1.   Tätä asetusta sovelletaan rajat ylittävien sähkönsiirtojen kyberturvanäkökohtiin seuraavien toimijoiden toiminnassa, jos ne on määritelty 24 artiklan mukaisesti vaikutuksiltaan merkittäviksi tai vaikutuksiltaan kriittisiksi toimijoiksi:

2.   Seuraavilla viranomaisilla on nykyisten toimeksiantojensa puitteissa vastuita tässä asetuksessa osoitettujen tehtävien suorittamiseen liittyen:

3.   Tätä asetusta sovelletaan myös kaikkiin toimijoihin, jotka eivät ole sijoittautuneet unioniin, mutta jotka tarjoavat palveluja toimijoille unionissa edellyttäen, että toimivaltaiset viranomaiset ovat yksilöineet ne 24 artiklan 2 kohdan nojalla vaikutuksiltaan merkittäviksi tai vaikutuksiltaan kriittisiksi toimijoiksi.

4.   Tämä asetus ei vaikuta jäsenvaltioiden velvollisuuteen taata kansallinen turvallisuus eikä niiden valtuuksiin huolehtia muista keskeisistä valtion tehtävistä, myös valtion alueellisen koskemattomuuden turvaamisesta ja yleisen järjestyksen ylläpitämisestä.

5.   Tämä asetus ei vaikuta perussopimusten mukaiseen jäsenvaltioiden velvollisuuteen taata kansallinen turvallisuus, kun on kyse sähköntuotannosta ydinvoimaloissa, mukaan lukien koko ydinalan arvoketju.

6.   Toimijat, toimivaltaiset viranomaiset, toimijoiden keskitetyt yhteyspisteet ja CSIRT-yksiköt käsittelevät henkilötietoja siinä määrin kuin se on tarpeen tämän asetuksen soveltamiseksi ja asetuksen (EU) 2016/679 mukaisesti, ja tällaisen käsittelyn on oltava erityisesti viimeksi mainitun asetuksen 6 artiklan mukaista.

1.   Kunkin jäsenvaltion on mahdollisimman pian ja joka tapauksessa viimeistään 13 päivänä joulukuuta 2024 nimettävä kansallinen valtiollinen tai sääntelyviranomainen, joka vastaa sille tässä asetuksessa annettujen tehtävien hoitamisesta, jäljempänä ’toimivaltainen viranomainen’. Siihen saakka, kunnes toimivaltaiselle viranomaiselle on osoitettu tämän asetuksen mukaiset tehtävät, näiden tehtävien hoitamisesta vastaa kunkin jäsenvaltion direktiivin (EU) 2019/944 57 artiklan 1 kohdan nojalla nimeämä sääntelyviranomainen.

2.   Jäsenvaltioiden on ilmoitettava viipymättä komissiolle, ACERille, ENISAlle, direktiivin (EU) 2022/2555 14 artiklan nojalla perustetulle verkko- ja tietoturva-alan yhteistyöryhmälle ja 15 päivänä marraskuuta 2012 annetun komission päätöksen (17) 1 artiklalla perustetulle sähköalan koordinointiryhmälle tämän artiklan 1 kohdan nojalla nimetyn toimivaltaisen viranomaisensa nimi ja yhteystiedot sekä näiden myöhemmät muutokset.

3.   Jäsenvaltiot voivat sallia toimivaltaiselle viranomaiselleen mahdollisuuden siirtää sille tässä asetuksessa osoitettuja tehtäviä muille kansallisille viranomaisille, lukuun ottamatta 5 artiklassa lueteltuja tehtäviä. Kunkin toimivaltaisen viranomaisen on valvottava, miten viranomaiset, joille se on siirtänyt tehtäviä, soveltavat tätä asetusta. Toimivaltaisen viranomaisen on ilmoitettava niiden viranomaisten, joille tehtäviä on siirretty, nimet, yhteystiedot, tehtävät ja näiden myöhemmät muutokset komissiolle, ACERille, sähköalan koordinointiryhmälle, ENISAlle ja verkko- ja tietoturva-alan yhteistyöryhmälle.

1.   Siirtoverkonhaltijoiden on yhteistyössä EU DSO -elimen kanssa laadittava ehdotuksia 2 kohdan mukaisista ehdoista tai menetelmistä tai 3 kohdan mukaisista suunnitelmista.

2.   Seuraaville ehdoille tai menetelmille ja niiden muutoksille on saatava kaikkien toimivaltaisten viranomaisten hyväksyntä:

3.   Jäljempänä olevan 22 artiklan mukaisille ehdotuksille alueellisiksi kyberturvariskien lieventämissuunnitelmiksi on saatava kyseisen käyttöalueen kaikkien toimivaltaisten viranomaisten hyväksyntä.

4.   Edellä 2 kohdassa lueteltuja ehtoja tai menetelmiä tai 3 kohdassa lueteltuja suunnitelmia koskeviin ehdotuksiin on sisällyttävä niiden ehdotettu toteutusaikataulu ja kuvaus niiden odotetusta vaikutuksesta tämän asetuksen tavoitteisiin.

5.   EU DSO -elin voi antaa asianomaisille siirtoverkonhaltijoille asiasta perustellun lausunnon viimeistään kolme viikkoa ennen määräaikaa, johon mennessä ehdot, menetelmät tai suunnitelmat on esitettävä toimivaltaisille viranomaisille. Ehtoja, menetelmiä tai suunnitelmia koskevasta ehdotuksesta vastaavien siirtoverkonhaltijoiden on otettava huomioon EU DSO -elimen perusteltu lausunto ennen kuin ehdotus esitetään toimivaltaisille viranomaisille hyväksyttäväksi. Siirtoverkonhaltijoiden on esitettävä perustelut, jos ne eivät ota EU DSO -elimen lausuntoa huomioon.

6.   Siirtoverkonhaltijoiden on ehtoja, menetelmiä ja suunnitelmia laatiessaan tehtävä tiivistä yhteistyötä. Siirtoverkonhaltijoiden on Sähkö-ENTSOn avustuksella ja yhteistyössä EU DSO -elimen kanssa säännöllisesti tiedotettava toimivaltaisille viranomaisille ja ACERille edistymisestään ehtojen, menetelmien ja suunnitelmien laadinnassa.

1.   Jos ehtoja tai menetelmiä koskevista ehdotuksista päättävät siirtoverkonhaltijat eivät pääse yhteisymmärrykseen, niiden on äänestettävä asiasta ja tehtävä päätös määräenemmistöllä. Tällaisten päätösten tapauksessa määräenemmistö muodostuu seuraavasti:

2.   Tämän asetuksen 6 artiklan 2 kohdassa lueteltuja ehtoja tai menetelmiä koskevista ehdotuksista tehtävissä päätöksissä määrävähemmistössä on oltava vähintään neljää jäsenvaltiota edustavia siirtoverkonhaltijoita; muussa tapauksessa katsotaan, että määräenemmistö on saavutettu.

3.   Jos tietyn käyttöalueen siirtoverkonhaltijat, jotka päättävät 6 artiklan 2 kohdassa lueteltuja suunnitelmia koskevista ehdotuksista, eivät pääse yhteisymmärrykseen ja jos kyseinen käyttöalue koostuu useammasta kuin viidestä jäsenvaltiosta, siirtoverkonhaltijoiden on tehtävä päätöksensä määräenemmistöllä. Edellä 6 artiklan 2 kohdassa luetelluista ehdotuksista äänestettäessä määräenemmistö muodostuu seuraavasti:

4.   Suunnitelmaehdotuksia koskevissa päätöksissä ehkäisevässä asemassa olevassa määrävähemmistössä on oltava siirtoverkonhaltijoita, jotka edustavat yli 35 prosenttia osallistuvien jäsenvaltioiden väestöstä, ja lisäksi siirtoverkonhaltijoita, jotka edustavat vähintään yhtä muuta asianomaista jäsenvaltiota; muussa tapauksessa katsotaan, että määräenemmistö on saavutettu.

5.   Kun siirtoverkonhaltijat tekevät päätöksiä 6 artiklan 2 kohdan mukaisista ehtoja tai menetelmiä koskevista ehdotuksista, kullakin jäsenvaltiolla on yksi ääni. Jos jäsenvaltion alueella toimii useampi kuin yksi siirtoverkonhaltija, kyseisen jäsenvaltion on jaettava äänioikeudet siirtoverkonhaltijoiden kesken.

6.   Jos siirtoverkonhaltijat eivät yhteistyössä EU DSO -elimen kanssa esitä ensimmäistä tai muutettua ehdotusta ehdoista, menetelmistä tai suunnitelmista asianomaisille toimivaltaisille viranomaisille tässä asetuksessa säädetyissä määräajoissa, niiden on esitettävä asianomaisille toimivaltaisille viranomaisille ja ACERille ehtojen, menetelmien tai suunnitelmien luonnokset. Niiden on selitettävä, mikä on estänyt yhteisymmärrykseen pääsemisen. Toimivaltaisten viranomaisten on yhdessä toteutettava tarvittavat toimet vaadittujen ehtojen, menetelmien tai suunnitelmien hyväksymiseksi. Tämä voidaan tehdä esimerkiksi pyytämällä tämän kohdan nojalla muutoksia luonnoksiin, tarkistamalla ja täydentämällä kyseisiä luonnoksia tai, jos luonnoksia ei ole esitetty, määrittelemällä ja hyväksymällä vaaditut ehdot, menetelmät tai suunnitelmat.

1.   Siirtoverkonhaltijoiden on toimitettava ehdot, menetelmät tai suunnitelmat asianomaisille toimivaltaisille viranomaisille hyväksyntää varten 18, 23, 29, 33, 34, 35 ja 37 artiklassa säädetyissä määräajoissa. Toimivaltaiset viranomaiset voivat yhdessä pidentää näitä määräaikoja poikkeustapauksissa, erityisesti tapauksissa, joissa määräaikaa ei voida noudattaa siirtoverkonhaltijoista tai EU DSO -elimestä riippumattomien olosuhteiden vuoksi.

2.   Edellä 1 kohdassa tarkoitetut ehdot, menetelmät tai suunnitelmat on toimitettava ACERille tiedoksi samaan aikaan kun ne esitetään toimivaltaisille viranomaisille.

3.   ACERin on annettava kansallisten sääntelyviranomaisten yhteisestä pyynnöstä lausunto ehtoja, menetelmiä tai suunnitelmia koskevasta ehdotuksesta kuuden kuukauden kuluessa ehdotuksen vastaanottamisesta ja toimitettava lausuntonsa kansallisille sääntelyviranomaisille ja toimivaltaisille viranomaisille. Kansallisten sääntelyviranomaisten, kyberturvallisuudesta vastaavien kansallisten toimivaltaisten viranomaisten ja muiden toimivaltaisiksi viranomaisiksi nimettyjen viranomaisten on koordinoitava toimintaansa keskenään ennen kuin kansalliset sääntelyviranomaiset pyytävät lausuntoa ACERilta. ACER voi sisällyttää tällaiseen lausuntoon suosituksia. ACERin on kuultava ENISAa ennen kuin se antaa lausunnon 6 artiklan 2 kohdassa luetelluista ehdotuksista.

4.   Toimivaltaisten viranomaisten on kuultava toisiaan, tehtävä tiivistä yhteistyötä ja koordinoitava toimintaansa, jotta ehdotetuista ehdoista, menetelmistä tai suunnitelmista päästäisiin yhteisymmärrykseen. Ennen ehtojen, menetelmien tai suunnitelmien hyväksymistä niiden on tarvittaessa tarkistettava ja täydennettävä ehdotuksia Sähkö-ENTSOa ja EU DSO -elintä kuultuaan sen varmistamiseksi, että ehdotukset ovat linjassa tämän asetuksen kanssa ja edistävät kyberturvallisuuden yhteistä korkeaa tasoa kaikkialla unionissa.

5.   Toimivaltaisten viranomaisten on päätettävä ehdoista, menetelmistä tai suunnitelmista kuuden kuukauden kuluessa siitä, kun asianomainen toimivaltainen viranomainen tai tapauksen mukaan viimeinen asiaan liittyvä toimivaltainen viranomainen on saanut niitä koskevat ehdotukset.

6.   Jos ACER antaa asiassa lausunnon, asianomaisten toimivaltaisten viranomaisten on otettava se huomioon ja tehtävä päätöksensä kuuden kuukauden kuluessa ACERin lausunnon saamisesta.

7.   Jos toimivaltaiset viranomaiset yhdessä edellyttävät ehdotettuihin ehtoihin, menetelmiin tai suunnitelmiin ne hyväksyäkseen muutoksia, siirtoverkonhaltijoiden on laadittava yhteistyössä EU DSO -elimen kanssa tällaisia muutoksia koskeva ehdotus. Siirtoverkonhaltijoiden on toimitettava muutettu ehdotus hyväksyttäväksi kahden kuukauden kuluessa toimivaltaisten viranomaisten pyynnöstä. Toimivaltaisten viranomaisten on päätettävä muutetuista ehdoista, menetelmistä tai suunnitelmista kahden kuukauden kuluessa niiden esittämisestä.

8.   Jos toimivaltaiset viranomaiset eivät ole päässeet yhteisymmärrykseen 5 tai 7 kohdassa tarkoitetussa määräajassa, niiden on ilmoitettava asiasta komissiolle. Komissio voi toteuttaa tarvittavat toimet mahdollistaakseen vaadittujen ehtojen, menetelmien tai suunnitelmien hyväksymisen.

9.   Siirtoverkonhaltijoiden, Sähkö-ENTSOn avustuksella, ja EU DSO -elimen on julkaistava ehdot, menetelmät tai suunnitelmat verkkosivustoillaan asianomaisten toimivaltaisten viranomaisten hyväksynnän jälkeen, lukuun ottamatta tietoja, joita pidetään 47 artiklan mukaisesti luottamuksellisina.

10.   Toimivaltaiset viranomaiset voivat yhdessä pyytää siirtoverkonhaltijoilta ja EU DSO -elimeltä ehdotuksia hyväksyttyjen ehtojen, menetelmien tai suunnitelmien muuttamiseksi ja asettaa määräajan ehdotusten esittämiselle. Siirtoverkonhaltijat voivat yhteistyössä EU DSO -elimen kanssa ehdottaa muutoksia toimivaltaisille viranomaisille myös omasta aloitteestaan. Ehtojen, menetelmien tai suunnitelmien muuttamista koskevat ehdotukset laaditaan ja hyväksytään tässä artiklassa säädettyä menettelyä noudattaen.

11.   Siirtoverkonhaltijoiden on yhteistyössä EU DSO -elimen kanssa tarkasteltava uudelleen ehtojen, menetelmien tai suunnitelmien toimivuutta vähintään joka kolmas vuosi niiden ensimmäisen hyväksymisen jälkeen ja raportoitava tarkastelun tuloksista ilman aiheetonta viivytystä toimivaltaisille viranomaisille ja ACERille.

1.   Siirtoverkonhaltijoiden on Sähkö-ENTSOn avustuksella ja yhteistyössä EU DSO -elimen kanssa kuultava sidosryhmiä, mukaan lukien ACER, ENISA ja kunkin jäsenvaltion toimivaltainen viranomainen, 6 artiklan 2 kohdassa lueteltuja ehtoja tai menetelmiä ja 6 artiklan 3 kohdassa tarkoitettuja suunnitelmia koskevista ehdotusluonnoksista. Kuulemisen on kestettävä vähintään kuukausi.

2.   Siirtoverkonhaltijoiden yhteistyössä EU DSO -elimen kanssa esittämät 6 artiklan 2 kohdassa tarkoitettuja ehtoja tai menetelmiä koskevat ehdotukset on julkaistava ja niistä on järjestettävä kuuleminen unionin tasolla. Asianomaisten siirtoverkonhaltijoiden yhteistyössä EU DSO -elimen kanssa esittämät 6 artiklan 3 kohdassa tarkoitettuja suunnitelmia koskevat aluetason ehdotukset on julkaistava ja niistä on järjestettävä kuuleminen vähintään alueellisella tasolla.

3.   Ehtoja, menetelmiä tai suunnitelmia koskevasta ehdotuksesta vastaavien Sähkö-ENTSOn avustuksella toimivien siirtoverkonhaltijoiden ja EU DSO -elimen on otettava asianmukaisesti huomioon 1 kohdan mukaisesti järjestetyissä kuulemisissa saadut sidosryhmien näkemykset ennen kuin ehdotukset toimitetaan viranomaisten hyväksyttäviksi. Kaikissa tapauksissa ehdotuksen esittämisen yhteydessä on annettava vankat perustelut sille, kuinka kuulemisessa esitetyt näkökannat on otettu huomioon tai jätetty huomioimatta, ja ne on julkaistava viipymättä ennen ehtoja tai menetelmiä koskevan ehdotuksen julkaisemista tai yhtä aikaa sen julkaisemisen kanssa.

1.   Kunkin jäsenvaltion asianomaisen kansallisen sääntelyviranomaisen on arvioitava verkkotariffisääntelyn piiriin kuuluville siirtoverkonhaltijoille ja jakeluverkonhaltijoille aiheutuvat kulut, jotka johtuvat tässä asetuksessa säädetyistä velvoitteista, mukaan lukien Sähkö-ENTSOlle ja EU DSO -elimelle aiheutuvat kulut.

2.   Kohtuullisiksi, tehokkaasti toimien aiheutuneiksi ja oikeasuhteisiksi arvioidut kulut on katettava verkkotariffeilla tai muilla asianmukaisilla mekanismeilla, jotka asianomainen kansallinen sääntelyviranomainen määrittää.

3.   Edellä 1 kohdassa tarkoitettujen siirtoverkonhaltijoiden ja jakeluverkonhaltijoiden on asianomaisten kansallisten sääntelyviranomaisten pyynnöstä toimitettava niiden määrittämässä kohtuullisessa ajassa tiedot, jotka ovat tarpeen aiheutuneiden kulujen arvioimiseksi.

1.   ACERin on seurattava tämän asetuksen täytäntöönpanoa asetuksen (EU) 2019/943 32 artiklan 1 kohdan ja asetuksen (EU) 2019/942 4 artiklan 2 kohdan mukaisesti. Tässä seurannassa ACER voi tehdä yhteistyötä ENISAn kanssa ja pyytää tukea Sähkö-ENTSOlta ja EU DSO -elimeltä. ACERin on säännöllisesti tiedotettava sähköalan koordinointiryhmälle ja verkko- ja tietoturva-alan yhteistyöryhmälle tämän asetuksen täytäntöönpanosta.

2.   ACERin on julkaistava vähintään joka kolmas vuosi tämän asetuksen voimaantulon jälkeen raportti, jossa:

3.   ACER voi 13 päivään kesäkuuta 2025 mennessä antaa yhteistyössä ENISAn kanssa ja kuultuaan Sähkö-ENTSOa ja EU DSO -elintä ohjeistusta ACERin seurantatarkoituksiin tarvitsemista, 5 kohdan mukaisesti määriteltyihin suoritusindikaattoreihin pohjautuvista tiedoista sekä tiedonkeruuprosessista ja -tiheydestä.

4.   Toimivaltaiset viranomaiset saavat tutustua ACERin hallussa oleviin tietoihin, jotka se on kerännyt tämän artiklan mukaisesti.

5.   ACERin on yhteistyössä ENISAn kanssa sekä Sähkö-ENTSOn ja EU DSO -elimen tuella määriteltävä ei-sitovat suoritusindikaattorit, joilla voidaan arvioida rajat ylittävien sähkönsiirtojen kyberturvanäkökohtia operatiivisen luotettavuuden näkökulmasta.

6.   Tämän asetuksen 2 artiklan 1 kohdassa lueteltujen toimijoiden on toimitettava ACERille tiedot, joita se tarvitsee 2 kohdassa lueteltujen tehtävien suorittamiseksi.

1.   ACERin on yhteistyössä ENISAn kanssa laadittava 13 päivään kesäkuuta 2025 mennessä kyberturvatason vertailuanalyysiä koskeva ei-sitova opas. Oppaassa on selitettävä kansallisille sääntelyviranomaisille tämän artiklan 2 kohdan mukaisen kyberturvavarotoimien vertailuanalyysin periaatteet ottaen huomioon toimista aiheutuvat kustannukset sekä valvonnassa käytettyjen prosessien, tuotteiden, palvelujen, järjestelmien ja ratkaisujen vaikuttavuus. ACERin on opasta laatiessaan otettava huomioon jo olemassa olevat vertailuanalyysiraportit. ACERin on annettava ei-sitova opas kansallisille sääntelyviranomaisille tiedoksi.

2.   Kansallisten sääntelyviranomaisten on 12 kuukauden kuluessa 1 kohdan mukaisen oppaan hyväksymisestä suoritettava vertailuanalyysi, jossa arvioidaan, tehtyjä kyberturvainvestointeja seuraavista näkökulmista:

3.   Vertailuanalyysissä kansalliset sääntelyviranomaiset voivat ottaa huomioon ACERin laatiman ei-sitovan kyberturvavertailuoppaan, ja niiden on arvioitava erityisesti seuraavia seikkoja:

4.   Kaikkia vertailuanalyysiin liittyviä tietoja on käsiteltävä ja prosessoitava tämän asetuksen tietoluokitteluvaatimusten, vähimmäistason kyberturvavarotoimien ja rajat ylittävien sähköalan kyberturvariskien arviointiraportin mukaisesti. Edellä 2 ja 3 kohdassa tarkoitettua vertailuanalyysia ei saa julkistaa.

5.   Tämän artiklan 2 ja 3 kohdassa tarkoitetun vertailuanalyysin tulokset on jaettava kaikille kansallisille sääntelyviranomaisille, kaikille toimivaltaisille viranomaisille, ACERille, ENISAlle ja komissiolle, sanotun kuitenkaan rajoittamatta 47 artiklassa säädettyjä luottamuksellisuusvaatimuksia ja tarvetta suojella tämän asetuksen säännösten piiriin kuuluvien toimijoiden turvallisuutta.

1.   Kolmanteen maahan rajautuvan käyttöalueen siirtoverkonhaltijoiden on 18 kuukauden kuluessa tämän asetuksen voimaantulosta pyrittävä tekemään kyseisen kolmannen maan siirtoverkonhaltijoiden kanssa asiaa koskevan unionin lainsäädännön mukaisia sopimuksia, joissa vahvistetaan perusta yhteistyölle kybersuojauskysymyksissä ja kyberturvaa koskevat yhteistyöjärjestelyt kyseisten siirtoverkonhaltijoiden kanssa.

2.   Siirtoverkonhaltijoiden on ilmoitettava toimivaltaiselle viranomaiselle 1 kohdassa tarkoitetuista sopimuksista.

1.   Toimijoiden, joilla ei ole toimipaikkaa unionissa, mutta jotka tarjoavat palveluja toimijoille unionissa ja joiden on ilmoitettu olevan vaikutuksiltaan merkittäviä tai vaikutuksiltaan kriittisiä toimijoita 24 artiklan 6 kohdan mukaisesti, on kolmen kuukauden kuluessa ilmoittamisesta nimettävä kirjallisesti edustajansa unionissa ja tiedotettava asiasta ilmoituksen tehneelle toimivaltaiselle viranomaiselle.

2.   Edustajalla on oltava riittävät valtuudet, jotta mikä tahansa toimivaltainen viranomainen tai CSIRT-toimija unionissa voi ottaa edustajaan tämän asetuksen mukaisten velvoitteiden osalta yhteyttä vaikutuksiltaan merkittävän tai vaikutuksiltaan kriittisen toimijan sijaan tai ohella. Vaikutuksiltaan merkittävän tai vaikutuksiltaan kriittisen toimijan on taattava lailliselle edustajalleen tarvittavat toimivaltuudet ja riittävät resurssit, jotta voidaan varmistaa edustajan tehokas ja nopea yhteistyö toimivaltaisten viranomaisten tai CSIRT-yksiköiden kanssa.

3.   Edustajan on oltava sijoittautunut johonkin niistä jäsenvaltioista, joissa toimija tarjoaa palvelujaan. Toimijan katsotaan kuuluvan sen jäsenvaltion lainkäyttövallan piiriin, johon edustaja on sijoittautunut. Vaikutuksiltaan merkittävien ja vaikutuksiltaan kriittisten toimijoiden on ilmoitettava laillisen edustajansa nimi, postiosoite, sähköpostiosoite ja puhelinnumero sen jäsenvaltion toimivaltaiselle viranomaiselle, jossa laillinen edustaja sijaitsee tai johon tämä on sijoittautunut.

4.   Nimettyä laillista edustajaa on voitava pitää vastuussa tämän asetuksen mukaisten velvoitteiden noudattamatta jättämisestä, sanotun kuitenkaan rajoittamatta vastuuta ja oikeustoimia, joihin voidaan ryhtyä vaikutuksiltaan merkittävää tai vaikutuksiltaan kriittistä toimijaa itseään vastaan.

5.   Jos toimijalla ei ole unionissa tämän artiklan mukaista nimettyä edustajaa, mikä tahansa jäsenvaltio, jossa toimija tarjoaa palveluja, voi ryhtyä oikeustoimiin toimijaa vastaan tämän asetuksen mukaisten velvoitteiden noudattamatta jättämisen vuoksi.

6.   Laillisen edustajan nimeäminen unionissa 1 kohdan nojalla ei ole sijoittautumista unioniin.

1.   Sähkö-ENTSOn ja EU DSO -elimen on tehtävä yhteistyötä 19 ja 21 artiklan nojalla suoritettavissa kyberturvariskien arvioinneissa ja varsinkin seuraavissa tehtävissä:

2.   Sähkö-ENTSOn ja EU DSO -elimen yhteistyö voidaan järjestää kyberturvariskejä käsittelevän työryhmän muodossa.

3.   Sähkö-ENTSOn ja EU DSO -elimen on säännöllisesti tiedotettava ACERille, ENISAlle, verkko- ja tietoturva-alan yhteistyöryhmälle ja sähköalan koordinointiryhmälle edistymisestä 19 ja 21 artiklan nojalla tehtävissä unionitason ja aluetason kyberturvariskien arvioinneissa.

1.   Siirtoverkonhaltijoiden on Sähkö-ENTSOn avustuksella, yhteistyössä EU DSO -elimen kanssa ja verkko- ja tietoturva-alan yhteistyöryhmää kuultuaan 13 päivään maaliskuuta 2025 mennessä esitettävä ehdotus kyberturvariskien arviointimenetelmistä unionitasolla, aluetasolla ja jäsenvaltiotasolla.

2.   Unionitason, aluetason ja jäsenvaltiotason kyberturvariskien arviointimenetelmien on katettava seuraavat tekijät:

3.   Unionitason, aluetason ja jäsenvaltiotason kyberturvariskien arviointimenetelmissä on arvioitava kyberturvariskejä käyttäen samaa riskivaikutusmatriisia. Riskivaikutusmatriisissa on mitattava:

4.   Unionitason kyberturvariskien arviointimenetelmissä on kuvattava, miten merkittävän vaikutuksen ja kriittisen vaikutuksen kynnystasojen ECII-arvot määritellään. ECII:n on mahdollistettava se, että toimijat kykenevät arvioimaan riskien vaikutukset toimintaprosessiinsa 2 kohdan b alakohdassa tarkoitettujen kriteerien avulla osana 26 artiklan 4 kohdan c alakohdan i alakohdan nojalla tekemäänsä vaikutustenarviointia.

5.   Sähkö-ENTSOn on koordinoidusti EU DSO -elimen kanssa tiedotettava sähköalan koordinointiryhmälle 1 kohdan nojalla laadituista ehdotuksista, jotka koskevat kyberturvariskien arviointimenetelmiä.

1.   Sähkö-ENTSOn on yhteistyössä EU DSO -elimen kanssa ja kuullen verkko- ja tietoturva-alan yhteistyöryhmää yhdeksän kuukauden kuluessa 8 artiklan nojalla hyväksyttyjen kyberturvariskien arviointimenetelmien hyväksymisestä ja sen jälkeen joka kolmas vuosi suoritettava, sanotun kuitenkaan rajoittamatta direktiivin (EU) 2022/2555 22 artiklan soveltamista, unionitason kyberturvariskien arviointi ja laadittava unionitason kyberturvariskien arviointiraportin luonnos. Tässä niiden on käytettävä 18 artiklan nojalla laadittuja ja 8 artiklan nojalla hyväksyttyjä menetelmiä tunnistaakseen, analysoidakseen ja arvioidakseen sähköjärjestelmän toimintavarmuuteen vaikuttavien ja rajat ylittäviä sähkönsiirtoja häiritsevien kyberhyökkäysten mahdolliset seuraukset. Unionitason kyberturvariskien arvioinnissa ei tarkastella kyberhyökkäysten oikeudellisia, taloudellisia tai mainehaittaan liittyviä kielteisiä vaikutuksia.

2.   Unionitason kyberturvariskien arviointiraportissa on kuvattava seuraavat seikat:

3.   Unionitason vaikutuksiltaan merkittävien prosessien ja unionitason vaikutuksiltaan kriittisten prosessien osalta unionitason kyberturvariskien arviointiraportissa on kuvattava seuraavat seikat:

4.   Sähkö-ENTSOn on yhteistyössä EU DSO -elimen kanssa toimitettava ACERille lausuntoa varten unionitason kyberturvariskien arviointiraportin luonnos yhdessä unionitason kyberturvariskien arvioinnin tulosten kanssa. ACERin on annettava lausuntonsa raportin luonnoksesta kolmen kuukauden kuluessa sen vastaanottamisesta. Sähkö-ENTSOn ja EU DSO -elimen on otettava ACERin lausunto mahdollisimman tarkasti huomioon laatiessaan lopullista raporttia.

5.   Sähkö-ENTSOn on yhteistyössä EU DSO -elimen kanssa annettava ACERille, komissiolle, ENISAlle ja toimivaltaisille viranomaisille tiedoksi lopullinen unionitason kyberturvariskien arviointiraportti kolmen kuukauden kuluessa ACERin lausunnon vastaanottamisesta.

1.   Kunkin toimivaltaisen viranomaisen on suoritettava jäsenvaltiotason kyberturvariskien arviointi kaikille vaikutuksiltaan merkittäville ja vaikutuksiltaan kriittisille toimijoille jäsenvaltiossaan käyttäen 18 artiklan nojalla laadittuja ja 8 artiklan nojalla hyväksyttyjä menetelmiä. Jäsenvaltiotason kyberturvariskien arvioinnissa on yksilöitävä ja analysoitava rajat ylittäviä sähkönsiirtoja häiritsevien sähköjärjestelmän käyttövarmuuteen vaikuttavien kyberhyökkäysten riskit. Jäsenvaltiotason kyberturvariskien arvioinnissa ei tarkastella kyberhyökkäysten oikeudellisia, taloudellisia tai mainehaittaan liittyviä kielteisiä vaikutuksia.

2.   Kunkin toimivaltaisen viranomaisen on 21 kuukauden kuluessa 24 artiklan 6 kohdan nojalla tehdystä vaikutuksiltaan merkittävien ja vaikutuksiltaan kriittisten toimijoiden ilmoittamisesta ja tämän jälkeen joka kolmas vuosi sähköalan kyberturvallisuudesta vastaavia kansallisia toimivaltaisia viranomaisia kuultuaan toimitettava Sähkö-ENTSOlle ja EU DSO -elimelle jäsenvaltiotason kyberturvariskien arviointiraportti, jonka on sisällettävä kustakin vaikutuksiltaan merkittävästä ja kustakin vaikutuksiltaan kriittisestä prosessista seuraavat tiedot:

3.   Jäsenvaltiotason kyberturvariskien arviointiraportissa on otettava huomioon asetuksen (EU) 2019/941 10 artiklan nojalla laadittu jäsenvaltion riskeihinvarautumissuunnitelma.

4.   Jäsenvaltiotason kyberturvariskien arviointiraporttiin 2 kohdan a–d alakohdan nojalla sisällytettäviä tietoja ei saa liittää tiettyihin toimijoihin tai omaisuuseriin. Jäsenvaltiotason kyberturvariskien arviointiraporttiin on sisällyttävä lisäksi riskiarviointi jäsenvaltioiden toimivaltaisten viranomaisten 30 artiklan nojalla myöntämistä väliaikaisista vapautuksista.

5.   Sähkö-ENTSO ja EU DSO -elin voivat pyytää toimivaltaisilta viranomaisilta lisätietoja 2 kohdan a ja c alakohdassa tarkoitetuista seikoista.

6.   Toimivaltaisten viranomaisten on varmistettava, että niiden toimittamat tiedot ovat tarkkoja ja paikkansapitäviä.

1.   Sähkö-ENTSOn on yhteistyössä EU DSO -elimen kanssa ja asianomaista alueellista koordinointikeskusta kuullen suoritettava kullekin käyttöalueelle aluetason kyberturvariskien arviointi käyttäen 19 artiklan nojalla laadittuja ja 8 artiklan nojalla hyväksyttyjä menetelmiä tunnistaakseen, analysoidakseen ja arvioidakseen sähköjärjestelmän toimintavarmuuteen vaikuttavien ja rajat ylittäviä sähkönsiirtoja häiritsevien kyberhyökkäysten riskit. Aluetason kyberturvariskien arvioinneissa ei tarkastella kyberhyökkäysten oikeudellisia, taloudellisia tai mainehaittaan liittyviä kielteisiä vaikutuksia.

2.   Sähkö-ENTSOn on yhteistyössä EU DSO -elimen kanssa ja kuullen verkko- ja tietoturva-alan yhteistyöryhmää laadittava 21 kuukauden kuluessa 24 artiklan 6 kohdan nojalla tehdystä vaikutuksiltaan merkittävien ja vaikutuksiltaan kriittisten toimijoiden ilmoittamisesta ja tämän jälkeen joka kolmas vuosi aluetason kyberturvariskien arviointiraportti kustakin käyttöalueesta.

3.   Aluetason kyberturvariskien arviointiraportissa on otettava huomioon asiaankuuluvat tiedot, jotka sisältyvät unionitason kyberturvariskien arviointiraportteihin ja jäsenvaltiotason kyberturvariskien arviointiraportteihin.

4.   Aluetason kyberturvariskien arvioinnissa on tarkasteltava kyberturvallisuuteen liittyviä asetuksen (EU) 2019/941 6 artiklan nojalla määritettyjä alueellisia sähkökriisiskenaarioita.

1.   Siirtoverkonhaltijoiden on Sähkö-ENTSOn avustuksella ja yhteistyössä EU DSO -elimen kanssa ja kuullen alueellisia koordinointikeskuksia ja verkko- ja tietoturva-alan yhteistyöryhmää laadittava 36 kuukauden kuluessa 24 artiklan 6 kohdan nojalla tehdystä vaikutuksiltaan merkittävien ja vaikutuksiltaan kriittisten toimijoiden ilmoittamisesta ja viimeistään 13 päivänä kesäkuuta 2031 ja tämän jälkeen joka kolmas vuosi aluetason kyberturvariskien lieventämissuunnitelma kullekin käyttöalueelle.

2.   Aluetason kyberturvariskien lieventämissuunnitelmien on katettava seuraavat seikat:

3.   Sähkö-ENTSOn on esitettävä aluetason riskinlieventämissuunnitelmat asianomaisille siirtoverkonhaltijoille, toimivaltaisille viranomaisille ja sähköalan koordinointiryhmälle. Sähköalan koordinointiryhmä voi suositella suunnitelmiin muutoksia.

4.   Siirtoverkonhaltijoiden on Sähkö-ENTSOn avustuksella, yhteistyössä EU DSO -elimen kanssa ja verkko- ja tietoturva-alan yhteistyöryhmää kuullen päivitettävä aluetason riskinlieventämissuunnitelmat joka kolmas vuosi, elleivät olosuhteet edellytä tiheämpää päivittämistä.

1.   Siirtoverkonhaltijoiden on Sähkö-ENTSOn avustuksella, yhteistyössä EU DSO -elimen kanssa ja verkko- ja tietoturva-alan yhteistyöryhmää kuullen 40 kuukauden kuluessa 24 artiklan 6 kohdan nojalla tehdystä vaikutuksiltaan merkittävien ja vaikutuksiltaan kriittisten toimijoiden ilmoittamisesta esitettävä sähköalan koordinointiryhmälle raportti kyberturvariskien arvioinnin tuloksista rajat ylittävien sähkönsiirtojen suhteen (eli ’kattava rajat ylittävien sähköalan kyberturvariskien arviointiraportti’).

2.   Kattavan rajat ylittävien sähköalan kyberturvariskien arviointiraportin on perustuttava unionitason kyberturvariskien arviointiraporttiin, jäsenvaltiotason kyberturvariskien arviointiraportteihin ja aluetason kyberturvariskien arviointiraportteihin, ja sen on katettava seuraavat seikat:

3.   Edellä 2 artiklan 1 kohdassa luetellut toimijat voivat osallistua kattavan rajat ylittävien sähköalan kyberturvariskien arviointiraportin laadintaan, kunhan 47 artiklan mukaisia tietojen luottamuksellisuutta koskevia vaatimuksia noudatetaan. Siirtoverkonhaltijoiden on Sähkö-ENTSOn avustuksella ja yhteistyössä EU DSO -elimen kanssa kuultava näitä toimijoita jo varhaisessa vaiheessa.

4.   Kattavaan rajat ylittävien sähköalan kyberturvariskien arviointiraporttiin sovelletaan 46 artiklan mukaisia tietojenvaihdon suojaamista koskevia sääntöjä. Sähkö-ENTSOn ja EU DSO -elimen on julkaistava raportista julkinen versio, joka ei saa sisältää tietoja, jotka voivat aiheuttaa vahinkoa 2 artiklan 1 kohdassa luetelluille toimijoille, sanotun kuitenkaan rajoittamatta 10 artiklan 4 kohdan ja 47 artiklan 4 kohdan soveltamista. Raportin julkinen versio voidaan julkaista ainoastaan verkko- ja tietoturva-alan yhteistyöryhmän ja sähköalan koordinointiryhmän suostumuksella. Sähkö-ENTSO vastaa koordinoidusti EU DSO -elimen kanssa raportin julkisen version koostamisesta ja julkaisemisesta.

1.   Kunkin toimivaltaisen viranomaisen on yksilöitävä 19 artiklan 3 kohdan b alakohdan mukaiseen unionitason kyberturvariskien arviointiraporttiin sisältyviä ECII-arvoja ja merkittävien ja kriittisten vaikutusten kynnystasoja käyttäen unionitason vaikutuksiltaan merkittäviin prosesseihin ja unionitason vaikutuksiltaan kriittisiin prosesseihin osallistuvat vaikutuksiltaan merkittävät ja vaikutuksiltaan kriittiset toimijat jäsenvaltiossaan. Toimivaltaiset viranomaiset voivat pyytää tietoja oman jäsenvaltionsa toimijalta määrittääkseen kyseisen toimijan ECII-arvot. Jos toimijan määritetty ECII-arvo ylittää merkittävien tai kriittisten vaikutusten kynnystason, yksilöity toimija on mainittava 20 artiklan 2 kohdassa tarkoitetussa jäsenvaltiotason kyberturvariskien arviointiraportissa.

2.   Kunkin toimivaltaisen viranomaisen on yksilöitävä 19 artiklan 3 kohdan b alakohdan mukaiseen unionitason kyberturvariskien arviointiraporttiin sisältyviä ECII-arvoja ja merkittävien ja kriittisten vaikutusten kynnystasoja käyttäen unioniin sijoittumattomat vaikutuksiltaan merkittävät ja vaikutuksiltaan kriittiset toimijat, joilla on toimintaa unionissa. Toimivaltainen viranomainen voi pyytää unioniin sijoittumattomalta toimijalta tietoja määrittääkseen kyseisen toimijan ECII-arvot.

3.   Kukin toimivaltainen viranomainen voi yksilöidä muita toimijoita jäsenvaltiossaan vaikutuksiltaan merkittäviksi tai vaikutuksiltaan kriittisiksi toimijoiksi, jos seuraavat kriteerit täyttyvät:

4.   Jos toimivaltainen viranomainen yksilöi 3 kohdan mukaisesti muita toimijoita, kaikkia näiden toimijoiden prosesseja, joiden toimijaryhmän tasolla määritelty ECII ylittää merkittävien vaikutusten kynnystason, on pidettävä vaikutuksiltaan merkittävinä prosesseina, ja kaikkia näiden toimijoiden prosesseja, joiden toimijaryhmän tasolla määritelty ECII ylittää kriittisten vaikutusten kynnystason, on pidettävä vaikutuksiltaan kriittisinä prosesseina.

5.   Jos toimivaltainen viranomainen yksilöi 3 kohdan a alakohdassa tarkoitettuja toimijoita useammassa kuin yhdessä jäsenvaltiossa, sen on ilmoitettava asiasta muille toimivaltaisille viranomaisille, Sähkö-ENTSOlle ja EU DSO -elimelle. Sähkö-ENTSOn on yhteistyössä EU DSO -elimen kanssa esitettävä kaikilta toimivaltaisilta viranomaisilta saatujen tietojen perusteella toimivaltaisille viranomaisille analyysi useammassa kuin yhdessä jäsenvaltiossa sijaitsevien toimijoiden kokonaisuudesta, joka voi aiheuttaa hajautuvan häiriön rajat ylittäville sähkönsiirroille ja johtaa kyberhyökkäykseen. Jos toimijoista useassa jäsenvaltiossa koostuva ryhmä yksilöidään kokonaisuudeksi, jonka ECII ylittää merkittävien tai kriittisten vaikutusten kynnystason, kaikkien asianomaisten toimivaltaisten viranomaisten on yksilöitävä tällaiseen kokonaisuuteen kuuluvat toimijat oman jäsenvaltionsa vaikutuksiltaan merkittäviksi tai vaikutuksiltaan kriittisiksi toimijoiksi toimijaryhmän tasolla määritellyn ECII:n perusteella, ja yksilöidyt toimijat on lueteltava unionitason kyberturvariskien arviointiraportissa.

6.   Kunkin toimivaltaisen viranomaisen on yhdeksän kuukauden kuluessa siitä, kun Sähkö-ENTSO ja EU DSO -elin ovat 19 artiklan 5 kohdan nojalla antaneet niille tiedoksi unionitason kyberturvariskien arviointiraportin, ja joka tapauksessa 13 päivään kesäkuuta 2028 mennessä ilmoitettava luettelossa oleville toimijoille, että ne on yksilöity vaikutuksiltaan merkittäviksi tai vaikutuksiltaan kriittisiksi toimijoiksi kyseissä jäsenvaltiossa.

7.   Kun toimivaltaiselle viranomaiselle raportoidaan 27 artiklan c kohdan nojalla tietyn palveluntarjoajan olevan kriittinen tieto- ja viestintätekniikan palveluntarjoaja, toimivaltaisen viranomaisen on ilmoitettava asiasta sen jäsenvaltion toimivaltaiselle viranomaiselle, jonka alueella palveluntarjoajan toimipaikka tai edustaja sijaitsee. Viimeksi mainitun toimivaltaisen viranomaisen on ilmoitettava palveluntarjoajalle, että se on yksilöity kriittiseksi palveluntarjoajaksi.

1.   Toimivaltaiset viranomaiset voivat perustaa kansallisen todentamisjärjestelmän varmistaakseen, että 24 artiklan 1 kohdan nojalla yksilöidyt vaikutuksiltaan kriittiset toimijat noudattavat kansallista lainsäädäntöä, joka sisältyy 34 artiklassa tarkoitettuun vastaavuusmatriisiin. Kansallinen todentamisjärjestelmä voi perustua toimivaltaisen viranomaisen suorittamaan tarkastukseen, riippumattomiin turvallisuusauditointeihin tai saman jäsenvaltion vaikutuksiltaan kriittisten toimijoiden suorittamiin keskinäisiin vertaisarviointeihin, joita toimivaltainen viranomainen valvoo.

2.   Jos toimivaltainen viranomainen päättää perustaa kansallisen todentamisjärjestelmän, sen on varmistettava, että todentaminen suoritetaan seuraavien vaatimusten mukaisesti:

3.   Jos toimivaltainen viranomainen päättää perustaa kansallisen todentamisjärjestelmän, sen on raportoitava ACERille vuosittain, kuinka usein se on tehnyt kyseisen järjestelmän mukaisia tarkastuksia.

1.   Toimivaltaisten viranomaisten 24 artiklan 1 kohdan mukaisesti yksilöimän kunkin vaikutuksiltaan merkittävän ja vaikutuksiltaan kriittisen toimijan on huolehdittava kyberturvariskien hallinnasta merkittävien vaikutusten ja kriittisten vaikutusten vyöhykkeillään sijaitsevien kaikkien omaisuuserien suhteen. Kunkin vaikutuksiltaan merkittävän ja vaikutuksiltaan kriittisen toimijan on harjoitettava riskienhallintaa, joka kattaa joka kolmas vuosi läpikäytävät 2 kohdassa tarkoitetut vaiheet.

2.   Kunkin vaikutuksiltaan merkittävän ja vaikutuksiltaan kriittisen toimijan on perustettava kyberturvariskien hallintansa lähestymistapaan, jolla pyritään suojaamaan sen verkko- ja tietojärjestelmiä ja joka käsittää seuraavat vaiheet:

3.   Kontekstinselvittämisvaiheessa kunkin vaikutuksiltaan merkittävän ja vaikutuksiltaan kriittisen toimijan on:

4.   Kyberturvariskien arviointivaiheessa kunkin vaikutuksiltaan merkittävän ja vaikutuksiltaan kriittisen toimijan on:

5.   Kyberturvariskien käsittelyvaiheessa kunkin vaikutuksiltaan merkittävän ja vaikutuksiltaan kriittisen toimijan on laadittava toimijatason riskinlieventämissuunnitelma valitsemalla riskien hallinnan ja jäännösriskien tunnistamisen kannalta asianmukaiset riskinkäsittelyvaihtoehdot.

6.   Kyberturvariskien hyväksymisvaiheessa kunkin vaikutuksiltaan merkittävän ja vaikutuksiltaan kriittisen toimijan on päätettävä, hyväksyykö se jäännösriskin 3 kohdan b alakohdan mukaisesti vahvistettujen riskinhyväksyntäkriteerien perusteella.

7.   Kunkin vaikutuksiltaan merkittävän ja vaikutuksiltaan kriittisen toimijan on kirjattava 1 kohdan mukaiset omaisuuseränsä erityiseen inventaariin. Inventaaria ei saa sisällyttää riskinarviointiraporttiin.

8.   Toimivaltainen viranomainen voi tarkastuksen aikana tutkia inventaariin sisällytetyt omaisuuserät.

1.   Yhteinen sähköalan kyberturvakehys koostuu seuraavasta varotoimien kokonaisuudesta ja kyberturvallisuuden hallintajärjestelmästä:

2.   Kaikkien vaikutuksiltaan merkittävien toimijoiden on toteutettava 1 kohdan a alakohdassa tarkoitetut vähimmäistason kyberturvavarotoimet merkittävien vaikutusten vyöhykkeellään.

3.   Kaikkien vaikutuksiltaan kriittisten toimijoiden on toteutettava 1 kohdan b alakohdassa tarkoitetut tiukemmat kyberturvavarotoimet kriittisten vaikutusten vyöhykkeellään.

4.   Edellä 1 kohdassa tarkoitettua yhteistä sähköalan kyberturvakehystä on täydennettävä 7 kuukauden kuluessa 19 artiklan 4 kohdan mukaisesta ensimmäisen unionitason kyberturvariskien arviointiraportin luonnoksen esittämisestä 33 artiklan nojalla määritellyillä toimitusketjulta edellytettävillä vähimmäistason ja tiukemmilla kyberturvavarotoimilla.

1.   Siirtoverkonhaltijoiden on Sähkö-ENTSOn avustuksella ja yhteistyössä EU DSO -elimen kanssa 7 kuukauden kuluessa 19 artiklan 4 kohdan mukaisesta ensimmäisen unionitason kyberturvariskien arviointiraportin luonnoksen toimittamisesta laadittava ehdotus vähimmäistason ja tiukemmista kyberturvavarotoimista.

2.   Siirtoverkonhaltijoiden on Sähkö-ENTSOn avustuksella ja yhteistyössä EU DSO -elimen kanssa 6 kuukauden kuluessa 21 artiklan 2 kohdan mukaisen ensimmäisen aluetason kyberturvariskien arviointiraportin valmistumisesta esitettävä toimivaltaiselle viranomaiselle vähimmäistason ja tiukempia kyberturvavarotoimia koskeva tarkistusehdotus. Ehdotus on laadittava 8 artiklan 10 kohdan mukaisesti ja siinä on otettava huomioon aluetason riskinarvioinnissa todetut riskit.

3.   Vähimmäistason ja tiukempien kyberturvavarotoimien on oltava todennettavissa kansallisessa todentamisjärjestelmässä 31 artiklassa esitetyn menettelyn mukaisesti tai kohdistamalla niihin riippumattoman kolmannen osapuolen tekemiä 25 artiklan 2 kohdassa luetellut vaatimukset täyttäviä turvallisuusauditointeja.

4.   Edellä olevan 1 kohdan nojalla määriteltyjen ensimmäisten vähimmäistason ja tiukempien kyberturvavarotoimien on perustuttava riskeihin, jotka on yksilöity 19 artiklan 5 kohdassa tarkoitetussa unionitason kyberturvariskien arviointiraportissa. Edellä olevan 2 kohdan nojalla määriteltyjen tarkistettujen vähimmäistason ja tiukempien kyberturvavarotoimien on perustuttava 21 artiklan 2 kohdassa tarkoitettuun aluetason kyberturvariskien arviointiraporttiin.

5.   Vähimmäistason kyberturvavarotoimien on katettava myös varotoimet 46 artiklan nojalla vaihdettujen tietojen suojaamiseksi.

6.   Edellä olevan 2 artiklan 1 kohdassa lueteltujen ja 24 artiklan nojalla vaikutuksiltaan merkittäviksi tai vaikutuksiltaan kriittisiksi yksilöityjen toimijoiden on 12 kuukauden kuluessa 8 artiklan 5 kohdan mukaisesta vähimmäistason ja tiukempien kyberturvavarotoimien hyväksymisestä ja jokaisen 8 artiklan 10 kohdan mukaisen niiden päivityksen jälkeen sovellettava 26 artiklan 5 kohdan mukaisen toimijatason riskinlieventämissuunnitelman laadinnan aikana merkittävien vaikutusten vyöhykkeellään vähimmäistason kyberturvavarotoimia ja kriittisten vaikutusten vyöhykkeellään tiukempia kyberturvavarotoimia.

1.   Edellä olevan 2 artiklan 1 kohdassa luetellut toimijat voivat pyytää asianomaiselta toimivaltaiselta viranomaiselta vapautusta 29 artiklan 6 kohdassa tarkoitetusta velvoitteestaan soveltaa vähimmäistason ja tiukempia kyberturvavarotoimia. Toimivaltainen viranomainen voi myöntää tällaisen vapautuksen jommallakummalla seuraavista perusteista:

2.   Kunkin toimivaltaisen viranomaisen on päätettävä kolmen kuukauden kuluessa 1 kohdassa tarkoitetun pyynnön vastaanottamisesta, voidaanko vapautus vähimmäistason tai tiukemmista kyberturvavarotoimista myöntää. Vapautukset vähimmäistason tai tiukemmista kyberturvavarotoimista voidaan myöntää enintään kolmen vuoden uusittavissa olevaksi ajanjaksoksi.

3.   Anonymisoidut koontitiedot myönnetyistä vapautuksista on lisättävä liitteenä 23 artiklassa tarkoitettuun kattavaan rajat ylittävien sähköalan kyberturvariskien arviointiraporttiin. Sähkö-ENTSOn ja EU DSO -elimen on tarvittaessa yhdessä päivitettävä luetteloa.

1.   Viimeistään 24 kuukauden kuluttua 28 artiklan 1 kohdan a, b ja c alakohdassa tarkoitettujen varotoimien hyväksymisestä ja mainitun artiklan d alakohdassa tarkoitetun kyberturvallisuuden hallintajärjestelmän perustamisesta kunkin 24 artiklan 1 kohdan mukaisesti yksilöidyn vaikutuksiltaan kriittisen toimijan on toimivaltaisen viranomaisen pyynnöstä kyettävä osoittamaan, että se noudattaa kyberturvallisuuden hallintajärjestelmää ja on toteuttanut vähimmäistason tai tiukemmat kyberturvavarotoimet.

2.   Kunkin vaikutuksiltaan kriittisen toimijan on täytettävä 1 kohdassa tarkoitettu velvoite läpikäymällä riippumattoman kolmannen osapuolen suorittamat 25 artiklan 2 kohdassa lueteltujen vaatimusten mukaiset turvallisuusauditoinnit tai osallistumalla 25 artiklan 1 kohdan mukaiseen kansalliseen todentamisjärjestelmään.

3.   Todennettaessa, että vaikutuksiltaan kriittinen toimija noudattaa kyberturvallisuuden hallintajärjestelmää ja on toteuttanut vähimmäistason tai tiukemmat kyberturvavarotoimet, on käytävä läpi kaikki vaikutuksiltaan kriittisen toimijan kriittisten vaikutusten vyöhykkeellä sijaitsevat omaisuuserät.

4.   Sen todentaminen, että vaikutuksiltaan kriittinen toimija noudattaa kyberturvallisuuden hallintajärjestelmää ja on toteuttanut vähimmäistason tai tiukemmat kyberturvavarotoimet, on toistettava viimeistään 36 kuukauden kuluttua ensimmäisen todentamisen päättymisestä ja sen jälkeen joka kolmas vuosi.

5.   Kunkin 24 artiklan mukaisesti yksilöidyn vaikutuksiltaan kriittisen toimijan on osoitettava, että se on toteuttanut 28 artiklan 1 kohdan a, b ja c alakohdassa tarkoitetut varotoimet ja perustanut mainitun artiklan 1 kohdan d alakohdassa tarkoitetun kyberturvallisuuden hallintajärjestelmän raportoimalla todentamisen tuloksista toimivaltaiselle viranomaiselle.

1.   Saatuaan toimivaltaiselta viranomaiselta 24 artiklan 6 mukaisesti ilmoituksen nimeämisestään vaikutuksiltaan merkittäväksi tai vaikutuksiltaan kriittiseksi toimijaksi kunkin vaikutuksiltaan merkittävän ja kunkin vaikutuksiltaan kriittisen toimijan on 24 kuukauden kuluessa perustettava kyberturvallisuuden hallintajärjestelmä, jota on tämän jälkeen tarkasteltava uudelleen joka kolmas vuosi ja jonka tarkoituksena on:

2.   Kyberturvallisuuden hallintajärjestelmän on katettava kaikki omaisuuserät vaikutuksiltaan merkittävän toimijan ja vaikutuksiltaan kriittisen toimijan merkittävien vaikutusten vyöhykkeellä ja kriittisten vaikutusten vyöhykkeellä.

3.   Toimivaltaisten viranomaisten on tietyntyyppistä teknologiaa edellyttämättä tai suosimatta kannustettava käyttämään hallintajärjestelmiin liittyviä eurooppalaisia tai kansainvälisiä standardeja ja eritelmiä, joilla on merkitystä verkko- ja tietojärjestelmien turvallisuuden kannalta.

1.   Siirtoverkonhaltijoiden on Sähkö-ENTSOn avustuksella ja yhteistyössä EU DSO -elimen kanssa 7 kuukauden kuluessa 19 artiklan 4 kohdan mukaisesta ensimmäisen unionitason kyberturvariskien arviointiraportin luonnoksen toimittamisesta laadittava ehdotus toimitusketjun vähimmäistason ja tiukemmista kyberturvavarotoimista, joilla lievennetään unionitason kyberturvariskien arvioinneissa yksilöityjä toimitusketjun riskejä ja täydennetään 29 artiklan nojalla määriteltyjä vähimmäistason ja tiukempia kyberturvavarotoimia. Toimitusketjuun kohdistettavat vähimmäistason ja tiukemmat kyberturvavarotoimet on määriteltävä yhdessä 29 artiklan nojalla määriteltävien vähimmäistason ja tiukempien kyberturvavarotoimien kanssa. Toimitusketjuun kohdistettavien vähimmäistason ja tiukempien kyberturvavarotoimien on katettava vaikutuksiltaan merkittävän tai vaikutuksiltaan kriittisen toimijan merkittävien vaikutusten vyöhykkeellä tai kriittisten vaikutusten vyöhykkeellä sijaitsevien kaikkien tieto- ja viestintätekniikan tuotteiden, palvelujen ja prosessien koko elinkaari. Laadittaessa ehdotusta toimitusketjuun kohdistettavista vähimmäistason ja tiukemmista kyberturvavarotoimista on kuultava verkko- ja tietoturva-alan yhteistyöryhmää.

2.   Toimitusketjuun kohdistettavien, vaikutuksiltaan merkittävien ja vaikutuksiltaan kriittisten toimijoiden vähimmäistason kyberturvavarotoimien on:

3.   Edellä 2 kohdan a alakohdassa tarkoitettuun kyberturvahankintasuositukseen sisältyvien kyberturvavaatimusten osalta vaikutuksiltaan merkittävien tai vaikutuksiltaan kriittisten toimijoiden on käytettävä Euroopan parlamentin ja neuvoston direktiivin 2014/24/EU (19) sisältämiä hankintaperiaatteita 35 artiklan 4 kohdan mukaisesti tai määriteltävä omat vaatimuksensa toimijatason kyberturvariskien arvioinnin tulosten perusteella.

4.   Toimitusketjun tiukempiin kyberturvavarotoimiin on sisällyttävä varotoimet, joiden myötä vaikutuksiltaan kriittiset toimijat voivat todentaa hankintamenettelyissä, että vaikutuksiltaan kriittisinä omaisuuserinä käytettävät tieto- ja viestintätekniikan tuotteet, palvelut ja prosessit täyttävät kyberturvavaatimukset. Tieto- ja viestintätekniikan tuote, palvelu tai prosessi on hyväksyttävä joko 31 artiklassa tarkoitetulla eurooppalaisella kyberturvallisuuden sertifiointijärjestelmällä tai toimijan valitsemilla ja järjestämillä hyväksymismenettelyillä. Hyväksymismenettelyjen on oltava riittävän perusteellisia ja kattavia, jotta saadaan varmuus siitä, että tieto- ja viestintätekniikan tuotetta, palvelua tai prosessia voidaan käyttää toimijatason riskinarvioinnissa yksilöityjen riskien lieventämiseen. Vaikutuksiltaan kriittisen toimijan on dokumentoitava toimenpiteet, jotka on toteutettu yksilöityjen riskien lieventämiseksi.

5.   Toimitusketjuun kohdistettavia vähimmäistason ja tiukempia kyberturvavarotoimia on sovellettava asiaankuuluvien tieto- ja viestintätekniikan tuotteiden, palvelujen ja prosessien hankintoihin. Toimitusketjuun kohdistettavia vähimmäistason ja tiukempia kyberturvavarotoimia sovelletaan 24 artiklan nojalla vaikutuksiltaan merkittäviksi ja vaikutuksiltaan kriittisiksi toimijoiksi yksilöityjen toimijoiden hankintaprosesseihin, jotka alkavat kuuden kuukauden kuluttua 29 artiklassa tarkoitettujen vähimmäistason ja tiukempien kyberturvavarotoimien hyväksymisestä tai päivittämisestä.

6.   Siirtoverkonhaltijoiden on Sähkö-ENTSOn avustuksella ja yhteistyössä EU DSO -elimen kanssa 6 kuukauden kuluessa 21 artiklan 2 kohdan mukaisen ensimmäisen aluetason kyberturvariskien arviointiraportin valmistumisesta esitettävä toimivaltaiselle viranomaiselle toimitusketjuun kohdistettavia vähimmäistason ja tiukempia kyberturvavarotoimia koskeva tarkistusehdotus. Ehdotus on laadittava 8 artiklan 10 kohdan mukaisesti ja siinä on otettava huomioon aluetason riskinarvioinnissa todetut riskit.

1.   Siirtoverkonhaltijoiden on Sähkö-ENTSOn avustuksella, yhteistyössä EU DSO -elimen kanssa ja ENISAa kuullen 7 kuukauden kuluessa 19 artiklan 4 kohdan mukaisesta ensimmäisen unionitason kyberturvariskien arviointiraportin luonnoksen toimittamisesta laadittava ehdotus vastaavuusmatriisiksi, jossa esitetään vastaavuudet 28 artiklan 1 kohdan a ja b alakohdassa esitettyjen varotoimien ja valittujen eurooppalaisten ja kansainvälisten standardien sekä asiaankuuluvien teknisten eritelmien välillä. Sähkö-ENTSOn ja EU DSO -elimen on dokumentoitava eri varotoimien vastaavuus 28 artiklan 1 kohdan a ja b alakohdassa esitettyjen varotoimien kanssa.

2.   Toimivaltaiset viranomaiset voivat toimittaa Sähkö-ENTSOlle ja EU DSO -elimelle 28 artiklan 1 kohdan a ja b alakohdassa esitettyjen varotoimien vastaavuudet viittauksin asiaa koskeviin kansallisiin lainsäädäntö- tai sääntelykehyksiin, mukaan lukien direktiivin (EU) 2022/2555 25 artiklan mukaiset jäsenvaltioiden asiaa koskevat kansalliset standardit. Jos jäsenvaltion toimivaltainen viranomainen toimittaa tällaisen vastaavuusselvityksen, Sähkö-ENTSOn ja EU DSO -elimen on sisällytettävä se vastaavuusmatriisiin.

3.   Siirtoverkonhaltijoiden on Sähkö-ENTSOn avustuksella, yhteistyössä EU DSO -elimen kanssa ja ENISAa kuullen 6 kuukauden kuluessa 21 artiklan 2 kohdan mukaisen ensimmäisen aluetason kyberturvariskien arviointiraportin valmistumisesta esitettävä toimivaltaiselle viranomaiselle vastaavuusmatriisia koskeva tarkistusehdotus. Ehdotus on laadittava 8 artiklan 10 kohdan mukaisesti ja siinä on otettava huomioon aluetason riskinarvioinnissa todetut riskit.

1.   Siirtoverkonhaltijoiden on Sähkö-ENTSOn avustuksella ja yhteistyössä EU DSO -elimen kanssa laadittavassa työohjelmassa, joka vahvistetaan ja päivitetään aina, kun aluetason kyberturvariskien arviointiraportti hyväksytään, esitettävä ei-sitovia kyberturvahankintasuosituksia, joita vaikutuksiltaan merkittävät ja vaikutuksiltaan kriittiset toimijat voivat käyttää perustana hankkiessaan tieto- ja viestintätekniikan tuotteita, palveluja ja prosesseja merkittävien vaikutusten vyöhykkeille ja kriittisten vaikutusten vyöhykkeille. Työohjelman on sisällettävä seuraavat tekijät:

2.   Sähkö-ENTSOn on yhteistyössä EU DSO -elimen kanssa toimitettava ACERille kuuden kuukauden kuluessa aluetason kyberturvariskien arviointiraportin hyväksymisestä tai päivityksestä yhteenveto kyseisestä työohjelmasta.

3.   Siirtoverkonhaltijoiden on Sähkö-ENTSOn avustuksella ja yhteistyössä EU DSO -elimen kanssa pyrittävä varmistamaan, että kunkin aluetason kyberturvariskien arvioinnin perusteella laaditut ei-sitovat kyberturvahankintasuositukset ovat samankaltaisia tai vastaavia kaikilla käyttöalueilla. Kyberturvahankintasuositusten on katettava vähintään 33 artiklan 2 kohdan a alakohdassa tarkoitetut eritelmät. Eritelmät on mahdollisuuksien mukaan valittava eurooppalaisista ja kansainvälisistä standardeista.

4.   Siirtoverkonhaltijoiden on Sähkö-ENTSOn avustuksella ja yhteistyössä EU DSO -elimen kanssa varmistettava, että kyberturvahankintasuositukset:

1.   Edellä olevan 35 artiklan nojalla laaditut ei-sitovat kyberturvahankintasuositukset voivat sisältää toimialakohtaista ohjeistusta eurooppalaisten kyberturvallisuuden sertifiointijärjestelmien käytöstä siltä osin kuin käytettävissä on sopiva järjestelmä tietyntyyppiselle vaikutuksiltaan kriittisten toimijoiden käyttämälle tieto- ja viestintätekniikan tuotteelle, palvelulle tai prosessille, sanotun kuitenkaan vaikuttamatta asetuksen (EU) 2019/881 46 artiklan mukaiseen eurooppalaiseen kyberturvallisuuden sertifiointikehykseen.

2.   Siirtoverkonhaltijoiden on Sähkö-ENTSOn avustuksella ja yhteistyössä EU DSO -elimen kanssa tehtävä tiivistä yhteistyötä ENISAn kanssa antaessaan 1 kohdan mukaista kyberturvahankintasuosituksiin sisältyvää ei-sitovaa alakohtaista ohjeistusta.

1.   Jos toimivaltainen viranomainen saa tietoa raportoitavasta kyberhyökkäyksestä, sen on:

2.   Jos CSIRT-yksikkö tulee tietoiseksi aktiivisesti hyväksikäytetystä paikkaamattomasta haavoittuvuudesta, sen on:

3.   Jos toimivaltainen viranomainen tulee tietoiseksi aktiivisesti hyväksikäytetystä paikkaamattomasta haavoittuvuudesta, sen on:

4.   Jos toimivaltainen viranomainen saa tietoonsa paikkaamattoman haavoittuvuuden, jonka aktiivisesta hyväksikäytöstä ei vielä ole näyttöä, sen on ilman aiheetonta viivytystä ryhdyttävä koordinoimaan toimintaansa CSIRT-yksikön kanssa direktiivin (EU) 2022/2555 12 artiklan 1 kohdassa säädettyä koordinoitua haavoittuvuuden julkistamista silmällä pitäen.

5.   Jos CSIRT-yksikkö saa 38 artiklan 6 kohdan nojalla kyberuhkiin liittyviä tietoja yhdeltä tai useammalta vaikutuksiltaan merkittävältä tai vaikutuksiltaan kriittiseltä toimijalta, sen on toimitettava kyseiset tiedot tai muut tiedot, jotka ovat tärkeitä asiaan liittyvän riskin ehkäisemiseksi, havaitsemiseksi, riskiin reagoimiseksi tai sen lieventämiseksi vaikutuksiltaan kriittisille ja vaikutuksiltaan merkittäville toimijoille jäsenvaltiossaan ja tarvittaessa kaikille asiaan liittyville CSIRT-yksiköille ja kansalliselle keskitetylle yhteyspisteelleen ilman aiheetonta viivytystä ja viimeistään neljän tunnin kuluessa tietojen vastaanottamisesta.

6.   Jos toimivaltainen viranomainen saa yhdeltä tai useammalta vaikutuksiltaan merkittävältä tai vaikutuksiltaan kriittiseltä toimijalta tietoa kyberuhkista, sen on 5 kohdan tarkoituksia varten toimitettava nämä tiedot edelleen CSIRT-yksikölle.

7.   Toimivaltaiset viranomaiset voivat siirtää kokonaan tai osittain 3 ja 4 kohdan mukaiset vastuut, jotka koskevat yhtä tai useampaa useammassa kuin yhdessä jäsenvaltiossa toimivaa vaikutuksiltaan merkittävää tai vaikutuksiltaan kriittistä toimijaa, jollekin toiselle toimivaltaiselle viranomaiselle jossakin näistä jäsenvaltioista, jos tästä on sovittu asianomaisten toimivaltaisten viranomaisten kesken.

8.   Siirtoverkonhaltijoiden on Sähkö-ENTSOn avustuksella ja yhteistyössä EU DSO -elimen kanssa laadittava 13 päivään kesäkuuta 2025 mennessä kyberhyökkäysten luokittelumenetelmä. Siirtoverkonhaltijat voivat Sähkö-ENTSOn ja EU DSO -elimen avustuksella pyytää toimivaltaisia viranomaisia kuulemaan ENISAa ja niiden kyberturvallisuudesta vastaavia toimivaltaisia viranomaisia saadakseen apua luokittelumenetelmän laatimisessa. Menetelmän on mahdollistettava kyberhyökkäyksen luokittelu vakavuusasteeltaan viiden tason mukaan siten, että kaksi korkeinta tasoa ovat ’merkittävä’ ja ’kriittinen’. Luokituksen on perustuttava seuraavien muuttujien arviointiin:

9.   Sähkö-ENTSOn on 13 päivään kesäkuuta 2026 mennessä tehtävä yhteistyössä EU DSO -elimen kanssa toteutettavuustutkimus, jossa arvioidaan mahdollisuutta kehittää yhteinen väline, jonka avulla kaikki toimijat voivat jakaa tietoja asiaankuuluvien kansallisten viranomaisten kanssa, ja tästä aiheutuvia kustannuksia.

10.   Toteutettavuustutkimuksessa on tarkasteltava mahdollisuutta, että tällainen yhteinen väline:

11.   Sähkö-ENTSOn on yhteistyössä EU DSO -elimen kanssa:

12.   Sähkö-ENTSO voi yhteistyössä EU DSO -elimen kanssa analysoida ja tukea vaikutuksiltaan kriittisten ja vaikutuksiltaan merkittävien toimijoiden aloitteita tällaisten tiedonvaihtovälineiden arvioimiseksi ja testaamiseksi.

1.   Kunkin vaikutuksiltaan merkittävän ja vaikutuksiltaan kriittisen toimijan on:

2.   ENISA voi osana asetuksen (EU) 2019/881 6 artiklan 2 kohdassa määriteltyä tehtäväänsä antaa ei-sitovaa ohjeistusta tällaisten valmiuksien rakentamisesta tai hankkimisesta tietoturvapalveluntarjoajilta.

3.   Kunkin vaikutuksiltaan kriittisen ja vaikutuksiltaan merkittävän toimijan on jaettava raportoitavaan kyberhyökkäykseen liittyvät asiaankuuluvat tiedot CSIRT-yksikkönsä ja toimivaltaisen viranomaisensa kanssa ilman aiheetonta viivytystä ja viimeistään neljän tunnin kuluessa tultuaan tietoiseksi siitä, että kyseinen poikkeama on raportoitava.

4.   Kyberhyökkäykseen liittyvät tiedot katsotaan raportoitaviksi, kun asianomainen toimija arvioi kyberhyökkäyksen vakavuuden 37 artiklan 8 kohdan nojalla laaditulla kyberhyökkäysten luokitusasteikolla ’merkittäväksi’ tai ’kriittiseksi’. Edellä olevan 1 kohdan c alakohdan nojalla nimetyn toimijatason keskitetyn yhteyspisteen on ilmoitettava poikkeaman luokitus.

5.   Kun vaikutuksiltaan kriittiset ja vaikutuksiltaan merkittävät toimijat toimittavat CSIRT-yksikölle tietoa aktiivisesti hyväksikäytetyistä paikkaamattomista haavoittuvuuksista, se voi toimittaa tiedot edelleen toimivaltaiselle viranomaiselleen. Ilmoitettujen tietojen arkaluonteisuuden perusteella CSIRT-yksikkö voi pidättäytyä toimittamasta tietoja tai lykätä niiden toimittamista edelleen perustelluista kyberturvallisuuteen liittyvistä syistä.

6.   Kunkin vaikutuksiltaan kriittisen ja vaikutuksiltaan merkittävän toimijan on ilman aiheetonta viivytystä toimitettava CSIRT-yksiköilleen kaikki sellaiseen raportoitavaan kyberuhkaan liittyvät tiedot, jolla voi olla rajat ylittäviä vaikutuksia. Kyberuhkaan liittyvät tiedot katsotaan raportoitaviksi, jos vähintään yksi seuraavista edellytyksistä täyttyy:

7.   Kunkin vaikutuksiltaan kriittisen ja vaikutuksiltaan merkittävän toimijan on tämän artiklan nojalla tietoja jakaessaan täsmennettävä seuraavat seikat:

8.   Kun vaikutuksiltaan kriittinen tai vaikutuksiltaan merkittävä toimija ilmoittaa merkittävästä poikkeamasta direktiivin (EU) 2022/2555 23 artiklan nojalla ja kyseisen artiklan mukainen poikkeamaraportointi sisältää tämän artiklan 3 kohdassa vaaditut asiaankuuluvat tiedot, kyseisen direktiivin 23 artiklan 1 kohdan mukainen toimijan raportointi on katsottava tämän artiklan 3 kohdan mukaiseksi tietojen ilmoittamiseksi.

9.   Kunkin vaikutuksiltaan kriittisen ja vaikutuksiltaan merkittävän toimijan on raportoinnissaan toimivaltaiselle viranomaiselleen tai CSIRT-yksikölle yksilöitävä selkeästi tietyt tiedot, jotka on jaettava ainoastaan toimivaltaisen viranomaisen tai CSIRT-yksikön kanssa tapauksissa, joissa tietojen jakaminen voisi olla kyberhyökkäyksen lähde. Kullakin vaikutuksiltaan kriittisellä ja vaikutuksiltaan merkittävällä toimijalla on oltava oikeus toimittaa tiedoista ei-luottamuksellinen versio toimivaltaiselle CSIRT-yksikölle.

1.   Vaikutuksiltaan kriittisten ja vaikutuksiltaan merkittävien toimijoiden on kehitettävä tarvittavat valmiudet havaittujen kyberhyökkäysten käsittelemiseksi asiaankuuluvan toimivaltaisen viranomaisen, Sähkö-ENTSOn ja EU DSO -elimen tarvittavalla tuella. Vaikutuksiltaan kriittiset ja vaikutuksiltaan merkittävät toimijat voivat saada jäsenvaltionsa nimetyltä CSIRT-yksiköltä tukea osana direktiivin (EU) 2022/2555 11 artiklan 5 kohdan a alakohdassa CSIRT-yksiköille osoitettua tehtävää. Vaikutuksiltaan kriittisillä ja vaikutuksiltaan merkittävillä toimijoilla on oltava toimivat prosessit sellaisten kyberhyökkäysten tunnistamiseksi, luokittelemiseksi ja niihin reagoimiseksi, jotka vaikuttavat tai voivat vaikuttaa rajat ylittäviin sähkönsiirtoihin, jotta niiden vaikutus voidaan minimoida.

2.   Jos kyberhyökkäys vaikuttaa rajat ylittäviin sähkönsiirtoihin, vaikutuksiltaan kriittisten ja vaikutuksiltaan merkittävien toimijoiden toimijatason keskitettyjen yhteyspisteiden on tehtävä yhteistyötä tietojen jakamiseksi niiden kesken sen jäsenvaltion toimivaltaisen viranomaisen koordinoimina, jossa kyberhyökkäyksestä raportoitiin ensimmäisen kerran.

3.   Vaikutuksiltaan kriittisten ja vaikutuksiltaan merkittävien toimijoiden on:

4.   Jäsenvaltiot voivat siirtää 1 kohdassa tarkoitetut tehtävät myös alueellisille koordinointikeskuksille asetuksen (EU) 2019/943 37 artiklan 2 kohdan mukaisesti.

1.   Kun toimivaltainen viranomainen toteaa, että sähkökriisi liittyy useampaan kuin yhteen jäsenvaltioon vaikuttavaan kyberhyökkäykseen, vaikutusten kohteena olevien jäsenvaltioiden toimivaltaisten viranomaisten, kyberturvallisuudesta vastaavien kansallisten toimivaltaisten viranomaisten, riskeihin varautumisesta vastaavien toimivaltaisten viranomaisten ja verkko- ja tietoturvan kyberkriisinhallintaviranomaisten on yhdessä perustettava tilapäinen rajat ylittävä kriisikoordinointiryhmä.

2.   Tilapäisen rajat ylittävän kriisikoordinointiryhmän on:

3.   Jos kyberhyökkäys muodostaa tai sen odotetaan muodostavan laajamittaisen kyberturvapoikkeaman, tilapäisen rajat ylittävän kriisikoordinointiryhmän on välittömästi ilmoitettava asiasta direktiivin (EU) 2022/2555 9 artiklan 1 kohdan mukaisille kansallisille kyberkriisinhallintaviranomaisille niissä jäsenvaltioissa, joihin poikkeama vaikuttaa, sekä komissiolle ja Euroopan kyberkriisien yhteysorganisaatioiden verkostolle (EU CyCLONe). Tällaisessa tilanteessa tilapäisen rajat ylittävän kriisikoordinointiryhmän on tuettava EU CyCLONe -verkostoa toimialakohtaisten erityispiirteiden osalta.

4.   Vaikutuksiltaan kriittisten ja vaikutuksiltaan merkittävien toimijoiden on luotava ja pidettävä käytettävissään valmiudet, sisäiset ohjeistot, valmiussuunnitelmat ja henkilöstö, jotta ne voivat osallistua rajat ylittävien kriisien havaitsemiseen ja lieventämiseen. Vaikutuksiltaan kriittisen tai vaikutuksiltaan merkittävän toimijan, johon samanaikainen sähkökriisi vaikuttaa, on selviteltävä tällaisen kriisin juurisyytä yhteistyössä toimivaltaisen viranomaisensa kanssa sen määrittämiseksi, missä määrin kriisi liittyy kyberhyökkäykseen.

5.   Jäsenvaltiot voivat siirtää 4 kohdan mukaiset tehtävät myös alueellisille koordinointikeskuksille asetuksen (EU) 2019/943 37 artiklan 2 kohdan mukaisesti.

1.   ACERin on tiiviissä yhteistyössä ENISAn, Sähkö-ENTSOn, EU DSO -elimen, kyberturvallisuudesta vastaavien kansallisten toimivaltaisten viranomaisten, toimivaltaisten viranomaisten, riskeihin varautumisesta vastaavien kansallisten toimivaltaisten viranomaisten, kansallisten sääntelyviranomaisten ja kansallisten verkko- ja tietoturvan kyberkriisinhallintaviranomaisten kanssa laadittava 24 kuukauden kuluessa siitä, kun sille on annettu tiedoksi unionitason kyberturvariskien arviointiraportti, unionitason kyberturvallisuuden kriisinhallinta- ja reagointisuunnitelma sähköalalle.

2.   Kunkin toimivaltaisen viranomaisen on 12 kuukauden kuluessa siitä, kun ACER on laatinut unionitason kyberturvallisuuden kriisinhallinta- ja reagointisuunnitelman sähköalalle 1 kohdan mukaisesti, laadittava rajat ylittäviä sähkönsiirtoja koskeva kansallinen kyberturvallisuuden kriisinhallinta- ja reagointisuunnitelma, jossa otetaan huomioon unionitason kyberturvallisuuden kriisinhallintasuunnitelma ja asetuksen (EU) 2019/941 10 artiklan mukaisesti laadittu kansallinen riskeihinvarautumissuunnitelma. Suunnitelman on oltava johdonmukainen suhteessa direktiivin (EU) 2022/2555 9 artiklan 4 kohdan nojalla laadittuun laajamittaisten kyberturvallisuuspoikkeamien ja kriisien hallintasuunnitelmaan. Toimivaltaisen viranomaisen on koordinoitava toimintaansa jäsenvaltionsa vaikutuksiltaan kriittisten ja vaikutuksiltaan merkittävien toimijoiden ja riskeihin varautumisesta vastaavien kansallisten toimivaltaisten viranomaisten kanssa.

3.   Direktiivin (EU) 2022/2555 9 artiklan 4 kohdan nojalla edellytettyä kansallista laajamittaisten kyberturvallisuuspoikkeamien ja kriisien hallintasuunnitelmaa on pidettävä tämän artiklan mukaisena kansallisena kyberturvallisuuden kriisinhallintasuunnitelmana, jos se sisältää rajat ylittäviä sähkönsiirtoja koskevia kriisinhallinta- ja reagointimenettelyjä.

4.   Jäsenvaltiot voivat siirtää 1 ja 2 kohdassa luetellut tehtävät myös alueellisille koordinointikeskuksille asetuksen (EU) 2019/943 37 artiklan 2 kohdan mukaisesti.

5.   Vaikutuksiltaan kriittisten ja vaikutuksiltaan merkittävien toimijoiden on varmistettava, että niiden kyberturvallisuuteen liittyvät kriisinhallintaprosessit:

6.   Vaikutuksiltaan kriittisten ja vaikutuksiltaan merkittävien toimijoiden on 12 kuukauden kuluessa siitä, kun ne on nimetty sellaisiksi 24 artiklan 6 kohdan nojalla, ja sen jälkeen joka kolmas vuosi laadittava kyberturvallisuuteen liittyvää kriisiä varten toimijatason kriisinhallintasuunnitelma, joka on sisällytettävä niiden yleisiin kriisinhallintasuunnitelmiin. Suunnitelman on katettava ainakin seuraavat:

7.   Direktiivin (EU) 2022/2555 21 artiklan 2 kohdan c alakohdassa nojalla edellytetyt kriisinhallintatoimenpiteet on katsottava tämän artiklan mukaiseksi sähköalan toimijatason kriisinhallintasuunnitelmaksi, jos ne täyttävät kaikki 6 kohdassa luetellut vaatimukset.

8.   Kriisinhallintasuunnitelmia on testattava 43, 44 ja 45 artiklassa tarkoitettujen kyberturvaharjoitusten aikana.

9.   Vaikutuksiltaan kriittisten ja vaikutuksiltaan merkittävien toimijoiden on sisällytettävä toimijatason kriisinhallintasuunnitelmansa vaikutuksiltaan kriittisiä ja vaikutuksiltaan merkittäviä prosesseja koskeviin toiminnan jatkuvuussuunnitelmiinsa. Toimijatason kriisinhallintasuunnitelmien on katettava:

10.   Vaikutuksiltaan kriittisten ja vaikutuksiltaan merkittävien toimijoiden on päivitettävä toimijatason kriisinhallintasuunnitelmansa vähintään joka kolmas vuosi ja aina kun se on tarpeen.

11.   ACERin on päivitettävä 1 kohdan nojalla laadittu unionitason kyberturvallisuuden kriisinhallinta- ja reagointisuunnitelma sähköalalle vähintään joka kolmas vuosi ja aina kun se on tarpeen.

12.   Kunkin toimivaltaisen viranomaisen on päivitettävä 2 kohdan nojalla laadittu kansallinen kyberturvallisuuden kriisinhallinta- ja reagointisuunnitelma rajat ylittäville sähkönsiirroille vähintään joka kolmas vuosi ja aina kun se on tarpeen.

13.   Vaikutuksiltaan kriittisten ja vaikutuksiltaan merkittävien toimijoiden on testattava toiminnan jatkuvuussuunnitelmiaan vähintään joka kolmas vuosi tai vaikutuksiltaan kriittisten prosessien mittavampien muutosten jälkeen. Toiminnan jatkuvuussuunnitelmaa koskevien testien tulokset on dokumentoitava. Vaikutuksiltaan kriittiset ja vaikutuksiltaan merkittävät toimijat voivat sisällyttää toiminnan jatkuvuussuunnitelmansa testauksen kyberturvaharjoituksiin.

14.   Vaikutuksiltaan kriittisten ja vaikutuksiltaan merkittävien toimijoiden on päivitettävä toiminnan jatkuvuussuunnitelmansa aina kun se on tarpeen ja vähintään joka kolmas vuosi ottaen huomioon testin tulokset.

15.   Jos testissä havaitaan puutteita toiminnan jatkuvuussuunnitelmassa, vaikutuksiltaan kriittisen ja vaikutuksiltaan merkittävän toimijan on korjattava puutteet 180 kalenteripäivän kuluessa testistä ja suoritettava uusi testi, jolla osoitetaan, että korjaustoimet ovat poistaneet puutteet.

16.   Jos vaikutuksiltaan kriittinen tai vaikutuksiltaan merkittävä toimija ei pysty korjaamaan puutteita 180 kalenteripäivän kuluessa, sen on perusteltava tämä toimivaltaiselle viranomaiselleen 27 artiklan mukaisesti toimitettavassa raportissa.

1.   Toimivaltaisten viranomaisten on yhteistyössä ENISAn kanssa määriteltävä sähköalalle ennakkovaroitusvalmiudet osana asetuksen (EU) 2019/881 6 artiklan 2 ja 7 kohdan nojalla jäsenvaltioille annettavaa apua.

2.   Näiden valmiuksien myötä ENISAn on kyettävä asetuksen (EU) 2019/881 7 artiklan 7 kohdassa lueteltuja tehtäviä suorittaessaan:

3.   CSIRT-yksiköiden on jaettava ENISAlta saadut tiedot viipymättä asianomaisille toimijoille direktiivin (EU) 2022/2555 11 artiklan 3 kohdan b alakohdassa määriteltyjen tehtäviensä puitteissa.

4.   ACERin on seurattava ennakkovaroitusvalmiuksien toimivuutta. ENISAn on asetuksen (EU) 2019/881 6 artiklan 2 kohdan ja 7 artiklan 1 kohdan nojalla avustettava ACERia toimittamalla kaikki tarvittavat tiedot. Tämän seurannan tuloksena syntyvä analyysi on osa tämän asetuksen 12 artiklan nojalla harjoitettavaa seurantaa.

1.   Kunkin vaikutuksiltaan kriittisen toimijan on nimeämistään seuraavan vuoden 31 päivään joulukuuta mennessä ja sen jälkeen joka kolmas vuosi toteutettava kyberturvaharjoitus, joka kattaa vähintään yhden sellaisen kyberhyökkäysskenaarion, joka vaikuttaa suoraan tai välillisesti rajat ylittäviin sähkönsiirtoihin ja liittyy 20 artiklan ja 27 artiklan mukaisissa jäsenvaltiotason ja toimijatason riskinarvioinneissa yksilöityihin riskeihin.

2.   Poiketen 1 kohdasta, riskeihin varautumisesta vastaava kansallinen toimivaltainen viranomainen voi toimivaltaista viranomaista ja direktiivin (EU) 2022/2555 9 artiklan mukaisesti nimettyä tai perustettua asianomaista kyberkriisinhallintaviranomaista kuultuaan päättää järjestää 1 kohdassa kuvatun kyberturvaharjoituksen jäsenvaltiotasolla toimijatason sijaan. Tällöin toimivaltaisen viranomaisen on ilmoitettava asiasta:

3.   Riskeihin varautumisesta vastaavan kansallisen toimivaltaisen viranomaisen on CSIRT-yksiköidensä teknisellä tuella järjestettävä 2 kohdassa kuvattu jäsenvaltiotason kyberturvaharjoitus erillisenä tai kyseisessä jäsenvaltiossa toteutettavan toisen kyberturvaharjoituksen yhteydessä. Voidakseen koota näitä harjoituksia yhteen riskeihin varautumisesta vastaava kansallinen toimivaltainen viranomainen voi lykätä 1 kohdassa tarkoitettua jäsenvaltiotason kyberturvaharjoitusta yhdellä vuodella.

4.   Toimija- ja jäsenvaltiotason kyberturvaharjoitusten on oltava johdonmukaisia suhteessa direktiivin (EU) 2022/2555 9 artiklan 4 kohdan d alakohdan mukaisiin kansallisiin varautumiskeinoihin.

5.   Sähkö-ENTSOn on 31 päivään joulukuuta 2026 mennessä ja sen jälkeen joka kolmas vuosi yhteistyössä EU DSO -elimen kanssa asetettava käyttöön harjoitusskenaariomalli 1 kohdassa tarkoitettuja toimija- ja jäsenvaltiotason kyberturvaharjoituksia varten. Mallissa on otettava huomioon viimeisimpien toimija- ja jäsenvaltiotason kyberturvariskien arviointien tulokset ja sen on sisällettävä keskeiset onnistumiskriteerit. Sähkö-ENTSOn ja EU DSO -elimen on otettava ACER ja ENISA mukaan mallin laatimiseen.

1.   Sähkö-ENTSOn on yhteistyössä EU DSO -elimen kanssa järjestettävä 31 päivään joulukuuta 2029 mennessä ja sen jälkeen joka kolmas vuosi kullakin käyttöalueella aluetason kyberturvaharjoitus. Käyttöalueen vaikutuksiltaan kriittisten toimijoiden on osallistuttava aluetason kyberturvaharjoitukseen. Sähkö-ENTSO voi yhteistyössä EU DSO -elimen kanssa järjestää aluetason kyberturvaharjoituksen sijaan samassa aikataulussa alueidenvälisen kyberturvaharjoituksen, joka kattaa useampia käyttöalueita. Harjoituksessa olisi otettava huomioon muut olemassa olevat unionin tasolla laaditut kyberturvariskien arvioinnit ja skenaariot.

2.   ENISAn on tuettava Sähkö-ENTSOa ja EU DSO -elintä aluetason tai alueidenvälisen kyberturvaharjoituksen valmistelussa ja järjestämisessä.

3.   Sähkö-ENTSOn on koordinoidusti EU DSO -elimen kanssa tiedotettava asiasta vaikutuksiltaan kriittisille toimijoille, joiden on osallistuttava aluetason tai alueidenväliseen kyberturvaharjoitukseen, kuusi kuukautta ennen harjoitusta.

4.   Asetuksen (EU) 2019/881 7 artiklan 5 kohdan mukaisen säännöllisen unionitason kyberturvaharjoituksen tai minkä tahansa sähköalaan samalla maantieteellisellä alueella liittyvän pakollisen kyberturvaharjoituksen järjestäjä voi kutsua Sähkö-ENTSOn ja EU DSO -elimen mukaan harjoitukseen. Tällaisissa tapauksissa ei sovelleta 1 kohdan mukaista velvoitetta edellyttäen, että kaikki käyttöalueen vaikutuksiltaan kriittiset toimijat osallistuvat samaan harjoitukseen.

5.   Jos Sähkö-ENTSO ja EU DSO -elin osallistuvat 4 kohdassa tarkoitettuun kyberturvaharjoitukseen, ne voivat lykätä 1 kohdassa tarkoitettua aluetason tai alueidenvälistä kyberturvaharjoitusta yhdellä vuodella.

6.   Sähkö-ENTSOn on 31 päivään joulukuuta 2027 mennessä ja sen jälkeen joka kolmas vuosi koordinoidusti EU DSO -elimen kanssa asetettava käyttöön harjoitusmalli aluetason ja alueidenvälisiä kyberturvaharjoituksia varten. Mallissa on otettava huomioon viimeisimmän aluetason kyberturvariskien arvioinnin tulokset ja sen on sisällettävä keskeiset onnistumiskriteerit. Sähkö-ENTSOn on kuultava komissiota, ja se voi pyytää ACERilta, ENISAlta ja Yhteiseltä tutkimuskeskukselta (JRC) neuvoja aluetason ja alueidenvälisten kyberturvaharjoitusten järjestämisestä ja toteuttamisesta.

1.   Kriittisten palveluntarjoajien on vaikutuksiltaan kriittisen toimijan pyynnöstä osallistuttava 43 artiklan 1 ja 2 kohdassa ja 44 artiklan 1 kohdassa tarkoitettuihin kyberturvaharjoituksiin, jos ne tuottavat kyseiselle vaikutuksiltaan kriittiselle toimijalle palveluja kyseisen kyberturvaharjoituksen kohdealaa vastaavalla alueella.

2.   Edellä 43 artiklan 1 ja 2 kohdassa ja 44 artiklan 1 kohdassa tarkoitettujen kyberturvaharjoitusten järjestäjien on analysoitava ja saatettava päätökseen kulloinenkin kyberturvaharjoitus laatimalla kaikille osallistujille osoitettu yhteenveto saaduista kokemuksista; ne voivat tätä varten pyytää asetuksen (EU) 2019/881 7 artiklan 5 kohdan nojalla neuvoja ENISAlta. Yhteenvedon on katettava seuraavat tekijät:

3.   Edellä 43 artiklan 1 ja 2 kohdassa ja 44 artiklan 1 kohdassa tarkoitettujen kyberturvaharjoitusten järjestäjien on CSIRT-yksiköiden verkoston, verkko- ja tietoturva-alan yhteistyöryhmän tai Euroopan kyberkriisien yhteysorganisaatioiden verkoston (EU CyCLONe) pyynnöstä toimitettava niille kyseisen kyberturvaharjoituksen lopputulokset. Järjestäjien on toimitettava kullekin harjoituksiin osallistuneelle toimijalle tämän artiklan 2 kohdan a ja b alakohdassa tarkoitetut tiedot. Järjestäjien on toimitettava tämän artiklan 2 kohdan c alakohdassa tarkoitetut suositukset yksinomaan suosituksissa käsitellyille toimijoille.

4.   Edellä 43 artiklan 1 ja 2 kohdassa ja 44 artiklan 1 kohdassa tarkoitettujen kyberturvaharjoitusten järjestäjien on luotava säännöllisesti harjoituksiin osallistuneiden toimijoiden kanssa katsaus siihen, miten tämän artiklan 2 kohdan c alakohdan nojalla annettuja suosituksia on noudatettu.

1.   Edellä 2 artiklan 1 kohdassa lueteltujen toimijoiden on varmistettava, että tämän asetuksen nojalla toimitetut, vastaanotetut, vaihdetut tai siirretyt tiedot ovat saatavilla ainoastaan tiedonsaantitarpeen perusteella ja asiaankuuluvien unionin ja kansallisten tietoturvasääntöjen mukaisesti.

2.   Edellä 2 artiklan 1 kohdassa lueteltujen toimijoiden on varmistettava, että tämän asetuksen nojalla toimitettuja, vastaanotettuja, vaihdettuja tai siirrettyjä tietoja käsitellään asianmukaisesti ja seurataan tietojen koko elinkaaren ajan ja että ne voidaan julkistaa niiden elinkaaren päätyttyä vasta anonymisoinnin jälkeen.

3.   Edellä 2 artiklan 1 kohdassa lueteltujen toimijoiden on varmistettava, että käytössä on käytetyistä keinoista riippumatta kaikki tarvittavat organisatoriset ja tekniset suojatoimenpiteet tämän asetuksen nojalla toimitettujen, vastaanotettujen, vaihdettujen tai siirrettyjen tietojen luottamuksellisuuden, eheyden, saatavuuden ja kiistämättömyyden turvaamiseksi ja suojaamiseksi. Suojaustoimenpiteiden on:

4.   Edellä 2 artiklan 1 kohdassa lueteltujen toimijoiden on varmistettava, että kaikille henkilöille, joille myönnetään pääsy tämän asetuksen nojalla toimitettuihin, vastaanotettuihin, vaihdettuihin tai siirrettyihin tietoihin, selvitetään toimijatasolla sovellettavat turvallisuussäännöt sekä tietojen suojaamiseen liittyvät toimenpiteet ja menettelyt. Näiden toimijoiden on varmistettava, että asianomainen henkilö tunnustaa velvollisuutensa suojata tiedot hänelle selvitetyllä tavalla.

5.   Edellä 2 artiklan 1 kohdassa lueteltujen toimijoiden on varmistettava, että pääsy tämän asetuksen nojalla toimitettuihin, vastaanotettuihin, vaihdettuihin tai siirrettyihin tietoihin rajoitetaan henkilöihin:

6.   Edellä 2 artiklan 1 kohdassa lueteltujen toimijoiden on saatava tiedot alun perin luoneen tai toimittaneen luonnollisen tai oikeushenkilön kirjallinen suostumus ennen tietojen toimittamista kolmannelle osapuolelle, joka ei kuulu tämän asetuksen soveltamisalaan.

7.   Edellä 2 artiklan 1 kohdassa lueteltu toimija voi todeta, että tiedot on jaettava tämän artiklan 1 ja 4 kohdan vastaisesti, jotta voidaan estää samanaikainen sähkökriisi, jonka juurisyy liittyy kyberturvallisuuteen, tai rajat ylittävä kriisi unionissa muulla toimialalla. Tällaisessa tapauksessa sen on:

8.   Tämän artiklan 6 kohdasta poiketen toimivaltaiset viranomaiset voivat luovuttaa tämän asetuksen nojalla toimitettuja, vastaanotettuja, vaihdettuja tai siirrettyjä tietoja 2 artiklan 1 kohdan luetteloon kuulumattomalle kolmannelle osapuolelle ilman tietojen alkuperän kirjallista etukäteissuostumusta, mutta ilmoittaen tästä sille mahdollisimman pian. Ennen kuin asianomainen toimivaltainen viranomainen luovuttaa tämän asetuksen mukaisesti toimitettuja, vastaanotettuja, vaihdettuja tai siirrettyjä tietoja 2 artiklan 1 kohdan luetteloon kuulumattomalle kolmannelle osapuolelle, sen on kohtuudella varmistettava, että asianomainen kolmas osapuoli on tietoinen voimassa olevista turvallisuussäännöistä, ja hankittava kohtuullinen varmuus siitä, että asianomainen kolmas osapuoli kykenee suojaamaan saamansa tiedot tämän artiklan 1–5 kohdan mukaisesti. Toimivaltaisen viranomaisen on anonymisoitava tällaiset tiedot menettämättä tietoelementtejä, jotka ovat tarpeen, jotta yleisölle voidaan tiedottaa rajat ylittäviin sähkönsiirtoihin kohdistuvasta välittömästä ja vakavasta riskistä ja mahdollisista riskiä lieventävistä toimenpiteistä, sekä pidettävä tietojen alkuperä salassa. Tällaisessa tapauksessa 2 artiklan 1 kohdan luetteloon kuulumattoman kolmannen osapuolen on suojattava vastaanotetut tiedot toimijatasolla jo voimassa olevien sääntöjen mukaisesti tai, jos tämä ei ole mahdollista, asianomaisen toimivaltaisen viranomaisen sääntöjen ja ohjeiden mukaisesti.

9.   Tätä artiklaa ei sovelleta 2 artiklan 1 kohdan luetteloon kuulumattomiin toimijoihin, joille luovutetaan tietoja tämän artiklan 6 kohdan nojalla. Tällöin on sovellettava tämän artiklan 7 kohtaa tai toimivaltainen viranomainen voi antaa kyseiselle toimijalle kirjallisia määräyksiä, joita niiden on noudatettava vastaanottaessaan tietoja tämän asetuksen nojalla.

1.   Kaikkia tämän asetuksen nojalla toimitettuja, vastaanotettuja, vaihdettuja tai siirrettyjä tietoja koskevat tämän asetuksen tämän artiklan 2–5 kohdassa säädetty salassapitovelvollisuus ja asetuksen (EU) 2019/943 65 artiklassa säädetyt vaatimukset. Kaikki tämän asetuksen 2 artiklassa lueteltujen toimijoiden kesken tämän asetuksen täytäntöönpanoa varten toimitetut, vastaanotetut, vaihdetut tai siirretyt tiedot on suojattava ottaen huomioon tietojen alkuperän tietoihin soveltama luottamuksellisuustaso.

2.   Salassapitovelvollisuus koskee 2 artiklassa lueteltuja toimijoita.

3.   Kyberturvallisuudesta vastaavien kansallisten toimivaltaisten viranomaisten, kansallisten sääntelyviranomaisten, riskeihin varautumisesta vastaavien kansallisten toimivaltaisten viranomaisten ja CSIRT-yksiköiden on vaihdettava keskenään kaikki tehtäviensä edellyttämät tiedot.

4.   Kaikki 2 artiklan 1 kohdassa lueteltujen toimijoiden kesken 23 artiklan täytäntöönpanoa varten toimitetut, vastaanotetut, vaihdetut tai siirretyt tiedot on anonymisoitava ja koottava yhteen koontitiedoksi.

5.   Tämän asetuksen soveltamisalaan kuuluvien toimijoiden tai viranomaisten tehtäviensä yhteydessä saamaa tietoa ei saa paljastaa muulle toimijalle tai viranomaiselle, sanotun kuitenkaan rajoittamatta kansallisen oikeuden, tämän asetuksen muiden säännösten tai muun asiaan liittyvän unionin lainsäädännön soveltamista niiden soveltamisalaan kuuluviin tapauksiin.

6.   Tämän asetuksen nojalla tietoja saava viranomainen, toimija tai luonnollinen henkilö ei saa käyttää niitä mihinkään muuhun tarkoitukseen kuin tämän asetuksen mukaisten tehtäviensä hoitamiseen, sanotun kuitenkaan rajoittamatta kansallisen tai unionin lainsäädännön soveltamista.

7.   ACERin on ENISAa, kaikkia toimivaltaisia viranomaisia, Sähkö-ENTSOa ja EU DSO -elintä kuultuaan annettava 13 päivään kesäkuuta 2025 mennessä kaikkia 2 artiklan 1 kohdassa lueteltuja toimijoita koskevat ohjeet, joissa käsitellään tiedonvaihtomekanismeja ja erityisesti oletettuja tiedonkulkuja, sekä menetelmiä tietojen anonymisoimiseksi ja koostamiseksi koontitiedoksi tämän artiklan täytäntöönpanoa varten.

8.   Unionin sääntöjen ja kansallisten sääntöjen nojalla luottamuksellisia tietoja voidaan vaihtaa komission ja muiden asiaankuuluvien viranomaisten kanssa ainoastaan, jos tällainen vaihto on tarpeen tämän asetuksen soveltamiseksi. Vaihdettava tieto on rajattava siihen, mikä on tarpeen ja oikeasuhteista kyseisen tiedonvaihdon tarkoituksia varten. Tiedonvaihdossa on säilytettävä kyseisten tietojen luottamuksellisuus sekä suojeltava vaikutuksiltaan kriittisten tai vaikutuksiltaan merkittävien toimijoiden turvallisuusetuja ja kaupallisia etuja.

1.   Siihen saakka kunnes 6 artiklan 2 kohdassa tarkoitetut ehdot tai menetelmät tai 6 artiklan 3 kohdassa tarkoitetut suunnitelmat on hyväksytty, Sähkö-ENTSOn on yhteistyössä EU DSO -elimen kanssa annettava ei-sitovaa ohjeistusta seuraavista tekijöistä:

2.   Sähkö-ENTSOn on yhteistyössä EU DSO -elimen kanssa 13 päivään lokakuuta 2024 mennessä laadittava suositus alustavaksi ECII-indeksiksi. Sähkö-ENTSOn on yhteistyössä EU DSO -elimen kanssa annettava suositeltu alustava ECII tiedoksi toimivaltaisille viranomaisille.

3.   Toimivaltaisten viranomaisten on neljän kuukauden kuluessa suositellun alustavan ECII-indeksin vastaanottamisesta tai viimeistään 13 päivään Helmikuu 2025 mennessä yksilöitävä ehdokkaat vaikutuksiltaan merkittäviksi ja vaikutuksiltaan kriittisiksi toimijoiksi jäsenvaltiossaan suositellun ECII-indeksin perusteella ja laadittava alustava luettelo vaikutuksiltaan merkittävistä ja vaikutuksiltaan kriittisistä toimijoista. Alustavassa luettelossa yksilöidyt vaikutuksiltaan merkittävät ja vaikutuksiltaan kriittiset toimijat voivat varautumisperiaatteen mukaisesti vapaaehtoisesti täyttää tässä asetuksessa säädetyt velvoitteensa. Toimivaltaisten viranomaisten on 13 päivään maaliskuuta 2025 mennessä ilmoitettava alustavassa luettelossa yksilöidyille toimijoille, että ne on määritelty vaikutuksiltaan merkittäviksi tai vaikutuksiltaan kriittisiksi toimijoiksi.

4.   Sähkö-ENTSOn on yhteistyössä EU DSO -elimen kanssa 13 päivään joulukuuta 2024 mennessä laadittava alustava luettelo unionitason vaikutuksiltaan merkittävistä ja unionitason vaikutuksiltaan kriittisistä prosesseista. Edellä olevan 3 kohdan mukaisen ilmoituksen saaneiden toimijoiden, jotka varautumisperiaatteen mukaisesti vapaaehtoisesti päättävät täyttää tässä asetuksessa säädetyt velvoitteensa, on käytettävä alustavaa luetteloa vaikutuksiltaan merkittävistä ja vaikutuksiltaan kriittisistä prosesseista määrittääkseen väliaikaiset merkittävien ja kriittisten vaikutusten vyöhykkeet ja määrittääkseen, mitkä omaisuuserät on sisällytettävä ensimmäiseen toimijatason kyberturvariskien arviointiin.

5.   Kunkin 4 artiklan 1 kohdan mukaisen toimivaltaisen viranomaisen on 13 päivään syyskuuta 2024 mennessä toimitettava Sähkö-ENTSOlle ja EU DSO -elimelle luettelo rajat ylittävien sähkönsiirtojen kyberturvanäkökohtien kannalta merkityksellisestä kansallisesta lainsäädännöstään.

6.   Sähkö-ENTSOn on yhteistyössä EU DSO -elimen kanssa 13 päivään kesäkuuta 2025 mennessä laadittava alustava luettelo eurooppalaisista ja kansainvälisistä standardeista ja varotoimista, joita edellytetään kansallisessa lainsäädännössä ja joilla on merkitystä rajat ylittävien sähkönsiirtojen kyberturvanäkökohtien kannalta, ottaen huomioon toimivaltaisten viranomaisten toimittamat tiedot.

7.   Eurooppalaisten ja kansainvälisten standardien ja varotoimien alustavan luettelon on sisällettävä:

8.   Sähkö-ENTSOn ja EU DSO -elimen on otettava huomioon ENISAn ja ACERin näkemykset laatiessaan alustavaa standardiluetteloa. Sähkö-ENTSOn ja EU DSO -elimen on julkaistava eurooppalaisten ja kansainvälisten standardien ja varotoimien siirtymävaiheen luettelo verkkosivustoillaan.

9.   Sähkö-ENTSOn ja EU DSO -elimen on kuultava ENISAa ja ACERia 1 kohdan nojalla laatimistaan ei-sitovaa ohjeistusta koskevista ehdotuksistaan.

10.   Siihen saakka, kunnes vähimmäistason ja tiukemmat kyberturvavarotoimet on 29 artiklan nojalla laadittu ja 8 artiklan nojalla hyväksytty, kaikkien 2 artiklan 1 kohdassa lueteltujen toimijoiden on pyrittävä asteittain soveltamaan 1 kohdan nojalla laadittua ei-sitovaa ohjeistusta.