιχειρησιακής αξιοπιστίας που σχετίζονται με πτυχές της κυβερνοασφάλειας στις διασυνοριακές ροές ηλεκτρικής ενέργειας.

6.   Οι οντότητες που αναφέρονται στο άρθρο 2 παράγραφος 1 του παρόντος κανονισμού υποβάλλουν στον ACER τις πληροφορίες που απαιτούνται για την εκτέλεση των καθηκόντων του ACER που αναφέρονται στην παράγραφο 2.

1.   Έως τις 13 Ιουνίου 2025 ο ACER, σε συνεργασία με τον ENISA, καταρτίζει μη δεσμευτικό οδηγό συγκριτικής αξιολόγησης της κυβερνοασφάλειας. Ο οδηγός εξηγεί στις εθνικές ρυθμιστικές αρχές τις αρχές συγκριτικής αξιολόγησης των εφαρμοζόμενων ελέγχων κυβερνοασφάλειας σύμφωνα με την παράγραφο 2 του παρόντος άρθρου, λαμβάνοντας υπόψη το κόστος υλοποίησης των ελέγχων και την αποτελεσματικότητα της λειτουργίας που επιτελούν οι διαδικασίες, τα προϊόντα, οι υπηρεσίες, τα συστήματα και οι λύσεις που χρησιμοποιούνται για την υλοποίηση των εν λόγω ελέγχων. Ο ACER λαμβάνει υπόψη τις υπάρχουσες εκθέσεις συγκριτικής αξιολόγησης κατά την κατάρτιση του μη δεσμευτικού οδηγού συγκριτικής αξιολόγησης της κυβερνοασφάλειας. Ο ACER υποβάλλει προς ενημέρωση στις εθνικές ρυθμιστικές αρχές τον μη δεσμευτικό οδηγό συγκριτικής αξιολόγησης της κυβερνοασφάλειας.

2.   Εντός 12 μηνών από την κατάρτιση του οδηγού συγκριτικής αξιολόγησης σύμφωνα με την παράγραφο 1, οι εθνικές ρυθμιστικές αρχές διενεργούν ανάλυση συγκριτικής αξιολόγησης για να αξιολογήσουν αν οι τρέχουσες επενδύσεις στην κυβερνοασφάλεια:

3.   Για την ανάλυση συγκριτικής αξιολόγησης, οι εθνικές ρυθμιστικές αρχές μπορούν να λαμβάνουν υπόψη τον μη δεσμευτικό οδηγό συγκριτικής αξιολόγησης της κυβερνοασφάλειας που έχει καταρτίσει ο ACER και αξιολογούν ειδικότερα:

4.   Ο χειρισμός και η επεξεργασία όλων των πληροφοριών που σχετίζονται με την ανάλυση συγκριτικής αξιολόγησης πραγματοποιούνται σύμφωνα με τις απαιτήσεις ταξινόμησης δεδομένων του παρόντος κανονισμού, τους ελάχιστους ελέγχους κυβερνοασφάλειας και την έκθεση εκτίμησης κινδύνων για την κυβερνοασφάλεια στις διασυνοριακές ροές ηλεκτρικής ενέργειας. Η ανάλυση συγκριτικής αξιολόγησης που αναφέρεται στις παραγράφους 2 και 3 δεν δημοσιοποιείται.

5.   Με την επιφύλαξη των απαιτήσεων εμπιστευτικότητας του άρθρου 47 και της ανάγκης προστασίας της ασφάλειας των οντοτήτων που υπόκεινται στις διατάξεις του παρόντος κανονισμού, η ανάλυση συγκριτικής αξιολόγησης που αναφέρεται στις παραγράφους 2 και 3 του παρόντος άρθρου κοινοποιείται σε όλες τις εθνικές ρυθμιστικές αρχές, σε όλες τις αρμόδιες αρχές, στον ACER, στον ENISA και στην Επιτροπή.

1.   Εντός 18 μηνών από την έναρξη ισχύος του παρόντος κανονισμού, οι ΔΣΜ μιας λειτουργικής περιφέρειας συστήματος που γειτνιάζει με τρίτη χώρα επιδιώκουν τη σύναψη συμφωνιών με τους ΔΣΜ της γειτονικής τρίτης χώρας, οι οποίες είναι σύμφωνες με το σχετικό δίκαιο της Ένωσης και καθορίζουν τη βάση συνεργασίας όσον αφορά την προστασία της κυβερνοασφάλειας και τις ρυθμίσεις συνεργασίας στον τομέα της κυβερνοασφάλειας με τους εν λόγω ΔΣΜ.

2.   Οι ΔΣΜ ενημερώνουν την αρμόδια αρχή για τις συμφωνίες που συνάπτονται σύμφωνα με την παράγραφο 1.

1.   Οι οντότητες που δεν έχουν εγκατάσταση στην Ένωση, αλλά παρέχουν υπηρεσίες σε οντότητες στην Ένωση και έχουν λάβει κοινοποίηση ότι χαρακτηρίζονται ως οντότητες υψηλού ή κρίσιμου αντικτύπου σύμφωνα με το άρθρο 24 παράγραφος 6 ορίζουν εγγράφως, εντός τριών μηνών από την ειδοποίηση, εκπρόσωπο στην Ένωση και ενημερώνουν σχετικά την αρμόδια αρχή που απέστειλε τη σχετική κοινοποίηση.

2.   Ο εκπρόσωπος αυτός λαμβάνει την εντολή να αποτελεί σημείο επικοινωνίας για οποιαδήποτε αρμόδια αρχή ή CSIRT στην Ένωση επιπρόσθετα στην οντότητα υψηλού ή κρίσιμου αντικτύπου, ή αντ’ αυτής, όσον αφορά τις υποχρεώσεις της οντότητας δυνάμει του παρόντος κανονισμού. Η οντότητα υψηλού ή κρίσιμου αντικτύπου παρέχει στον νόμιμο εκπρόσωπό της τις αναγκαίες εξουσίες και επαρκείς πόρους για τη διασφάλιση της αποδοτικής και έγκαιρης συνεργασίας του με τις σχετικές αρμόδιες αρχές ή τις CSIRT.

3.   Ο εκπρόσωπος είναι εγκατεστημένος σε ένα από τα κράτη μέλη στα οποία η οντότητα παρέχει τις υπηρεσίες της. Η οντότητα θεωρείται ότι υπόκειται στη δικαιοδοσία του κράτους μέλους στο οποίο είναι εγκατεστημένος ο εκπρόσωπος. Οι οντότητες υψηλού ή κρίσιμου αντικτύπου κοινοποιούν το όνομα, την ταχυδρομική διεύθυνση, τη διεύθυνση ηλεκτρονικού ταχυδρομείου και τον αριθμό τηλεφώνου του νόμιμου εκπροσώπου τους στην αρμόδια αρχή στο κράτος μέλος στο οποίο διαμένει ή είναι εγκατεστημένος ο εν λόγω νόμιμος εκπρόσωπος.

4.   Ο ορισθείς νόμιμος εκπρόσωπος μπορεί να θεωρηθεί υπεύθυνος για τη μη συμμόρφωση με υποχρεώσεις που απορρέουν από τον παρόντα κανονισμό, με την επιφύλαξη της ευθύνης και των νομικών ενεργειών που μπορεί να κινηθούν κατά της ίδιας της οντότητας υψηλού ή κρίσιμου αντικτύπου.

5.   Εάν δεν έχει οριστεί εκπρόσωπος εντός της Ένωσης δυνάμει του παρόντος άρθρου, κάθε κράτος μέλος στο οποίο η οντότητα παρέχει υπηρεσίες μπορεί να κινήσει νομικές διαδικασίες κατά της οντότητας για μη συμμόρφωση με τις υποχρεώσεις που απορρέουν από τον παρόντα κανονισμό.

6.   Ο ορισμός νόμιμου εκπροσώπου εντός της Ένωσης σύμφωνα με την παράγραφο 1 δεν συνιστά εγκατάσταση στην Ένωση.

1.   Το ΕΔΔΣΜ ηλεκτρικής ενέργειας και ο φορέας ΔΣΔ της ΕΕ συνεργάζονται για τη διενέργεια εκτιμήσεων κινδύνων για την κυβερνοασφάλεια σύμφωνα με το άρθρο 19 και το άρθρο 21, και ειδικότερα για την εκτέλεση των παρακάτω καθηκόντων:

2.   Η συνεργασία μεταξύ του ΕΔΔΣΜ ηλεκτρικής ενέργειας και του φορέα ΔΣΔ της ΕΕ μπορεί να λάβει τη μορφή ομάδας εργασίας για τους κινδύνους για την κυβερνοασφάλεια.

3.   Το ΕΔΔΣΜ ηλεκτρικής ενέργειας και ο φορέας ΔΣΔ της ΕΕ ενημερώνουν τακτικά τον ACER, τον ENISA, την Ομάδα Συνεργασίας NIS και τη Συντονιστική Ομάδα στον τομέα του Ηλεκτρισμού σχετικά με την πρόοδο ως προς τη διενέργεια των εκτιμήσεων κινδύνων για την κυβερνοασφάλεια σε επίπεδο Ένωσης και σε περιφερειακό επίπεδο σύμφωνα με το άρθρο 19 και το άρθρο 21.

1.   Έως τις 13ης Μαρτίου 2025 οι ΔΣΜ, με τη συνδρομή του ΕΔΔΣΜ ηλεκτρικής ενέργειας, σε συνεργασία με τον φορέα ΔΣΔ της ΕΕ και αφού ζητήσουν τη γνώμη της Ομάδας Συνεργασίας NIS, υποβάλλουν πρόταση για τις μεθοδολογίες εκτίμησης των κινδύνων για την κυβερνοασφάλεια σε επίπεδο Ένωσης, σε περιφερειακό επίπεδο και σε επίπεδο κρατών μελών.

2.   Οι μεθοδολογίες εκτίμησης των κινδύνων για την κυβερνοασφάλεια σε επίπεδο Ένωσης, σε περιφερειακό επίπεδο και σε επίπεδο κρατών μελών περιλαμβάνουν:

3.   Οι μεθοδολογίες εκτίμησης των κινδύνων για την κυβερνοασφάλεια σε επίπεδο Ένωσης, σε περιφερειακό επίπεδο και σε επίπεδο κρατών μελών αξιολογούν τους κινδύνους για την κυβερνοασφάλεια με τη χρήση του ίδιου πίνακα αντικτύπου κινδύνων. Ο πίνακας αντικτύπου κινδύνων:

4.   Οι μεθοδολογίες εκτίμησης κινδύνων για την κυβερνοασφάλεια σε επίπεδο Ένωσης περιγράφουν τον τρόπο με τον οποίο θα καθοριστούν οι τιμές ECII για τα όρια υψηλού και κρίσιμου αντικτύπου. Ο ECII παρέχει στις οντότητες τη δυνατότητα να αξιολογούν, με τη βοήθεια των κριτηρίων που αναφέρονται στην παράγραφο 2 στοιχείο β), τον αντίκτυπο των κινδύνων στην επιχειρηματική τους διαδικασία κατά τη διάρκεια των εκτιμήσεων αντικτύπου στις επιχειρηματικές δραστηριότητες τις οποίες διενεργούν σύμφωνα με το άρθρο 26 παράγραφος 4 στοιχείο γ) σημείο i).

5.   Το ΕΔΔΣΜ ηλεκτρικής ενέργειας, σε συντονισμό με τον φορέα ΔΣΔ της ΕΕ, ενημερώνει τη Συντονιστική Ομάδα στον τομέα του Ηλεκτρισμού σχετικά με τις προτάσεις για τις μεθοδολογίες εκτίμησης κινδύνων για την κυβερνοασφάλεια που εκπονούνται σύμφωνα με την παράγραφο 1.

1.   Εντός 9 μηνών από την έγκριση των μεθοδολογιών εκτίμησης των κινδύνων για την κυβερνοασφάλεια σύμφωνα με το άρθρο 8 και, στη συνέχεια, ανά τριετία, το ΕΔΔΣΜ ηλεκτρικής ενέργειας, σε συνεργασία με τον φορέα ΔΣΔ της ΕΕ και σε διαβούλευση με την Ομάδα Συνεργασίας NIS, διενεργεί, με την επιφύλαξη του άρθρου 22 της οδηγίας (ΕΕ) 2022/2555, εκτίμηση των κινδύνων για την κυβερνοασφάλεια σε επίπεδο Ένωσης και καταρτίζει σχέδιο έκθεσης εκτίμησης κινδύνων για την κυβερνοασφάλεια σε επίπεδο Ένωσης. Για τον σκοπό αυτόν, θα χρησιμοποιεί τις μεθοδολογίες που έχουν αναπτυχθεί σύμφωνα με το άρθρο 18 και έχουν εγκριθεί σύμφωνα με το άρθρο 8 για τον προσδιορισμό, την ανάλυση και την αξιολόγηση των πιθανών συνεπειών κυβερνοεπιθέσεων που επηρεάζουν την επιχειρησιακή ασφάλεια του συστήματος ηλεκτρικής ενέργειας και διαταράσσουν τις διασυνοριακές ροές ηλεκτρικής ενέργειας. Η εκτίμηση των κινδύνων για την κυβερνοασφάλεια σε επίπεδο Ένωσης δεν λαμβάνει υπόψη τη νομική ή οικονομική ζημία ή τη ζημία στη φήμη που προκαλούν οι κυβερνοεπιθέσεις.

2.   Η έκθεση εκτίμησης των κινδύνων για την κυβερνοασφάλεια σε επίπεδο Ένωσης περιλαμβάνει τα ακόλουθα στοιχεία:

3.   Όσον αφορά τις διαδικασίες υψηλού αντικτύπου σε επίπεδο Ένωσης και τις διαδικασίες κρίσιμου αντικτύπου σε επίπεδο Ένωσης, η έκθεση εκτίμησης κινδύνων για την κυβερνοασφάλεια σε επίπεδο Ένωσης περιλαμβάνει:

4.   Το ΕΔΔΣΜ ηλεκτρικής ενέργειας, σε συνεργασία με τον φορέα ΔΣΔ της ΕΕ, υποβάλλει στον ACER προς γνωμοδότηση το σχέδιο της έκθεσης εκτίμησης κινδύνων για την κυβερνοασφάλεια σε επίπεδο Ένωσης με τα αποτελέσματα της εκτίμησης κινδύνων για την κυβερνοασφάλεια σε επίπεδο Ένωσης. Ο ACER εκδίδει γνωμοδότηση επί του σχεδίου έκθεσης εντός τριών μηνών από την παραλαβή του. Το ΕΔΔΣΜ ηλεκτρικής ενέργειας και ο φορέας ΔΣΔ της ΕΕ λαμβάνουν ιδιαιτέρως υπόψη τη γνωμοδότηση του ACER κατά την οριστικοποίηση της εν λόγω έκθεσης.

5.   Εντός τριών μηνών από την παραλαβή της γνωμοδότησης του ACER, το ΕΔΔΣΜ ηλεκτρικής ενέργειας, σε συνεργασία με τον φορέα ΔΣΔ της ΕΕ, κοινοποιεί την τελική έκθεση εκτίμησης κινδύνων για την κυβερνοασφάλεια σε επίπεδο Ένωσης στον ACER, στην Επιτροπή, στον ENISA και στις αρμόδιες αρχές.

1.   Κάθε αρμόδια αρχή διενεργεί εκτίμηση των κινδύνων για την κυβερνοασφάλεια στο κράτος μέλος για όλες τις οντότητες υψηλού ή κρίσιμου αντικτύπου στο οικείο κράτος μέλος χρησιμοποιώντας τις μεθοδολογίες που έχουν αναπτυχθεί σύμφωνα με το άρθρο 18 και έχουν εγκριθεί σύμφωνα με το άρθρο 8. Η εκτίμηση των κινδύνων για την κυβερνοασφάλεια σε επίπεδο κράτους μέλους εντοπίζει και αναλύει τους κινδύνους κυβερνοεπιθέσεων που επηρεάζουν την επιχειρησιακή ασφάλεια του συστήματος ηλεκτρικής ενέργειας με αποτέλεσμα να διαταράσσουν τις διασυνοριακές ροές ηλεκτρικής ενέργειας. Η εκτίμηση των κινδύνων για την κυβερνοασφάλεια σε επίπεδο κράτους μέλους δεν λαμβάνει υπόψη τη νομική ή οικονομική ζημία ή τη ζημία στη φήμη που προκαλούν οι κυβερνοεπιθέσεις.

2.   Εντός 21 μηνών από την κοινοποίηση των οντοτήτων υψηλού ή κρίσιμου αντικτύπου σύμφωνα με το άρθρο 24 παράγραφος 6 και ανά τριετία μετά την εν λόγω ημερομηνία, και κατόπιν διαβούλευσης με την ΕΑΑ κυβερνοασφάλειας που είναι υπεύθυνη για την ηλεκτρική ενέργεια, κάθε αρμόδια αρχή, με την υποστήριξη της CSIRT, υποβάλλει στο ΕΔΔΣΜ ηλεκτρικής ενέργειας και στον φορέα ΔΣΔ της ΕΕ έκθεση εκτίμησης των κινδύνων για την κυβερνοασφάλεια σε επίπεδο κράτους μέλους, η οποία περιέχει τις ακόλουθες πληροφορίες για κάθε επιχειρηματική διαδικασία υψηλού ή κρίσιμου αντικτύπου:

3.   Η έκθεση εκτίμησης των κινδύνων για την κυβερνοασφάλεια σε επίπεδο κράτους μέλους λαμβάνει υπόψη το σχέδιο ετοιμότητας αντιμετώπισης κινδύνων του κράτους μέλους που έχει καταρτιστεί σύμφωνα με το άρθρο 10 του κανονισμού (ΕΕ) 2019/941.

4.   Οι πληροφορίες που περιέχονται στην έκθεση εκτίμησης των κινδύνων για την κυβερνοασφάλεια σε επίπεδο κράτους μέλους σύμφωνα με την παράγραφο 2 στοιχεία α) έως δ) δεν συνδέονται με συγκεκριμένες οντότητες ή συγκεκριμένα περιουσιακά στοιχεία. Η έκθεση εκτίμησης των κινδύνων για την κυβερνοασφάλεια σε επίπεδο κράτους μέλους περιλαμβάνει επίσης εκτίμηση των κινδύνων που εγείρονται από προσωρινές παρεκκλίσεις που εκδίδονται από τις αρμόδιες αρχές των κρατών μελών σύμφωνα με το άρθρο 30.

5.   Το ΕΔΔΣΜ ηλεκτρικής ενέργειας και ο φορέας ΔΣΔ της ΕΕ μπορούν να ζητούν πρόσθετες πληροφορίες από τις αρμόδιες αρχές σε σχέση με τα καθήκοντα που προσδιορίζονται στην παράγραφο 2 στοιχεία α) και γ).

6.   Οι αρμόδιες αρχές διασφαλίζουν ότι οι πληροφορίες που παρέχουν είναι ακριβείς και ορθές.

1.   Το ΕΔΔΣΜ ηλεκτρικής ενέργειας, σε συνεργασία με τον φορέα ΔΣΔ της ΕΕ και σε διαβούλευση με το σχετικό περιφερειακό συντονιστικό κέντρο, διενεργεί περιφερειακή εκτίμηση των κινδύνων για την κυβερνοασφάλεια για κάθε λειτουργική περιφέρεια του συστήματος χρησιμοποιώντας τις μεθοδολογίες που έχουν αναπτυχθεί σύμφωνα με το άρθρο 19 και έχουν εγκριθεί σύμφωνα με το άρθρο 8, για τον εντοπισμό, την ανάλυση και την αξιολόγηση των κινδύνων κυβερνοεπιθέσεων που επηρεάζουν την επιχειρησιακή ασφάλεια του συστήματος ηλεκτρικής ενέργειας και διαταράσσουν τις διασυνοριακές ροές ηλεκτρικής ενέργειας. Η περιφερειακή εκτίμηση των κινδύνων για την κυβερνοασφάλεια δεν λαμβάνει υπόψη τη νομική ή οικονομική ζημία ή τη ζημία στη φήμη που προκαλούν οι κυβερνοεπιθέσεις.

2.   Εντός 30 μηνών από την κοινοποίηση των οντοτήτων υψηλού ή κρίσιμου αντικτύπου σύμφωνα με το άρθρο 24 παράγραφος 6 και, στη συνέχεια, ανά τριετία, το ΕΔΔΣΜ ηλεκτρικής ενέργειας, σε συνεργασία με τον φορέα ΔΣΔ της ΕΕ και σε διαβούλευση με την Ομάδα Συνεργασίας NIS, καταρτίζει περιφερειακή έκθεση εκτίμησης των κινδύνων για την κυβερνοασφάλεια για κάθε λειτουργική περιφέρεια του συστήματος.

3.   Η περιφερειακή έκθεση εκτίμησης των κινδύνων για την κυβερνοασφάλεια λαμβάνει υπόψη τις σχετικές πληροφορίες που περιέχονται στις εκθέσεις εκτίμησης των κινδύνων για την κυβερνοασφάλεια σε επίπεδο Ένωσης και στις εκθέσεις εκτίμησης των κινδύνων για την κυβερνοασφάλεια των κρατών μελών.

4.   Η περιφερειακή εκτίμηση των κινδύνων για την κυβερνοασφάλεια εξετάζει τα περιφερειακά σενάρια κρίσης ηλεκτρικής ενέργειας που σχετίζονται με την κυβερνοασφάλεια, τα οποία προσδιορίζονται σύμφωνα με το άρθρο 6 του κανονισμού (ΕΕ) 2019/941.

1.   Εντός 36 μηνών από την κοινοποίηση των οντοτήτων υψηλού ή κρίσιμου αντικτύπου σύμφωνα με το άρθρο 24 παράγραφος 6 και το αργότερο έως τις 13 Ιουνίου 2031, και ανά τριετία στη συνέχεια, οι ΔΣΜ, με τη συνδρομή του ΕΔΔΣΜ ηλεκτρικής ενέργειας, σε συνεργασία με τον φορέα ΔΣΔ της ΕΕ και σε διαβούλευση με τα περιφερειακά συντονιστικά κέντρα και την Ομάδα Συνεργασίας NIS, εκπονούν περιφερειακό σχέδιο μετριασμού των κινδύνων για την κυβερνοασφάλεια για κάθε λειτουργική περιφέρεια του συστήματος.

2.   Τα περιφερειακά σχέδια μετριασμού των κινδύνων για την κυβερνοασφάλεια περιλαμβάνουν:

3.   Το ΕΔΔΣΜ ηλεκτρικής ενέργειας υποβάλλει τα περιφερειακά σχέδια μετριασμού των κινδύνων στους σχετικούς διαχειριστές συστημάτων μεταφοράς, στις αρμόδιες αρχές και στη Συντονιστική Ομάδα στον τομέα του Ηλεκτρισμού. Η Συντονιστική Ομάδα στον τομέα του Ηλεκτρισμού μπορεί να προτείνει τροποποιήσεις.

4.   Οι ΔΣΜ, με τη συνδρομή του ΕΔΔΣΜ ηλεκτρικής ενέργειας, σε συνεργασία με τον φορέα ΔΣΔ της ΕΕ και σε διαβούλευση με την Ομάδα Συνεργασίας NIS, επικαιροποιούν τα περιφερειακά σχέδια μετριασμού των κινδύνων ανά τριετία, εκτός εάν οι περιστάσεις απαιτούν συχνότερες επικαιροποιήσεις.

1.   Εντός 40 μηνών από την κοινοποίηση των οντοτήτων υψηλού ή κρίσιμου αντικτύπου σύμφωνα με το άρθρο 24 παράγραφος 6 και, στη συνέχεια, ανά τριετία, οι ΔΣΜ, με τη συνδρομή του ΕΔΔΣΜ ηλεκτρικής ενέργειας, σε συνεργασία με τον φορέα ΔΣΔ της ΕΕ και σε διαβούλευση με την Ομάδα Συνεργασίας NIS, υποβάλλουν στη Συντονιστική Ομάδα στον τομέα του Ηλεκτρισμού έκθεση σχετικά με το αποτέλεσμα της αξιολόγησης των κινδύνων για την κυβερνοασφάλεια όσον αφορά τις διασυνοριακές ροές ηλεκτρικής ενέργειας (στο εξής: συνολική έκθεση εκτίμησης των κινδύνων για την κυβερνοασφάλεια στις διασυνοριακές ροές ηλεκτρικής ενέργειας).

2.   Η συνολική έκθεση εκτίμησης των κινδύνων για την κυβερνοασφάλεια στις διασυνοριακές ροές ηλεκτρικής ενέργειας βασίζεται στην έκθεση εκτίμησης των κινδύνων για την κυβερνοασφάλεια σε επίπεδο Ένωσης, στις εκθέσεις εκτίμησης των κινδύνων για την κυβερνοασφάλεια των κρατών μελών και στις περιφερειακές εκθέσεις εκτίμησης των κινδύνων για την κυβερνοασφάλεια, και περιλαμβάνει τις ακόλουθες πληροφορίες:

3.   Οι οντότητες που αναφέρονται στο άρθρο 2 παράγραφος 1 μπορούν να συμβάλλουν στην εκπόνηση της συνολικής έκθεσης εκτίμησης των κινδύνων για την κυβερνοασφάλεια στις διασυνοριακές ροές ηλεκτρικής ενέργειας, με σεβασμό στην εμπιστευτικότητα των πληροφοριών σύμφωνα με το άρθρο 47. Οι ΔΣΜ, με τη συνδρομή του ΕΔΔΣΜ ηλεκτρικής ενέργειας και σε συνεργασία με τον φορέα ΔΣΔ της ΕΕ, ζητούν τη γνώμη των εν λόγω οντοτήτων σε πρώιμο στάδιο.

4.   Η συνολική έκθεση εκτίμησης των κινδύνων για την κυβερνοασφάλεια στις διασυνοριακές ροές ηλεκτρικής ενέργειας υπόκειται στους κανόνες για την προστασία της ανταλλαγής πληροφοριών σύμφωνα με το άρθρο 46. Με την επιφύλαξη του άρθρου 10 παράγραφος 4 και του άρθρου 47 παράγραφος 4, το ΕΔΔΣΜ ηλεκτρικής ενέργειας και ο φορέας ΔΣΔ της ΕΕ δημοσιοποιούν έκδοση της εν λόγω έκθεσης η οποία δεν περιέχει πληροφορίες που μπορούν να προκαλέσουν ζημία σε οντότητες που αναφέρονται στο άρθρο 2 παράγραφος 1. Η δημόσια έκδοση της έκθεσης αυτής εκδίδεται μόνο με τη συμφωνία της Ομάδας Συνεργασίας NIS και της Συντονιστικής Ομάδας στον τομέα του Ηλεκτρισμού. Το ΕΔΔΣΜ ηλεκτρικής ενέργειας, σε συντονισμό με τον φορέα ΔΣΔ της ΕΕ, είναι υπεύθυνο για τη σύνταξη και τη δημοσίευση της δημόσιας έκδοσης της έκθεσης.

1.   Κάθε αρμόδια αρχή προσδιορίζει, χρησιμοποιώντας τον ECII και τα όρια υψηλού και κρίσιμου αντικτύπου που περιλαμβάνονται στην έκθεση εκτίμησης των κινδύνων για την κυβερνοασφάλεια σε επίπεδο Ένωσης σύμφωνα με το άρθρο 19 παράγραφος 3 στοιχείο β), τις οντότητες υψηλού ή κρίσιμου αντικτύπου στο οικείο κράτος μέλος που συμμετέχουν στις διαδικασίες υψηλού και κρίσιμου αντικτύπου σε επίπεδο Ένωσης. Οι αρμόδιες αρχές μπορούν να ζητήσουν πληροφορίες από οντότητα στο οικείο κράτος μέλος για να καθορίσουν τις τιμές του ECII για την εν λόγω οντότητα. Εάν η καθορισμένη τιμή ECII μιας οντότητας υπερβαίνει το όριο υψηλού ή κρίσιμου αντικτύπου, η προσδιορισμένη οντότητα περιλαμβάνεται στην έκθεση εκτίμησης των κινδύνων για την κυβερνοασφάλεια σε επίπεδο κράτους μέλους που αναφέρεται στο άρθρο 20 παράγραφος 2.

2.   Κάθε αρμόδια αρχή προσδιορίζει, χρησιμοποιώντας τον ECII και τα όρια υψηλού και κρίσιμου αντικτύπου που περιλαμβάνονται στην έκθεση εκτίμησης των κινδύνων για την κυβερνοασφάλεια σε επίπεδο Ένωσης σύμφωνα με το άρθρο 19 παράγραφος 3 στοιχείο β), τις οντότητες υψηλού ή κρίσιμου αντικτύπου που δεν είναι εγκατεστημένες στην Ένωση, στον βαθμό που δραστηριοποιούνται εντός της Ένωσης. Η αρμόδια αρχή μπορεί να ζητήσει πληροφορίες από οντότητα που δεν είναι εγκατεστημένη στην Ένωση για να καθορίσει τις τιμές ECII για την εν λόγω οντότητα.

3.   Κάθε αρμόδια αρχή μπορεί να προσδιορίζει πρόσθετες οντότητες στο οικείο κράτος μέλος ως οντότητες υψηλού ή κρίσιμου αντικτύπου, εάν πληρούνται τα ακόλουθα κριτήρια:

4.   Εάν μια αρμόδια αρχή προσδιορίσει πρόσθετες οντότητες σύμφωνα με την παράγραφο 3, όλες οι διαδικασίες στις εν λόγω οντότητες για τις οποίες ο ECII συγκεντρωτικά για την ομάδα υπερβαίνει το όριο υψηλού αντικτύπου θεωρούνται διαδικασίες υψηλού αντικτύπου και όλες οι διαδικασίες στις εν λόγω οντότητες για τις οποίες ο ECII συγκεντρωτικά για την ομάδα υπερβαίνει τα όρια κρίσιμου αντικτύπου θεωρούνται διαδικασίες κρίσιμου αντικτύπου.

5.   Εάν μια αρμόδια αρχή προσδιορίσει οντότητες που αναφέρονται στην παράγραφο 3 στοιχείο α) σε περισσότερα από ένα κράτη μέλη, ενημερώνει τις άλλες αρμόδιες αρχές, το ΕΔΔΣΜ ηλεκτρικής ενέργειας και τον φορέα ΔΣΔ της ΕΕ. Το ΕΔΔΣΜ ηλεκτρικής ενέργειας, σε συνεργασία με τον φορέα ΔΣΔ της ΕΕ, με βάση τις πληροφορίες που λαμβάνει από όλες τις αρμόδιες αρχές, παρέχει στις αρμόδιες αρχές ανάλυση της συγκέντρωσης οντοτήτων σε περισσότερα από ένα κράτη μέλη που μπορεί να προκαλέσει κατανεμημένη διατάραξη στις διασυνοριακές ροές ηλεκτρικής ενέργειας και μπορεί να οδηγήσει σε κυβερνοεπίθεση. Όταν μια ομάδα οντοτήτων σε περισσότερα του ενός κράτη μέλη προσδιορίζεται ως συγκέντρωση της οποίας ο ECII υπερβαίνει το όριο υψηλού ή κρίσιμου αντικτύπου, όλες οι ενδιαφερόμενες αρμόδιες αρχές χαρακτηρίζουν τις οντότητες της εν λόγω ομάδας ως οντότητες υψηλού ή κρίσιμου αντικτύπου για το οικείο αντίστοιχο κράτος μέλος, με βάση τον συγκεντρωτικό ECII για την ομάδα των οντοτήτων, και οι χαρακτηρισμένες αυτές οντότητες αναφέρονται στην έκθεση εκτίμησης των κινδύνων για την κυβερνοασφάλεια σε επίπεδο Ένωσης.

6.   Εντός εννέα μηνών από την κοινοποίηση, από το ΕΔΔΣΜ ηλεκτρικής ενέργειας και τον φορέα ΔΣΔ της ΕΕ, της έκθεσης εκτίμησης των κινδύνων για την κυβερνοασφάλεια σε επίπεδο Ένωσης σύμφωνα με το άρθρο 19 παράγραφος 5 και, σε κάθε περίπτωση, το αργότερο έως τις 13 Ιουνίου 2028, κάθε αρμόδια αρχή ειδοποιεί τις οντότητες του καταλόγου ότι έχουν χαρακτηριστεί οντότητες υψηλού ή κρίσιμου αντικτύπου στο οικείο κράτος μέλος.

7.   Όταν ένας πάροχος υπηρεσιών αναφέρεται σε αρμόδια αρχή ως πάροχος κρίσιμων υπηρεσιών ΤΠΕ σύμφωνα με το άρθρο 27 στοιχείο γ), η εν λόγω αρμόδια αρχή ειδοποιεί σχετικά τις αρμόδιες αρχές των κρατών μελών στο έδαφος των οποίων βρίσκεται η έδρα ή ο εκπρόσωπος. Οι εν λόγω τελευταίες αρμόδιες αρχές ενημερώνουν τον πάροχο υπηρεσιών ότι έχει χαρακτηριστεί πάροχος κρίσιμων υπηρεσιών.

1.   Οι αρμόδιες αρχές μπορούν να θεσπίσουν εθνικό σύστημα επαλήθευσης για να επαληθεύουν ότι οι οντότητες κρίσιμου αντικτύπου που προσδιορίζονται σύμφωνα με το άρθρο 24 παράγραφος 1 εφαρμόζουν το εθνικό νομοθετικό πλαίσιο το οποίο περιλαμβάνεται στον πίνακα χαρτογράφησης που αναφέρεται στο άρθρο 34. Το εθνικό σύστημα επαλήθευσης μπορεί να βασίζεται σε επιθεώρηση που διενεργείται από την αρμόδια αρχή, σε ανεξάρτητους ελέγχους ασφάλειας ή σε αμοιβαίες αξιολογήσεις από ομοτίμους από οντότητες κρίσιμου αντικτύπου στο ίδιο κράτος μέλος, υπό την εποπτεία της αρμόδιας αρχής.

2.   Εάν μια αρμόδια αρχή αποφασίσει να θεσπίσει εθνικό σύστημα επαλήθευσης, η εν λόγω αρμόδια αρχή διασφαλίζει ότι η επαλήθευση διενεργείται σύμφωνα με τις ακόλουθες απαιτήσεις:

3.   Εάν μια αρμόδια αρχή αποφασίσει να θεσπίσει εθνικό σύστημα επαλήθευσης, υποβάλλει έκθεση στον ACER σε ετήσια βάση σχετικά με τη συχνότητα διενέργειας επιθεωρήσεων στο πλαίσιο του εν λόγω συστήματος.

1.   Κάθε οντότητα υψηλού ή κρίσιμου αντικτύπου, όπως προσδιορίζεται από τις αρμόδιες αρχές σύμφωνα με το άρθρο 24 παράγραφος 1, εκτελεί τη διαχείριση των κινδύνων για την κυβερνοασφάλεια για όλα τα περιουσιακά στοιχεία της στις οικείες περιμέτρους υψηλού ή κρίσιμου αντικτύπου. Κάθε οντότητα υψηλού ή κρίσιμου αντικτύπου προβαίνει ανά τριετία σε διαχείριση κινδύνων που περιλαμβάνει τα στάδια της παραγράφου 2.

2.   Κάθε οντότητα υψηλού ή κρίσιμου αντικτύπου βασίζει τη διαχείριση των κινδύνων για την κυβερνοασφάλεια σε προσέγγιση που αποσκοπεί στην προστασία των συστημάτων δικτύου και πληροφοριών της και που περιλαμβάνει τα ακόλουθα στάδια:

3.   Κατά το στάδιο καθορισμού του πλαισίου, κάθε οντότητα υψηλού ή κρίσιμου αντικτύπου:

4.   Κατά το στάδιο εκτίμησης των κινδύνων για την κυβερνοασφάλεια, κάθε οντότητα υψηλού ή κρίσιμου αντικτύπου:

5.   Κατά το στάδιο αντιμετώπισης των κινδύνων για την κυβερνοασφάλεια, κάθε οντότητα υψηλού ή κρίσιμου αντικτύπου καταρτίζει σχέδιο μετριασμού των κινδύνων σε επίπεδο οντότητας επιλέγοντας λύσεις αντιμετώπισης των κινδύνων κατάλληλες για τη διαχείριση των κινδύνων και τον προσδιορισμό των υπολειπόμενων κινδύνων.

6.   Κατά το στάδιο αποδοχής των κινδύνων για την κυβερνοασφάλεια, κάθε οντότητα υψηλού ή κρίσιμου αντικτύπου αποφασίζει αν θα αποδεχτεί τον υπολειπόμενο κίνδυνο με βάση τα κριτήρια αποδοχής κινδύνων που καθορίζονται στην παράγραφο 3 στοιχείο β).

7.   Κάθε οντότητα υψηλού ή κρίσιμου αντικτύπου καταχωρίζει τα περιουσιακά στοιχεία που προσδιορίζονται στην παράγραφο 1 σε κατάλογο απογραφής περιουσιακών στοιχείων. Ο εν λόγω κατάλογος απογραφής περιουσιακών στοιχείων δεν αποτελεί μέρος της έκθεσης εκτίμησης των κινδύνων.

8.   Η αρμόδια αρχή μπορεί να επιθεωρεί τα περιουσιακά στοιχεία του καταλόγου απογραφής κατά τη διάρκεια επιθεωρήσεων.

1.   Το κοινό πλαίσιο κυβερνοασφάλειας στον τομέα της ηλεκτρικής ενέργειας αποτελείται από τους ακόλουθους ελέγχους και το ακόλουθο σύστημα διαχείρισης της κυβερνοασφάλειας:

2.   Όλες οι οντότητες υψηλού αντικτύπου εφαρμόζουν τους ελάχιστους ελέγχους κυβερνοασφάλειας σύμφωνα με την παράγραφο 1 στοιχείο α) εντός της οικείας περιμέτρου υψηλού αντικτύπου.

3.   Όλες οι οντότητες κρίσιμου αντικτύπου εφαρμόζουν τους προηγμένους ελέγχους κυβερνοασφάλειας σύμφωνα με την παράγραφο 1 στοιχείο β) εντός της οικείας περιμέτρου κρίσιμου αντικτύπου.

4.   Εντός 7 μηνών από την υποβολή του πρώτου σχεδίου έκθεσης εκτίμησης των κινδύνων για την κυβερνοασφάλεια σε επίπεδο Ένωσης σύμφωνα με το άρθρο 19 παράγραφος 4, το κοινό πλαίσιο κυβερνοασφάλειας στον τομέα της ηλεκτρικής ενέργειας που αναφέρεται στην παράγραφο 1 συμπληρώνεται από τους ελάχιστους και τους προηγμένους ελέγχους κυβερνοασφάλειας στην αλυσίδα εφοδιασμού που αναπτύσσονται σύμφωνα με το άρθρο 33.

1.   Εντός 7 μηνών από την υποβολή του πρώτου σχεδίου έκθεσης εκτίμησης των κινδύνων για την κυβερνοασφάλεια σε επίπεδο Ένωσης σύμφωνα με το άρθρο 19 παράγραφος 4, οι ΔΣΜ, με τη συνδρομή του ΕΔΔΣΜ ηλεκτρικής ενέργειας και σε συνεργασία με τον φορέα ΔΣΔ της ΕΕ, καταρτίζουν πρόταση για ελάχιστους και προηγμένους ελέγχους κυβερνοασφάλειας.

2.   Εντός 6 μηνών από την κατάρτιση κάθε περιφερειακής έκθεσης εκτίμησης των κινδύνων για την κυβερνοασφάλεια σύμφωνα με το άρθρο 21 παράγραφος 2, οι ΔΣΜ, με τη συνδρομή του ΕΔΔΣΜ ηλεκτρικής ενέργειας και σε συνεργασία με τον φορέα ΔΣΔ της ΕΕ, προτείνουν στην αρμόδια αρχή τροποποίηση των ελάχιστων και των προηγμένων ελέγχων κυβερνοασφάλειας. Η πρόταση θα υποβάλλεται σύμφωνα με το άρθρο 8 παράγραφος 10 και θα λαμβάνει υπόψη τους κινδύνους που προσδιορίστηκαν στην περιφερειακή εκτίμηση κινδύνων.

3.   Οι ελάχιστοι και οι προηγμένοι έλεγχοι κυβερνοασφάλειας θα μπορούν να επαληθευτούν με τη συμμετοχή σε εθνικό σύστημα επαλήθευσης σύμφωνα με τη διαδικασία που ορίζεται στο άρθρο 31 ή με τη διενέργεια ανεξάρτητων ελέγχων ασφάλειας από τρίτους σύμφωνα με τις απαιτήσεις που αναφέρονται στο άρθρο 25 παράγραφος 2.

4.   Οι αρχικοί ελάχιστοι και προηγμένοι έλεγχοι κυβερνοασφάλειας που αναπτύσσονται σύμφωνα με την παράγραφο 1 βασίζονται στους κινδύνους οι οποίοι προσδιορίζονται στην έκθεση εκτίμησης των κινδύνων για την κυβερνοασφάλεια σε επίπεδο Ένωσης που αναφέρεται στο άρθρο 19 παράγραφος 5. Οι τροποποιημένοι ελάχιστοι και προηγμένοι έλεγχοι κυβερνοασφάλειας που αναπτύσσονται σύμφωνα με την παράγραφο 2 βασίζονται στην περιφερειακή έκθεση εκτίμησης των κινδύνων για την κυβερνοασφάλεια που αναφέρεται στο άρθρο 21 παράγραφος 2.

5.   Οι ελάχιστοι έλεγχοι κυβερνοασφάλειας περιλαμβάνουν ελέγχους για την προστασία των πληροφοριών που ανταλλάσσονται σύμφωνα με το άρθρο 46.

6.   Εντός 12 μηνών από την έγκριση των ελάχιστων και των προηγμένων ελέγχων κυβερνοασφάλειας σύμφωνα με το άρθρο 8 παράγραφος 5, ή μετά από κάθε επικαιροποίηση σύμφωνα με το άρθρο 8 παράγραφος 10, οι οντότητες που αναφέρονται στο άρθρο 2 παράγραφος 1 και χαρακτηρίζονται οντότητες κρίσιμου ή υψηλού αντικτύπου σύμφωνα με το άρθρο 24 εφαρμόζουν, κατά την κατάρτιση του σχεδίου μετριασμού των κινδύνων σε επίπεδο οντότητας σύμφωνα με το άρθρο 26 παράγραφος 5, τους ελάχιστους ελέγχους κυβερνοασφάλειας εντός της περιμέτρου υψηλού αντικτύπου και τους προηγμένους ελέγχους κυβερνοασφάλειας εντός της περιμέτρου κρίσιμου αντικτύπου.

1.   Οι οντότητες που αναφέρονται στο άρθρο 2 παράγραφος 1 μπορούν να ζητήσουν από την αντίστοιχη αρμόδια αρχή να χορηγήσει παρέκκλιση από την υποχρέωσή τους να διενεργούν τους ελάχιστους και τους προηγμένους ελέγχους κυβερνοασφάλειας που αναφέρονται στο άρθρο 29 παράγραφος 6. Η αρμόδια αρχή μπορεί να χορηγήσει τέτοια παρέκκλιση για έναν από τους ακόλουθους λόγους:

2.   Εντός τριών μηνών από την παραλαβή του αιτήματος που αναφέρεται στην παράγραφο 1, κάθε αρμόδια αρχή αποφασίζει αν θα χορηγηθεί παρέκκλιση από τους ελάχιστους και τους προηγμένους ελέγχους κυβερνοασφάλειας. Παρεκκλίσεις από τους ελάχιστους ή τους προηγμένους ελέγχους κυβερνοασφάλειας χορηγούνται για μέγιστη περίοδο τριών ετών, με δυνατότητα ανανέωσης.

3.   Συγκεντρωτικές και ανωνυμοποιημένες πληροφορίες για τις παρεκκλίσεις που χορηγούνται περιλαμβάνονται με τη μορφή παραρτήματος στη συνολική έκθεση εκτίμησης των κινδύνων για την κυβερνοασφάλεια στις διασυνοριακές ροές ηλεκτρικής ενέργειας που αναφέρεται στο άρθρο 23. Το ΕΔΔΣΜ ηλεκτρικής ενέργειας και ο φορέας ΔΣΔ της ΕΕ επικαιροποιούν από κοινού τον κατάλογο, εφόσον απαιτείται.

1.   Το αργότερο 24 μήνες μετά την έγκριση των ελέγχων που αναφέρονται στο άρθρο 28 παράγραφος 1 στοιχεία α), β) και γ) και τη θέσπιση του συστήματος διαχείρισης της κυβερνοασφάλειας που αναφέρεται στο στοιχείο δ) του εν λόγω άρθρου, κάθε οντότητα κρίσιμου αντικτύπου που προσδιορίζεται σύμφωνα με το άρθρο 24 παράγραφος 1 είναι σε θέση να αποδείξει τη συμμόρφωσή της με το σύστημα διαχείρισης της κυβερνοασφάλειας και τους ελάχιστους ή τους προηγμένους ελέγχους κυβερνοασφάλειας, κατόπιν αιτήματος της αρμόδιας αρχής.

2.   Κάθε οντότητα κρίσιμου αντικτύπου εκπληρώνει την υποχρέωση που αναφέρεται στην παράγραφο 1 με την υπαγωγή της σε ανεξάρτητους ελέγχους ασφάλειας από τρίτους σύμφωνα με τις απαιτήσεις που αναφέρονται στο άρθρο 25 παράγραφος 2 ή με τη συμμετοχή της σε εθνικό σύστημα επαλήθευσης σύμφωνα με το άρθρο 25 παράγραφος 1.

3.   Η επαλήθευση της συμμόρφωσης μιας οντότητας κρίσιμου αντικτύπου με το σύστημα διαχείρισης της κυβερνοασφάλειας και τους ελάχιστους ή τους προηγμένους ελέγχους κυβερνοασφάλειας καλύπτει όλα τα περιουσιακά στοιχεία εντός της περιμέτρου κρίσιμου αντικτύπου της οντότητας κρίσιμου αντικτύπου.

4.   Η επαλήθευση της συμμόρφωσης μιας οντότητας κρίσιμου αντικτύπου με το σύστημα διαχείρισης της κυβερνοασφάλειας και τους ελάχιστους ή τους προηγμένους ελέγχους κυβερνοασφάλειας επαναλαμβάνεται τακτικά, το αργότερο 36 μήνες μετά τη λήξη της πρώτης επαλήθευσης και, στη συνέχεια, ανά 3 έτη.

5.   Κάθε οντότητα κρίσιμου αντικτύπου που ορίζεται σύμφωνα με το άρθρο 24 αποδεικνύει τη συμμόρφωσή της με τους ελέγχους που αναφέρονται στο άρθρο 28 παράγραφος 1 στοιχεία α), β) και γ) και τη θέσπιση του συστήματος διαχείρισης της κυβερνοασφάλειας που αναφέρεται στο στοιχείο δ) του εν λόγω άρθρου, υποβάλλοντας στην αρμόδια αρχή έκθεση σχετικά με το αποτέλεσμα της επαλήθευσης της συμμόρφωσης.

1.   Εντός 24 μηνών από την κοινοποίηση από την αρμόδια αρχή του χαρακτηρισμού της ως οντότητας υψηλού ή κρίσιμου αντικτύπου σύμφωνα με το άρθρο 24 παράγραφος 6, κάθε οντότητα υψηλού ή κρίσιμου αντικτύπου θεσπίζει σύστημα διαχείρισης της κυβερνοασφάλειας και, στη συνέχεια, το επανεξετάζει ανά τριετία προκειμένου:

2.   Το πεδίο εφαρμογής του συστήματος διαχείρισης της κυβερνοασφάλειας περιλαμβάνει όλα τα περιουσιακά στοιχεία εντός της περιμέτρου υψηλού ή κρίσιμου αντικτύπου της οντότητας υψηλού ή κρίσιμου αντικτύπου.

3.   Οι αρμόδιες αρχές, χωρίς να επιβάλλουν ή να ευνοούν τη χρήση συγκεκριμένου τύπου τεχνολογίας, ενθαρρύνουν τη χρήση ευρωπαϊκών ή διεθνών προτύπων και προδιαγραφών που σχετίζονται με τα συστήματα διαχείρισης και αφορούν την ασφάλεια των συστημάτων δικτύου και πληροφοριών.

1.   Εντός 7 μηνών από την υποβολή του πρώτου σχεδίου έκθεσης εκτίμησης των κινδύνων για την κυβερνοασφάλεια σε επίπεδο Ένωσης σύμφωνα με το άρθρο 19 παράγραφος 4, οι ΔΣΜ, με τη συνδρομή του ΕΔΔΣΜ ηλεκτρικής ενέργειας και σε συνεργασία με τον φορέα ΔΣΔ της ΕΕ, καταρτίζουν πρόταση για ελάχιστους και προηγμένους ελέγχους κυβερνοασφάλειας στην αλυσίδα εφοδιασμού, οι οποίοι μετριάζουν τους κινδύνους της αλυσίδας εφοδιασμού που προσδιορίζονται στις εκτιμήσεις κινδύνων για την κυβερνοασφάλεια σε επίπεδο Ένωσης, συμπληρώνοντας τους ελάχιστους και τους προηγμένους ελέγχους κυβερνοασφάλειας που έχουν αναπτυχθεί σύμφωνα με το άρθρο 29. Οι ελάχιστοι και οι προηγμένοι έλεγχοι κυβερνοασφάλειας στην αλυσίδα εφοδιασμού αναπτύσσονται σε συνδυασμό με τους ελάχιστους και τους προηγμένους ελέγχους κυβερνοασφάλειας σύμφωνα με το άρθρο 29. Οι ελάχιστοι και οι προηγμένοι έλεγχοι κυβερνοασφάλειας στην αλυσίδα εφοδιασμού καλύπτουν ολόκληρο τον κύκλο ζωής όλων των προϊόντων ΤΠΕ, υπηρεσιών ΤΠΕ και διαδικασιών ΤΠΕ εντός της περιμέτρου υψηλού ή κρίσιμου αντικτύπου μιας οντότητας υψηλού ή κρίσιμου αντικτύπου. Κατά την κατάρτιση της πρότασης για τους ελάχιστους και τους προηγμένους ελέγχους κυβερνοασφάλειας στην αλυσίδα εφοδιασμού, ζητείται η γνώμη της Ομάδας Συνεργασίας NIS.

2.   Οι ελάχιστοι έλεγχοι κυβερνοασφάλειας στην αλυσίδα εφοδιασμού συνίστανται σε ελέγχους για οντότητες υψηλού ή κρίσιμου αντικτύπου οι οποίοι:

3.   Για τις προδιαγραφές κυβερνοασφάλειας στη σύσταση για τη σύναψη δημόσιων συμβάσεων στον τομέα της κυβερνοασφάλειας που αναφέρεται στην παράγραφο 2 στοιχείο α), οι οντότητες υψηλού ή κρίσιμου αντικτύπου χρησιμοποιούν τις αρχές που εφαρμόζονται στη σύναψη δημόσιων συμβάσεων δυνάμει της οδηγίας 2014/24/ΕΕ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (19), σύμφωνα με το άρθρο 35 παράγραφος 4, ή καθορίζουν τις δικές τους προδιαγραφές με βάση τα αποτελέσματα της εκτίμησης των κινδύνων για την κυβερνοασφάλεια σε επίπεδο οντότητας.

4.   Οι προηγμένοι έλεγχοι κυβερνοασφάλειας στην αλυσίδα εφοδιασμού περιλαμβάνουν ελέγχους για την επαλήθευση από τις οντότητες κρίσιμου αντικτύπου, κατά τη διάρκεια της διαδικασίας σύναψης δημόσιων συμβάσεων, ότι τα προϊόντα ΤΠΕ, οι υπηρεσίες ΤΠΕ και οι διαδικασίες ΤΠΕ που θα χρησιμοποιηθούν ως περιουσιακά στοιχεία κρίσιμου αντικτύπου πληρούν τις προδιαγραφές κυβερνοασφάλειας. Το προϊόν ΤΠΕ, η υπηρεσία ΤΠΕ ή η διαδικασία ΤΠΕ επαληθεύεται είτε μέσω ευρωπαϊκού σχήματος πιστοποίησης της κυβερνοασφάλειας που αναφέρεται στο άρθρο 31 ή μέσω δραστηριοτήτων επαλήθευσης που επιλέγονται και οργανώνονται από την οντότητα. Το βάθος και η κάλυψη των δραστηριοτήτων επαλήθευσης επαρκούν ώστε να διασφαλίζεται ότι το προϊόν ΤΠΕ, η υπηρεσία ΤΠΕ ή η διαδικασία ΤΠΕ μπορεί να χρησιμοποιηθεί για τον μετριασμό των κινδύνων που έχουν προσδιοριστεί στην εκτίμηση κινδύνων σε επίπεδο οντότητας. Η οντότητα κρίσιμου αντικτύπου τεκμηριώνει τα μέτρα που λαμβάνονται για τη μείωση των κινδύνων που έχουν προσδιοριστεί.

5.   Οι ελάχιστοι και οι προηγμένοι έλεγχοι κυβερνοασφάλειας στην αλυσίδα εφοδιασμού εφαρμόζονται στις δημόσιες συμβάσεις σχετικών προϊόντων ΤΠΕ, υπηρεσιών ΤΠΕ και διαδικασιών ΤΠΕ. Οι ελάχιστοι και οι προηγμένοι έλεγχοι κυβερνοασφάλειας στην αλυσίδα εφοδιασμού θα εφαρμόζονται στις διαδικασίες σύναψης δημόσιων συμβάσεων στις οντότητες που χαρακτηρίζονται ως οντότητες κρίσιμου ή υψηλού αντικτύπου σύμφωνα με το άρθρο 24, οι οποίες ξεκινούν έξι μήνες μετά την έγκριση ή την επικαιροποίηση των ελάχιστων και των προηγμένων ελέγχων κυβερνοασφάλειας που αναφέρονται στο άρθρο 29.

6.   Εντός 6 μηνών από την κατάρτιση κάθε περιφερειακής έκθεσης εκτίμησης των κινδύνων για την κυβερνοασφάλεια σύμφωνα με το άρθρο 21 παράγραφος 2, οι ΔΣΜ, με τη συνδρομή του ΕΔΔΣΜ ηλεκτρικής ενέργειας και σε συνεργασία με τον φορέα ΔΣΔ της ΕΕ, προτείνουν στην αρμόδια αρχή τροποποίηση των ελάχιστων και των προηγμένων ελέγχων κυβερνοασφάλειας στην αλυσίδα εφοδιασμού. Η πρόταση θα υποβάλλεται σύμφωνα με το άρθρο 8 παράγραφος 10 και θα λαμβάνει υπόψη τους κινδύνους που προσδιορίστηκαν στην περιφερειακή εκτίμηση κινδύνων.

1.   Εντός 7 μηνών από την υποβολή του πρώτου σχεδίου έκθεσης εκτίμησης των κινδύνων για την κυβερνοασφάλεια σε επίπεδο Ένωσης σύμφωνα με το άρθρο 19 παράγραφος 4, οι ΔΣΜ, με τη συνδρομή του ΕΔΔΣΜ ηλεκτρικής ενέργειας, σε συνεργασία με τον φορέα ΔΣΔ της ΕΕ και σε διαβούλευση με τον ENISA, καταρτίζουν πρόταση για πίνακα χαρτογράφησης των ελέγχων που ορίζονται στο άρθρο 28 παράγραφος 1 στοιχεία α) και β) με βάση επιλεγμένα ευρωπαϊκά και διεθνή πρότυπα, καθώς και σχετικές τεχνικές προδιαγραφές (στο εξής: πίνακας χαρτογράφησης). Το ΕΔΔΣΜ ηλεκτρικής ενέργειας και ο φορέας ΔΣΔ της ΕΕ τεκμηριώνουν την ισοδυναμία των διαφόρων ελέγχων με τους ελέγχους που ορίζονται στο άρθρο 28 παράγραφος 1 στοιχεία α) και β).

2.   Οι αρμόδιες αρχές μπορούν να παρέχουν στο ΕΔΔΣΜ ηλεκτρικής ενέργειας και στον φορέα ΔΣΔ της ΕΕ χαρτογράφηση των ελέγχων που ορίζονται στο άρθρο 28 παράγραφος 1 στοιχεία α) και β) με παραπομπή στα σχετικά εθνικά νομοθετικά ή ρυθμιστικά πλαίσια, συμπεριλαμβανομένων των σχετικών εθνικών προτύπων των κρατών μελών σύμφωνα με το άρθρο 25 της οδηγίας (ΕΕ) 2022/2555. Εάν η αρμόδια αρχή κράτους μέλους παράσχει μια τέτοια χαρτογράφηση, το ΕΔΔΣΜ ηλεκτρικής ενέργειας και ο φορέας ΔΣΔ της ΕΕ ενσωματώνουν την εν λόγω εθνική χαρτογράφηση στον πίνακα χαρτογράφησης.

3.   Εντός 6 μηνών από την κατάρτιση κάθε περιφερειακής έκθεσης εκτίμησης των κινδύνων για την κυβερνοασφάλεια σύμφωνα με το άρθρο 21 παράγραφος 2, οι ΔΣΜ, με τη συνδρομή του ΕΔΔΣΜ ηλεκτρικής ενέργειας, σε συνεργασία με τον φορέα ΔΣΔ της ΕΕ και κατόπιν διαβούλευσης με τον ENISA, προτείνουν τροποποίηση του πίνακα χαρτογράφησης στην αρμόδια αρχή. Η πρόταση θα υποβάλλεται σύμφωνα με το άρθρο 8 παράγραφος 10 και θα λαμβάνει υπόψη τους κινδύνους που προσδιορίστηκαν στην περιφερειακή εκτίμηση κινδύνων.

1.   Οι ΔΣΜ, με τη συνδρομή του ΕΔΔΣΜ ηλεκτρικής ενέργειας και σε συνεργασία με τον φορέα ΔΣΔ της ΕΕ, καταρτίζουν, στο πλαίσιο προγράμματος εργασίας που εκπονείται και επικαιροποιείται κάθε φορά που εγκρίνεται περιφερειακή έκθεση εκτίμησης των κινδύνων για την κυβερνοασφάλεια, δέσμες μη δεσμευτικών συστάσεων για τη σύναψη δημόσιων συμβάσεων στον τομέα της κυβερνοασφάλειας, τις οποίες μπορούν να χρησιμοποιούν οντότητες υψηλού ή κρίσιμου αντικτύπου ως βάση για τις δημόσιες συμβάσεις προϊόντων ΤΠΕ, υπηρεσιών ΤΠΕ και διαδικασιών ΤΠΕ εντός των περιμέτρων υψηλού και κρίσιμου αντικτύπου. Το εν λόγω πρόγραμμα εργασίας περιλαμβάνει τα εξής:

2.   Το ΕΔΔΣΜ ηλεκτρικής ενέργειας, σε συνεργασία με τον φορέα ΔΣΔ της ΕΕ, παρέχει στον ACER περίληψη του εν λόγω προγράμματος εργασίας, εντός 6 μηνών από την έγκριση ή την επικαιροποίηση της περιφερειακής έκθεσης εκτίμησης των κινδύνων για την κυβερνοασφάλεια.

3.   Οι ΔΣΜ, με τη συνδρομή του ΕΔΔΣΜ ηλεκτρικής ενέργειας και σε συνεργασία με τον φορέα ΔΣΔ της ΕΕ, προσπαθούν να διασφαλίσουν ότι οι μη δεσμευτικές συστάσεις για τη σύναψη δημόσιων συμβάσεων στον τομέα της κυβερνοασφάλειας που καταρτίζονται με βάση τη σχετική περιφερειακή εκτίμηση των κινδύνων για την κυβερνοασφάλεια είναι παρόμοιες ή συγκρίσιμες μεταξύ των λειτουργικών περιφερειών του συστήματος. Οι δέσμες συστάσεων για τη σύναψη δημόσιων συμβάσεων στον τομέα της κυβερνοασφάλειας καλύπτουν τουλάχιστον τις προδιαγραφές που αναφέρονται στο άρθρο 33 παράγραφος 2 στοιχείο α). Όπου είναι δυνατόν, οι προδιαγραφές επιλέγονται από ευρωπαϊκά και διεθνή πρότυπα.

4.   Οι ΔΣΜ, με τη συνδρομή του ΕΔΔΣΜ ηλεκτρικής ενέργειας και σε συνεργασία με τον φορέα ΔΣΔ της ΕΕ, διασφαλίζουν ότι οι δέσμες συστάσεων για τη σύναψη δημόσιων συμβάσεων στον τομέα της κυβερνοασφάλειας:

1.   Οι μη δεσμευτικές συστάσεις για τη σύναψη δημόσιων συμβάσεων στον τομέα της κυβερνοασφάλειας που καταρτίζονται σύμφωνα με το άρθρο 35 μπορούν να περιλαμβάνουν τομεακή καθοδήγηση σχετικά με τη χρήση ευρωπαϊκών σχημάτων πιστοποίησης της κυβερνοασφάλειας, στις περιπτώσεις που υπάρχει διαθέσιμο κατάλληλο σχήμα για έναν τύπο προϊόντος ΤΠΕ, υπηρεσίας ΤΠΕ ή διαδικασίας ΤΠΕ που χρησιμοποιείται από οντότητες κρίσιμου αντικτύπου, με την επιφύλαξη του πλαισίου για τη θέσπιση ευρωπαϊκών σχημάτων πιστοποίησης της κυβερνοασφάλειας σύμφωνα με το άρθρο 46 του κανονισμού (ΕΕ) 2019/881.

2.   Οι ΔΣΜ, με τη συνδρομή του ΕΔΔΣΜ ηλεκτρικής ενέργειας και σε συνεργασία με τον φορέα ΔΣΔ της ΕΕ, συνεργάζονται στενά με τον ENISA για την παροχή της τομεακής καθοδήγησης που περιλαμβάνεται σε μη δεσμευτικές συστάσεις για τη σύναψη δημόσιων συμβάσεων στον τομέα της κυβερνοασφάλειας σύμφωνα με την παράγραφο 1.

1.   Εάν μια αρμόδια αρχή λάβει πληροφορίες σχετικά με κυβερνοεπίθεση που πρέπει να αναφερθεί, η εν λόγω αρμόδια αρχή:

2.   Εάν μια CSIRT λάβει γνώση μη διορθωμένης ευπάθειας που αποτελεί αντικείμενο ενεργού εκμετάλλευσης, οφείλει:

3.   Εάν μια αρμόδια αρχή λάβει γνώση μη διορθωμένης ευπάθειας που αποτελεί αντικείμενο ενεργού εκμετάλλευσης:

4.   Εάν η αρμόδια αρχή λάβει γνώση μη διορθωμένης ευπάθειας χωρίς να υπάρχουν στοιχεία που να αποδεικνύουν ότι αποτελεί αντικείμενο ενεργού εκμετάλλευσης, συντονίζεται χωρίς αδικαιολόγητη καθυστέρηση με τη CSIRT για τους σκοπούς της συντονισμένης γνωστοποίησης ευπαθειών, όπως ορίζεται στο άρθρο 12 παράγραφος 1 της οδηγίας (ΕΕ) 2022/2555.

5.   Εάν μια CSIRT λάβει πληροφορίες που σχετίζονται με κυβερνοαπειλές από μία ή περισσότερες οντότητες υψηλού ή κρίσιμου αντικτύπου σύμφωνα με το άρθρο 38 παράγραφος 6, διαδίδει τις εν λόγω πληροφορίες ή κάθε άλλη πληροφορία που είναι σημαντική για την πρόληψη, την ανίχνευση, την αντιμετώπιση ή τον μετριασμό του σχετικού κινδύνου στις οντότητες κρίσιμου ή υψηλού αντικτύπου στο οικείο κράτος μέλος και, κατά περίπτωση, σε όλες τις ενδιαφερόμενες CSIRT και στο οικείο εθνικό ενιαίο σημείο επαφής, χωρίς αδικαιολόγητη καθυστέρηση και το αργότερο τέσσερις ώρες μετά τη λήψη των πληροφοριών.

6.   Εάν μια αρμόδια αρχή λάβει γνώση πληροφοριών σχετικά με κυβερνοαπειλές από μία ή περισσότερες οντότητες υψηλού ή κρίσιμου αντικτύπου, διαβιβάζει τις πληροφορίες αυτές στην CSIRT για τους σκοπούς της παραγράφου 5.

7.   Οι αρμόδιες αρχές μπορούν να αναθέτουν πλήρως ή εν μέρει τις αρμοδιότητες που προβλέπονται στις παραγράφους 3 και 4 σχετικά με μία ή περισσότερες οντότητες υψηλού ή κρίσιμου αντικτύπου που δραστηριοποιούνται σε περισσότερα από ένα κράτη μέλη σε άλλη αρμόδια αρχή σε ένα από τα εν λόγω κράτη μέλη, κατόπιν συμφωνίας μεταξύ των ενδιαφερόμενων αρμόδιων αρχών.

8.   Οι ΔΣΜ, με τη συνδρομή του ΕΔΔΣΜ ηλεκτρικής ενέργειας και σε συνεργασία με τον φορέα ΔΣΔ της ΕΕ, αναπτύσσουν μεθοδολογία κλίμακας ταξινόμησης κυβερνοεπιθέσεων έως τις 13 Ιουνίου 2025. Οι ΔΣΜ, με τη συνδρομή του ΕΔΔΣΜ ηλεκτρικής ενέργειας και του φορέα ΔΣΔ της ΕΕ, μπορούν να ζητήσουν από τις αρμόδιες αρχές να λάβουν τη γνώμη του ENISA και των οικείων αρμόδιων αρχών που είναι υπεύθυνες για την κυβερνοασφάλεια, προκειμένου να λάβουν βοήθεια για την ανάπτυξη της εν λόγω κλίμακας ταξινόμησης. Η μεθοδολογία καθορίζει την ταξινόμηση της σοβαρότητας μιας κυβερνοεπίθεσης σύμφωνα με 5 επίπεδα, εκ των οποίων τα δύο υψηλότερα είναι το «υψηλό» και το «κρίσιμο». Η ταξινόμηση βασίζεται στην αξιολόγηση των ακόλουθων παραμέτρων:

9.   Έως τις 13 Ιουνίου 2026 το ΕΔΔΣΜ ηλεκτρικής ενέργειας, σε συνεργασία με τον φορέα ΔΣΔ της ΕΕ, εκπονεί μελέτη σκοπιμότητας για να αξιολογήσει τη δυνατότητα και το οικονομικό κόστος που απαιτείται για την ανάπτυξη κοινού εργαλείου που θα παρέχει σε όλες τις οντότητες τη δυνατότητα να ανταλλάσσουν πληροφορίες με τις αρμόδιες εθνικές αρχές.

10.   Η μελέτη σκοπιμότητας εξετάζει τη δυνατότητα που έχει ένα τέτοιο κοινό εργαλείο:

11.   Το ΕΔΔΣΜ ηλεκτρικής ενέργειας, σε συνεργασία με τον φορέα ΔΣΔ της ΕΕ:

12.   Το ΕΔΔΣΜ ηλεκτρικής ενέργειας, σε συνεργασία με τον φορέα ΔΣΔ της ΕΕ, μπορεί να αναλύει και να διευκολύνει τις πρωτοβουλίες που προτείνονται από οντότητες κρίσιμου ή υψηλού αντικτύπου για την αξιολόγηση και τη δοκιμή τέτοιων εργαλείων ανταλλαγής πληροφοριών.

1.   Κάθε οντότητα υψηλού ή κρίσιμου αντικτύπου:

2.   Ο ENISA μπορεί να εκδίδει μη δεσμευτική καθοδήγηση σχετικά με τη δημιουργία των εν λόγω ικανοτήτων ή την εξωτερική ανάθεση της υπηρεσίας σε παρόχους διαχειριζόμενων υπηρεσιών ασφάλειας, στο πλαίσιο των καθηκόντων που ορίζονται στο άρθρο 6 παράγραφος 2 του κανονισμού (ΕΕ) 2019/881.

3.   Κάθε οντότητα κρίσιμου ή υψηλού αντικτύπου κοινοποιεί στις οικείες CSIRT και στην οικεία αρμόδια αρχή τις σχετικές πληροφορίες που αφορούν κυβερνοεπίθεση που πρέπει να αναφερθεί, χωρίς αδικαιολόγητη καθυστέρηση και το αργότερο εντός τεσσάρων ωρών από τη στιγμή που αντιλαμβάνεται ότι το περιστατικό πρέπει να αναφερθεί.

4.   Οι πληροφορίες σχετικά με κυβερνοεπίθεση θεωρείται ότι πρέπει να αναφερθούν όταν η κυβερνοεπίθεση αξιολογείται από την επηρεαζόμενη οντότητα και η κρισιμότητά της εντάσσεται στις κατηγορίες «υψηλή» ή «κρίσιμη» με βάση τη μεθοδολογία της κλίμακας ταξινόμησης κυβερνοεπιθέσεων σύμφωνα με το άρθρο 37 παράγραφος 8. Το ενιαίο σημείο επαφής σε επίπεδο οντότητας που ορίζεται σύμφωνα με την παράγραφο 1 στοιχείο γ) κοινοποιεί την ταξινόμηση του περιστατικού.

5.   Όταν οντότητες κρίσιμου και υψηλού αντικτύπου κοινοποιούν σε μια CSIRT σχετικές πληροφορίες που αφορούν μη διορθωμένες ευπάθειες που αποτελούν αντικείμενο ενεργού εκμετάλλευσης, η CSIRT μπορεί να διαβιβάζει τις πληροφορίες αυτές στην οικεία αρμόδια αρχή. Λαμβανομένου υπόψη του βαθμού ευαισθησίας των κοινοποιούμενων πληροφοριών, η CSIRT μπορεί να αρνηθεί να διαβιβάσει τις πληροφορίες ή να καθυστερήσει τη διαβίβασή τους για αιτιολογημένους λόγους που σχετίζονται με την κυβερνοασφάλεια.

6.   Κάθε οντότητα κρίσιμου ή υψηλού αντικτύπου παρέχει στις οικείες CSIRT, χωρίς αδικαιολόγητη καθυστέρηση, κάθε πληροφορία η οποία σχετίζεται με κυβερνοαπειλή που πρέπει να αναφερθεί και που ενδέχεται να έχει διασυνοριακές επιπτώσεις. Οι πληροφορίες σχετικά με κυβερνοαπειλή θεωρείται ότι πρέπει να αναφέρονται όταν πληρούται τουλάχιστον μία από τις ακόλουθες προϋποθέσεις:

7.   Κάθε οντότητα κρίσιμου ή υψηλού αντικτύπου, κατά την ανταλλαγή πληροφοριών σύμφωνα με το παρόν άρθρο, προσδιορίζει τα ακόλουθα:

8.   Όταν μια οντότητα κρίσιμου ή υψηλού αντικτύπου κοινοποιεί σημαντικό περιστατικό σύμφωνα με το άρθρο 23 της οδηγίας (ΕΕ) 2022/2555 και η αναφορά του περιστατικού βάσει του εν λόγω άρθρου περιέχει σχετικές πληροφορίες, όπως απαιτείται βάσει της παραγράφου 3 του παρόντος άρθρου, η αναφορά της οντότητας βάσει του άρθρου 23 παράγραφος 1 της εν λόγω οδηγίας συνιστά αναφορά πληροφοριών σύμφωνα με την παράγραφο 3 του παρόντος άρθρου.

9.   Κάθε οντότητα κρίσιμου ή υψηλού αντικτύπου υποβάλλει έκθεση στην οικεία αρμόδια αρχή ή στην CSIRT προσδιορίζοντας με σαφήνεια συγκεκριμένες πληροφορίες που κοινοποιούνται μόνο στην αρμόδια αρχή ή στην CSIRT σε περιπτώσεις στις οποίες η ανταλλαγή πληροφοριών θα μπορούσε να αποτελέσει πηγή κυβερνοεπίθεσης. Κάθε οντότητα κρίσιμου ή υψηλού αντικτύπου έχει το δικαίωμα να παρέχει μη εμπιστευτική έκδοση των πληροφοριών στην αρμόδια CSIRT.

1.   Οι οντότητες κρίσιμου ή υψηλού αντικτύπου αναπτύσσουν τις αναγκαίες ικανότητες για τον χειρισμό των κυβερνοεπιθέσεων που ανιχνεύονται με την αναγκαία υποστήριξη της σχετικής αρμόδιας αρχής, του ΕΔΔΣΜ ηλεκτρικής ενέργειας και του φορέα ΔΣΔ της ΕΕ. Οι οντότητες κρίσιμου ή υψηλού αντικτύπου μπορεί να υποστηρίζονται από την CSIRT που ορίζεται στο οικείο αντίστοιχο κράτος μέλος στο πλαίσιο των καθηκόντων που ανατίθενται στις CSIRT βάσει του άρθρου 11 παράγραφος 5 στοιχείο α) της οδηγίας (ΕΕ) 2022/2555. Οι οντότητες κρίσιμου ή υψηλού αντικτύπου εφαρμόζουν αποτελεσματικές διαδικασίες για τον εντοπισμό, την ταξινόμηση και την αντιμετώπιση κυβερνοεπιθέσεων που θα επηρεάσουν ή ενδέχεται να επηρεάσουν τις διασυνοριακές ροές ηλεκτρικής ενέργειας, προκειμένου να ελαχιστοποιηθούν οι επιπτώσεις τους.

2.   Εάν μια κυβερνοεπίθεση έχει αντίκτυπο στις διασυνοριακές ροές ηλεκτρικής ενέργειας, τα ενιαία σημεία επαφής σε επίπεδο οντότητας των επηρεαζόμενων οντοτήτων κρίσιμου και υψηλού αντικτύπου συνεργάζονται για την ανταλλαγή πληροφοριών μεταξύ τους, υπό τον συντονισμό της αρμόδιας αρχής του κράτους μέλους στο οποίο αναφέρθηκε για πρώτη φορά η κυβερνοεπίθεση.

3.   Οι οντότητες κρίσιμου και υψηλού αντικτύπου:

4.   Τα καθήκοντα που αναφέρονται στην παράγραφο 1 μπορούν να ανατίθενται από τα κράτη μέλη και στα περιφερειακά συντονιστικά κέντρα σύμφωνα με το άρθρο 37 παράγραφος 2 του κανονισμού (ΕΕ) 2019/943.

1.   Όταν η αρμόδια αρχή διαπιστώνει ότι μια κρίση ηλεκτρικής ενέργειας σχετίζεται με κυβερνοεπίθεση που έχει αντίκτυπο σε περισσότερα από ένα κράτη μέλη, οι αρμόδιες αρχές των επηρεαζόμενων κρατών μελών, οι ΕΑΑ κυβερνοασφάλειας, οι ΕΑΑ ετοιμότητας αντιμετώπισης κινδύνων και οι αρχές διαχείρισης κυβερνοκρίσεων NIS των επηρεαζόμενων κρατών μελών συγκροτούν από κοινού ad hoc ομάδα συντονισμού της διασυνοριακής κρίσης.

2.   Η ad hoc ομάδα συντονισμού της διασυνοριακής κρίσης:

3.   Όταν η κυβερνοεπίθεση χαρακτηρίζεται ή αναμένεται να χαρακτηριστεί ως κυβερνοπεριστατικό μεγάλης κλίμακας, η ad hoc ομάδα συντονισμού της διασυνοριακής κρίσης ενημερώνει αμέσως τις εθνικές αρχές διαχείρισης κυβερνοκρίσεων σύμφωνα με το άρθρο 9 παράγραφος 1 της οδηγίας (ΕΕ) 2022/2555 στα κράτη μέλη που επηρεάζονται από το περιστατικό, καθώς και την Επιτροπή και το EU-CyCLONe. Στην περίπτωση αυτήν, η ad hoc ομάδα συντονισμού της διασυνοριακής κρίσης στηρίζει το EU-CyCLONe όσον αφορά τις τομεακές ιδιαιτερότητες.

4.   Οι οντότητες κρίσιμου ή υψηλού αντικτύπου αναπτύσσουν και έχουν στη διάθεσή τους ικανότητες, εσωτερικές κατευθυντήριες γραμμές, σχέδια ετοιμότητας και προσωπικό για να συμμετέχουν στην ανίχνευση και στον μετριασμό της διασυνοριακής κρίσης. Η οντότητα κρίσιμου ή υψηλού αντικτύπου που επηρεάζεται από ταυτόχρονη κρίση ηλεκτρικής ενέργειας διερευνά τη βασική αιτία της εν λόγω κρίσης σε συνεργασία με την οικεία αρμόδια αρχή για να διαπιστώσει τον βαθμό στον οποίο η κρίση σχετίζεται με κυβερνοεπίθεση.

5.   Τα καθήκοντα που αναφέρονται στην παράγραφο 4 μπορούν να ανατίθενται από τα κράτη μέλη και στα περιφερειακά συντονιστικά κέντρα σύμφωνα με το άρθρο 37 παράγραφος 2 του κανονισμού (ΕΕ) 2019/943.

1.   Εντός 24 μηνών από την κοινοποίηση στον ACER της έκθεσης εκτίμησης των κινδύνων σε επίπεδο Ένωσης, ο ACER, σε στενή συνεργασία με τον ENISA, το ΕΔΔΣΜ ηλεκτρικής ενέργειας, τον φορέα ΔΣΔ της ΕΕ, τις ΕΑΑ κυβερνοασφάλειας, τις αρμόδιες αρχές, τις ΕΑΑ ετοιμότητας αντιμετώπισης κινδύνων, τις εθνικές ρυθμιστικές αρχές και τις εθνικές αρχές διαχείρισης κυβερνοκρίσεων NIS, καταρτίζει σχέδιο διαχείρισης και αντιμετώπισης κρίσεων κυβερνοασφάλειας σε επίπεδο Ένωσης για τον τομέα της ηλεκτρικής ενέργειας.

2.   Εντός 12 μηνών από την κατάρτιση από τον ACER του σχεδίου διαχείρισης και αντιμετώπισης κρίσεων κυβερνοασφάλειας σε επίπεδο Ένωσης για τον τομέα της ηλεκτρικής ενέργειας σύμφωνα με την παράγραφο 1, κάθε αρμόδια αρχή καταρτίζει εθνικό σχέδιο διαχείρισης και αντιμετώπισης κρίσεων κυβερνοασφάλειας για τις διασυνοριακές ροές ηλεκτρικής ενέργειας, λαμβάνοντας υπόψη το σχέδιο διαχείρισης κρίσεων κυβερνοασφάλειας σε επίπεδο Ένωσης και το εθνικό σχέδιο ετοιμότητας αντιμετώπισης κινδύνων που θεσπίζεται σύμφωνα με το άρθρο 10 του κανονισμού (ΕΕ) 2019/941. Το εν λόγω σχέδιο συνάδει με το σχέδιο αντιμετώπισης περιστατικών και κρίσεων μεγάλης κλίμακας στον τομέα της κυβερνοασφάλειας σύμφωνα με το άρθρο 9 παράγραφος 4 της οδηγίας (ΕΕ) 2022/2555. Η αρμόδια αρχή συντονίζεται με τις οντότητες κρίσιμου ή υψηλού αντικτύπου και με την ΕΑΑ ετοιμότητας αντιμετώπισης κινδύνων στο κράτος μέλος της.

3.   Το εθνικό σχέδιο αντιμετώπισης περιστατικών και κρίσεων μεγάλης κλίμακας στον τομέα της κυβερνοασφάλειας που απαιτείται σύμφωνα με το άρθρο 9 παράγραφος 4 της οδηγίας (ΕΕ) 2022/2555 θεωρείται εθνικό σχέδιο διαχείρισης κρίσεων κυβερνοασφάλειας δυνάμει του παρόντος άρθρου, εάν περιλαμβάνει διατάξεις για τη διαχείριση και την αντιμετώπιση κρίσεων που αφορούν τις διασυνοριακές ροές ηλεκτρικής ενέργειας.

4.   Τα καθήκοντα που αναφέρονται στις παραγράφους 1 και 2 μπορούν να ανατίθενται από τα κράτη μέλη και στα περιφερειακά συντονιστικά κέντρα σύμφωνα με το άρθρο 37 παράγραφος 2 του κανονισμού (ΕΕ) 2019/943.

5.   Οι οντότητες κρίσιμου ή υψηλού αντικτύπου διασφαλίζουν ότι οι οικείες διαδικασίες διαχείρισης κρίσεων που σχετίζονται με την κυβερνοασφάλεια:

6.   Εντός 12 μηνών από την κοινοποίηση των οντοτήτων υψηλού ή κρίσιμου αντικτύπου σύμφωνα με το άρθρο 24 παράγραφος 6 και, στη συνέχεια, ανά τριετία, οι οντότητες κρίσιμου ή υψηλού αντικτύπου καταρτίζουν σχέδιο διαχείρισης κρίσεων σε επίπεδο οντότητας για κρίσεις που σχετίζονται με την κυβερνοασφάλεια, το οποίο περιλαμβάνεται στα γενικά τους σχέδια διαχείρισης κρίσεων. Το σχέδιο αυτό περιλαμβάνει τουλάχιστον τα ακόλουθα:

7.   Τα μέτρα για τη διαχείριση κρίσεων σύμφωνα με το άρθρο 21 παράγραφος 2 στοιχείο γ) της οδηγίας (ΕΕ) 2022/2555 θεωρούνται σχέδιο διαχείρισης κρίσεων σε επίπεδο οντότητας για τον τομέα της ηλεκτρικής ενέργειας δυνάμει του παρόντος άρθρου, εάν καλύπτουν όλες τις απαιτήσεις που αναφέρονται στην παράγραφο 6.

8.   Τα σχέδια διαχείρισης κρίσεων υποβάλλονται σε δοκιμή κατά τη διάρκεια των ασκήσεων κυβερνοασφάλειας που αναφέρονται στα άρθρα 43, 44 και 45.

9.   Οι οντότητες κρίσιμου ή υψηλού αντικτύπου περιλαμβάνουν τα οικεία σχέδια διαχείρισης κρίσεων σε επίπεδο οντότητας στα οικεία σχέδια επιχειρηματικής συνέχειας για τις διαδικασίες κρίσιμου και υψηλού αντικτύπου. Τα σχέδια διαχείρισης κρίσεων σε επίπεδο οντότητας περιλαμβάνουν:

10.   Οι οντότητες κρίσιμου ή υψηλού αντικτύπου επικαιροποιούν τα οικεία σχέδια διαχείρισης κρίσεων σε επίπεδο οντότητας τουλάχιστον ανά τριετία και όποτε είναι αναγκαίο.

11.   Ο ACER επικαιροποιεί το σχέδιο διαχείρισης και αντιμετώπισης κρίσεων κυβερνοασφάλειας σε επίπεδο Ένωσης για τον τομέα της ηλεκτρικής ενέργειας, το οποίο καταρτίζεται σύμφωνα με την παράγραφο 1, τουλάχιστον ανά τριετία και όποτε είναι αναγκαίο.

12.   Κάθε αρμόδια αρχή επικαιροποιεί το εθνικό σχέδιο διαχείρισης και αντιμετώπισης κρίσεων στον τομέα της κυβερνοασφάλειας για τις διασυνοριακές ροές ηλεκτρικής ενέργειας, το οποίο καταρτίζεται σύμφωνα με την παράγραφο 2, τουλάχιστον ανά τριετία και όποτε απαιτείται.

13.   Οι οντότητες κρίσιμου ή υψηλού αντικτύπου υποβάλλουν σε δοκιμή τα οικεία σχέδια επιχειρηματικής συνέχειας τουλάχιστον μία φορά ανά τριετία ή μετά από σημαντικές αλλαγές σε διαδικασία κρίσιμου αντικτύπου. Το αποτέλεσμα των δοκιμών του σχεδίου επιχειρηματικής συνέχειας τεκμηριώνεται. Οι οντότητες κρίσιμου ή υψηλού αντικτύπου μπορούν να περιλαμβάνουν τη δοκιμή του οικείου σχεδίου επιχειρηματικής συνέχειας στις ασκήσεις κυβερνοασφάλειας.

14.   Οι οντότητες κρίσιμου ή υψηλού αντικτύπου επικαιροποιούν το οικείο σχέδιο επιχειρηματικής συνέχειας όποτε είναι αναγκαίο και τουλάχιστον μία φορά ανά τριετία, λαμβάνοντας υπόψη το αποτέλεσμα της δοκιμής.

15.   Εάν κατά τη δοκιμή διαπιστωθούν ελλείψεις στο σχέδιο επιχειρηματικής συνέχειας, η οντότητα κρίσιμου ή υψηλού αντικτύπου διορθώνει τις εν λόγω ελλείψεις εντός 180 ημερολογιακών ημερών από τη δοκιμή και διενεργεί νέα δοκιμή για να παράσχει στοιχεία που αποδεικνύουν ότι τα διορθωτικά μέτρα είναι αποτελεσματικά.

16.   Όταν μια οντότητα κρίσιμου ή υψηλού αντικτύπου δεν μπορεί να διορθώσει τις ελλείψεις εντός 180 ημερολογιακών ημερών, περιλαμβάνει τους σχετικούς λόγους στην έκθεση που πρέπει να υποβληθεί στην οικεία αρμόδια αρχή σύμφωνα με το άρθρο 27.

1.   Οι αρμόδιες αρχές συνεργάζονται με τον ENISA για την ανάπτυξη ικανοτήτων έγκαιρης προειδοποίησης για την κυβερνοασφάλεια στον τομέα της ηλεκτρικής ενέργειας (στο εξής: ECEAC) στο πλαίσιο της συνδρομής προς τα κράτη μέλη σύμφωνα με το άρθρο 6 παράγραφος 2 και το άρθρο 7 του κανονισμού (ΕΕ) 2019/881.

2.   Κατά την εκτέλεση των καθηκόντων που αναφέρονται στο άρθρο 7 παράγραφος 7 του κανονισμού (ΕΕ) 2019/881, οι ECEAC παρέχουν στον ENISA τη δυνατότητα:

3.   Οι CSIRT διαδίδουν τις πληροφορίες που λαμβάνουν από τον ENISA στις ενδιαφερόμενες οντότητες χωρίς καθυστέρηση, στο πλαίσιο των οικείων καθηκόντων που ορίζονται στο άρθρο 11 παράγραφος 3 στοιχείο β) της οδηγίας (ΕΕ) 2022/2555.

4.   Ο ACER παρακολουθεί την αποτελεσματικότητα των ECEAC. Ο ENISA συνδράμει τον ACER παρέχοντας όλες τις απαραίτητες πληροφορίες, σύμφωνα με το άρθρο 6 παράγραφος 2 και το άρθρο 7 παράγραφος 1 του κανονισμού (ΕΕ) 2019/881. Η ανάλυση της εν λόγω δραστηριότητας παρακολούθησης αποτελεί μέρος της παρακολούθησης σύμφωνα με το άρθρο 12 του παρόντος κανονισμού.

1.   Έως τις 31 Δεκεμβρίου του έτους μετά την κοινοποίηση των οντοτήτων κρίσιμου αντικτύπου και, στη συνέχεια, ανά τριετία, κάθε οντότητα κρίσιμου αντικτύπου διενεργεί άσκηση κυβερνοασφάλειας, η οποία περιλαμβάνει ένα ή περισσότερα σενάρια με κυβερνοεπιθέσεις που επηρεάζουν άμεσα ή έμμεσα τις διασυνοριακές ροές ηλεκτρικής ενέργειας και σχετίζονται με τους κινδύνους που εντοπίζονται κατά τις εκτιμήσεις κινδύνων για την κυβερνοασφάλεια σε επίπεδο κράτους μέλους και οντότητας σύμφωνα με το άρθρο 20 και το άρθρο 27.

2.   Κατά παρέκκλιση από την παράγραφο 1, η ΕΑΑ ετοιμότητας αντιμετώπισης κινδύνων, αφού ζητήσει τη γνώμη της αρμόδιας αρχής και της σχετικής αρχής διαχείρισης κυβερνοκρίσεων, όπως ορίζεται ή θεσπίζεται με την οδηγία (ΕΕ) 2022/2555, δυνάμει του άρθρου 9, μπορεί να αποφασίσει να οργανώσει άσκηση κυβερνοασφάλειας σε επίπεδο κράτους μέλους, όπως περιγράφεται στην παράγραφο 1, αντί να διενεργήσει την άσκηση κυβερνοασφάλειας σε επίπεδο οντότητας. Στο πλαίσιο αυτό, η αρμόδια αρχή ενημερώνει:

3.   Η ΕΑΑ ετοιμότητας αντιμετώπισης κινδύνων, με την τεχνική υποστήριξη των οικείων CSIRT, οργανώνει την άσκηση κυβερνοασφάλειας που περιγράφεται στην παράγραφο 2 σε επίπεδο κράτους μέλους ανεξάρτητα ή στο πλαίσιο διαφορετικής άσκησης κυβερνοασφάλειας στο εν λόγω κράτος μέλος. Προκειμένου να είναι σε θέση να ομαδοποιήσει τις ασκήσεις αυτές, η ΕΑΑ ετοιμότητας αντιμετώπισης κινδύνων μπορεί να αναβάλει κατά ένα έτος την άσκηση κυβερνοασφάλειας σε επίπεδο κράτους μέλους που αναφέρεται στην παράγραφο 1.

4.   Οι ασκήσεις κυβερνοασφάλειας σε επίπεδο οντότητας και σε επίπεδο κράτους μέλους συνάδουν με τα εθνικά πλαίσια διαχείρισης κρίσεων κυβερνοασφάλειας σύμφωνα με το άρθρο 9 παράγραφος 4 στοιχείο δ) της οδηγίας (ΕΕ) 2022/2555.

5.   Έως τις 31ης Δεκεμβρίου 2026 και, στη συνέχεια, ανά τριετία, το ΕΔΔΣΜ ηλεκτρικής ενέργειας, σε συνεργασία με τον φορέα ΔΣΔ της ΕΕ, καθιστά διαθέσιμο υπόδειγμα σεναρίου άσκησης για τη διεξαγωγή των ασκήσεων κυβερνοασφάλειας σε επίπεδο οντότητας και κράτους μέλους που αναφέρονται στην παράγραφο 1. Το υπόδειγμα αυτό λαμβάνει υπόψη τα αποτελέσματα της πιο πρόσφατης εκτίμησης κινδύνων για την κυβερνοασφάλεια σε επίπεδο οντότητας και κράτους μέλους και περιλαμβάνει καίρια κριτήρια επιτυχίας. Το ΕΔΔΣΜ ηλεκτρικής ενέργειας και ο φορέας ΔΣΔ της ΕΕ διασφαλίζουν τη συμμετοχή του ACER και του ENISA στην κατάρτιση του εν λόγω υποδείγματος.

1.   Έως τις 31ης Δεκεμβρίου 2029 και, στη συνέχεια, ανά τριετία, το ΕΔΔΣΜ ηλεκτρικής ενέργειας, σε συνεργασία με τον φορέα ΔΣΔ της ΕΕ, διοργανώνει περιφερειακή άσκηση κυβερνοασφάλειας σε κάθε λειτουργική περιφέρεια του συστήματος. Οι οντότητες κρίσιμου αντικτύπου στη λειτουργική περιφέρεια του συστήματος συμμετέχουν στην περιφερειακή άσκηση κυβερνοασφάλειας. Το ΕΔΔΣΜ ηλεκτρικής ενέργειας, σε συνεργασία με τον φορέα ΔΣΔ της ΕΕ, μπορεί να διοργανώνει, αντί περιφερειακής άσκησης κυβερνοασφάλειας, διαπεριφερειακή άσκηση κυβερνοασφάλειας σε περισσότερες από μία λειτουργικές περιφέρειες του συστήματος εντός του ίδιου χρονικού πλαισίου. Η άσκηση θα πρέπει να λαμβάνει υπόψη άλλες υφιστάμενες εκτιμήσεις και σενάρια κινδύνων για την κυβερνοασφάλεια που έχουν εκπονηθεί σε επίπεδο Ένωσης.

2.   Ο ENISA υποστηρίζει το ΕΔΔΣΜ ηλεκτρικής ενέργειας και τον φορέα ΔΣΔ της ΕΕ κατά την προετοιμασία και την οργάνωση της άσκησης κυβερνοασφάλειας σε περιφερειακό ή διαπεριφερειακό επίπεδο.

3.   Το ΕΔΔΣΜ ηλεκτρικής ενέργειας, σε συντονισμό με τον φορέα ΔΣΔ της ΕΕ, ενημερώνει τις οντότητες κρίσιμου αντικτύπου που συμμετέχουν στην περιφερειακή ή διαπεριφερειακή άσκηση κυβερνοασφάλειας έξι μήνες πριν από τη διενέργεια της άσκησης.

4.   Ο διοργανωτής τακτικής άσκησης κυβερνοασφάλειας σε επίπεδο Ένωσης σύμφωνα με το άρθρο 7 παράγραφος 5 του κανονισμού (ΕΕ) 2019/881 ή οποιασδήποτε υποχρεωτικής άσκησης κυβερνοασφάλειας που σχετίζεται με τον τομέα της ηλεκτρικής ενέργειας εντός της ίδιας γεωγραφικής περιμέτρου μπορεί να καλέσει το ΕΔΔΣΜ ηλεκτρικής ενέργειας και τον φορέα ΔΣΔ της ΕΕ να συμμετάσχουν. Στις περιπτώσεις αυτές, δεν εφαρμόζεται η υποχρέωση της παραγράφου 1, υπό την προϋπόθεση ότι στην ίδια άσκηση συμμετέχουν όλες οι οντότητες κρίσιμου αντικτύπου στη λειτουργική περιφέρεια του συστήματος.

5.   Εάν το ΕΔΔΣΜ ηλεκτρικής ενέργειας και ο φορέας ΔΣΔ της ΕΕ συμμετέχουν σε άσκηση κυβερνοασφάλειας που αναφέρεται στην παράγραφο 4, μπορούν να αναβάλουν την περιφερειακή ή διαπεριφερειακή άσκηση κυβερνοασφάλειας που αναφέρεται στην παράγραφο 1 κατά ένα έτος.

6.   Έως τις 31ης Δεκεμβρίου 2027 και, στη συνέχεια, ανά τριετία, το ΕΔΔΣΜ ηλεκτρικής ενέργειας, σε συντονισμό με τον φορέα ΔΣΔ της ΕΕ, καθιστά διαθέσιμο υπόδειγμα άσκησης για τη διεξαγωγή των περιφερειακών και διαπεριφερειακών ασκήσεων κυβερνοασφάλειας. Το υπόδειγμα αυτό λαμβάνει υπόψη τα αποτελέσματα της πιο πρόσφατης εκτίμησης κινδύνων για την κυβερνοασφάλεια σε περιφερειακό επίπεδο και περιλαμβάνει καίρια κριτήρια επιτυχίας. Το ΕΔΔΣΜ ηλεκτρικής ενέργειας ζητεί τη γνώμη της Επιτροπής και μπορεί να ζητήσει συμβουλές από τον ACER, τον ENISA και το Κοινό Κέντρο Ερευνών σχετικά με την οργάνωση και την εκτέλεση των περιφερειακών και διαπεριφερειακών ασκήσεων κυβερνοασφάλειας.

1.   Κατόπιν αιτήματος οντότητας κρίσιμου αντικτύπου, οι πάροχοι κρίσιμων υπηρεσιών συμμετέχουν στις ασκήσεις κυβερνοασφάλειας που αναφέρονται στο άρθρο 43 παράγραφοι 1 και 2 και στο άρθρο 44 παράγραφος 1, όταν παρέχουν υπηρεσίες για την οντότητα κρίσιμου αντικτύπου στον τομέα που αντιστοιχεί στο πεδίο εφαρμογής της σχετικής άσκησης κυβερνοασφάλειας.

2.   Οι διοργανωτές των ασκήσεων κυβερνοασφάλειας που αναφέρονται στο άρθρο 43 παράγραφοι 1 και 2 και στο άρθρο 44 παράγραφος 1, με τις συμβουλές του ENISA, εφόσον τις ζητήσουν, και σύμφωνα με το άρθρο 7 παράγραφος 5 του κανονισμού (ΕΕ) 2019/881, αναλύουν και οριστικοποιούν τη σχετική άσκηση κυβερνοασφάλειας μέσω έκθεσης στην οποία συνοψίζονται τα διδάγματα και η οποία απευθύνεται σε όλους τους συμμετέχοντες. Η έκθεση περιλαμβάνει:

3.   Εάν ζητηθεί από το δίκτυο CSIRT, την Ομάδα Συνεργασίας NIS ή το EU-CyCLONe, οι διοργανωτές των ασκήσεων κυβερνοασφάλειας που αναφέρονται στο άρθρο 43 παράγραφοι 1 και 2 και στο άρθρο 44 παράγραφος 1 κοινοποιούν το αποτέλεσμα της σχετικής άσκησης κυβερνοασφάλειας. Οι διοργανωτές κοινοποιούν σε κάθε οντότητα που συμμετείχε στις ασκήσεις τις πληροφορίες που αναφέρονται στην παράγραφο 2 στοιχεία α) και β) του παρόντος άρθρου. Οι διοργανωτές κοινοποιούν τον κατάλογο των συστάσεων που αναφέρονται στην εν λόγω παράγραφο στοιχείο γ) αποκλειστικά στις οντότητες στις οποίες απευθύνονται οι συστάσεις.

4.   Οι διοργανωτές των ασκήσεων κυβερνοασφάλειας που αναφέρονται στο άρθρο 43 παράγραφοι 1 και 2 και στο άρθρο 44 παράγραφος 1 παρακολουθούν τακτικά, μαζί με τις οντότητες που συμμετείχαν στις ασκήσεις, την εφαρμογή των συστάσεων σύμφωνα με την παράγραφο 2 στοιχείο γ) του παρόντος άρθρου.

1.   Οι οντότητες που αναφέρονται στο άρθρο 2 παράγραφος 1 διασφαλίζουν ότι οι πληροφορίες που παρέχονται, λαμβάνονται, ανταλλάσσονται ή διαβιβάζονται δυνάμει του παρόντος κανονισμού είναι προσβάσιμες μόνο βάσει της ανάγκης για γνώση και σύμφωνα με τους σχετικούς ενωσιακούς και εθνικούς κανόνες για την ασφάλεια των πληροφοριών.

2.   Οι οντότητες που αναφέρονται στο άρθρο 2 παράγραφος 1 διασφαλίζουν ότι διενεργείται χειρισμός και παρακολούθηση των πληροφοριών που παρέχονται, λαμβάνονται, ανταλλάσσονται ή διαβιβάζονται δυνάμει του παρόντος κανονισμού καθ’ όλη τη διάρκεια του κύκλου ζωής των εν λόγω πληροφοριών και ότι αυτές μπορούν να δημοσιοποιηθούν στο τέλος του κύκλου ζωής τους μόνο μετά την ανωνυμοποίησή τους.

3.   Οι οντότητες που αναφέρονται στο άρθρο 2 παράγραφος 1 διασφαλίζουν ότι εφαρμόζονται όλα τα αναγκαία μέτρα προστασίας οργανωτικού και τεχνικού χαρακτήρα για τη διασφάλιση και την προστασία της εμπιστευτικότητας, της ακεραιότητας, της διαθεσιμότητας και της μη άρνησης αναγνώρισης των πληροφοριών που παρέχονται, λαμβάνονται, ανταλλάσσονται ή διαβιβάζονται δυνάμει του παρόντος κανονισμού, ανεξάρτητα από τα μέσα που χρησιμοποιούνται. Τα μέτρα προστασίας:

4.   Οι οντότητες που αναφέρονται στο άρθρο 2 παράγραφος 1 διασφαλίζουν ότι κάθε πρόσωπο στο οποίο χορηγείται πρόσβαση σε πληροφορίες που παρέχονται, λαμβάνονται, ανταλλάσσονται ή διαβιβάζονται δυνάμει του παρόντος κανονισμού ενημερώνεται για τους κανόνες ασφάλειας που ισχύουν σε επίπεδο οντότητας και για τα μέτρα και τις διαδικασίες που σχετίζονται με την προστασία των πληροφοριών. Οι εν λόγω οντότητες διασφαλίζουν ότι το ενδιαφερόμενο πρόσωπο αναγνωρίζει την ευθύνη για την προστασία των πληροφοριών σύμφωνα με τις οδηγίες που δόθηκαν κατά τη διάρκεια της ενημέρωσης.

5.   Οι οντότητες που αναφέρονται στο άρθρο 2 παράγραφος 1 διασφαλίζουν ότι η πρόσβαση στις πληροφορίες που παρέχονται, λαμβάνονται, ανταλλάσσονται ή διαβιβάζονται δυνάμει του παρόντος κανονισμού περιορίζεται σε πρόσωπα:

6.   Οι οντότητες που αναφέρονται στο άρθρο 2 παράγραφος 1 έχουν τη γραπτή συμφωνία του φυσικού ή νομικού προσώπου που αρχικά δημιούργησε ή παρείχε τις πληροφορίες, πριν από την παροχή των εν λόγω πληροφοριών σε τρίτο μέρος που δεν εμπίπτει στο πεδίο εφαρμογής του παρόντος κανονισμού.

7.   Κάθε οντότητα που αναφέρεται στο άρθρο 2 παράγραφος 1 μπορεί να θεωρήσει ότι οι πληροφορίες αυτές κοινοποιούνται χωρίς συμμόρφωση με τις παραγράφους 1 και 4 του παρόντος άρθρου, προκειμένου να αποτραπεί ταυτόχρονη κρίση ηλεκτρικής ενέργειας της οποίας τα βαθύτερα αίτια εμπίπτουν στο πεδίο της κυβερνοασφάλειας ή οποιαδήποτε διασυνοριακή κρίση εντός της Ένωσης σε άλλον τομέα. Στην περίπτωση αυτή:

8.   Κατά παρέκκλιση από την παράγραφο 6 του παρόντος άρθρου, οι αρμόδιες αρχές μπορούν να παρέχουν πληροφορίες που παρέχονται, λαμβάνονται, ανταλλάσσονται ή διαβιβάζονται δυνάμει του παρόντος κανονισμού σε τρίτο μέρος που δεν περιλαμβάνεται στο άρθρο 2 παράγραφος 1 χωρίς τη γραπτή προηγούμενη συγκατάθεση του φορέα προέλευσης των πληροφοριών, αλλά τον ενημερώνουν το συντομότερο δυνατόν. Πριν από τη γνωστοποίηση πληροφοριών που έχουν παρασχεθεί, ληφθεί, ανταλλαγεί ή διαβιβαστεί δυνάμει του παρόντος κανονισμού σε τρίτο μέρος που δεν αναφέρεται στο άρθρο 2 παράγραφος 1, η ενδιαφερόμενη αρμόδια αρχή διασφαλίζει εύλογα ότι το ενδιαφερόμενο τρίτο μέρος γνωρίζει τους ισχύοντες κανόνες ασφάλειας και λαμβάνει εύλογη διαβεβαίωση ότι το ενδιαφερόμενο τρίτο μέρος μπορεί να προστατεύσει τις ληφθείσες πληροφορίες σύμφωνα με τις παραγράφους 1 έως 5 του παρόντος άρθρου. Η αρμόδια αρχή ανωνυμοποιεί τις εν λόγω πληροφορίες χωρίς αυτές να απολέσουν τα στοιχεία που είναι αναγκαία για την ενημέρωση του κοινού σχετικά με επικείμενο και σοβαρό κίνδυνο για τις διασυνοριακές ροές ηλεκτρικής ενέργειας και τα πιθανά μέτρα μετριασμού, και διαφυλάσσει την ταυτότητα του φορέα προέλευσης των πληροφοριών. Στην περίπτωση αυτήν, το τρίτο μέρος που δεν αναφέρεται στο άρθρο 2 παράγραφος 1 προστατεύει τις ληφθείσες πληροφορίες σύμφωνα με τις διατάξεις που ισχύουν ήδη σε επίπεδο οντότητας ή, όταν αυτό δεν είναι δυνατόν, σύμφωνα με τις διατάξεις και τις οδηγίες που παρέχονται από τη σχετική αρμόδια αρχή.

9.   Το παρόν άρθρο δεν εφαρμόζεται σε οντότητες που δεν αναφέρονται στο άρθρο 2 παράγραφος 1 οι οποίες λαμβάνουν πληροφορίες σύμφωνα με την παράγραφο 6 του παρόντος άρθρου. Στην περίπτωση αυτήν, εφαρμόζεται η παράγραφος 7 του παρόντος άρθρου ή η αρμόδια αρχή μπορεί να παράσχει στην εν λόγω οντότητα γραπτές διατάξεις που θα εφαρμόζονται σε περιπτώσεις λήψης πληροφοριών σύμφωνα με τον παρόντα κανονισμό.

1.   Κάθε πληροφορία που παρέχεται, λαμβάνεται, ανταλλάσσεται ή διαβιβάζεται σύμφωνα με τον παρόντα κανονισμό υπόκειται στους όρους επαγγελματικού απορρήτου που καθορίζονται στις παραγράφους 2 έως 5 του παρόντος άρθρου του παρόντος κανονισμού και στις απαιτήσεις του άρθρου 65 του κανονισμού (ΕΕ) 2019/943. Κάθε πληροφορία που παρέχεται, λαμβάνεται, ανταλλάσσεται ή διαβιβάζεται μεταξύ των οντοτήτων που αναφέρονται στο άρθρο 2 του παρόντος κανονισμού, για τους σκοπούς της εφαρμογής του παρόντος κανονισμού, προστατεύεται, λαμβανομένου υπόψη του επιπέδου εμπιστευτικότητας των πληροφοριών που εφαρμόζει ο φορέας προέλευσης.

2.   Η υποχρέωση τήρησης του επαγγελματικού απορρήτου ισχύει για τις οντότητες που αναφέρονται στο άρθρο 2.

3.   Οι ΕΑΑ κυβερνοασφάλειας, οι εθνικές ρυθμιστικές αρχές, οι ΕΑΑ ετοιμότητας αντιμετώπισης κινδύνων και οι CSIRT ανταλλάσσουν όλες τις απαραίτητες πληροφορίες για την εκτέλεση των καθηκόντων τους.

4.   Κάθε πληροφορία που λαμβάνεται, ανταλλάσσεται ή διαβιβάζεται μεταξύ των οντοτήτων που αναφέρονται στο άρθρο 2 παράγραφος 1, για τους σκοπούς της εφαρμογής του άρθρου 23, είναι ανωνυμοποιημένη και συγκεντρωτική.

5.   Οι πληροφορίες που λαμβάνει οποιαδήποτε οντότητα ή αρχή που υπόκειται στον παρόντα κανονισμό κατά την εκτέλεση των καθηκόντων της δεν γνωστοποιούνται σε καμία άλλη οντότητα ή αρχή, με την επιφύλαξη των περιπτώσεων που καλύπτονται από το εθνικό δίκαιο, άλλες διατάξεις του παρόντος κανονισμού ή άλλη σχετική νομοθεσία της Ένωσης.

6.   Με την επιφύλαξη της εθνικής ή της ενωσιακής νομοθεσίας, μια αρχή, μια οντότητα ή ένα φυσικό πρόσωπο που λαμβάνει πληροφορίες σύμφωνα με τον παρόντα κανονισμό δεν επιτρέπεται να τις χρησιμοποιεί για κανέναν άλλο σκοπό εκτός από την εκτέλεση των καθηκόντων του δυνάμει του παρόντος κανονισμού.

7.   Ο ACER, αφού ζητήσει τη γνώμη του ENISA, όλων των αρμόδιων αρχών, του ΕΔΔΣΜ ηλεκτρικής ενέργειας και του φορέα ΔΣΔ της ΕΕ, εκδίδει έως τις 13 Ιουνίου 2025 κατευθυντήριες γραμμές σχετικά με τους μηχανισμούς ανταλλαγής πληροφοριών από όλες τις οντότητες που αναφέρονται στο άρθρο 2 παράγραφος 1, και ιδίως τις προβλεπόμενες ροές επικοινωνίας, καθώς και μεθόδους για την ανωνυμοποίηση και τη συγκέντρωση πληροφοριών για τους σκοπούς της εφαρμογής του παρόντος άρθρου.

8.   Πληροφορίες που είναι εμπιστευτικές σύμφωνα με τους ενωσιακούς και τους εθνικούς κανόνες ανταλλάσσονται με την Επιτροπή και με άλλες αρμόδιες αρχές μόνο εφόσον η εν λόγω ανταλλαγή είναι αναγκαία για την εφαρμογή του παρόντος κανονισμού. Οι ανταλλασσόμενες πληροφορίες περιορίζονται σε ό,τι είναι αναγκαίο και αναλογικό προς τον σκοπό της εν λόγω ανταλλαγής. Η ανταλλαγή πληροφοριών διαφυλάσσει την εμπιστευτικότητα αυτών των πληροφοριών και προστατεύει τα συμφέροντα ασφάλειας και τα εμπορικά συμφέροντα των οντοτήτων κρίσιμου ή υψηλού αντικτύπου.

1.   Έως την έγκριση των όρων και προϋποθέσεων ή των μεθοδολογιών που αναφέρονται στο άρθρο 6 παράγραφος 2 ή των σχεδίων που αναφέρονται στο άρθρο 6 παράγραφος 3, το ΕΔΔΣΜ ηλεκτρικής ενέργειας, σε συνεργασία με τον φορέα ΔΣΔ της ΕΕ, καταρτίζει μη δεσμευτική καθοδήγηση σχετικά με τα ακόλουθα ζητήματα:

2.   Έως τις 13ης Οκτωβρίου 2024 το ΕΔΔΣΜ ηλεκτρικής ενέργειας, σε συνεργασία με τον φορέα ΔΣΔ της ΕΕ, καταρτίζει σύσταση για προσωρινό ECII. Το ΕΔΔΣΜ ηλεκτρικής ενέργειας, σε συνεργασία με τον φορέα ΔΣΔ της ΕΕ, κοινοποιεί τον συνιστώμενο προσωρινό ECII στις αρμόδιες αρχές.

3.   Τέσσερις μήνες από την παραλαβή του συνιστώμενου προσωρινού ECII ή το αργότερο έως τις 13ης Φεβρουαρίου 2025, οι αρμόδιες αρχές προσδιορίζουν οντότητες υποψήφιες να χαρακτηριστούν ως υψηλού ή κρίσιμου αντικτύπου στο οικείο κράτος μέλος με βάση τον συνιστώμενο ECII και καταρτίζουν προσωρινό κατάλογο οντοτήτων υψηλού ή κρίσιμου αντικτύπου. Οι οντότητες υψηλού ή κρίσιμου αντικτύπου που περιλαμβάνονται στον προσωρινό κατάλογο μπορούν να εκπληρώνουν οικειοθελώς τις υποχρεώσεις τους όπως ορίζονται στον παρόντα κανονισμό βάσει της αρχής της προφύλαξης. Έως τις 13ης Μαρτίου 2025 οι αρμόδιες αρχές κοινοποιούν στις οντότητες που περιλαμβάνονται στον προσωρινό κατάλογο ότι έχουν χαρακτηριστεί ως οντότητες υψηλού ή κρίσιμου αντικτύπου.

4.   Έως τις 13ης Δεκεμβρίου 2024 το ΕΔΔΣΜ ηλεκτρικής ενέργειας, σε συνεργασία με τον φορέα ΔΣΔ της ΕΕ, καταρτίζει προσωρινό κατάλογο διαδικασιών υψηλού ή κρίσιμου αντικτύπου σε επίπεδο Ένωσης. Οι οντότητες που λαμβάνουν κοινοποίηση σύμφωνα με την παράγραφο 3 οι οποίες αποφασίζουν οικειοθελώς να εκπληρώσουν τις υποχρεώσεις τους, όπως ορίζονται στον παρόντα κανονισμό βάσει της αρχής της προφύλαξης, χρησιμοποιούν τον προσωρινό κατάλογο διαδικασιών υψηλού ή κρίσιμου αντικτύπου για τον καθορισμό των προσωρινών περιμέτρων υψηλού ή κρίσιμου αντικτύπου και για τον προσδιορισμό των περιουσιακών στοιχείων που πρέπει να συμπεριληφθούν στην πρώτη εκτίμηση των κινδύνων για την κυβερνοασφάλεια σε επίπεδο οντότητας.

5.   Έως τις 13 Σεπτεμβρίου 2024 κάθε αρμόδια αρχή σύμφωνα με το άρθρο 4 παράγραφος 1 παρέχει στο ΕΔΔΣΜ ηλεκτρικής ενέργειας και στον φορέα ΔΣΔ της ΕΕ κατάλογο της εθνικής της νομοθεσίας που αφορά πτυχές της κυβερνοασφάλειας στις διασυνοριακές ροές ηλεκτρικής ενέργειας.

6.   Έως τις 13 Ιουνίου 2025 το ΕΔΔΣΜ ηλεκτρικής ενέργειας, σε συνεργασία με τον φορέα ΔΣΔ της ΕΕ, καταρτίζει προσωρινό κατάλογο ευρωπαϊκών και διεθνών προτύπων και ελέγχων που απαιτούνται από την εθνική νομοθεσία και αφορούν πτυχές της κυβερνοασφάλειας στις διασυνοριακές ροές ηλεκτρικής ενέργειας, λαμβάνοντας υπόψη τις πληροφορίες που παρέχουν οι αρμόδιες αρχές.

7.   Ο προσωρινός κατάλογος ευρωπαϊκών και διεθνών προτύπων και ελέγχων περιλαμβάνει:

8.   Το ΕΔΔΣΜ ηλεκτρικής ενέργειας και ο φορέας ΔΣΔ της ΕΕ λαμβάνουν υπόψη τις απόψεις του ENISA και του ACER κατά την οριστικοποίηση του προσωρινού καταλόγου προτύπων. Το ΕΔΔΣΜ ηλεκτρικής ενέργειας και ο φορέας ΔΣΔ της ΕΕ δημοσιεύουν τον μεταβατικό κατάλογο ευρωπαϊκών και διεθνών προτύπων και ελέγχων στους οικείους δικτυακούς τόπους.

9.   Το ΕΔΔΣΜ ηλεκτρικής ενέργειας και ο φορέας ΔΣΔ της ΕΕ ζητούν τη γνώμη του ENISA και του ACER σχετικά με τις προτάσεις για μη δεσμευτική καθοδήγηση που καταρτίζεται σύμφωνα με την παράγραφο 1.

10.   Έως ότου αναπτυχθούν οι ελάχιστοι και οι προηγμένοι έλεγχοι κυβερνοασφάλειας σύμφωνα με το άρθρο 29 και εγκριθούν σύμφωνα με το άρθρο 8, όλες οι οντότητες που αναφέρονται στο άρθρο 2 παράγραφος 1 προσπαθούν να εφαρμόσουν σταδιακά τη μη δεσμευτική καθοδήγηση που καταρτίζεται σύμφωνα με την παράγραφο 1.