1.   Käesolevat määrust kohaldatakse piiriüleste elektrivoogude küberturvalisuse aspektide suhtes järgmiste üksuste tegevuses, kui need on vastavalt artiklile 24 määratletud suure või ülisuure mõjuga üksusena:

2.   Käesoleva määrusega määratud ülesannete täitmise eest vastutavad oma praeguste volituste raames järgmised asutused:

3.   Käesolevat määrust kohaldatakse ka kõigi üksuste suhtes, mis ei ole asutatud liidus, kuid osutavad teenuseid liidus asuvatele üksustele, kui pädevad asutused on need vastavalt artikli 24 lõikele 2 tunnistanud suure või ülisuure mõjuga üksuseks.

4.   Käesoleva määrusega ei piirata liikmesriikide kohustust kaitsta riiklikku julgeolekut ega nende õigust kaitsta muid riigi põhifunktsioone, sealhulgas tagada riigi territoriaalne terviklikkus ja säilitada õiguskord.

5.   Käesoleva määruse kohaldamine ei piira liikmesriikide aluslepingute kohast vastutust riikliku julgeoleku tagamise eest seoses elektrienergia tootmisega tuumaelektrijaamades, sealhulgas tuumaenergia väärtusahelas toimuva tegevusega.

6.   Üksused, pädevad asutused, üksuse tasandi ühtsed kontaktpunktid ja CSIRTid töötlevad isikuandmeid käesoleva määruse kohaldamiseks vajalikus ulatuses ning kooskõlas määrusega (EL) 2016/679, eelkõige tuginedes sellise töötlemise puhul kõnealuse määruse artiklile 6.

1.   Niipea kui võimalik ja hiljemalt 13. detsember 2024 määrab iga liikmesriik ühe riikliku või reguleeriva asutuse, kes vastutab talle käesoleva määrusega antud ülesannete täitmise eest (edaspidi „pädev asutus“). Kuni käesolevast määrusest tulenevate ülesannete täitmiseks pole pädevat asutust määratud, täidab käesoleva määruse kohaseid pädeva asutuse ülesandeid liikmesriigi poolt direktiivi (EL) 2019/944 artikli 57 lõike 1 kohaselt määratud reguleeriv asutus.

2.   Iga liikmesriik teatab komisjonile, ACERile, ENISAle, direktiivi (EL) 2022/2555 artikli 14 kohaselt loodud võrgu- ja infoturbe koostöörühmale ja komisjoni 15. novembri 2012. aasta otsuse (17) artikli 1 alusel loodud elektrivaldkonna koordineerimise rühmale viivitamata lõike 1 kohaselt määratud pädeva asutuse nime ja kontaktandmed ja kõik nendes tehtavad muudatused.

3.   Liikmesriigid võivad lubada oma pädeval asutusel delegeerida käesoleva määrusega määratud ülesandeid, välja arvatud artiklis 5 loetletud ülesanded, muudele riigi ametiasutustele. Iga pädev asutus jälgib käesoleva määruse kohaldamist nende asutuste poolt, kellele ta on ülesandeid delegeerinud. Pädev asutus edastab komisjonile, ACERile, elektrivaldkonna koordineerimise rühmale, ENISA-le ning võrgu- ja infoturbe koostöörühmale selliste asutuste kohta, kellele ta on ülesandeid delegeerinud, nende nimed, kontaktandmed, neile määratud ülesanded ja nende hilisemad muudatused.

1.   Põhivõrguettevõtjad töötavad koos ELi jaotusvõrguettevõtjate üksusega välja ettepanekud lõike 2 kohaste tingimuste või meetodite või lõike 3 kohaste kavade kohta.

2.   Kõigi pädevate asutuste heakskiitu on vaja järgmiste tingimuste või meetodite ning nende kõigi muudatuste kohta:

3.   Artikli 22 kohaste piirkondlike küberriski leevendamise kavade ettepanekute jaoks on vaja kõigi asjaomase süsteemikäitamispiirkonna pädevate asutuste heakskiitu.

4.   Lõikes 2 osutatud tingimusi ja meetodeid või lõikes 3 nimetatud kavasid käsitlevates ettepanekutes tuleb esitada nende rakendamiseks kavandatud ajakava ja kirjeldada nende eeldatavat mõju käesoleva määruse eesmärkidele.

5.   ELi jaotusvõrguettevõtjate üksus võib esitada asjaomastele põhivõrguettevõtjatele põhjendatud arvamuse vähemalt kolm nädalat enne tingimuste, meetodite või kavade ettepaneku pädevatele asutustele esitamise tähtpäeva. Enne kui tingimuste, meetodite või kavade ettepaneku eest vastutavad põhivõrguettevõtjad selle ettepaneku pädevatele asutustele heakskiitmiseks esitavad, võtavad nad arvesse ELi jaotusvõrguettevõtjate üksuse põhjendatud arvamust. Kui ELi jaotusvõrguettevõtjate üksuse arvamust ei võeta arvesse, peavad põhivõrguettevõtjad seda põhjendama.

6.   Tingimuste, meetodite ja kavade ühisel väljatöötamisel teevad selles osalevad põhivõrguettevõtjad tihedat koostööd. Põhivõrguettevõtjad teavitavad Euroopa elektri põhivõrguettevõtjate võrgustiku abiga ja koostöös ELi jaotusvõrguettevõtjate üksusega korrapäraselt pädevaid asutusi ja ACERit tingimuste, meetodite või kavade väljatöötamisel tehtud edusammudest.

1.   Kui põhivõrguettevõtjad ei jõua tingimusi või meetodeid käsitlevate ettepanekute osas kokkuleppele, teevad nad otsuse kvalifitseeritud häälteenamusega. Selliste ettepanekute jaoks arvutatakse kvalifitseeritud häälteenamus järgmiselt:

2.   Blokeeriv vähemus peab artikli 6 lõike 2 kohaste tingimuste või meetodite kehtestamise ettepanekuid käsitlevate otsuste puhul koosnema vähemalt nelja liikmesriiki esindavatest põhivõrguettevõtjatest ja kui blokeerivat vähemust ei õnnestu moodustada, loetakse kvalifitseeritud häälteenamus saavutatuks.

3.   Kui süsteemikäitamispiirkonna põhivõrguettevõtjad ei suuda artikli 6 lõikes 2 loetletud kavasid käsitlevate ettepanekute suhtes kokkuleppele jõuda ja kui asjaomane süsteemikäitamispiirkond koosneb rohkem kui viiest liikmesriigist, teevad põhivõrguettevõtjad otsuse kvalifitseeritud häälteenamusega. Artikli 6 lõikes 2 loetletud ettepanekute puhul on kvalifitseeritud häälteenamuseks vaja järgmist häälteenamust:

4.   Blokeerivas vähemuses peab kavasid käsitlevate otsuste blokeerimiseks olema vähemalt miinimumarv põhivõrguettevõtjaid, kes esindavad rohkem kui 35 % osalevate liikmesriikide elanikest, ja sellele lisaks põhivõrguettevõtjad, kes esindavad veel vähemalt üht asjaomast liikmesriiki, ning kui blokeerivat vähemust ei õnnestu moodustada, loetakse kvalifitseeritud häälteenamus saavutatuks.

5.   Kui põhivõrguettevõtjad otsustavad artikli 6 lõikes 2 loetletud tingimusi või meetodeid käsitlevate ettepanekute üle, on igal liikmesriigil üks hääl. Kui liikmesriigi territooriumil on rohkem kui üks põhivõrguettevõtja, jagab liikmesriik hääleõiguse põhivõrguettevõtjate vahel.

6.   Kui põhivõrguettevõtjad koos ELi jaotusvõrguettevõtjate üksusega ei esita käesolevas määruses sätestatud tähtajaks asjaomastele pädevatele asutustele tingimuste, meetodite või kavade esialgset või muudetud ettepanekut, esitavad nad asjaomastele pädevatele asutustele ja ACERile tingimuste, meetodite või kavade asjakohased kavandid. Nad selgitavad, mis on kokkuleppe saavutamist takistanud. Pädevad asutused võtavad ühiselt asjakohaseid meetmeid, et nõuetekohased tingimused, meetodid või kavad vastu võtta. Seda võivad nad teha näiteks nii, et taotlevad vastavalt käesolevale lõikele esitatud kavandite muutmist, vaatavad need läbi ja täiendavad neid, või kui kavandeid ei ole esitatud, siis määravad kindlaks ja kiidavad heaks nõuetekohased tingimused, meetodid või kavad.

1.   Põhivõrguettevõtjad esitavad tingimuste, meetodite või kavade ettepanekud heakskiitmiseks asjaomastele pädevatele asutustele artiklites 18, 23, 29, 33, 34, 35 ja 37 kindlaksmääratud tähtaegade jooksul. Pädevad asutused võivad neid tähtaegu erakorralistel asjaoludel ühiselt pikendada, eelkõige juhul, kui tähtajast ei ole võimalik kinni pidada selliste asjaolude tõttu, mis ei sõltu põhivõrguettevõtjatest või ELi jaotusvõrguettevõtjate üksusest.

2.   Lõike 1 kohased tingimused, meetodid või kavad esitatakse ACERile teadmiseks samal ajal, kui need esitatakse pädevatele asutustele.

3.   Riikide reguleerivate asutuste ühise taotluse korral esitab ACER kuue kuu jooksul pärast tingimusi, meetodeid või kavasid käsitlevate ettepanekute saamist nende ettepanekute kohta arvamuse ning teavitab oma arvamusest riikide reguleerivaid asutusi ja pädevaid asutusi. Riikide reguleerivad asutused, küberturvalisuse eest vastutavad pädevad asutused ja muud pädevateks asutusteks määratud asutused kooskõlastavad oma tegevuse enne seda, kui riikide reguleerivad asutused küsivad ACERi arvamust. ACER võib sellisesse arvamusse lisada soovitusi. Enne artikli 6 lõikes 2 loetletud ettepanekute kohta arvamuse esitamist konsulteerib ACER ENISAga.

4.   Pädevad asutused konsulteerivad omavahel, teevad tihedat koostööd ja kooskõlastavad oma tegevust, et jõuda tingimuste, meetodite või kavade ettepaneku osas kokkuleppele. Enne tingimuste, meetodite või kavade heakskiitmist vaatavad nad pärast ENTSO-E ja ELi jaotusvõrguettevõtjate üksusega konsulteerimist ettepanekud vajaduse korral läbi ja täiendavad neid, et tagada ettepanekute kooskõla käesoleva määrusega ja saavutada kogu liidus ühtlaselt kõrge küberturvalisustase.

5.   Pädevad asutused teevad tingimuste, meetodite või kavade kohta otsuse kuue kuu jooksul pärast seda, kui asjaomane pädev asutus või vajaduse korral viimane asjaomane pädev asutus need tingimused, meetodid või kavad kätte saab.

6.   Kui ACER esitab oma arvamuse, võtavad asjaomased pädevad asutused seda arvamust arvesse ja teevad oma otsuse kuue kuu jooksul pärast ACERi arvamuse saamist.

7.   Kui pädevad asutused ühiselt nõuavad kavandatud tingimuste, meetodite või kavade muutmist, et need heaks kiita, töötavad põhivõrguettevõtjad koos ELi jaotusvõrguettevõtjate üksusega välja ettepaneku tingimusi, meetodeid või kavasid selliselt muuta. Põhivõrguettevõtjad esitavad muudetud ettepaneku heakskiitmiseks kahe kuu jooksul pärast pädevatelt asutustelt sellekohase nõude saamist. Pädevad reguleerivad asutused teevad muudetud tingimuste, meetodite või kavade kohta otsuse kahe kuu jooksul pärast nende esitamist.

8.   Kui pädevad asutused ei jõua lõikes 5 või 7 osutatud ajavahemiku jooksul kokkuleppele, teavitavad nad sellest komisjoni. Komisjon võib võtta asjakohaseid meetmeid, et võimaldada vajalike tingimuste, meetodite või kavade vastuvõtmist.

9.   Põhivõrguettevõtjad avaldavad Euroopa elektri põhivõrguettevõtjate võrgustiku ja ELi jaotusvõrguettevõtjate üksuse abiga tingimused, meetodid või kavad oma veebisaidil pärast asjaomaste pädevate asutuste heakskiitu, välja arvatud juhul, kui sellist teavet peetakse artikli 47 kohaselt konfidentsiaalseks.

10.   Pädevad asutused võivad ühiselt taotleda põhivõrguettevõtjatelt ja ELi jaotusvõrguettevõtjate üksuselt heakskiidetud tingimuste, meetodite või kavade muutmise ettepanekuid ning määrata kindlaks nende ettepanekute esitamise tähtaja. Põhivõrguettevõtjad võivad koos ELi jaotusvõrguettevõtjate üksusega esitada pädevatele asutustele muudatusettepanekuid ka omal algatusel. Tingimuste, meetodite või kavade muutmise ettepanekud töötatakse välja ja kiidetakse heaks käesolevas artiklis sätestatud korras.

11.   Vähemalt iga kolme aasta järel pärast vastavate tingimuste, meetodite või vastuvõetud kavade esmakordset vastuvõtmist vaatavad põhivõrguettevõtjad koos ELi jaotusvõrguettevõtjate üksusega läbi vastuvõetud tingimuste, meetodite või kavade tulemuslikkuse ning esitavad läbivaatamistulemused põhjendamatu viivituseta pädevatele asutustele ja ACERile.

1.   ENTSO-E abiga ja koos ELi jaotusvõrguettevõtjate üksusega konsulteerivad põhivõrguettevõtjad sidusrühmadega, sealhulgas ACERi, ENISA ja iga liikmesriigi pädeva asutusega selliste ettepanekute kavandite osas, mis käsitlevad artikli 6 lõikes 2 loetletud tingimusi või meetodeid ning artikli 6 lõikes 3 osutatud kavasid. Konsulteerimine peab kestma vähemalt üks kuu.

2.   Põhivõrguettevõtjate poolt koos ELi jaotusvõrguettevõtjate üksusega esitatud ettepanekud artikli 6 lõikes 2 osutatud tingimuste või meetodite kohta avaldatakse ja esitatakse konsulteerimiseks liidu tasandil. Asjaomaste põhivõrguettevõtjate poolt koos ELi jaotusvõrguettevõtjate üksusega esitatud ettepanekud artikli 6 lõikes 3 osutatud piirkondlike kavade kohta esitatakse konsulteerimiseks vähemalt piirkonna tasandil.

3.   ENTSO-E ja ELi jaotusvõrguettevõtjate üksuse poolt abistatud põhivõrguettevõtjad, kes vastutavad tingimuste, meetodite või kavade ettepaneku eest, võtavad enne ettepaneku regulatiivseks heakskiitmiseks esitamist nõuetekohaselt arvesse sidusrühmade seisukohti, mis saadakse lõike 1 kohaselt peetud konsultatsioonide käigus. Igal juhul tuleb esitatud ettepanekule lisada konsultatsiooni tulemuste rakendamise või rakendamata jätmise selge ja kokkuvõtlik põhjendus ning see tuleb avaldada aegsasti, kas enne tingimuste ja meetodite alase ettepaneku esitamist või samal ajal.

1.   Iga liikmesriigi asjaomane reguleeriv asutus hindab käesolevas määruses sätestatud kohustustest tulenevaid kulusid, mida kannavad põhi- ja jaotusvõrguettevõtjad, kelle suhtes kohaldatakse võrgutariifide reguleerimist, sealhulgas kulusid, mida kannavad Euroopa elektri põhivõrguettevõtjate võrgustik ja ELi jaotusvõrguettevõtjate üksus.

2.   Mõistlikuks, tõhusaks ja proportsionaalseks hinnatud kulud kaetakse võrgutariifide või muude asjakohaste mehhanismide kaudu, mille määrab kindlaks asjaomane riigi reguleeriv asutus.

3.   Kui asjaomased riigi reguleerivad asutused seda nõuavad, esitavad lõikes 1 osutatud põhi- ja jaotusvõrguettevõtjad riigi reguleeriva asutuse määratud mõistliku aja jooksul teabe, mida on vaja, et tekkinud kulusid hõlpsamini hinnata..

1.   ACER jälgib käesoleva määruse rakendamist kooskõlas määruse (EL) 2019/943 artikli 32 lõikega 1 ja määruse (EL) 2019/942 artikli 4 lõikega 2. Jälgimise käigus võib ACER teha koostööd ENISAga ning taotleda toetust Euroopa elektri põhivõrguettevõtjate võrgustikult ja ELi jaotusvõrguettevõtjate üksuselt. ACER teavitab käesoleva määruse rakendamisest korrapäraselt elektrivaldkonna koordineerimise rühma ning võrgu- ja infoturbe koostöörühma.

2.   ACER avaldab vähemalt iga kolme aasta järel pärast käesoleva määruse jõustumist aruande, milles

3.   Hiljemalt 13. juuni 2025 võib ACER koos ENISAga ning pärast ENTSO-Ega ja ELi jaotusvõrguettevõtjate üksusega konsulteerimist anda välja suunised asjakohase teabe kohta, mis tuleb seire eesmärgil ACERile edastada, samuti teabekogumise korra ja sageduse kohta, tuginedes lõike 5 kohaselt määratletud tulemusnäitajatele.

4.   Pädevatel asutustel võib olla juurdepääs ACERi valduses olevale asjakohasele teabele, mida ACER on käesoleva artikli kohaselt kogunud.

5.   Koostöös ENISAga ning ENTSO-E ja ELi jaotusvõrguettevõtjate üksuse toetusel esitab ACER talitluskindluse hindamise jaoks piiriüleste elektrivoogude küberturvalisuse aspektidega seotud mittesiduvad tulemusnäitajad.

6.   Käesoleva määruse artikli 2 lõikes 1 loetletud üksused esitavad ACERile teabe, mida ACER vajab lõikes 2 loetletud ülesannete täitmiseks.

1.   Hiljemalt 13. juuni 2025 koostab ACER koos ENISAga küberturvalisuse võrdlusanalüüsi jaoks mittesiduva juhendi. Juhendis selgitatakse riikide reguleerivatele asutustele, milliseid põhimõtteid on rakendatud käesoleva artikli lõikele 2 vastava küberturbemeetmete võrdlusanalüüsi korral, võttes arvesse meetmete rakendamise kulusid ning selliste meetmete rakendamiseks kasutatavate protsesside, toodete, teenuste, süsteemide ja lahenduste toimimise tulemuslikkust. ACER võtab küberturvalisuse võrdlusanalüüsi jaoks mittesiduva juhendi koostamisel arvesse olemasolevaid võrdlusuuringute aruandeid. ACER esitab küberturvalisuse võrdlusanalüüsi mittesiduva juhendi riikide reguleerivatele asutustele teadmiseks.

2.   12 kuu jooksul pärast lõike 1 kohase võrdlusanalüüsi juhendi koostamist teevad riikide reguleerivad asutused võrdlusanalüüsi, et hinnata, kas küberturvalisusse tehtavad investeeringud:

3.   Riikide reguleerivad asutused võivad võrdlusanalüüsi tegemisel võtta arvesse ACERi kehtestatud mittesiduvat juhendit küberturvalisuse võrdlusanalüüsi jaoks ning nad hindavad eelkõige järgmisi näitajaid:

4.   Võrdlusanalüüsiga seotud teavet käideldakse ja töödeldakse vastavalt käesoleva määruse kohastele andmete turvaliigituse nõuetele, minimaalsetele küberturbemeetmetele ja piiriüleste elektrivoogude küberriski hindamise aruandele. Lõigetes 2 ja 3 osutatud võrdlusanalüüsi ei avalikustata.

5.   Ilma et see piiraks artiklis 47 sätestatud konfidentsiaalsusnõuete kohaldamist ja vajadust kaitsta nende üksuste turvalisust, kelle suhtes käesoleva määruse sätteid kohaldatakse, jagatakse käesoleva artikli lõigetes 2 ja 3 osutatud võrdlusanalüüsi kõigi riikide reguleerivate asutuste, kõigi pädevate asutuste, ACERi, ENISA ja komisjoniga.

1.   18 kuu jooksul pärast käesoleva määruse jõustumist püüavad kolmanda riigiga külgneva süsteemikäitamispiirkonna põhivõrguettevõtjad sõlmida naabruses asuva kolmanda riigi põhivõrguettevõtjatega lepingud, mis on kooskõlas liidu asjakohase õigusega ning milles lepitakse kõnealuste põhivõrguettevõtjatega kokku küberturvalisuse kaitse ja koostöö korralduse alused.

2.   Põhivõrguettevõtjad teavitavad pädevat asutust lõike 1 kohaselt sõlmitud lepingutest.

1.   Üksused, kellel ei ole liidus tegevuskohta, kuid kes osutavad teenuseid liidus asuvatele üksustele ja on vastavalt artikli 24 lõikele 6 saanud teate, et nad on suure või ülisuure mõjuga üksused, määravad kolme kuu jooksul pärast sellise teate saamist kirjalikult endale liidus asuva esindaja ja teavitavad sellest pädevat asutust, kes neile vastava teate saatis.

2.   Sellele esindajale tuleb anda ülesanne võtta vastu kõigi liidu pädevate asutuste või CSIRTide pöördumisi (lisaks esindatavale suure või ülisuure mõjuga üksusele või selle üksuse asemel) seoses selle üksuse kohustustega, mis tulenevad käesolevast määrusest. Suure või ülisuure mõjuga üksus annab oma seaduslikule esindajale vajalikud volitused ja piisavad vahendid, et tagada esindaja tõhus ja õigeaegne koostöö asjaomaste pädevate asutuste või CSIRTidega.

3.   Esindaja tegevuskoht peab olema ühes nendest liikmesriikidest, kus esindatav üksus oma teenuseid osutab. Kõnealust üksust käsitatakse kuuluvana selle liikmesriigi jurisdiktsiooni alla, kus on esindaja tegevuskoht. Suure või ülisuure mõjuga üksused esitavad oma seadusliku esindaja nime, postiaadressi, e-posti aadressi ja telefoninumbri selle liikmesriigi pädevale asutusele, kus on asjaomase seadusliku esindaja elu- või tegevuskoht.

4.   Käesolevast määrusest tulenevate kohustuste täitmata jätmise korral võib määratud seadusliku esindaja vastutusele võtta, ilma et see piiraks vastutust või kohtumenetlusi, mis võidakse algatada suure või ülisuure mõjuga üksuse enda suhtes.

5.   Kui liidus asuvat esindajat käesoleva artikli kohaselt määratud ei ole, võib iga liikmesriik, kus selline üksus teenuseid osutab, võtta selle üksuse vastu õiguslikke meetmeid käesolevast määrusest tulenevate kohustuste täitmata jätmise tõttu.

6.   Lõike 1 kohase liidus asuva seadusliku esindaja määramine ei tähenda liidus ametliku tegevuskoha registreerimist.

1.   ENTSO-E ja ELi jaotusvõrguettevõtjate üksus teevad koostööd küberriski hindamisel vastavalt artiklitele 19 ja 21, eelkõige järgmiste ülesannete täitmisel:

2.   Euroopa elektri põhivõrguettevõtjate võrgustik ja ELi jaotusvõrguettevõtjate üksus võivad teha koostööd küberriskide töörühma raames.

3.   ENTSO-E ja ELi jaotusvõrguettevõtjate üksus teavitavad ACERit, ENISAt, võrgu- ja infoturbe koostöörühma ja elektrivaldkonna koordineerimisrühma korrapäraselt edusammudest, mida on tehtud artiklite 19 ja 21 kohasel kogu liitu hõlmavate ja piirkondlike küberriskide hindamisel.

1.   Hiljemalt 13. märts 2025 esitavad põhivõrguettevõtjad ELi jaotusvõrguettevõtjate üksuse abiga ning pärast konsulteerimist võrgu- ja infoturbe koostöörühmaga Euroopa elektri põhivõrguettevõtjate võrgustiku abiga ettepaneku küberriski hindamise meetodite kohta liidu, piirkonna ja liikmesriigi tasandil.

2.   Liidu, piirkonna ja liikmesriigi tasandi küberriski hindamise meetodid hõlmavad järgmist:

3.   Liidu, piirkonna ja liikmesriigi tasandi küberriski hindamise meetodites hinnatakse küberriske sama riskimaatriksi abil. Riskimaatriksiga

4.   Liidu tasandi küberriski hindamise meetodis kirjeldatakse, kuidas määratakse kindlaks ECII indeksi väärtused suure ja ülisuure mõju künniste jaoks. ECII indeks võimaldab üksustel vastavalt artikli 26 lõike 4 punkti c alapunktile i hinnata lõike 2 punktis b osutatud kriteeriumide abil riskide mõju oma tegevusprotsessidele.

5.   ENTSO-E teavitab koostöös ELi jaotusvõrguettevõtjate üksusega elektrivaldkonna koordineerimise rühma lõike 1 kohaselt väljatöötatud küberriski hindamise meetodeid käsitlevatest ettepanekutest.

1.   Üheksa kuu jooksul pärast artikli 8 kohase küberriski hindamise meetodi heakskiitmist ja seejärel iga kolme aasta tagant teeb ENTSO-E koos ELi jaotusvõrguettevõtjate üksusega ning võrgu- ja infoturbe koostöörühmaga konsulteerides, ilma et see piiraks direktiivi (EL) 2022/2555 artikli 22 kohaldamist, kogu liitu hõlmava küberriski hindamise ja koostab kogu liitu hõlmava küberriski hindamise aruande kavandi. Selleks kasutavad nad artikli 18 kohaselt välja töötatud ja artikli 8 kohaselt heaks kiidetud meetodeid, et teha kindlaks, analüüsida ja hinnata selliste küberrünnete võimalikke tagajärgi, mis mõjutavad elektrisüsteemi talitluskindlust ja häirivad piiriüleseid elektrivoogusid. Kogu liitu hõlmavas küberriski hindamises ei käsitleta küberrünnetest põhjustatud õiguslikku, rahalist ega mainekahju.

2.   Kogu liitu hõlmav küberriski hindamise aruanne sisaldab järgmisi elemente:

3.   Kogu liitu hõlmavate suure ja ülisuure mõjuga protsesside puhul sisaldab kogu liitu hõlmava küberriski hindamise aruanne järgmist:

4.   ENTSO-E esitab koos ELi jaotusvõrguettevõtjate üksusega kogu liitu hõlmava küberriski hindamise aruande kavandi koos kogu liitu hõlmava küberriski hindamise tulemustega ACERile arvamuse avaldamiseks. ACER esitab arvamuse aruande kavandi kohta kolme kuu jooksul pärast selle kättesaamist. Aruande lõppversiooni koostamisel võtavad ENTSO-E ja ELi jaotusvõrguettevõtjate üksus ACERi arvamust täiel määral arvesse.

5.   Kolme kuu jooksul pärast ACERi arvamuse saamist esitab ENTSO-E koos ELi jaotusvõrguettevõtjate üksusega ACERile, komisjonile, ENISAle ja pädevatele asutustele lõpliku kogu liitu hõlmava küberriski hindamise aruande.

1.   Iga pädev asutus hindab kõigi oma liikmesriigis asuvate suure ja ülisuure mõjuga üksuste küberriske, kasutades artikli 18 kohaselt välja töötatud ja artikli 8 kohaselt heaks kiidetud meetodeid. Liikmesriigi küberriski hindamise käigus tehakse kindlaks elektrisüsteemi talitluskindlust mõjutavate ja piiriüleseid elektrivooge häirivate küberrünnete riskid ning analüüsitakse neid. Liikmesriigi küberriski hindamises ei käsitleta küberrünnetest põhjustatud õiguslikku, rahalist ega mainekahju.

2.   21 kuu jooksul pärast suure ja ülisuure mõjuga üksustest teatamist vastavalt artikli 24 lõikele 6 ja pärast seda iga kolme aasta tagant ning pärast elektrivaldkonna küberturvalisuse eest vastutava pädeva asutusega konsulteerimist esitab iga pädev asutus CSIRTi abiga Euroopa elektri põhivõrguettevõtjate võrgustikule ja ELi jaotusvõrguettevõtjate üksusele liikmesriigi küberriski hindamise aruande, mis sisaldab järgmist teavet iga suure mõjuga ja ülisuure mõjuga protsessi kohta:

3.   Liikmesriigi küberriski hindamise aruandes võetakse arvesse liikmesriigi ohuvalmiduskava, mis on koostatud vastavalt määruse (EL) 2019/941 artiklile 10.

4.   Lõike 2 punktide a–d kohases liikmesriigi küberriski hindamise aruandes sisalduv teave ei tohi olla seotud konkreetsete üksuste ega varadega. Liikmesriigi küberriski hindamise aruanne sisaldab ka liikmesriikide pädevate asutuste poolt artikli 30 kohaselt tehtud ajutiste erandite riskide hindamist.

5.   ENTSO-E ja ELi jaotusvõrguettevõtjate üksus võivad nõuda pädevatelt asutustelt lisateavet seoses lõike 2 punktides a ja c sätestatud ülesannetega.

6.   Pädevad asutused tagavad, et nende esitatav teave on täpne ja õige.

1.   ENTSO-E teeb koos ELi jaotusvõrguettevõtjate üksusega ja asjaomase piirkondliku koordineerimiskeskusega konsulteerides iga süsteemikäitamispiirkonna kohta piirkondliku küberriski hindamise, kasutades artikli 19 kohaselt välja töötatud ja artikli 8 kohaselt heaks kiidetud meetodit, et teha kindlaks, analüüsida ja hinnata selliste küberrünnete riske, mis mõjutavad elektrisüsteemi talitluskindlust ja häirivad piiriüleseid elektrivooge. Piirkondlikes küberriski hindamistes ei käsitleta küberrünnetest põhjustatud õiguslikku, rahalist ega mainekahju.

2.   30 kuu jooksul pärast suure või ülisuure mõjuga üksustest teatamist vastavalt artikli 24 lõikele 6 ning seejärel iga kolme aasta tagant koostab ENTSO-E koos ELi jaotusvõrguettevõtjate üksusega ja konsulteerides võrgu- ja infoturbe koostöörühmaga iga süsteemikäitamispiirkonna kohta piirkonna küberriski hindamise aruande.

3.   Piirkondlikus küberriski hindamise aruandes võetakse arvesse kogu liitu hõlmavates küberriski hindamise aruannetes ja liikmesriikide küberriski hindamise aruannetes sisalduvat asjakohast teavet.

4.   Piirkondliku küberriski hindamise käigus võetakse arvesse küberturvalisusega seotud piirkondlikke elektrikriisi stsenaariume, mis on välja selgitatud vastavalt määruse (EL) 2019/941 artiklile 6.

1.   36 kuu jooksul pärast suure või ülisuure mõjuga üksustest teatamist vastavalt artikli 24 lõikele 6 ja hiljemalt 13. juuni 2031 ning seejärel iga kolme aasta tagant koostavad põhivõrguettevõtjad ENTSO-E abil koos ELi jaotusvõrguettevõtjate üksusega ning võrgu- ja infoturbe koostöörühmaga konsulteerides iga süsteemikäitamispiirkonna kohta piirkondliku küberriski leevendamise kava.

2.   Piirkondlikud küberriski leevendamise kavad hõlmavad järgmist:

3.   Euroopa elektri põhivõrguettevõtjate võrgustik esitab piirkondlikud riskileevenduskavad asjaomastele põhivõrguettevõtjatele, pädevatele asutustele ja elektrivaldkonna koordineerimise rühmale. Elektrivaldkonna koordineerimise rühm võib soovitada muudatusettepanekuid.

4.   Põhivõrguettevõtjad ajakohastavad koos ELi jaotusvõrguettevõtjate üksusega, ENTSO-E abiga ning võrgu- ja infoturbe koostöörühmaga konsulteerides piirkondlikke riskileevenduskavasid iga kolme aasta järel, välja arvatud juhul, kui asjaolud nõuavad sagedasemat ajakohastamist.

1.   40 kuu jooksul pärast suure ja ülisuure mõjuga üksustest teatamist vastavalt artikli 24 lõikele 6 ja seejärel iga kolme aasta tagant esitavad põhivõrguettevõtjad ENTSO-E abil koos ELi jaotusvõrguettevõtjate üksusega ning võrgu- ja infoturbe koostöörühmaga konsulteerides elektrivaldkonna koordineerimise rühmale aruande piiriüleste elektrivoogudega seotud küberriski hindamise tulemuste kohta (edaspidi „piiriüleste elektrivoogude küberriski hindamise üldaruanne“).

2.   Piiriüleste elektrivoogude küberriski hindamise üldaruanne põhineb kogu liitu hõlmaval küberriski hindamise aruandel, liikmesriikide küberriski hindamise aruannetel ja piirkondlikel küberriski hindamise aruannetel ning sisaldab järgmist teavet:

3.   Artikli 2 lõikes 1 loetletud üksused võivad aidata kaasa piiriüleste elektrivoogude küberriski hindamise üldaruande koostamisele, järgides teabe konfidentsiaalsuse nõudeid kooskõlas artikliga 47. Põhivõrguettevõtjad konsulteerivad nende üksustega ENTSO-E abiga ja ELi jaotusvõrguettevõtjate üksusega koostöös juba varases etapis.

4.   Piiriüleste elektrivoogude küberriski hindamise üldaruande suhtes kohaldatakse artikli 46 kohaseid teabevahetuse kaitse eeskirju. Ilma et see piiraks artikli 10 lõike 4 ja artikli 47 lõike 4 kohaldamist, avaldavad ENTSO-E ja ELi jaotusvõrguettevõtjate üksus aruande avaliku versiooni, mis ei sisalda sellist teavet, mis võiks kahjustada artikli 2 lõikes 1 loetletud üksusi. Aruande avalik versioon avaldatakse üksnes võrgu- ja infoturbe koostöörühma ja elektrivaldkonna koordineerimise rühma nõusolekul. ENTSO-E vastutab koos ELi jaotusvõrguettevõtjate üksusega aruande avaliku versiooni koostamise ja avaldamise eest.

1.   Iga pädev asutus teeb artikli 19 lõike 3 punkti b kohases kogu liitu hõlmavas küberriski hindamise aruandes esitatud ECII indekseid ning suure ja ülisuure mõju künniseid kasutades oma liikmesriigis kindlaks suure ja ülisuure mõjuga üksused, kes osalevad kogu liitu hõlmavates suure ja ülisuure mõjuga protsessides. Pädevad asutused võivad nõuda oma liikmesriigi üksuselt teavet, et määrata kindlaks kõnealuse üksuse ECII indeksi väärtused. Kui üksuse kindlaksmääratud ECII indeks ületab suure või ülisuure mõju künnise, loetletakse see üksus artikli 20 lõikes 2 osutatud liikmesriigi küberriski hindamise aruandes.

2.   Iga pädev asutus teeb artikli 19 lõike 3 punkti b kohases kogu liitu hõlmavas küberriski hindamise aruandes esitatud ECII indekseid ning suure ja ülisuure mõju künniseid kasutades kindlaks sellised liidus tegutsevad suure ja ülisuure mõjuga üksused, kelle asukoht on väljaspool liitu. Pädev asutus võib nõuda teavet üksuselt, kelle asukoht on väljaspool liitu, et määrata kindlaks üksuse ECII indeksi väärtused.

3.   Iga pädev asutus võib oma liikmesriigis määrata täiendavalt kindlaks suure või ülisuure mõjuga üksusi, kui nende korral on täidetud järgmised kriteeriumid:

4.   Kui pädev asutus teeb lõike 3 kohaselt kindlaks täiendava üksuse, siis juhul, kui rühma ühine ECII indeks ületab suure mõju künnise, loetakse kõiki selle üksuse protsesse suure mõjuga protsessideks, ning kui rühma ühine ECII indeks ületab ülisuure mõju künnise, loetakse kõiki selle üksuse protsesse ülisuure mõjuga protsessideks.

5.   Kui pädev asutus teeb lõike 3 punktis a osutatud üksusi kindlaks rohkem kui ühes liikmesriigis, teavitab ta nendest teisi asjakohaseid pädevaid asutusi, ENTSO-Ed ja ELi jaotusvõrguettevõtjate üksust. ENTSO-E esitab koos ELi jaotusvõrguettevõtjate üksusega kõigilt pädevatelt asutustelt saadud teabe põhjal pädevatele asutustele analüüsi rohkem kui ühes liikmesriigis asuvate üksuste koondumise kohta, mille tulemusena võivad tekkida mitmes kohas piiriüleste elektrivoogude häired ja mis võib põhjustada küberründe. Kui mitmes liikmesriigis asuvate üksuste rühm on kooslus, mille ECII indeks ületab suure või ülisuure mõju künnise, käsitlevad kõik asjaomased pädevad asutused sellisesse rühma koosnevaid üksusi oma liikmesriigis selle üksuste rühma ühise ECII indeksi alusel suure või ülisuure mõjuga üksustena ning asjaomased üksused loetletakse kogu liitu hõlmavas küberriski hindamise aruandes.

6.   Iga pädev asutus teatab loetellu kantud üksustele üheksa kuu jooksul pärast seda, kui ENTSO-E ja ELi jaotusvõrguettevõtjate üksus on neid teavitanud kogu liitu hõlmavast küberriski hindamise aruandest vastavalt artikli 19 lõikele 5 ning igal juhul hiljemalt 13. juuni 2028, et nad on oma liikmesriigis tunnistatud suure või ülisuure mõjuga üksuseks.

7.   Kui pädevale asutusele teatatakse, et teenuseosutaja on ülitähtsa IKT-teenuse osutaja vastavalt artikli 27 punktile c, teavitab see pädev asutus sellest nende liikmesriikide pädevaid asutusi, kelle territooriumil on selle teenuseosutaja asukoht või asub tema esindaja. Viimati nimetatud pädev asutus teatab teenuseosutajale, et ta on tunnistatud ülitähtsa teenuse osutajaks.

1.   Pädevad asutused võivad kehtestada riikliku kontrollikava, et kontrollida, kas artikli 24 lõike 1 kohaselt kindlaks määratud ülisuure mõjuga üksused rakendavad siseriiklikku õigusraamistikku, mis on lisatud artiklis 34 osutatud kaardistamismaatriksisse. Riiklik kontrollikava võib põhineda inspekteerimisel pädeva asutuse poolt, sõltumatutel turvaaudititel või sama liikmesriigi ülisuure mõjuga üksuste vastastikustel eksperdihinnangutel, mille korraldab pädev asutus.

2.   Kui pädev asutus otsustab kehtestada riikliku kontrollikava, tagab see pädev asutus, et kontrolli tehakse kooskõlas järgmiste nõuetega:

3.   Kui pädev asutus otsustab kehtestada riikliku kontrollikava, annab ta ACERile igal aastal aru, kui sageli ta on selle kava raames inspekteerimisi teinud.

1.   Kõik suure ja ülisuure mõjuga üksused, mille pädevad asutused on artikli 24 lõike 1 kohaselt kindlaks teinud, korraldavad oma suure ja ülisuure mõjuga alas asuvate kõigi varade küberriskide juhtimise. Kõik suure ja ülisuure mõjuga üksused korraldavad lõikes 2 nimetatud etappe sisaldava riskijuhtimise iga kolme aasta järel.

2.   Kõik suure ja ülisuure mõjuga üksused lähtuvad oma küberriski juhtimises lähenemisviisist, mille eesmärk on kaitsta oma võrgu- ja infosüsteeme ning mis koosneb järgmistest etappidest:

3.   Konteksti loomise etapis peavad kõik suure ja ülisuure mõjuga üksused:

4.   Küberriski hindamise etapis teevad kõik suure ja ülisuure mõjuga üksused järgmist:

5.   Küberriski käsitluse etapis koostavad kõik suure ja ülisuure mõjuga üksused üksuse tasandi riskileevenduskava, valides riskide juhtimiseks ja jääkriskide kindlakstegemiseks sobivad riskikäsitluse võimalused.

6.   Küberriski aktsepteerimise etapis otsustavad kõik suure ja ülisuure mõjuga üksused lõike 3 punktis b esitatud riski aktsepteerimise kriteeriumide alusel, kas aktsepteerida jääkriski.

7.   Kõik suure ja ülisuure mõjuga üksused registreerivad lõikes 1 kindlaks määratud varad varaloendis. See varaloend ei ole riskihindamise aruande osa.

8.   Pädev asutus võib inspekteerimise käigus varaloendisse kantud varasid kontrollida.

1.   Elektrivaldkonna ühine küberturberaamistik koosneb järgmistest meetmetest ja küberturbe halduse süsteemist:

2.   Kõik suure mõjuga üksused kohaldavad oma suure mõjuga alas lõike 1 punkti a kohaseid minimaalseid küberturbemeetmeid.

3.   Kõik ülisuure mõjuga üksused kohaldavad oma ülisuure mõjuga alas lõike 1 punkti b kohaseid rangeid küberturbemeetmeid.

4.   Seitsme kuu jooksul pärast esimese kogu liitu hõlmava küberriski hindamise aruande kavandi esitamist vastavalt artikli 19 lõikele 4 täiendatakse lõikes 1 osutatud elektrivaldkonna ühist küberturberaamistikku tarneahelas rakendatavate minimaalsete ja rangete küberturbemeetmetega, mis koostatakse artikli 33 kohaselt.

1.   Seitsme kuu jooksul pärast esimese kogu liitu hõlmava küberriski hindamise aruande kavandi esitamist vastavalt artikli 19 lõikele 4 töötavad põhivõrguettevõtjad ENTSO-E abiga ja koos ELi jaotusvõrguettevõtjate üksusega välja ettepaneku minimaalsete ja rangete küberturbemeetmete kohta.

2.   Kuue kuu jooksul pärast iga piirkondliku küberriski hindamise aruande koostamist vastavalt artikli 21 lõikele 2 esitavad põhivõrguettevõtjad ENTSO-E abiga ja koos ELi jaotusvõrguettevõtjate üksusega pädevale asutusele muudatusettepaneku minimaalsete ja rangete küberturbemeetmete kohta. Ettepanek tehakse kooskõlas artikli 8 lõikega 10 ja selles võetakse arvesse piirkondliku riskihindamise käigus kindlaks tehtud riske.

3.   Minimaalseid ja rangeid küberturbemeetmeid kontrollitakse osalemisega riiklikus kontrollikavas vastavalt artiklis 31 sätestatud menetlusele või sõltumatu kolmanda osalise läbiviidud turvaaudititega, mis tehakse vastavalt artikli 25 lõikes 2 loetletud nõuetele.

4.   Lõike 1 kohaselt välja töötatud esialgsed minimaalsed ja rangeid küberturbemeetmed põhinevad artikli 19 lõikes 5 osutatud kogu liitu hõlmavas küberriski hindamise aruandes kindlaks tehtud riskidel. Lõike 2 kohaselt välja töötatud muudetud minimaalsed ja ranged küberturbemeetmed põhinevad artikli 21 lõikes 2 osutatud piirkondlikul küberriski hindamise aruandel.

5.   Minimaalsete küberturbemeetmete hulka kuuluvad artikli 46 kohaselt vahetatava teabe kaitsmise meetmed.

6.   12 kuu jooksul pärast minimaalsete ja rangete küberturbemeetmete heakskiitmist vastavalt artikli 8 lõikele 5 või pärast iga ajakohastamist vastavalt artikli 8 lõikele 10 kohaldavad artikli 2 lõikes 1 loetletud ning artikli 24 kohaselt ülisuure ja suure mõjuga üksusena kindlaks määratud üksused, kui nad koostavad üksuse tasandi riskileevenduskava vastavalt artikli 26 lõikele 5, minimaalseid küberturbemeetmeid suure mõjuga alas ja rangeid küberturbemeetmeid ülisuure mõjuga alas.

1.   Artikli 2 lõikes 1 loetletud üksused võivad taotleda, et asjaomane pädev asutus teeks erandi kohustusest kohaldada artikli 29 lõikes 6 osutatud minimaalseid ja rangeid küberturbemeetmeid. Pädev asutus võib sellise erandi teha ühel järgmistest põhjustest:

2.   Kolme kuu jooksul alates lõikes 1 osutatud taotluse saamisest otsustab iga pädev asutus, kas teha minimaalsetest ja rangetest küberturbemeetmetest erand. Minimaalsetest või rangetest küberturbemeetmetest tehakse erandeid maksimaalselt kolmeks aastaks, võimalusega neid pikendada.

3.   Anonüümne koondteave tehtud erandite kohta lisatakse lisana artiklis 23 osutatud piiriüleste elektrivoogude küberriski hindamise üldaruande juurde. Vajaduse korral ajakohastavad seda loetelu ENTSO-E ja ELi jaotusvõrguettevõtjate üksus ühiselt.

1.   Hiljemalt 24 kuud pärast artikli 28 lõike 1 punktides a, b ja c osutatud meetmete vastuvõtmist ning kõnealuse artikli punktis d osutatud küberturbe halduse süsteemi loomist peavad kõik artikli 24 lõike 1 kohaselt kindlaks määratud ülisuure mõjuga üksused suutma pädeva asutuse taotlusel tõendada oma vastavust küberturbe halduse süsteemile ja minimaalsete või rangete küberturbemeetmete kohaldamist.

2.   Kõik ülisuure mõjuga üksused täidavad lõikes 1 osutatud kohustuse sellega, et lasevad sõltumatul kolmandal isikul teha turvaauditi vastavalt artikli 25 lõikes 2 loetletud nõuetele või osalevad riiklikus kontrollikavas kooskõlas artikli 25 lõikega 1.

3.   Selle kontrollimine, kas ülisuure mõjuga üksus vastab küberturbe halduse süsteemile ja järgib minimaalseid või rangeid küberturbemeetmeid, hõlmab kõiki ülisuure mõjuga üksuse ülisuure mõjuga alas asuvaid varasid.

4.   Kontrolli, kas ülisuure mõjuga üksus vastab küberturbe halduse süsteemile ja järgib minimaalseid või rangeid küberturbemeetmeid, korratakse korrapäraselt hiljemalt 36 kuud pärast esimese kontrolli lõppu ja seejärel iga kolme aasta tagant.

5.   Iga artikli 24 kohaselt ülisuure mõjuga üksusena kindlaks määratud üksus tõendab oma vastavust artikli 28 lõike 1 punktides a, b ja c osutatud meetmetele ning kõnealuse artikli punktis d osutatud küberturbe halduse süsteemi kehtestamist sellega, et esitab pädevale asutusele aruande vastavuskontrolli tulemuste kohta.

1.   24 kuu jooksul pärast seda, kui pädev asutus on teatanud, et üksus on tunnistatud suure või ülisuure mõjuga üksuseks vastavalt artikli 24 lõikele 6, loob iga selline üksus küberturbe halduse süsteemi ja vaatab selle seejärel läbi iga kolme aasta järel, eesmärgiga:

2.   Küberturbe halduse süsteemi kohaldatakse kogu sellise vara suhtes, mis asub suure ja ülisuure mõjuga üksuse suure ja ülisuure mõjuga alas.

3.   Pädevad asutused toetavad haldussüsteemidega seotud ja võrgu- ja infosüsteemide turvalisust käsitlevate Euroopa ja rahvusvaheliste standardite ja tehniliste kirjelduste rakendamist, ilma et nad seejuures nõuaksid või diskrimineerivalt soosiksid konkreetset tüüpi tehnoloogia kasutamist.

1.   Seitsme kuu jooksul pärast kogu liitu hõlmava küberriski hindamise aruande esimese kavandi esitamist vastavalt artikli 19 lõikele 4 töötavad põhivõrguettevõtjad ENTSO-E abiga ja koos ELi jaotusvõrguettevõtjate üksusega välja ettepaneku tarneahelas rakendatavate selliste minimaalsete ja rangete küberturbemeetmete kohta, millega leevendatakse kogu liitu hõlmava küberriski hindamise käigus kindlaks tehtud tarneahelariske ning täiendatakse artikli 29 kohaselt välja töötatud minimaalseid ja rangeid küberturbemeetmeid. Tarneahelas rakendatavad minimaalsed ja ranged küberturbemeetmed töötatakse välja koos artikli 29 kohaste minimaalsete ja rangete küberturbemeetmetega. Tarneahelas rakendatavad minimaalsed ja ranged küberturbemeetmed hõlmavad suure või ülisuure mõjuga üksuse suure või ülisuure mõjuga alas asuvate kõigi IKT-toodete, -teenuste ja -protsesside kogu olelusringi. Tarneahelas rakendatavate minimaalsete ja rangete küberturbemeetmete ettepaneku väljatöötamisel konsulteeritakse võrgu- ja infoturbe koostöörühmaga.

2.   Tarneahelas rakendatavad minimaalsed ja ranged küberturbemeetmed koosnevad suure ja ülisuure mõjuga üksuste meetmetest, mille hulgas on:

3.   Lõike 2 punktis a osutatud küberturbealases hankesoovituses esitatud küberturbe tehniliste kirjelduste jaoks kasutavad suure või ülisuure mõjuga üksused Euroopa Parlamendi ja nõukogu direktiivi 2014/24/EL (19) kohaseid hankepõhimõtteid kooskõlas artikli 35 lõikega 4 või määravad kindlaks oma tehnilised kirjeldused, mis põhinevad üksuse tasandi küberriski hindamise tulemustel.

4.   Tarneahela ranged küberturbemeetmed hõlmavad meetmeid ülisuure mõjuga üksuste jaoks, et kontrollida hangete käigus, kas ülisuure mõjuga varadena kasutatavad IKT-tooted, -teenused ja -protsessid vastavad küberturbe tehnilistele kirjeldustele. IKT-toodet, -teenust või -protsessi kontrollitakse kas artiklis 31 osutatud Euroopa küberturvalisuse sertifitseerimise kava abil või üksuse valitud ja korraldatud tõendamistoimingutega. Tõendamistoimingute põhjalikkus ja katvus peab olema piisav, et tagada kindlus, et IKT-toodet, -teenust või -protsessi saab kasutada üksuse tasandi riskihindamise käigus kindlaks tehtud riskide leevendamiseks. Ülisuure mõjuga üksus dokumenteerib avastatud riskide vähendamiseks võetud meetmed.

5.   Tarneahela minimaalseid ja rangeid küberturbemeetmeid kohaldatakse asjaomaste IKT-toodete, -teenuste ja -protsesside hangete suhtes. Tarneahelas rakendatavaid minimaalseid ja rangeid küberturbemeetmeid kohaldatakse artikli 24 kohaselt kindlaksmääratud ülisuure ja suure mõjuga üksuste selliste hankemenetluste suhtes, mis algavad kuus kuud pärast artiklis 29 osutatud minimaalsete ja rangete küberturbemeetmete vastuvõtmist või ajakohastamist.

6.   Kuue kuu jooksul pärast iga piirkondliku küberriski hindamise aruande koostamist vastavalt artikli 21 lõikele 2 esitavad põhivõrguettevõtjad ENTSO-E abiga ja koos ELi jaotusvõrguettevõtjate üksusega pädevale asutusele muudatusettepaneku tarneahela minimaalsete ja rangete küberturbemeetmete kohta. Ettepanek tehakse kooskõlas artikli 8 lõikega 10 ja selles võetakse arvesse piirkondliku riskihindamise käigus kindlaks tehtud riske.

1.   Seitsme kuu jooksul pärast esimese kogu liitu hõlmava küberriski hindamise aruande kavandi esitamist vastavalt artikli 19 lõikele 4 töötavad põhivõrguettevõtjad ENTSO-E abiga koos ELi jaotusvõrguettevõtjate üksusega ja ENISAga konsulteerides välja ettepaneku sellise maatriksi kohta, mille abil kaardistada artikli 28 lõike 1 punktides a ja b sätestatud meetmed vastavalt valitud Euroopa ja rahvusvahelistele standarditele ning asjakohastele tehnilistele kirjeldustele (edaspidi „kaardistamismaatriks“). ENTSO-E ja ELi jaotusvõrguettevõtjate üksus dokumenteerivad eri meetmete samaväärsuse artikli 28 lõike 1 punktides a ja b ettenähtud meetmetega.

2.   Pädevad asutused võivad esitada ENTSO-E-le ja ELi jaotusvõrguettevõtjate üksusele artikli 28 lõike 1 punktides a ja b ettenähtud meetmete kaardistamise tulemused, viidates seotud siseriiklikele õiguslikele või regulatiivsetele raamistikele, sealhulgas direktiivi (EL) 2022/2555 artiklis 25 osutatud liikmesriikide asjaomastele siseriiklikele standarditele. Kui liikmesriigi pädev asutus esitab sellise kaardistamise tulemuse, integreerivad Euroopa elektri põhivõrguettevõtjate võrgustik ja ELi jaotusvõrguettevõtja selle riikliku kaardistuse kaardistamismaatriksisse.

3.   Kuue kuu jooksul pärast iga piirkondliku küberriski hindamise aruande koostamist vastavalt artikli 21 lõikele 2 esitavad põhivõrguettevõtjad ENTSO-E abiga koos ELi jaotusvõrguettevõtjate üksusega ja ENISAga konsulteerides pädevale asutusele ettepaneku kaardistamismaatriksi muutmise kohta. Ettepanek tehakse kooskõlas artikli 8 lõikega 10 ja selles võetakse arvesse piirkondliku riskihindamise käigus kindlaks tehtud riske.

1.   Kehtestatavas tööprogrammis, mida ajakohastatakse iga kord, kui võetakse vastu piirkondlik küberriski hindamise aruanne, esitavad põhivõrguettevõtjad ENTSO-E abiga koos ELi jaotusvõrguettevõtjate üksusega küberturbehangete mittesiduvate soovituste kogumid, mida suure ja ülisuure mõjuga üksused võivad kasutada alusena IKT-toodete, -teenuste ja -protsesside hankimisel suure ja ülisuure mõjuga alade jaoks. Kõnealuses tööprogrammis sisalduvad järgmised osad:

2.   Kuue kuu jooksul pärast piirkondliku küberriskide hindamise aruande vastuvõtmist või ajakohastamist esitab ENTSO-E koos ELi jaotusvõrguettevõtjate üksusega ACERile kõnealuse tööprogrammi kokkuvõtte.

3.   Põhivõrguettevõtjad püüavad ENTSO-E abiga koos ELi jaotusvõrguettevõtjate üksusega tagada, et asjaomase piirkondliku küberriski hindamise põhjal välja töötatud mittesiduvad küberturbehangete soovitused oleksid eri süsteemikäitamispiirkondades samalaadsed või võrreldavad. Küberturbehangete soovituste kogum hõlmab vähemalt artikli 33 lõike 2 punktis a osutatud tehnilisi kirjeldusi. Võimaluse korral valitakse tehnilised kirjeldused Euroopa ja rahvusvahelistest standarditest.

4.   Põhivõrguettevõtjad tagavad ENTSO-E abiga ja koostöös ELi jaotusvõrguettevõtjate üksusega, et küberturbehangete soovitused

1.   Kui teatavat liiki IKT-toote, -teenuse või -protsessi jaoks, mida ülisuure mõjuga üksused kasutatavad, on olemas sobiv Euroopa küberturvalisuse sertifitseerimise kava, siis võivad artikli 35 kohaselt välja töötatud mittesiduvad küberturbehangete soovitused sisaldada sektoripõhiseid suuniseid sellise kava kasutamise kohta, ilma et see piiraks määruse (EL) 2019/881 artikli 46 kohase Euroopa küberturvalisuse sertifitseerimise kavade raamistiku rakendamist.

2.   Põhivõrguettevõtjad teevad ENTSO-E abiga koos ELi jaotusvõrguettevõtjate üksusega tihedat koostööd ENISAga, et anda sektoripõhiseid suuniseid, mis sisalduvad lõike 1 kohastes mittesiduvates küberturbehangete soovitustes.

1.   Kui pädev asutus saab teavet sellise küberründe kohta, millest tuleb teatada, siis see pädev asutus:

2.   Kui CSIRT saab teada aktiivselt ärakasutatud paikamata nõrkusest, teeb ta järgmist:

3.   Kui pädev asutus saab teada aktiivselt ärakasutatud paikamata nõrkusest, teeb see pädev asutus järgmist:

4.   Kui pädev asutus saab teada paikamata nõrkusest, ilma et oleks tõendeid selle kohta, et seda juba aktiivselt kasutatakse, teeb ta põhjendamatu viivituseta koostööd CSIRTiga nõrkuse koordineeritud avalikustamiseks vastavalt direktiivi (EL) 2022/2555 artikli 12 lõikele 1.

5.   Kui CSIRT saab vastavalt artikli 38 lõikele 6 ühelt või mitmelt suure või ülisuure mõjuga üksuselt teavet küberohtude kohta, edastab ta põhjendamatu viivituseta ja hiljemalt nelja tunni jooksul pärast teabe saamist selle või muu teabe, mis on oluline, et riski ennetada, avastada, leevendada või sellele reageerida, oma liikmesriigi ülisuure ja suure mõjuga üksustele ning asjakohasel juhul kõigile asjaomastele CSIRTidele ja oma riiklikule ühtsele kontaktpunktile.

6.   Kui pädev asutus saab ühelt või mitmelt suure või ülisuure mõjuga üksuselt küberohtudega seotud teavet, edastab ta selle teabe CSIRTile lõike 5 kohaldamise eesmärgil.

7.   Pädevad asutused võivad lõigete 3 ja 4 kohased kohustused, mis on seotud ühe või mitme üksusega, millel on suur või ülisuur mõju ja mis tegutsevad rohkem kui ühes liikmesriigis, täielikult või osaliselt delegeerida mõnele muule pädevale asutusele, mis asub ühes neist liikmesriikidest, kui asjaomased pädevad asutused selles kokku lepivad.

8.   Põhivõrguettevõtjad töötavad ENTSO-E abiga koos ELi jaotusvõrguettevõtjate üksusega välja küberrünnete liigitamise skaala meetodi hiljemalt 13. juuni 2025. Põhivõrguettevõtjad võivad ENTSO-E ja ELi jaotusvõrguettevõtjate üksuse abiga taotleda, et pädevad asutused konsulteeriks ENISA ja küberturvalisuse eest vastutavate pädevate asutustega, et saada abi sellise liigitusskaala väljatöötamiseks. Meetodi kohaselt liigitatakse küberründed raskusastme järgi viiele tasemele, millest kaks kõrgeimat taset on „suur mõju“ ja „ülisuur mõju“. Liigitus põhineb järgmiste parameetrite hindamisel:

9.   Hiljemalt 13. juuni 2026 teeb ENTSO-E koos ELi jaotusvõrguettevõtjate üksusega teostatavusuuringu, et hinnata võimalust välja töötada ühine vahend, mis võimaldab kõigil üksustel jagada teavet asjaomaste riiklike ametiasutustega, ja selleks vajalikke rahalisi kulusid.

10.   Teostatavusuuringus käsitletakse võimalust, et selline ühine vahend:

11.   ENTSO-E teeb koos ELi jaotusvõrguettevõtjate üksusega järgmist:

12.   ENTSO-E võib koos ELi jaotusvõrguettevõtjate üksusega analüüsida ja hõlbustada ülisuure ja suure mõjuga üksuste kavandatud algatusi, mille eesmärk on selliseid teabejagamisvahendeid hinnata ja testida.

1.   Kõik suure ja ülisuure mõjuga üksused:

2.   ENISA võib määruse (EL) 2019/881 artikli 6 lõikes 2 kindlaks määratud ülesande raames anda mittesiduvaid suuniseid sellise suutlikkuse loomiseks või allhanke korras teenuse hankimiseks turbetarnijatelt.

3.   Kõik ülisuure ja suure mõjuga üksused jagavad oma CSIRTidele ja oma pädevale asutusele sellise küberründe kohta, millest tuleb teatada, asjakohast teavet põhjendamatu viivituseta ja hiljemalt nelja tunni jooksul pärast seda, kui nad on saanud selgeks, et intsidendist tuleb teatada.

4.   Küberründest tuleb teatada, kui mõjutatud üksuse arvates on küberründel artikli 37 lõike 8 kohase küberrünnete liigitamise skaala meetodi kohaselt „suur mõju“ või „ülisuur mõju“. Lõike 1 punkti c kohaselt määratud üksuse tasandi ühtne kontaktpunkt teatab intsidendi liigitusest.

5.   Kui ülisuure ja suure mõjuga üksused edastavad CSIRTile asjakohast teavet, mis on seotud aktiivselt ärakasutatud paikamata nõrkustega, võib CSIRT edastada selle teabe oma pädevale asutusele. Võttes arvesse esitatud teabe tundlikkust, võib CSIRT põhjendatud küberturbeasjaolude tõttu teabe andmisest keelduda või selle andmise edasi lükata.

6.   Kõik ülisuure ja suure mõjuga üksused esitavad oma CSIRTidele põhjendamatu viivituseta kogu teabe, mis on seotud küberohuga, millest tuleb teatada ja millel võib olla piiriülene mõju. Küberohuga seotud teabest tuleb teatada, kui on täidetud vähemalt üks järgmistest tingimustest:

7.   Kõik ülisuure ja suure mõjuga üksused täpsustavad käesoleva artikli kohasel teabejagamisel järgmist:

8.   Kui ülisuure või suure mõjuga üksus teavitab olulisest intsidendist vastavalt direktiivi (EL) 2022/2555 artiklile 23 ja kõnealuse artikli kohase intsidendist teatamise käigus edastatakse asjakohane teave, mida nõutakse käesoleva artikli lõikes 3, siis käsitatakse kõnealuse direktiivi artikli 23 lõike 1 kohast üksuse poolt teatamist käesoleva artikli lõike 3 kohase teavitamisena.

9.   Kõik ülisuure ja suure mõjuga üksused teavitavad oma pädevat asutust või CSIRTi ja seejuures määravad selgelt kindlaks konkreetse teabe, mida jagatakse üksnes pädeva asutuse või CSIRTiga juhul, kui teabe jagamisega võib kaasneda küberrünne. Igal ülisuure ja suure mõjuga üksusel on õigus esitada pädevale CSIRTile sellise teabe mittekonfidentsiaalne versioon.

1.   Ülisuure ja suure mõjuga üksused arendavad asjaomase pädeva asutuse, ENTSO-E ja ELi jaotusvõrguettevõtjate üksuse toetusel välja vajaliku võime kindlakstehtud küberrünnete käsitlemiseks. Ülisuure ja suure mõjuga üksusi võib toetada nende liikmesriigis kindlaks määratud CSIRT osana CSIRTidele direktiivi (EL) 2022/2555 artikli 11 lõike 5 punktiga a antud ülesandest. Ülisuure ja suure mõjuga üksused rakendavad tõhusaid protsesse, et teha kindlaks ja liigitada küberründeid ning reageerida rünnetele, mis mõjutavad või võivad mõjutada piiriüleseid elektrivooge, et minimeerida nende küberrünnete mõju.

2.   Kui küberrünne mõjutab piiriüleseid elektrivooge, teevad ülisuure ja suure mõjuga üksuste (keda olukord mõjutab) ühtsed kontaktpunktid üksuste tasandil koostööd, et jagada omavahel teavet, ning seda koostööd koordineerib selle liikmesriigi pädev asutus, kus küberründest esmakordselt teatati.

3.   Ülisuure ja suure mõjuga üksused teevad järgmist:

4.   Liikmesriigid võivad lõikes 1 osutatud ülesanded delegeerida ka määruse (EL) 2019/943 artikli 37 lõike 2 kohastele piirkondlikele koordineerimiskeskustele.

1.   Kui pädev asutus teeb kindlaks, et elektrikriis on seotud küberründega, mis mõjutab rohkem kui ühte liikmesriiki, loovad mõjutatud liikmesriikide pädevad asutused, küberturvalisuse eest vastutavad riigi pädevad asutused, ohuvalmiduse eest vastutavad riigi pädevad asutused ning võrgu- ja infoturbe küberkriisi ohjamise asutused ühiselt ajutise piiriülese kriisikoordineerimisrühma.

2.   Ajutine piiriülene kriisikoordineerimisrühm:

3.   Kui küberrünne kvalifitseerub või eeldatavasti kvalifitseerub suuremahuliseks küberintsidendiks, teavitab ajutine piiriülene kriisikoordineerimisrühm viivitamata komisjoni, direktiivi (EL) 2022/2555 artikli 9 lõike 1 kohaseid riiklikke küberkriisi ohjamise asutusi intsidendist mõjutatud liikmesriikides ja Euroopa küberkriisiga tegelevate kontaktasutuste võrgustikku (EU – CyCLONe). Sellises olukorras toetab ajutine piiriülene kriisikoordineerimisrühm EU – CyCLONe’i tegevust asjaomase valdkonna eripära osas.

4.   Ülisuure ja suure mõjuga üksused arendavad ja hoiavad oma käsutuses suutlikkust, sisesuuniseid, valmisolekukavasid ja töötajaid, et osaleda piiriüleste kriiside avastamises ja leevendamises. Üheaegsest elektrikriisist mõjutatud ülisuure või suure mõjuga üksus uurib koos oma pädeva asutusega sellise kriisi algpõhjust, et teha kindlaks, kuivõrd on kriis seotud küberründega.

5.   Liikmesriigid võivad lõikes 4 sätestatud ülesanded delegeerida ka määruse (EL) 2019/943 artikli 37 lõike 2 kohastele piirkondlikele koordineerimiskeskustele.

1.   24 kuu jooksul pärast seda, kui ACERile on teatavaks tehtud kogu liitu hõlmav riskihindamisaruanne, töötab ACER tihedas koostöös ENISA, ENTSO-E, ELi jaotusvõrguettevõtjate üksuse, küberturvalisuse eest vastutavate pädevate asutuste, pädevate asutuste, ohuvalmiduse eest vastutavate pädevate asutuste, riikide reguleerivate asutuste ning võrgu- ja infoturbe riiklike küberkriisi ohjamise asutustega elektrisektori jaoks välja liidu tasandi küberkriisi ohjamise ja kriisile reageerimise kava.

2.   12 kuu jooksul pärast seda, kui ACER on lõike 1 kohaselt elektrisektori jaoks välja töötanud liidu tasandi küberkriisi ohjamise ja kriisile reageerimise kava, koostab iga pädev asutus piiriüleste elektrivoogude teemalise küberkriisi ohjamise ja kriisile reageerimise riikliku kava, milles võetakse arvesse liidu tasandi küberkriisi ohjamise kava ja määruse (EL) 2019/941 artikli 10 kohaselt kehtestatud riiklikku ohuvalmiduskava. See kava peab olema kooskõlas direktiivi (EL) 2022/2555 artikli 9 lõike 4 kohase riikliku ulatuslike küberturbeintsidentide ja kriiside lahendamise kavaga. Pädev asutus kooskõlastab oma tegevuse ülisuure ja suure mõjuga üksustega ning oma liikmesriigi ohuvalmiduse eest vastutava pädeva asutusega.

3.   Direktiivi (EL) 2022/2555 artikli 9 lõike 4 kohaselt nõutavat riiklikku ulatuslike küberturbeintsidentide ja kriiside lahendamise kava loetakse käesoleva artikli kohaseks riiklikuks küberkriisi ohjamise kavaks, kui selles sisalduvad piiriüleste elektrivoogude teemalised kriisiohje- ja reageerimismeetmed.

4.   Liikmesriigid võivad lõigetes 1 ja 2 loetletud ülesanded delegeerida ka määruse (EL) 2019/943 artikli 37 lõike 2 kohastele piirkondlikele koordineerimiskeskustele.

5.   Ülisuure ja suure mõjuga üksused tagavad, et nende küberturvalisusega seotud kriisiohjeprotsessid:

6.   12 kuu jooksul pärast suure ja ülisuure mõjuga üksustest teatamist vastavalt artikli 24 lõikele 6 ja seejärel iga kolme aasta tagant koostavad ülisuure ja suure mõjuga üksused üksuse tasandil küberturvalisusega seotud kriisiohjekava, mis lisatakse nende üksuste üldistesse kriisiohjekavadesse. Kõnealune kava sisaldab vähemalt järgmist:

7.   Direktiivi (EL) 2022/2555 artikli 21 lõike 2 punkti c kohaseid kriisiohjemeetmeid käsitatakse käesoleva artikli kohase üksuse tasandi kriisiohjekavana elektrisektori jaoks, kui nende hulgas sisalduvad kõik lõike 6 loetelus nõutud osad.

8.   Kriisiohjekavasid testitakse artiklites 43, 44 ja 45 osutatud küberturbeõppuste ajal.

9.   Ülisuure ja suure mõjuga üksused lisavad oma üksuse tasandi kriisiohjekavad ülisuure ja suure mõjuga protsesside talitluspidevuse kavadesse. Üksuse tasandi kriisiohjekavad sisaldavad järgmist:

10.   Ülisuure ja suure mõjuga üksused ajakohastavad oma üksuse tasandi kriisiohjekavad vähemalt iga kolme aasta järel ja vajaduse korral.

11.   ACER ajakohastab lõike 1 kohaselt välja töötatud elektrisektori liidu tasandi küberkriisi ohjamise ja kriisile reageerimise kava vähemalt iga kolme aasta järel ja vajaduse korral.

12.   Iga pädev asutus ajakohastab lõike 2 kohaselt välja töötatud piiriüleste elektrivoogude riiklikku küberkriisi ohjamise ja kriisile reageerimise kava vähemalt iga kolme aasta järel ja vajaduse korral.

13.   Ülisuure ja suure mõjuga üksused testivad oma talitluspidevuse kavasid vähemalt kord kolme aasta jooksul või pärast olulisi muudatusi mõnes ülisuure mõjuga protsessis. Talitluspidevuse kava testimise tulemused dokumenteeritakse. Ülisuure ja suure mõjuga üksused võivad lisada oma talitluspidevuse kava testimise oma küberturbeõppustesse.

14.   Ülisuure ja suure mõjuga üksused ajakohastavad vajaduse korral ja vähemalt kord kolme aasta jooksul oma talitluspidevuse kava, võttes arvesse testimistulemusi.

15.   Kui testimisel avastatakse talitluspidevuse kavas puudusi, kõrvaldab ülisuure või suure mõjuga üksus need puudused 180 kalendripäeva jooksul pärast testimist ning teeb uue testi, et tõendada parandusmeetmete tõhusust.

16.   Kui ülisuure või suure mõjuga üksus ei suuda puudusi 180 kalendripäeva jooksul kõrvaldada, lisab ta selle põhjused oma aruandesse, mille ta pädevale asutusele artikli 27 kohaselt esitab.

1.   Pädevad asutused teevad koostööd ENISAga, et arendada määruse (EL) 2019/881 artikli 6 lõigete 2 ja 7 kohaselt liikmesriikidele antava abi osana elektrivaldkonna küberturvalisuse alase varajase hoiatamise suutlikkust.

2.   Elektrivaldkonna küberturvalisuse alane varajase hoiatamise suutlikkus võimaldab ENISA-l määruse (EL) 2019/881 artikli 7 lõikes 7 loetletud ülesannete täitmisel:

3.   CSIRTid edastavad direktiivi (EL) 2022/2555 artikli 11 lõike 3 punktis b neile määratud ülesannete raames ENISAlt saadud teabe viivitamata asjaomastele üksustele.

4.   ACER jälgib elektrivaldkonna küberturvalisuse alase varajase hoiatamise suutlikkuse tulemuslikkust. Et ACERit abistada, esitab ENISA kogu vajaliku teabe vastavalt määruse (EL) 2019/881 artikli 6 lõikele 2 ja artikli 7 lõikele 1. Kõnealuse jälgimise analüüs on osa käesoleva määruse artikli 12 kohasest järelevalvest.

1.   Ülisuure mõjuga üksustest teatamisele järgneva aasta 31. detsembriks ja seejärel iga kolme aasta tagant korraldavad kõik ülisuure mõjuga üksused küberturbeõppuse, mis sisaldab üht või mitut stsenaariumi, milles küberründed otseselt või kaudselt mõjutavad piiriüleseid elektrivooge ja on seotud riskidega, mis on tehtud kindlaks küberriski hindamise käigus liikmesriigi ja üksuse tasandil kooskõlas artiklitega 20 ja 27.

2.   Erandina lõikest 1 võib ohuvalmiduse eest vastutav pädev asutus pärast konsulteerimist pädeva asutuse ja direktiivi (EL) 2022/2555 artikli 9 kohaselt määratud või asutatud asjaomase küberkriisi ohjamise asutusega otsustada, et ta korraldab lõikes 1 kirjeldatud küberturbeõppuse mitte üksuse tasandil, vaid liikmesriigi tasandil. Pädev asutus teavitab sellest

3.   Ohuvalmiduse eest vastutav riigi pädev asutus korraldab oma CSIRTide tehnilisel toetusel lõikes 2 kirjeldatud liikmesriigi tasandi küberturbeõppuse sõltumatult või liikmesriigis korraldatava mõne muu küberturbeõppuse raames. Et neid õppusi oleks võimalik ühendada, võib ohuvalmiduse eest vastutav riigi pädev asutus lükata lõikes 1 osutatud liikmesriigi tasandi küberturbeõppuse ühe aasta võrra edasi.

4.   Üksuse ja liikmesriigi tasandi küberturbeõppused peavad olema kooskõlas küberkriiside ohjamise riiklike raamistikega vastavalt direktiivi (EL) 2022/2555 artikli 9 lõike 4 punktile d.

5.   31. detsember 2026 ja seejärel iga kolme aasta tagant teeb ENTSO-E koostöös ELi jaotusvõrguettevõtjate üksusega kättesaadavaks õppuste stsenaariumi vormi, mille alusel tehakse lõikes 1 osutatud küberturbeõppusi üksuse ja liikmesriigi tasandil. Selles vormis võetakse arvesse üksuse ja liikmesriigi tasandi küberriski hindamise uusimaid tulemusi ning see sisaldab peamisi edukriteeriume. ENTSO-E ja ELi jaotusvõrguettevõtjate üksus kaasavad sellise vormi väljatöötamisse ACERi ja ENISA.

1.   31. detsember 2029 ja seejärel iga kolme aasta tagant korraldab ENTSO-E igas süsteemikäitamispiirkonnas koostöös ELi jaotusvõrguettevõtjate üksusega piirkondliku küberturbeõppuse. Süsteemikäitamispiirkonnas asuvad ülisuure mõjuga üksused peavad piirkondlikus küberturvalisuse õppuses osalema. ENTSO-E võib koostöös ELi jaotusvõrguettevõtjate üksusega korraldada piirkondliku küberturbeõppuse asemel piirkondadevahelise küberturbeõppuse mitmes süsteemikäitamispiirkonnas sama ajavahemiku jooksul. Õppuses tuleks arvesse võtta muid olemasolevaid liidu tasandil välja töötatud küberriski hindamisi ja stsenaariume.

2.   ENISA toetab ENTSO-Ed ja ELi jaotusvõrguettevõtjate üksust piirkondliku või piirkondadevahelise küberturbeõppuse ettevalmistamisel ja korraldamisel.

3.   Kuus kuud enne õppuse toimumist teavitab ENTSO-E koostöös ELi jaotusvõrguettevõtjate üksusega ülisuure mõjuga üksusi, kes peavad osalema piirkondlikus või piirkonnaüleses küberturbeõppuses.

4.   Määruse (EL) 2019/881 artikli 7 lõike 5 kohase korrapärase liidu tasandi küberturbeõppuse või mõne samas geograafilises piirkonnas toimuva, elektrisektoriga seotud kohustusliku küberturbeõppuse korraldaja võib kutsuda osalema ENTSO-E ja ELi jaotusvõrguettevõtjate üksuse. Kui selles õppuses osalevad kõik süsteemikäitamispiirkonna ülisuure mõjuga üksused, siis lõikes 1 sätestatud kohustust ei kohaldata.

5.   Kui ENTSO-E ja ELi jaotusvõrguettevõtjate üksus osalevad lõikes 4 osutatud küberturbeõppuses, võivad nad lõikes 1 osutatud piirkondliku või piirkondadevahelise küberturbeõppuse ühe aasta võrra edasi lükata.

6.   Hiljemalt 31. detsember 2027 ja iga kolme aasta tagant pärast seda kuupäeva teeb ENTSO-E koostöös ELi jaotusvõrguettevõtjate üksusega kättesaadavaks piirkondlike ja piirkondadevaheliste küberturbeõppuste läbiviimise vormi. Selles vormis võetakse arvesse piirkondliku tasandi küberriski hindamise uusimaid tulemusi ja see sisaldab peamisi edukriteeriume. ENTSO-E konsulteerib komisjoniga ning võib küsida nõu ACERilt, ENISAlt ja Teadusuuringute Ühiskeskuselt piirkondlike ja piirkondadevaheliste küberturbeõppuste korraldamise ja läbiviimise teemal.

1.   Ülisuure mõjuga üksuse taotlusel osalevad artikli 43 lõigetes 1 ja 2 ning artikli 44 lõikes 1 osutatud küberturbeõppustel ka ülitähtsa teenuse osutajad, kes osutavad ülisuure mõjuga üksusele teenuseid valdkonnas, mis vastab asjaomase küberturbeõppuse teemadele.

2.   Artikli 43 lõigetes 1 ja 2 ning artikli 44 lõikes 1 osutatud küberturbeõppuste korraldajad analüüsivad ENISA nõul (kui nad seda küsisid) ja määruse (EL) 2019/881 artikli 7 lõike 5 kohaselt asjakohast küberturbeõppust ning viivad selle lõpule sellega, et nad esitavad saadud kogemuste kohta kokkuvõtliku aruande, mis on adresseeritud kõigile osalejatele. Aruanne sisaldab järgmist:

3.   CSIRTide võrgustiku, võrgu- ja infoturbe koostöörühma või Euroopa küberkriisiga tegelevate kontaktasutuste võrgustiku taotlusel jagavad artikli 43 lõigetes 1 ja 2 ning artikli 44 lõikes 1 osutatud küberturbeõppuste korraldajad asjaomase õppuse tulemusi. Korraldajad jagavad käesoleva artikli lõike 2 punktides a ja b osutatud teavet kõigi õppuses osalevate üksustega. Korraldajad jagavad kõnealuse lõike punktis c osutatud soovituste loetelu üksnes üksustega, kellele need soovitused on ette nähtud.

4.   Artikli 43 lõigetes 1 ja 2 ning artikli 44 lõikes 1 osutatud küberturbeõppuste korraldajad suhtlevad korrapäraselt õppuste järel õppustel osalenud üksustega käesoleva artikli lõike 2 punkti c kohaste soovituste rakendamise teemal.

1.   Artikli 2 lõikes 1 loetletud üksused tagavad, et käesoleva määruse alusel esitatud, saadud, vahetatud või edastatud teave on kättesaadav üksnes teadmisvajaduse alusel ning kooskõlas infoturvet käsitlevate asjakohaste liidu ja siseriiklike eeskirjadega.

2.   Artikli 2 lõikes 1 loetletud üksused tagavad, et käesoleva määruse alusel esitatud, saadud, vahetatud või edastatud teavet käideldakse ja jälgitakse kõnealuse teabe kogu olelusringi jooksul ning et seda võib avaldada selle olelusringi lõpus alles pärast selle anonüümimist.

3.   Artikli 2 lõikes 1 loetletud üksused tagavad, et kehtestatakse kõik vajalikud organisatsioonilised ja tehnilised kaitsemeetmed, et kaitsta käesoleva määruse alusel esitatud, saadud, vahetatud või edastatud teabe konfidentsiaalsust, terviklust, käideldavust ja salgamatust, sõltumata kasutatud vahenditest. Kaitsemeetmed peavad:

4.   Artikli 2 lõikes 1 loetletud üksused tagavad, et iga isikut, kellele on antud juurdepääs käesoleva määruse alusel esitatud, saadud, vahetatud või edastatud teabele, teavitatakse üksuse tasandil kohaldatavatest turvaeeskirjadest ning teabekaitsega seotud meetmetest ja menetlustest. Need üksused tagavad, et asjaomane isik tunnistab teabe kaitsmise kohustust vastavalt teavitamise ajal antud juhistele.

5.   Artikli 2 lõikes 1 loetletud üksused tagavad, et käesoleva määruse alusel edastatud, saadud, vahetatud või edastatud teabele on juurdepääs ainult isikutel:

6.   Enne kõnealuse teabe esitamist kolmandale isikule, kes ei kuulu käesoleva määruse kohaldamisalasse, peab artikli 2 lõikes 1 loetletud üksustel olema kirjalik nõusolek sellelt füüsiliselt või juriidilise isikult, kes teabe algselt koostas või esitas.

7.   Et ära hoida küberturbeintsidendist tingitud üheaegset elektrikriisi või piiriülest kriisi liidus mõnes muus sektoris, võib artikli 2 lõikes 1 loetletud üksus võtta seisukoha, et teavet tuleb jagada ilma käesoleva artikli lõikeid 1 ja 4 järgimata. Sel juhul teeb ta järgmist:

8.   Erandina käesoleva artikli lõikest 6 võivad pädevad asutused anda käesoleva määruse alusel esitatud, saadud, vahetatud või edastatud teavet artikli 2 lõikes 1 loetlemata kolmandale isikule ilma algataja eelneva kirjaliku nõusolekuta, kuid nad peavad teda esimesel võimalusel sellest teavitama. Enne käesoleva määruse alusel esitatud, saadud, vahetatud või edastatud teabe avaldamist artikli 2 lõikes 1 loetlemata kolmandale isikule peab asjaomane pädev asutus mõistlikkuse piires tagama, et asjaomane kolmas isik on teadlik kehtivatest turvaeeskirjadest, ja saama piisava kindluse selle kohta, et asjaomane kolmas isik on võimeline saadud teavet kaitsma kooskõlas käesoleva artikli lõigetega 1–5. Pädev asutus anonüümib selle teabe, kaotamata elemente, mis on vajalikud üldsuse teavitamiseks otsesest ja tõsisest ohust piiriülestele elektrivoogudele ja võimalikele leevendusmeetmetele, ning kaitseb algataja isikut. Sel juhul kaitseb artikli 2 lõikes 1 loetlemata kolmas isik saadud teavet vastavalt üksuse tasandil juba kehtivatele sätetele või, kui see ei ole võimalik, siis vastavalt asjaomase pädeva asutuse antud sätetele ja juhistele.

9.   Käesolevat artiklit ei kohaldata selliste artikli 2 lõikes 1 loetlemata üksuste suhtes, kellele antakse teavet vastavalt käesoleva artikli lõikele 6. Sel juhul kohaldatakse käesoleva artikli lõiget 7 või pädev asutus võib esitada sellele üksusele kirjalikud eeskirjad, mida kohaldatakse juhul, kui teave on saadud vastavalt käesolevale määrusele.

1.   Käesoleva määruse kohaselt esitatud, saadud, vahetatud või edastatud teabe suhtes kohaldatakse käesoleva määruse käesoleva artikli lõigetes 2–5 sätestatud ametisaladuse hoidmise kohustust ning määruse (EL) 2019/943 artiklis 65 sätestatud nõudeid. Käesoleva määruse rakendamisel võetakse käesoleva määruse artiklis 2 loetletud üksuste vahel esitatud, saadud, vahetatud või edastatud teabe kaitsmisel arvesse algataja poolt teabele omistatud konfidentsiaalsustaset.

2.   Ametisaladuse hoidmise kohustust kohaldatakse artiklis 2 loetletud üksuste suhtes.

3.   Küberturvalisuse eest vastutavad pädevad asutused, riikide reguleerivad asutused, riikide pädevad asutused ja CSIRTid vahetavad kogu teavet, mida on vaja nende ülesannete täitmiseks.

4.   Artikli 23 rakendamisel anonüümitakse ja koondatakse artikli 2 lõikes 1 loetletud üksuste vahel saadud, vahetatud või edastatud teave.

5.   Ilma et see piiraks siseriiklike õigusaktide, käesoleva määruse muude sätete ja muude asjaomaste ELi õigusaktide kohaldamist, ei tohi üksus ega amet, kelle suhtes käesolevat määrust kohaldatakse, töökohustuste täitmisel neile teatavaks saanud konfidentsiaalset teavet avaldada ühelegi teisele isikule ega asutusele.

6.   Ilma et see piiraks siseriiklike õigusaktide või liidu õigusaktide kohaldamist, ei tohi asutus, üksus ega füüsiline isik, kes saab teavet käesoleva määruse alusel, kasutada seda ühelgi muul eesmärgil kui käesolevast määrusest tulenevate ülesannete täitmiseks.

7.   Pärast ENISAga, kõigi pädevate asutustega, ENTSO-Ega ja ELi jaotusvõrguettevõtjate üksusega konsulteerimist annab ACER hiljemalt 13. juuni 2025 välja suunised, milles käsitletakse vahendeid, mille abil kõik artikli 2 lõikes 1 loetletud üksused saavad teavet vahetada, eelkõige kavandatud teabevahetusvooge, ning käesoleva artikli rakendamisel kohaldatavaid teabe anonüümimise ja koondamise meetodeid.

8.   Teavet, mis on riiklike ja liidu eeskirjade kohaselt konfidentsiaalne, vahetatakse komisjoni ja muude asjaomaste asutustega üksnes juhul, kui selline teabevahetus on vajalik käesoleva määruse kohaldamiseks. Vahetada võib ainult teavet, mis on teabevahetuse eesmärki arvestades vajalik ja proportsionaalne. Teavet vahetades peab tagama asjaomase teabe konfidentsiaalsuse ning ülisuure ja suure mõjuga üksuste turvalisuse ja nende ärihuvide kaitse.

1.   Kuni artikli 6 lõikes 2 osutatud tingimuste või meetodite või artikli 6 lõikes 3 osutatud kavade heakskiitmiseni töötab ENTSO-E koostöös ELi jaotusvõrguettevõtjate üksusega välja mittesiduvad suunised järgmistes küsimustes:

2.   Hiljemalt 13. oktoober 2024 töötab ENTSO-E koostöös ELi jaotusvõrguettevõtjate üksusega välja soovituse esialgse ECII indeksi kohta. ENTSO-E teavitab koostöös ELi jaotusvõrguettevõtjate üksusega pädevaid asutusi soovitatud esialgsest ECII indeksist.

3.   Nelja kuu jooksul pärast soovitatud esialgse ECII indeksi kättesaamist või hiljemalt 13. veebruar 2025 teevad pädevad asutused soovitatud ECII indeksi põhjal kindlaks suure ja ülisuure mõjuga üksuste kandidaadid oma liikmesriigis ning koostavad suure ja ülisuure mõjuga üksuste esialgse loetelu. Esialgsesse loetellu kantud suure ja ülisuure mõjuga üksused võivad ettevaatuspõhimõtte alusel vabatahtlikult täita käesolevas määruses sätestatud kohustusi. Hiljemalt 13. märts 2025 teatavad pädevad asutused esialgsesse loetellu kantud üksustele, et nad on tunnistatud suure või ülisuure mõjuga üksuseks.

4.   Hiljemalt 13. detsember 2024 koostab ENTSO-E koostöös ELi jaotusvõrguettevõtjate üksusega kogu liitu hõlmavate suure ja ülisuure mõjuga protsesside esialgse loetelu. Lõike 3 kohaselt teavitatud üksused, kes otsustavad ettevaatusprintsiibi alusel vabatahtlikult täita käesolevas määruses sätestatud kohustusi, kasutavad esialgset suure ja ülisuure mõjuga protsesside loetelu, et määrata kindlaks esialgsed suure ja ülisuure mõjuga alad ning teha kindlaks, millised varad tuleb lisada esimesse üksuse tasandi küberriski hindamisse.

5.   Hiljemalt 13. september 2024 esitab iga artikli 4 lõike 1 kohane pädev asutus ENTSO-E-le ja ELi jaotusvõrguettevõtjate üksusele loetelu oma riigi õigusaktidest, mis on seotud piiriüleste elektrivoogude küberturvalisuse aspektidega.

6.   Hiljemalt 13. juuni 2025 koostab ENTSO-E koostöös ELi jaotusvõrguettevõtjate üksusega esialgse loetelu oma riigi õigusaktidega nõutavatest Euroopa ja rahvusvahelistest standarditest ja meetmetest, mis on piiriüleste elektrivoogude küberturvalisuse aspektide seisukohast olulised, võttes arvesse pädevate asutuste esitatud teavet.

7.   See Euroopa ja rahvusvaheliste standardite ja meetmete esialgne loetelu sisaldab järgmist:

8.   ENTSO-E ja ELi jaotusvõrguettevõtjate üksus võtavad esialgse standardite loetelu lõppvariandi koostamisel arvesse ENISA ja ACERi esitatud seisukohti. ENTSO-E ja ELi jaotusvõrguettevõtjate üksus avaldavad oma veebisaitidel Euroopa ja rahvusvaheliste standardite ja meetmete üleminekuperioodi loetelu.

9.   ENTSO-E ja ELi jaotusvõrguettevõtjate üksus konsulteerivad ENISA ja ACERiga lõike 1 kohaselt välja töötatud mittesiduvate suuniste ettepanekute teemal.

10.   Kuni minimaalsed ja ranged küberturbemeetmed artiklile 29 kohaselt välja töötatakse ja artikli 8 kohaselt vastu võetakse, püüavad kõik artikli 2 lõikes 1 loetletud üksused järk-järgult kohaldada lõike 1 kohaselt välja töötatud mittesiduvaid suuniseid.