1.   Ova se Uredba primjenjuje na kibernetičkosigurnosne aspekte prekograničnih protoka električne energije u aktivnostima sljedećih subjekata ako su ti subjekti utvrđeni kao subjekti s velikim ili kritičnim utjecajem u skladu s člankom 24.:

2.   Za obavljanje zadaća dodijeljenih ovom Uredbom odgovorna su u okviru svojih trenutačnih mandata sljedeća tijela:

3.   Ova se Uredba primjenjuje i na sve subjekte koji nemaju poslovni nastan u Uniji, ali koji pružaju usluge subjektima u Uniji, pod uvjetom da su ih nadležna tijela utvrdila kao subjekte s velikim ili kritičnim utjecajem u skladu s člankom 24. stavkom 2.

4.   Ovom se Uredbom ne dovodi u pitanje odgovornost država članica za zaštitu nacionalne sigurnosti ni njihove ovlasti za zaštitu drugih temeljnih državnih funkcija, uključujući osiguravanje teritorijalne cjelovitosti države i održavanje javnog poretka.

5.   Ovom se Uredbom ne dovodi u pitanje odgovornost država članica za zaštitu nacionalne sigurnosti s obzirom na aktivnosti u proizvodnji električne energije iz nuklearnih elektrana, uključujući aktivnosti unutar nuklearnog lanca vrijednosti u skladu s Ugovorima.

6.   Subjekti, nadležna tijela, subjektove jedinstvene kontaktne točke i CSIRT-ovi obrađuju osobne podatke u mjeri u kojoj je to potrebno za svrhe ove Uredbe i u skladu s Uredbom (EU) 2016/679, pri čemu se takva obrada posebno oslanja na njezin članak 6.

1.   Što prije, a u svakom slučaju najkasnije 13. prosinca 2024., svaka država članica imenuje nacionalno vladino ili regulatorno tijelo odgovorno za obavljanje zadaća koje su mu dodijeljene ovom Uredbom („nadležno tijelo”). Dok se nadležnom tijelu ne dodijele zadaće na temelju ove Uredbe, regulatorno tijelo koje je imenovala svaka država članica na temelju članka 57. stavka 1. Direktive (EU) 2019/944 obavlja zadaće nadležnog tijela u skladu s ovom Uredbom.

2.   Države članice bez odgode obavješćuju Komisiju, ACER, ENISA-u, skupinu za suradnju u području mrežne i informacijske sigurnosti osnovanu na temelju članka 14. Direktive (EU) 2022/2555 i Koordinacijsku skupinu za električnu energiju osnovanu na temelju članka 1. Odluke Komisije od 15. studenog 2012. (17) te im dostavljaju naziv i podatke za kontakt svojeg nadležnog tijela imenovanog u skladu sa stavkom 1. ovog članka i sve njihove naknadne promjene.

3.   Države članice mogu dopustiti svojem nadležnom tijelu da zadaće koje su mu dodijeljene ovom Uredbom delegira drugim nacionalnim tijelima, osim zadaća navedenih u članku 5. Svako nadležno tijelo prati primjenu ove Uredbe od strane tijela kojima je delegiralo zadaće. Nadležno tijelo priopćuje Komisiji, ACER-u, Koordinacijskoj skupini za električnu energiju, ENISA-i i skupini za suradnju u području mrežne i informacijske sigurnosti naziv, podatke za kontakt, dodijeljene zadaće i sve njihove naknadne promjene.

1.   OPS-ovi u suradnji s tijelom EU-a za ODS-ove izrađuju prijedloge uvjeta ili metodologija u skladu sa stavkom 2. ili planova u skladu sa stavkom 3.

2.   Sljedeći uvjeti ili metodologije i sve njihove izmjene podliježu odobrenju svih nadležnih tijela:

3.   Prijedloge regionalnih planova za ublažavanje kibernetičkosigurnosnih rizika u skladu s člankom 22. moraju odobriti sva nadležna tijela predmetne regije pogona sustava.

4.   Prijedlozi uvjeta i metodologija navedenih u stavku 2. ili za planove navedene u stavku 3. uključuju predloženi rok za njihovu provedbu i opis njihova očekivanog učinka na ciljeve ove Uredbe.

5.   Tijelo EU-a za ODS-ove može predmetnim OPS-ovima dostaviti obrazloženo mišljenje do tri tjedna prije roka za podnošenje prijedloga uvjeta, metodologija ili planova nadležnim tijelima. OPS-ovi odgovorni za prijedlog uvjeta, metodologija ili planova uzimaju u obzir obrazloženo mišljenje tijela EU-a za ODS-ove prije njegova podnošenja na odobrenje nadležnim tijelima. OPS-ovi dostavljaju obrazloženje ako se mišljenje tijela EU-a za ODS-ove ne uzima u obzir.

6.   Uključeni OPS-ovi blisko surađuju pri zajedničkoj izradi uvjeta, metodologija i planova. OPS-ovi, uz pomoć ENTSO-a za električnu energiju i u suradnji s tijelom EU-a za ODS-ove, redovito obavješćuju nadležna tijela i ACER o napretku u izradi uvjeta, metodologija ili planova.

1.   Ako OPS-ovi koji odlučuju o prijedlozima uvjeta ili metodologija ne mogu postići dogovor, odlučuju glasovanjem kvalificiranom većinom. Kvalificirana većina za takve prijedloge izračunava se na sljedeći način:

2.   Blokirajuća manjina za odluke o prijedlozima odredaba i uvjeta ili metodologija navedenima u članku 6. stavku 2. mora uključivati OPS-ove koji predstavljaju barem četiri države članice, a ako nije ostvarena, smatra se da je postignuta kvalificirana većina.

3.   Ako OPS-ovi iz regije pogona sustava koji odlučuju o prijedlozima planova iz članka 6. stavka 2. ne mogu postići dogovor i ako se predmetna regija pogona sustava sastoji od više od pet država članica, OPS-ovi odlučuju glasovanjem kvalificiranom većinom. Za kvalificiranu većinu za prijedloge navedene u članku 6. stavku 2. nužna je sljedeća većina:

4.   Blokirajuća manjina za odluke o prijedlozima planova mora uključivati barem minimalni broj OPS-ova koji predstavljaju više od 35 % stanovništva uključenih država članica, uz OPS-ove koji predstavljaju barem jednu dodatnu predmetnu državu članicu, a ako se ta manjina ne postigne, smatra se da je postignuta kvalificirana većina.

5.   Za odluke OPS-ova o prijedlozima uvjeta ili metodologija u skladu s člankom 6. stavkom 2. dodjeljuje se jedan glas po državi članici. Ako na državnom području države članice postoji više OPS-ova, država članica raspodjeljuje glasačke ovlasti među OPS-ovima.

6.   Ako OPS-ovi u suradnji s tijelom EU-a za ODS-ove ne podnesu početni ili izmijenjeni prijedlog uvjeta, metodologija ili planova relevantnim nadležnim tijelima u rokovima utvrđenima u ovoj Uredbi, dostavljaju relevantnim nadležnim tijelima i ACER-u relevantne nacrte uvjeta, metodologija ili planova. U njima se objašnjava što je spriječilo postizanje dogovora. Nadležna tijela zajednički poduzimaju odgovarajuće korake za donošenje potrebnih uvjeta, metodologija ili planova. To se može učiniti, na primjer, traženjem izmjena nacrta u skladu s ovim stavkom, revizijom i dopunom tih nacrta ili, ako nacrti nisu dostavljeni, utvrđivanjem i odobravanjem potrebnih uvjeta, metodologija ili planova.

1.   OPS-ovi podnose prijedloge uvjeta, metodologija ili planova na odobrenje relevantnim nadležnim tijelima u rokovima utvrđenima u člancima 18., 23., 29., 33., 34., 35. i 37. Nadležna tijela mogu zajednički produljiti te rokove u iznimnim okolnostima, posebno ako se rok ne može ispuniti zbog okolnosti izvan nadležnosti OPS-ova ili tijela EU-a za ODS-ove.

2.   Prijedlozi uvjeta, metodologija ili planova na temelju stavka 1. dostavljaju se ACER-u radi obavijesti istodobno kad i nadležnim tijelima.

3.   Na zajednički zahtjev nacionalnih regulatornih tijela ACER izdaje mišljenje o prijedlogu uvjeta, metodologija ili planova u roku od šest mjeseci od primitka prijedloga uvjeta, metodologija ili planova te o tom mišljenju obavješćuje nacionalna regulatorna tijela i nadležna tijela. Nacionalna regulatorna tijela, nadležna tijela odgovorna za kibernetičku sigurnost i sva druga tijela koja su imenovana nadležnim tijelima međusobno se koordiniraju prije nego što nacionalna regulatorna tijela zatraže mišljenje ACER-a. ACER u takvo mišljenje može uključiti preporuke. ACER se savjetuje s ENISA-om prije izdavanja mišljenja o prijedlozima iz članka 6. stavka 2.

4.   Nadležna tijela međusobno se savjetuju i koordiniraju te blisko surađuju kako bi postigla dogovor o predloženim uvjetima, metodologijama ili planovima. Prije odobravanja uvjeta, metodologija ili planova, prema potrebi, revidiraju i dopunjuju prijedloge, nakon savjetovanja s ENTSO-om za električnu energiju i tijelom EU-a za ODS-ove, kako bi se osiguralo da su prijedlozi u skladu s ovom Uredbom i da doprinose visokoj zajedničkoj razini kibernetičke sigurnosti u cijeloj Uniji.

5.   Nadležna tijela odlučuju o uvjetima, metodologijama ili planovima u roku od šest mjeseci nakon što relevantno nadležno tijelo ili, prema potrebi, posljednje relevantno nadležno tijelo primi uvjete, metodologije ili planove.

6.   Ako ACER izda mišljenje, relevantna nadležna tijela uzimaju u obzir to mišljenje i donose svoje odluke u roku od šest mjeseci od primitka mišljenja ACER-a.

7.   Ako nadležna tijela zajednički zatraže izmjenu predloženih uvjeta, metodologija ili planova kako bi ih mogla odobriti, OPS-ovi u suradnji s tijelom EU-a za ODS-ove izrađuju prijedlog takve izmjene uvjeta, metodologija ili planova. OPS-ovi podnose izmijenjeni prijedlog na odobrenje u roku od dva mjeseca od zahtjeva nadležnih tijela. Nadležna regulatorna tijela odlučuju o izmijenjenim uvjetima ili metodologijama u roku od dva mjeseca nakon podnošenja.

8.   Ako nadležna tijela ne postignu dogovor u roku iz stavka 5. ili 7., o tome obavješćuju Komisiju. Komisija može poduzeti odgovarajuće korake kako bi omogućila donošenje potrebnih uvjeta, metodologija ili planova.

9.   OPS-ovi, uz pomoć ENTSO-a za električnu energiju, i tijela EU-a za ODS-ove objavljuju uvjete, metodologije ili planove na svojim internetskim stranicama nakon odobrenja relevantnih nadležnih tijela, osim ako se takve informacije smatraju povjerljivima u skladu s člankom 47.

10.   Nadležna tijela mogu zajednički zatražiti prijedloge izmjena odobrenih uvjeta, metodologija ili planova od operatora prijenosnih sustava i tijela EU-a za ODS-ove i odrediti rok za podnošenje tih prijedloga. OPS-ovi, u suradnji s tijelom EU-a za ODS-ove, mogu predložiti izmjene nadležnim tijelima i na vlastitu inicijativu. Prijedlozi za izmjenu uvjeta, metodologija ili planova izrađuju se i odobravaju u skladu s postupkom utvrđenim u ovom članku.

11.   Najmanje svake tri godine nakon prvog donošenja odgovarajućih uvjeta, metodologija ili donesenih planova OPS-ovi u suradnji s tijelom EU-a za ODS-ove preispituju djelotvornost donesenih uvjeta, metodologija ili planova i bez nepotrebne odgode izvješćuju nadležna tijela i ACER o nalazima preispitivanja.

1.   OPS-ovi se, uz pomoć ENTSO-a za električnu energiju i u suradnji s tijelom EU-a za ODS-ove, savjetuju s dionicima, uključujući ACER, ENISA-u i nadležno tijelo svake države članice, o nacrtima prijedloga uvjeta ili metodologija navedenih u članku 6. stavku 2. i o planovima iz članka 6. stavka 3. Savjetovanje ne traje kraće od mjesec dana.

2.   Prijedlozi uvjeta ili metodologija iz članka 6. stavka 2. koje podnose OPS-ovi u suradnji s tijelom EU-a za ODS-ove objavljuju se i podnose na savjetovanje na razini Unije. Prijedlozi planova iz članka 6. stavka 3. koje podnose nadležni OPS-ovi u suradnji s tijelom EU-a za ODS-ove na regionalnoj razini podnose se na savjetovanje barem na regionalnoj razini.

3.   OPS-ovi, uz pomoć ENTSO-a za električnu energiju, i tijelo EU-a za ODS-ove odgovorno za prijedlog uvjeta, metodologija ili planova uzimaju u obzir stajališta dionika proizašla iz savjetovanja provedenih u skladu sa stavkom 1. prije njihova podnošenja na regulatorno odobrenje. U svim se slučajevima zajedno s podneskom prijedloga daje utemeljeno obrazloženje za uvrštavanje ili neuvrštavanje stajališta proizašlih iz savjetovanja koje se pravodobno objavljuje istodobno s prijedlogom uvjeta ili metodologija ili prije njega.

1.   Troškove koje snose OPS-ovi i ODS-ovi koji podliježu propisima o mrežnoj tarifi i koji proizlaze iz obveza utvrđenih u ovoj Uredbi, uključujući troškove koje snose ENTSO za električnu energiju i tijelo EU-a za ODS-ove, procjenjuje relevantno nacionalno regulatorno tijelo svake države članice.

2.   Troškovi za koje se procijeni da su razumni, učinkoviti i razmjerni nadoknađuju se mrežnim tarifama ili drugim odgovarajućim mehanizmima, kako je utvrdilo relevantno nacionalno regulatorno tijelo.

3.   Ako to zatraže relevantna nacionalna regulatorna tijela, OPS-ovi i ODS-ovi iz stavka 1. dostavljaju, u razumnom roku koji odredi nacionalno regulatorno tijelo, informacije potrebne za lakšu procjenu nastalih troškova.

1.   ACER prati provedbu ove Uredbe u skladu s člankom 32. stavkom 1. Uredbe (EU) 2019/943 i člankom 4. stavkom 2. Uredbe (EU) 2019/942. U provedbi tog praćenja ACER može surađivati s ENISA-om i zatražiti potporu ENTSO-a za električnu energiju i tijela EU-a za ODS-ove. ACER redovito obavješćuje Koordinacijsku skupinu za električnu energiju i skupinu za suradnju u području mrežne i informacijske sigurnosti o provedbi ove Uredbe.

2.   ACER najmanje svake tri godine nakon stupanja na snagu ove Uredbe objavljuje izvješće o

3.   Do 13. lipnja 2025. ACER, u suradnji s ENISA-om i nakon savjetovanja s ENTSO-om za električnu energiju i tijelom EU-a za ODS-ove, može izdati smjernice o relevantnim informacijama koje treba dostaviti ACER-u za potrebe praćenja te o postupku i učestalosti prikupljanja, na temelju pokazatelja uspješnosti utvrđenih u skladu sa stavkom 5.

4.   Nadležna tijela mogu imati pristup relevantnim informacijama kojima raspolaže ACER, a koje je prikupio u skladu s ovim člankom.

5.   ACER u suradnji s ENISA-om i uz potporu ENTSO-a za električnu energiju i tijela EU-a za ODS-ove izdaje neobvezujuće pokazatelje uspješnosti za procjenu operativne pouzdanosti koji su povezani s kibernetičkosigurnosnim aspektima prekograničnih protoka električne energije.

6.   Subjekti iz članka 2. stavka 1. ove Uredbe dostavljaju ACER-u informacije koje su mu potrebne za obavljanje zadaća navedenih u stavku 2.

1.   ACER je u suradnji s ENISA-om dužan do 13. lipnja 2025. sastaviti neobvezujući vodič za vrednovanje kibernetičke sigurnosti na temelju referentnih vrijednosti. U vodiču se nacionalnim regulatornim tijelima objašnjavaju načela kako se na temelju referentnih vrijednosti vrednuju kibernetičkosigurnosne kontrole uvedene u skladu sa stavkom 2. ovog članka, uzimajući u obzir troškove uvođenja kontrola i djelotvornost funkcije procesa, proizvoda, usluga, sustava i rješenja koji služe da bi se uvele takve kontrole. U sastavljanju neobvezujućeg vodiča za vrednovanje kibernetičke sigurnosti na temelju referentnih vrijednosti ACER uzima u obzir postojeća izvješća o vrednovanju. ACER nacionalnim regulatornim tijelima informativno dostavlja neobvezujući vodič za vrednovanje kibernetičke sigurnosti na temelju referentnih vrijednosti.

2.   U roku od 12 mjeseci od sastavljanja vodiča za vrednovanje na temelju referentnih vrijednosti u skladu sa stavkom 1. nacionalna regulatorna tijela provode analizu vrednovanja na temelju referentnih vrijednosti kako bi procijenila postižu li trenutačna ulaganja u kibernetičku sigurnost:

3.   Za potrebe analize na temelju referentnih vrijednosti nacionalna regulatorna tijela mogu uzeti u obzir neobvezujući vodič za vrednovanje kibernetičke sigurnosti na temelju referentnih vrijednosti koji je izradio ACER te prvenstveno ocjenjuju:

4.   Postupanje sa svakom informacijom povezanom s analizom vrednovanja na temelju referentnih vrijednosti i obrađivanje tih informacija provodi se u skladu sa zahtjevima za klasifikaciju podataka iz ove Uredbe, minimalnim kontrolama kibernetičke sigurnosti i izvješćem o procjeni prekograničnih rizika za kibernetičku sigurnost elektroenergetskog sektora. Analiza vrednovanja na temelju referentnih vrijednosti iz stavaka 2. i 3. se ne objavljuje.

5.   Ne dovodeći u pitanje zahtjeve za povjerljivost iz članka 47. i potrebu za zaštitom sigurnosti subjekata koji podliježu odredbama ove Uredbe, analiza vrednovanja na temelju referentnih vrijednosti iz stavaka 2. i 3. ovog članka dostavlja se svim nacionalnim regulatornim tijelima, svim nadležnim tijelima, ACER-u, ENISA-i i Komisiji.

1.   U roku od 18 mjeseci od stupanja na snagu ove Uredbe OPS-ovi iz regije pogona sustava koja graniči s trećom zemljom nastoje s OPS-ovima susjedne treće zemlje sklopiti sporazume koji su u skladu s relevantnim pravom Unije u kojima se s tim OPS-ovima utvrđuju osnova za suradnju i dogovori o suradnji u području kibernetičke sigurnosti.

2.   OPS-ovi obavješćuju nadležno tijelo o sporazumima sklopljenima u skladu sa stavkom 1.

1.   Subjekti koji nemaju poslovni nastan u Uniji, ali koji pružaju usluge subjektima u Uniji i koji su obaviješteni da su određeni kao subjekti s velikim ili kritičnim utjecajem u skladu s člankom 24. stavkom 6. u roku od tri mjeseca nakon obavješćivanja imenuju zastupnika u Uniji i o tome obavješćuju nadležno tijelo koje je poslalo obavijest.

2.   Taj zastupnik ovlašćuje se kako bi mu se, uz subjekt s velikim utjecajem ili kritičnim utjecajem ili umjesto njega, moglo obratiti bilo koje nadležno tijelo ili CSIRT iz Unije u pogledu obveza tog subjekta na temelju ove Uredbe. Subjekt s velikim ili kritičnim utjecajem svojem pravnom zastupniku daje potrebne ovlasti i dostatna sredstva kako bi on mogao učinkovito i pravodobno surađivati s relevantnim nadležnim tijelima ili CSIRT-ovima.

3.   Zastupnik ima poslovni nastan u jednoj od država članica u kojima subjekt pruža svoje usluge. Smatra se da takav subjekt pripada nadležnosti one države članice u kojoj njegov zastupnik ima poslovni nastan. Subjekti s velikim ili kritičnim utjecajem obavješćuju nadležno tijelo u državi članici u kojoj njihov pravni zastupnik ima boravište ili poslovni nastan o imenu, poštanskoj adresi, e-adresi i telefonskom broju svojeg pravnog zastupnika.

4.   Imenovani pravni zastupnik može se smatrati odgovornim za neispunjavanje obveza na temelju ove Uredbe, ne dovodeći u pitanje odgovornost i pravne postupke koji bi mogli biti pokrenuti protiv samog subjekta s velikim ili kritičnim utjecajem.

5.   Ako nije imenovan zastupnik unutar Unije u skladu s ovim člankom, svaka država članica u kojoj subjekt pruža usluge može poduzeti pravne mjere protiv subjekta zbog nepoštovanja obveza iz ove Uredbe.

6.   Imenovanje pravnog zastupnika unutar Unije na temelju stavka 1. ne čini poslovni nastan u Uniji.

1.   ENTSO za električnu energiju i tijelo EU-a za ODS-ove surađuju u provedbi procjena kibernetičkosigurnosnih rizika u skladu s člancima 19. i 21., a posebno sljedećih zadaća:

2.   Suradnja između ENTSO-a za električnu energiju i tijela EU-a za ODS-ove može biti u obliku radne skupine za kibernetičkosigurnosne rizike.

3.   ENTSO za električnu energiju i tijelo EU-a za ODS-ove redovito obavješćuju ACER, ENISA-u, skupinu za suradnju u području mrežne i informacijske sigurnosti i Koordinacijsku skupinu za električnu energiju o napretku u provedbi procjena kibernetičkosigurnosnih rizika na razini Unije i na regionalnoj razini u skladu s člancima 19. i 21.

1.   OPS-ovi su, uz pomoć ENTSO-a za električnu energiju, u suradnji s tijelom EU-a za ODS-ove i nakon savjetovanja sa skupinom za suradnju u području mrežne i informacijske sigurnosti, dužni do 13. ožujka 2025. podnijeti prijedlog metodologija za procjenu kibernetičkosigurnosnih rizika na razini Unije, na regionalnoj razini i na razini država članica.

2.   Metodologije procjene kibernetičkosigurnosnih rizika na razini Unije, na regionalnoj razini i na razini država članica uključuju:

3.   U metodologijama procjene kibernetičkosigurnosnih rizika na razini Unije, na regionalnoj razini i na razini država članica kibernetičkosigurnosni rizici procjenjuju se na temelju iste matrice utjecaja rizika. Matrica utjecaja rizika služi za:

4.   U metodologijama procjene kibernetičkosigurnosnih rizika na razini Unije opisuje se kako će se definirati vrijednosti ECII-ja za pragove velikog i kritičnog utjecaja. ECII omogućuje subjektima da na temelju kriterija iz stavka 2. točke (b) procijene utjecaj rizika na svoje poslovne procese procjenama utjecaja na poslovanje koje provode u skladu s člankom 26. stavkom 4. točkom (c) podtočkom i.

5.   ENTSO za električnu energiju, u koordinaciji s tijelom EU-a za ODS-ove, obavješćuje Koordinacijsku skupinu za električnu energiju o prijedlozima metodologija za procjenu kibernetičkosigurnosnih rizika koje su razvijene u skladu sa stavkom 1.

1.   U roku od devet mjeseci od odobrenja metodologija u skladu s člankom 8. i svake tri godine nakon toga ENTSO za električnu energiju, u suradnji s tijelom EU-a za ODS-ove i uz savjetovanje sa skupinom za suradnju NIS, ne dovodeći u pitanje članak 22. Direktive (EU) 2022/2555, provodi procjenu kibernetičkosigurnosnih rizika na razini Unije i sastavlja nacrt izvješća o procjeni kibernetičkosigurnosnih rizika na razini Unije. Za to će koristiti metodologije razvijene u skladu s člankom 18. i odobrene u skladu s člankom 8. kako bi utvrdili, analizirali i ocijenili moguće posljedice kibernetičkih napada koji utječu na operativnu sigurnost elektroenergetskog sustava i remete prekogranične protoke električne energije. U procjeni kibernetičkosigurnosnih rizika na razini Unije ne uzimaju se u obzir pravna i financijska šteta ni narušavanje ugleda prouzročeno kibernetičkim napadima.

2.   Izvješće o procjeni kibernetičkosigurnosnih rizika na razini Unije uključuje sljedeće elemente:

3.   Kad je riječ o procesima s velikim utjecajem na razini Unije i procesima s kritičnim utjecajem na razini Unije, izvješće o procjeni kibernetičkosigurnosnih rizika na razini Unije uključuje:

4.   ENTSO za električnu energiju, u suradnji s tijelom EU-a za ODS-ove, podnosi nacrt izvješća o procjeni kibernetičkosigurnosnih rizika na razini Unije s rezultatima procjene kibernetičkosigurnosnih rizika na razini Unije ACER-u na mišljenje. ACER izdaje mišljenje o nacrtu izvješća u roku od tri mjeseca od njegova primitka. ENTSO za električnu energiju i tijelo EU-a za ODS-ove pri dovršavanju tog izvješća u najvećoj mjeri uzimaju u obzir mišljenje ACER-a.

5.   U roku od tri mjeseca od primitka mišljenja ACER-a ENTSO za električnu energiju, u suradnji s tijelom EU-a za ODS-ove, ACER-u, Komisiji, ENISA-i i nadležnim tijelima dostavlja završno izvješće o procjeni kibernetičkosigurnosnih rizika na razini Unije.

1.   Svako nadležno tijelo provodi procjenu kibernetičkosigurnosnih rizika države članice za sve subjekte s velikim i kritičnim utjecajem u svojoj državi članici primjenom metodologija razvijenih u skladu s člankom 18. i odobrenih u skladu s člankom 8. U procjeni kibernetičkosigurnosnih rizika države članice utvrđuju se i analiziraju rizici od kibernetičkih napada koji utječu na operativnu sigurnost elektroenergetskog sustava i remete prekogranične protoke električne energije. U procjeni kibernetičkosigurnosnih rizika države članice ne uzima se u obzir pravna ni financijska šteta ni narušavanje ugleda prouzročeno kibernetičkim napadima.

2.   U roku od 21 mjeseca nakon primitka obavijesti o subjektima s velikim i kritičnim utjecajem u skladu s člankom 24. stavkom 6. i svake tri godine nakon tog datuma te nakon savjetovanja s nadležnim tijelima odgovornima za kibernetičku sigurnost elektroenergetskog sektora svako nadležno tijelo, uz potporu CSIRT-a, dostavlja ENTSO-u za električnu energiju i tijelu EU-a za ODS-ove izvješće o procjeni kibernetičkosigurnosnih rizika države članice koje sadržava sljedeće informacije za svaki poslovni proces s velikim ili kritičnim utjecajem:

3.   U izvješću države članice o procjeni kibernetičkosigurnosnih rizika uzima se u obzir plan pripravnosti države članice na rizike uspostavljen u skladu s člankom 10. Uredbe (EU) 2019/941.

4.   Informacije sadržane u izvješću države članice o procjeni kibernetičkosigurnosnih rizika u skladu sa stavkom 2. točkama od (a) do (d) nisu povezane s određenim subjektima ili imovinom. Izvješće o procjeni kibernetičkosigurnosnih rizika na razini države članice uključuje i procjenu rizika privremenih odstupanja koja su izdala nadležna tijela u državama članicama u skladu s člankom 30.

5.   ENTSO za električnu energiju i tijelo EU-a za ODS-ove mogu zatražiti dodatne informacije od nadležnih tijela u vezi sa zadaćama iz stavka 2. točaka (a) i (c).

6.   Nadležna tijela osiguravaju da su informacije koje pružaju točne i ispravne.

1.   ENTSO za električnu energiju, u suradnji s tijelom EU-a za ODS-ove i uz savjetovanje s relevantnim regionalnim koordinacijskim centrom, provodi regionalnu procjenu kibernetičkosigurnosnih rizika za svaku regiju pogona sustava tako što primjenjuje metodologije koje su razvijene u skladu s člankom 19. i odobrene u skladu s člankom 8. kako bi se utvrdili, analizirali i ocijenili rizici od kibernetičkih napada koji utječu na operativnu sigurnost elektroenergetskog sustava i remete prekogranične protoke električne energije. U regionalnim procjenama kibernetičkosigurnosnih rizika ne uzima se u obzir pravna ni financijska šteta ni narušavanje ugleda prouzročeno kibernetičkim napadima.

2.   U roku od 30 mjeseci nakon primanja obavijesti o subjektima s velikim i kritičnim utjecajem u skladu s člankom 24. stavkom 6. i svake tri godine nakon toga ENTSO za električnu energiju, u suradnji s tijelom EU-a za ODS-ove i nakon savjetovanja sa skupinom za suradnju u području mrežne i informacijske sigurnosti, sastavlja regionalno izvješće o procjeni kibernetičkosigurnosnih rizika za svaku regiju pogona sustava.

3.   U regionalnom izvješću o procjeni kibernetičkosigurnosnih rizika uzimaju se u obzir relevantne informacije sadržane u izvješćima o procjeni kibernetičkosigurnosnih rizika na razini Unije i izvješćima država članica o procjenama kibernetičkosigurnosnih rizika.

4.   U regionalnoj procjeni kibernetičkosigurnosnih rizika uzimaju se u obzir regionalni scenariji elektroenergetskih kriza povezani s kibernetičkom sigurnošću utvrđeni u skladu s člankom 6. Uredbe (EU) 2019/941.

1.   U roku od 36 mjeseci od primanja obavijesti o subjektima s velikim i kritičnim utjecajem u skladu s člankom 24. stavkom 6. i najkasnije 13. lipnja 2031. i svake tri godine nakon tog datuma OPS-ovi, uz pomoć ENTSO-a za električnu energiju, u suradnji s tijelom EU-a za ODS-ove i nakon savjetovanja s regionalnim koordinacijskim centrima i skupinom za suradnju u području mrežne i informacijske sigurnosti, izrađuju regionalni plan za ublažavanje kibernetičkosigurnosnih rizika za svaku regiju pogona sustava.

2.   Regionalni planovi za ublažavanje kibernetičkosigurnosnih rizika uključuju:

3.   ENTSO za električnu energiju podnosi regionalne planove za ublažavanje rizika relevantnim operatorima prijenosnih sustava, nadležnim tijelima i Koordinacijskoj skupini za električnu energiju. Koordinacijska skupina za električnu energiju može preporučiti izmjene.

4.   OPS-ovi, uz pomoć ENTSO-a za električnu energiju u suradnji s tijelom EU-a za ODS-ove i nakon savjetovanja sa skupinom za suradnju u području mrežne i informacijske sigurnosti, ažuriraju regionalne planove za ublažavanje rizika svake tri godine, osim ako okolnosti zahtijevaju češće ažuriranje.

1.   U roku od 40 mjeseci od primanja obavijesti subjektima s velikim i kritičnim utjecajem u skladu s člankom 24. stavkom 6. i nakon toga svake tri godine OPS-ovi, uz pomoć ENTSO-a za električnu energiju, u suradnji s tijelom EU-a za ODS-ove i nakon savjetovanja sa skupinom za suradnju u području mrežne i informacijske sigurnosti, dostavljaju Koordinacijskoj skupini za električnu energiju izvješće o ishodu procjene kibernetičkosigurnosnih rizika u odnosu na prekogranične protoke električne energije („izvješće o sveobuhvatnoj procjeni prekograničnih kibernetičkosigurnosnih rizika za elektroenergetski sektor”).

2.   Izvješće o sveobuhvatnoj procjeni prekograničnih kibernetičkosigurnosnih rizika za elektroenergetski sektor temelji se na izvješću o procjeni kibernetičkosigurnosnih rizika na razini Unije, izvješćima o procjeni kibernetičkosigurnosnih rizika na razini država članica i regionalnim izvješćima o procjeni kibernetičkosigurnosnih rizika te sadržava sljedeće informacije:

3.   Subjekti iz članka 2. stavka 1. mogu pridonijeti izradi izvješća o sveobuhvatnoj procjeni prekograničnih kibernetičkosigurnosnih rizika za elektroenergetski sektor uz poštovanje povjerljivosti informacija u skladu s člankom 47. OPS-ovi se, uz pomoć ENTSO-a za električnu energiju i u suradnji s tijelom EU-a za ODS-ove, savjetuju s tim subjektima od rane faze.

4.   Na izvješće o sveobuhvatnoj procjeni prekograničnih kibernetičkosigurnosnih rizika za elektroenergetski sektor primjenjuju se pravila o zaštiti razmjene informacija u skladu s člankom 46. Ne dovodeći u pitanje članak 10. stavak 4. i članak 47. stavak 4., ENTSO za električnu energiju i tijelo EU-a za ODS-ove objavljuju verziju tog izvješća koja ne sadržava informacije koje mogu uzrokovati štetu subjektima navedenima u članku 2. stavku 1. Javna verzija tog izvješća objavljuje se samo uz suglasnost skupine za suradnju u području mrežne i informacijske sigurnosti i Koordinacijske skupine za električnu energiju. ENTSO za električnu energiju u koordinaciji s tijelom EU-a za ODS-ove odgovoran je za izradu i objavljivanje javne verzije izvješća.

1.   Svako nadležno tijelo utvrđuje na temelju ECII-ja i pragova velikog i kritičnog utjecaja iz izvješća o procjeni kibernetičkosigurnosnih rizika na razini Unije u skladu s člankom 19. stavkom 3. točkom (b) subjekte s velikim i kritičnim utjecajem u svojoj državi članici koji su uključeni u procese s velikim i kritičnim utjecajem na razini Unije. Nadležna tijela mogu zatražiti informacije od subjekta u svojoj državi članici kako bi utvrdila vrijednosti ECII-ja tog subjekta. Ako je vrijednost ECII-ja utvrđena za subjekt veća od praga velikog ili kritičnog utjecaja, subjekt se navodi u izvješću države članice o procjeni kibernetičkosigurnosnih rizika iz članka 20. stavka 2.

2.   Svako nadležno tijelo utvrđuje na temelju ECII-ja i pragova velikog i kritičnog utjecaja iz izvješća o procjeni kibernetičkosigurnosnih rizika na razini Unije u skladu s člankom 19. stavkom 3. točkom (b) subjekte s velikim i kritičnim utjecajem koji nemaju poslovni nastan u Uniji u mjeri u kojoj su aktivni u Uniji. Nadležno tijelo može zatražiti informacije od subjekta koji nema poslovni nastan u Uniji kako bi utvrdilo njegove vrijednosti ECII-ja.

3.   Svako nadležno tijelo može utvrditi dodatne subjekte u svojoj državi članici kao subjekte s velikim ili kritičnim utjecajem ako su ispunjeni sljedeći kriteriji:

4.   Ako nadležno tijelo utvrdi dodatne subjekte u skladu sa stavkom 3., svi procesi u tim subjektima za koje je agregirani ECII skupine veći od praga velikog utjecaja smatraju se procesima s velikim utjecajem, a svi procesi u tim subjektima za koje je agregirani ECII skupine veći od praga kritičnog utjecaja smatraju se procesima s kritičnim utjecajem.

5.   Ako nadležno tijelo utvrdi subjekte iz stavka 3. točke (a) u više država članica, o tome obavješćuje druga nadležna tijela, ENTSO za električnu energiju i tijelo EU-a za ODS-ove. ENTSO za električnu energiju u suradnji s tijelom EU-a za ODS-ove na temelju informacija dobivenih od svih nadležnih tijela dostavlja nadležnim tijelima analizu dobivene skupine subjekata u više država članica koja može uzrokovati distribuirane poremećaje u prekograničnim protocima električne energije i dovesti do kibernetičkih napada. Ako se utvrdi da je skupina subjekata u nekoliko država članica utvrđena kao skupina za koju je ECII veći od praga velikog ili kritičnog utjecaja, sva ta nadležna tijela utvrđuju subjekte takve skupine kao subjekte s velikim ili kritičnim utjecajem za svoju državu članicu na temelju agregiranog ECII-ja skupine subjekata te se utvrđeni subjekti unose u izvješće o procjeni kibernetičkosigurnosnih rizika na razini Unije.

6.   U roku od devet mjeseci nakon što ga ENTSO za električnu energiju i tijelo EU-a za ODS-ove obavijeste o izvješću o procjeni kibernetičkosigurnosnih rizika na razini Unije u skladu s člankom 19. stavkom 5., a u svakom slučaju najkasnije do 13. lipnja 2028., svako nadležno tijelo dužno je obavijestiti subjekte s popisa o tome da su u njegovoj državi članici utvrđeni kao subjekti s velikim ili kritičnim utjecajem.

7.   Ako je pružatelj usluga prijavljen nekom nadležnom tijelu kao ključni pružatelj IKT usluga u skladu s člankom 27. točkom (c), to nadležno tijelo o tome obavješćuje nadležna tijela država članica na čijem se državnom području nalazi njegovo sjedište ili zastupnik. Potonja nadležna tijeka obavješćuju pružatelja usluga da je utvrđen kao pružatelj ključnih usluga.

1.   Nadležna tijela mogu uspostaviti nacionalni sustav provjere kako bi provjerila jesu li subjekti s kritičnim utjecajem utvrđeni u skladu s člankom 24. stavkom 1. proveli nacionalni zakonodavni okvir koji je uključen u korelacijsku matricu iz članka 34. Nacionalni program provjere može se temeljiti na inspekciji koju provodi nadležno tijelo, neovisnim revizijama sigurnosti ili na uzajamnim istorazinskim ocjenjivanjima subjekata s kritičnim utjecajem u istoj državi članici koje nadzire nadležno tijelo.

2.   Ako nadležno tijelo odluči uspostaviti nacionalni sustav provjere, to nadležno tijelo osigurava da se provjera provodi u skladu sa sljedećim zahtjevima:

3.   Ako nadležno tijelo odluči uspostaviti nacionalni program provjere, jednom godišnje izvješćuje ACER o tome koliko je često provodilo inspekcije u okviru tog programa.

1.   Svaki subjekt s velikim i kritičnim utjecajem kojeg je nadležno tijelo utvrdilo kao takvog u skladu s člankom 24. stavkom 1. upravlja kibernetičkosigurnosnim rizicima za svu svoju imovinu u područjima od velikog i kritičnog utjecaja. Svaki subjekt s velikim i kritičnim utjecajem svake tri godine provodi postupak upravljanja rizicima koji se sastoji od faza iz stavka 2.

2.   Upravljanje kibernetičkosigurnosnim rizicima svakog subjekta s velikim i kritičnim utjecajem temelji se na pristupu čiji je cilj zaštititi njegove mrežne i informacijske sustave i koji se sastoji od sljedećih faza:

3.   U fazi definiranja konteksta svaki subjekt s velikim ili kritičnim utjecajem:

4.   U fazi procjene kibernetičkosigurnosnih rizika svaki subjekt s velikim ili kritičnim utjecajem:

5.   U fazi obrade kibernetičkosigurnosnih rizika svaki subjekt s velikim ili kritičnim utjecajem dužan je uspostaviti plan za ublažavanje rizika na razini subjekta tako što će odabrati među mogućnostima pristupa riziku primjerenima za upravljanje rizicima i utvrđivanje preostalih rizika.

6.   U fazi prihvaćanja kibernetičkosigurnosnih rizika svaki subjekti s velikim ili kritičnim utjecajem odlučuje hoće li prihvatiti preostali rizik na temelju kriterija prihvatljivosti rizika utvrđenih u stavku 3. točki (b).

7.   Svaki subjekt s velikim i kritičnim utjecajem dužan je registrirati imovinu utvrđenu u stavku 1. u popisu imovine. Taj popis imovine nije dio izvješća o procjeni rizika.

8.   Nadležno tijelo može obaviti inspekcijski pregled imovine na popisu.

1.   Zajednički okvir za kibernetičku sigurnost elektroenergetskog sektora sastoji se od sljedećih kontrola i sustava upravljanja kibernetičkom sigurnošću:

2.   Svi subjekti s velikim utjecajem primjenjuju minimalne kibernetičkosigurnosne kontrole u skladu sa stavkom 1. točkom (a) unutar svojeg područja od velikog utjecaja.

3.   Svi subjekti s kritičnim utjecajem primjenjuju napredne kibernetičkosigurnosne kontrole u skladu sa stavkom 1. točkom (b) unutar svojeg područja od kritičnog utjecaja.

4.   U roku od sedam mjeseci od podnošenja prvog nacrta izvješća o procjeni kibernetičkosigurnosnih rizika na razini Unije u skladu s člankom 19. stavkom 4. zajednički okvir za kibernetičku sigurnost elektroenergetskog sektora iz stavka 1. dopunjuje se minimalnim i naprednim kibernetičkosigurnosnim kontrolama u lancu opskrbe razvijenima u skladu s člankom 33.

1.   U roku od sedam mjeseci od podnošenja prvog nacrta izvješća o procjeni kibernetičkosigurnosnih rizika na razini Unije u skladu s člankom 19. stavkom 4. operatori prijenosnih sustava, uz pomoć ENTSO-a za električnu energiju i u suradnji s tijelom EU-a za ODS-ove, izrađuju prijedlog minimalnih i naprednih kibernetičkosigurnosnih kontrola.

2.   U roku od šest mjeseci od sastavljanja regionalnog izvješća o procjeni kibernetičkosigurnosnih rizika u skladu s člankom 21. stavkom 2., operatori prijenosnih sustava, uz pomoć ENTSO-a za električnu energiju i u suradnji s tijelom EU-a za ODS-ove, nadležnom tijelu predlažu izmjenu minimalnih naprednih kibernetičkosigurnosnih kontrola. Prijedlog se izrađuje u skladu člankom 8. stavkom 10. i njime se uzimaju u obzir rizici utvrđeni u regionalnoj procjeni rizika.

3.   Minimalne i napredne kibernetičkosigurnosne kontrole mogu se provjeriti sudjelovanjem u nacionalnom programu provjere u skladu s postupkom iz članka 31. ili revizijama sigurnosti koje provodi neovisna treća strana u skladu sa zahtjevima iz članka 25. stavka 2.

4.   Početne minimalne i napredne kibernetičkosigurnosne kontrole razvijene u skladu sa stavkom 1. temelje se na rizicima utvrđenima u izvješću o procjeni kibernetičkosigurnosnih rizika na razini Unije iz članka 19. stavka 5. Izmijenjene minimalne i napredne kibernetičkosigurnosne kontrole razvijene u skladu sa stavkom 2. temelje se na regionalnom izvješću o procjeni kibernetičkosigurnosnih rizika iz članka 21. stavka 2.

5.   Minimalne kibernetičkosigurnosne kontrole uključuju kontrole za zaštitu informacija razmijenjenih u skladu s člankom 46.

6.   U roku od 12 mjeseci nakon odobrenja minimalnih i naprednih kibernetičkosigurnosnih kontrola u skladu s člankom 8. stavkom 5. ili nakon svakog ažuriranja u skladu s člankom 8. stavkom 10. subjekti iz članka 2. stavka 1. koji su utvrđeni kao subjekti s kritičnim i velikim utjecajem u skladu s člankom 24. tijekom uspostave plana za smanjenje rizika na razini subjekta u skladu s člankom 26. stavkom 5. primjenjuju minimalne kibernetičkosigurnosne kontrole unutar područja od velikog utjecaja i napredne kibernetičkosigurnosne kontrole unutar područja od kritičnog utjecaja.

1.   Subjekti iz članka 2. stavka 1. mogu zatražiti od odgovarajućeg nadležnog tijela da im odobri odstupanje od obveze primjene minimalnih i naprednih kibernetičkosigurnosnih kontrola iz članka 29. stavka 6. Nadležno tijelo može odobriti takvo odstupanje zbog jednog od sljedećih razloga:

2.   U roku od tri mjeseca od primitka zahtjeva iz stavka 1. svako nadležno tijelo odlučuje treba li odobriti odstupanje od minimalnih i naprednih kibernetičkosigurnosnih kontrola. Odstupanja od minimalnih ili naprednih kibernetičkosigurnosnih kontrola odobravaju se na najviše tri godine te ih je moguće produljiti.

3.   Agregirane i anonimizirane informacije o odobrenim odstupanjima uključuju se kao prilog izvješću o sveobuhvatnoj procjeni prekograničnih kibernetičkosigurnosnih rizika za elektroenergetski sektor iz članka 23. ENTSO za električnu energiju i tijelo EU-a za ODS-ove zajednički ažuriraju popis, prema potrebi.

1.   Najkasnije 24 mjeseca nakon donošenja kontrola iz članka 28. stavka 1. točaka (a), (b) i (c) i uspostave sustava upravljanja kibernetičkom sigurnošću iz točke (d) tog članka svaki subjekt s kritičnim utjecajem utvrđen u skladu s člankom 24. stavkom 1. mora, na zahtjev nadležnog tijela, moći dokazati svoju usklađenost sa sustavom upravljanja kibernetičkom sigurnošću i minimalnim ili naprednim kibernetičkosigurnosnim kontrolama.

2.   Svaki subjekt s kritičnim utjecajem ispunjava obvezu iz stavka 1. pristupanjem reviziji sigurnosti koju provodi neovisna treća strana u skladu sa zahtjevima iz članka 25. stavka 2. ili sudjelovanjem u nacionalnom programu provjere u skladu s člankom 25. stavkom 1.

3.   Provjera usklađenosti subjekta s kritičnim utjecajem sa sustavom upravljanja kibernetičkom sigurnošću te minimalnim ili naprednim kibernetičkosigurnosnim kontrolama provodi se na svoj imovini unutar područja od kritičnog utjecaja subjekta s kritičnim utjecajem.

4.   Provjera usklađenosti subjekta s kritičnim utjecajem sa sustavom upravljanja kibernetičkom sigurnošću te minimalnim ili naprednim kibernetičkosigurnosnim kontrolama redovito se ponavlja najkasnije 36 mjeseci nakon prve provjere i svake tri godine nakon toga.

5.   Svaki subjekt s kritičnim utjecajem definiran u skladu s člankom 24. dokazuje svoju usklađenost s kontrolama iz članka 28. stavka 1. točaka (a), (b) i (c) i uspostavu sustava upravljanja kibernetičkom sigurnošću iz točke (d) tog članka izvješćivanjem nadležnog tijela o ishodu provjere usklađenosti.

1.   U roku od 24 mjeseca nakon što ih nadležno tijelo obavijesti da su utvrđeni kao subjekti s velikim ili kritičnim utjecajem u skladu člankom 24. stavkom 6., svi subjekti s velikim i kritičnim utjecajem uspostavljaju sustav upravljanja kibernetičkom sigurnošću i nakon toga ga svake tri godine preispituju kako bi:

2.   Sustav upravljanja kibernetičkom sigurnošću primjenjuje se na svu imovinu unutar područja od velikog i kritičnog utjecaja subjekta s velikim i kritičnim utjecajem.

3.   Nadležna tijela, bez nametanja ili diskriminacije u korist uporabe određene vrste tehnologije, potiču primjenu europskih ili međunarodnih normi i specifikacija povezanih sa sustavima upravljanja koje su relevantne za sigurnost mrežnih i informacijskih sustava.

1.   U roku od sedam mjeseci od podnošenja prvog nacrta izvješća o procjeni kibernetičkosigurnosnog rizika na razini Unije u skladu s člankom 19. stavkom 4. OPS-ovi, uz pomoć ENTSO-a za električnu energiju i u suradnji s tijelom EU-a za ODS-ove, izrađuju prijedlog minimalnih i naprednih kibernetičkosigurnosnih kontrola u lancu opskrbe kojima se ublažavaju rizici u tom lancu utvrđeni u procjenama kibernetičkosigurnosnih rizika na razini Unije, čime dopunjuju minimalne i napredne kibernetičkosigurnosne kontrole razvijene u skladu s člankom 29. Minimalne i napredne kibernetičkosigurnosne kontrole u lancu opskrbe razvijaju se zajedno s minimalnim i naprednim kibernetičkosigurnosnim kontrolama u skladu s člankom 29. Minimalne i napredne kibernetičkosigurnosne kontrole u lancu opskrbe obuhvaćaju cijeli životni ciklus svih IKT proizvoda, usluga i procesa u područjima od velikog ili kritičnog utjecaja subjekta s velikim ili kritičnim utjecajem. U izradi prijedloga za minimalne i napredne kibernetičkosigurnosne kontrole u lancu opskrbe savjetuje se sa skupinom za suradnju u području sigurnosti mrežnih i informacijskih sustava.

2.   Minimalne kibernetičkosigurnosne kontrole u lancu opskrbe sastoje se od kontrola za subjekte s velikim i kritičnim utjecajem koje ispunjavaju sljedeće zahtjeve:

3.   Kad je riječ o specifikacijama kibernetičke sigurnosti u preporuci za nabavu u području kibernetičke sigurnosti iz stavka 2. točke (a), subjekti s velikim ili kritičnim utjecajem primjenjuju načela nabave na temelju Direktive 2014/24/EU Europskog parlamenta i Vijeća (19), u skladu s člankom 35. stavkom 4., ili definiraju vlastite specifikacije na temelju rezultata procjene kibernetičkosigurnosnih rizika na razini subjekta.

4.   Napredne kibernetičkosigurnosne kontrole u lancu opskrbe uključuju kontrole subjekata s kritičnim utjecajem kako bi se u okviru nabave provjerilo da su IKT proizvodi, usluge i procesi koji će biti imovina s kritičnim utjecajem u skladu sa specifikacijama kibernetičke sigurnosti. IKT proizvod, usluga ili proces provjerava se u okviru europskog programa certifikacije kibernetičke sigurnosti iz članka 31. ili kroz aktivnosti provjere koje odabere i organizira subjekt. Detaljnost i opseg aktivnosti provjere moraju biti dovoljni kako bi se osiguralo da IKT proizvod, usluga ili proces može poslužiti za ublažavanje rizika utvrđenih u procjeni rizika na razini subjekta. Subjekt s kritičnim utjecajem dužan je dokumentirati mjere poduzete za smanjenje utvrđenih rizika.

5.   Minimalne i napredne kibernetičkosigurnosne kontrole u lancu opskrbe primjenjuju se na nabavu relevantnih IKT proizvoda, usluga i procesa. Minimalne i napredne kibernetičkosigurnosne kontrole lanca opskrbe primjenjivat će se na postupke nabave u subjektima koji su utvrđeni kao subjekti s velikim i kritičnim utjecajem u skladu s člankom 24. koji počinju šest mjeseci nakon donošenja ili ažuriranja minimalnih i naprednih kibernetičkosigurnosnih kontrola iz članka 29.

6.   U roku od šest mjeseci od sastavljanja svakog regionalnog izvješća o procjeni kibernetičkosigurnosnih rizika u skladu s člankom 21. stavkom 2., operatori prijenosnih sustava uz pomoć ENTSO-a za električnu energiju i u suradnji s tijelom EU-a za ODS-ove nadležnom tijelu predlažu izmjenu minimalnih i naprednih kibernetičkosigurnosnih kontrola u lancu opskrbe. Prijedlog se sastavlja u skladu s člankom 8. stavkom 10. i u njemu se uzimaju u obzir rizici utvrđeni u regionalnoj procjeni rizika.

1.   U roku od sedam mjeseci od podnošenja prvog nacrta izvješća o procjeni kibernetičkosigurnosnih rizika na razini Unije u skladu s člankom 19. stavkom 4. OPS-ovi su, uz pomoć ENTSO-a za električnu energiju i u suradnji s tijelom EU-a za ODS-ove i nakon savjetovanja s ENISA-om, dužni sastaviti prijedlog matrice za specificiranje kontrola iz članka 28. stavka 1. točaka (a) i (b) u odnosu na odabrane europske i međunarodne norme i relevantne tehničke specifikacije („korelacijska matrica”). ENTSO za električnu energiju i tijelo EU-a za ODS-ove dokumentiraju da su različite kontrole ekvivalentne onima iz članka 28. stavka 1. točaka (a) i (b).

2.   Nadležna tijela mogu ENTSO-u za električnu energiju i tijelu EU-a za ODS-ove dostaviti pregled kontrola iz članka 28. stavka 1. točaka (a) i (b) upućivanjem na povezane nacionalne zakonodavne ili regulatorne okvire, uključujući relevantne nacionalne norme država članica u skladu s člankom 25. Direktive (EU) 2022/2555. Ako nadležno tijelo države članice dostavi takav korelacijski pregled, ENTSO za električnu energiju i tijelo EU-a za ODS-ove uvrštavaju taj pregled u korelacijsku matricu.

3.   U roku od šest mjeseci od izrade svakog regionalnog izvješća o procjeni kibernetičkosigurnosnih rizika u skladu s člankom 21. stavkom 2. operatori prijenosnih sustava dužni su uz pomoć ENTSO-a za električnu energiju i u suradnji s tijelom EU-a za ODS-ove i nakon savjetovanja s ENISA-om predložiti nadležnom tijelu izmjenu korelacijske matrice. Prijedlog se sastavlja u skladu s člankom 8. stavkom 10. i u njemu se uzimaju u obzir rizici utvrđeni u regionalnoj procjeni rizika.

1.   OPS-ovi, uz pomoć ENTSO-a za električnu energiju i u suradnji s tijelom EU-a za ODS-ove, u okviru programa rada koji će se uspostaviti i ažurirati svaki put kad se donese regionalno izvješće o procjeni kibernetičkosigurnosnih rizika izrađuju skup neobvezujućih preporuka za nabavu u području kibernetičke sigurnosti koje subjekti s velikim i kritičnim utjecajem mogu upotrijebiti kao temelj za nabavu IKT proizvoda, usluga i procesa u područjima od velikog i kritičnog utjecaja. Taj program rada uključuje sljedeće:

2.   ENTSO za električnu energiju, u suradnji s tijelom EU-a za ODS-ove, u roku od šest mjeseci nakon donošenja ili ažuriranja regionalnog izvješća o procjeni kibernetičkosigurnosnih rizika dostavlja sažetak tog programa rada ACER-u.

3.   OPS-ovi, uz pomoć ENTSO-a za električnu energiju i u suradnji s tijelom EU-a za ODS-ove, nastoje osigurati da neobvezujuće preporuke za nabavu u području kibernetičke sigurnosti izrađene na temelju relevantne regionalne procjene kibernetičkosigurnosnih rizika budu slične ili usporedive u svim regijama pogona sustava. Skupovi preporuka za nabavu u području kibernetičke sigurnosti obuhvaćaju barem specifikacije iz članka 33. stavka 2. točke (a). Ako je moguće, specifikacije se odabiru iz europskih i međunarodnih normi.

4.   OPS-ovi, uz pomoć ENTSO-a za električnu energiju i u suradnji s tijelom EU-a za ODS-ove, osiguravaju da su skupovi preporuka za nabavu u području kibernetičke sigurnosti:

1.   Neobvezujuće preporuke za nabavu u području kibernetičke sigurnosti izrađene u skladu s člankom 35. mogu uključivati sektorske smjernice o upotrebi europskih programa certifikacije kibernetičke sigurnosti kad god je dostupan odgovarajući program za određenu vrstu IKT proizvoda, usluge ili procesa koje upotrebljavaju subjekti s kritičnim utjecajem, ne dovodeći u pitanje okvir za uspostavu europskih programa certifikacije kibernetičke sigurnosti u skladu s člankom 46. Uredbe (EU) 2019/881.

2.   OPS-ovi, uz pomoć ENTSO-a za električnu energiju i u suradnji s tijelom EU-a za ODS-ove, blisko surađuju s ENISA-om pri izradi konkretnih smjernica za sektor koje su uključene u neobvezujuće preporuke za nabavu u području kibernetičke sigurnosti u skladu sa stavkom 1.

1.   Ako nadležno tijelo primi informacije o kibernetičkom napadu o kojem se izvješćuje, to nadležno tijelo:

2.   Ako CSIRT dobije informacije o nezakrpanoj ranjivosti koja se aktivno iskorištava, on:

3.   Ako nadležno tijelo dobije informacije o nezakrpanoj ranjivosti koja se aktivno iskorištava, to nadležno tijelo:

4.   Ako nadležno tijelo sazna za nezakrpanu ranjivost za koju nema dokaza da se već aktivno iskorištava, bez nepotrebne odgode surađuje s CSIRT-om za potrebe koordiniranog otkrivanja ranjivosti kako je utvrđeno u članku 12. stavku 1. Direktive (EU) 2022/2555.

5.   Ako CSIRT primi informacije o kibernetičkim prijetnjama od jednog ili više subjekata s velikim ili kritičnim utjecajem u skladu s člankom 38. stavkom 6., on te informacije ili sve druge informacije koje su važne za sprečavanje, otkrivanje, ublažavanje povezanog rizika ili odgovaranje na taj rizik dostavlja subjektima s kritičnim i velikim utjecajem u svojoj državi članici te, prema potrebi, svim predmetnim CSIRT-ovima i svojoj nacionalnoj jedinstvenoj kontaktnoj točki bez nepotrebne odgode i najkasnije četiri sata nakon primitka informacija.

6.   Ako dobije informacije o kibernetičkim prijetnjama od jednog ili više subjekata s velikim ili kritičnim utjecajem, nadležno tijelo te informacije prosljeđuje CSIRT-u za potrebe stavka 5.

7.   Nadležna tijela mogu u cijelosti ili djelomično delegirati odgovornosti iz stavaka 3. i 4. koje se odnose na jedan ili više subjekata s velikim ili kritičnim utjecajem koji posluju u više država članica drugom nadležnom tijelu u jednoj od tih država članica, nakon što predmetna nadležna tijela postignu dogovor.

8.   OPS-ovi, uz pomoć ENTSO-a za električnu energiju i u suradnji s tijelom EU-a za ODS-ove, razvijaju metodologiju s klasifikacijskom ljestvicom za kibernetičke napade do 13. lipnja 2025. OPS-ovi, uz pomoć ENTSO-a za električnu energiju i tijela EU-a za ODS-ove, mogu zatražiti od nadležnih tijela da se savjetuju s ENISA-om i nacionalnim tijelima nadležnima za kibernetičku sigurnost kako bi im pomogli u izradi takve klasifikacijske ljestvice. Metodologija omogućuje klasifikaciju ozbiljnosti kibernetičkog napada na pet razina, pri čemu su dvije najviše razine „velika” i „kritična”. Klasifikacija se temelji na procjeni sljedećih parametara:

9.   Do 13. lipnja 2026. ENTSO za električnu energiju u suradnji s tijelom EU-a za ODS-ove provodi studiju izvedivosti kako bi procijenio mogućnost i financijske troškove potrebne za razvoj zajedničkog alata kojim se svim subjektima omogućuje razmjena informacija s relevantnim nacionalnim tijelima.

10.   U studiji izvedivosti razmatra se mogućnost da se takav zajednički alat:

11.   ENTSO za električnu energiju u suradnji s tijelom EU-a za ODS-ove:

12.   ENTSO za električnu energiju, u suradnji s tijelom EU-a za ODS-ove, može analizirati i olakšati inicijative koje predlažu subjekti s kritičnim i velikim utjecajem radi evaluacije i ispitivanja takvih alata za razmjenu informacija.

1.   Svaki subjekt s velikim ili kritičnim utjecajem:

2.   ENISA može izdati neobvezujuće smjernice o uspostavi takvih kapaciteta ili podugovaranju usluge pružateljima usluga u državama članicama, kao dio zadaće utvrđene u članku 6. stavku 2. Uredbe (EU) 2019/881.

3.   Svaki subjekt s kritičnim i velikim utjecajem razmjenjuje relevantne informacije povezane s kibernetičkim napadom o kojem se izvješćuje sa svojim CSIRT-ovima i svojim nadležnim tijelom bez nepotrebne odgode, a najkasnije četiri sata nakon što je saznao da se o incidentu mora izvijestiti.

4.   Smatra se da se mora izvijestiti o informacijama o kibernetičkom napadu ako pogođeni subjekt ocijeni kritičnost kibernetičkog napada u rasponu od „velike” do „kritične” u skladu s metodologijom s klasifikacijskom ljestvicom za kibernetičke napade u skladu s člankom 37. stavkom 8. Subjektova jedinstvena kontaktna točka imenovana u skladu sa stavkom 1. točkom (c) obavješćuje o klasifikaciji incidenta.

5.   Ako subjekti s kritičnim utjecajem i subjekti s velikim utjecajem dostave CSIRT-u relevantne informacije o nezakrpanim ranjivostima koje se aktivno iskorištavaju, on te informacije može proslijediti svojem nadležnom tijelu. S obzirom na razinu osjetljivosti dostavljenih informacija CSIRT može uskratiti informacije ili odgoditi njihovo prosljeđivanje zbog opravdanih razloga povezanih s kibernetičkom sigurnošću.

6.   Svaki subjekt s kritičnim utjecajem i subjekt s velikim utjecajem bez nepotrebne odgode svojim CSIRT-ovima dostavlja sve informacije o kibernetičkim prijetnjama o kojima se izvješćuje i koje bi mogle imati prekogranični utjecaj. Smatra se da se mora izvijestiti o informacijama o kibernetičkom napadu ako je ispunjen barem jedan od sljedećih uvjeta:

7.   Svi subjekti s kritičnim utjecajem i subjekti s velikim utjecajem pri razmjeni informacija u skladu s ovim člankom navode sljedeće:

8.   Ako subjekt s kritičnim ili velikim utjecajem obavijesti o značajnom incidentu u skladu s člankom 23. Direktive (EU) 2022/2555, a izvješćivanje o incidentima na temelju tog članka sadržava relevantne informacije kako je propisano stavkom 3. ovog članka, izvješćivanje subjekta u skladu s člankom 23. stavkom 1. te direktive predstavlja izvješćivanje o informacijama iz stavka 3. ovog članka.

9.   Svi subjekti s kritičnim utjecajem i subjekti s velikim utjecajem izvješćuju svoje nadležno tijelo ili CSIRT tako što jasno utvrđuju konkretne informacije koje se dijele s nadležnim tijelom ili CSIRT-om samo ako bi razmjena informacija mogla dovesti do kibernetičkog napada. Svi subjekti s kritičnim utjecajem i subjekti s velikim utjecajem imaju pravo nadležnom CSIRT-u dostaviti verziju informacija koja nije povjerljiva.

1.   Subjekti s kritičnim utjecajem i subjekti s velikim utjecajem uspostavljaju potrebne kapacitete za postupanje s otkrivenim kibernetičkim napadima uz potrebnu potporu relevantnog nadležnog tijela, ENTSO-a za električnu energiju i tijela EU-a za ODS-ove. Subjekte s kritičnim utjecajem i subjekte s velikim utjecajem može podupirati CSIRT imenovan u njihovoj pojedinačnoj državi članici u okviru zadaće dodijeljene CSIRT-ovima na temelju članka 11. stavka 5. točke (a) Direktive (EU) 2022/2555. Subjekti s kritičnim utjecajem i subjekti s velikim utjecajem provode djelotvorne postupke za utvrđivanje i klasifikaciju kibernetičkih napada koji će utjecati ili bi mogli utjecati na prekogranične protoke električne energije te odgovor na njih kako bi se njihove posljedice svele na najmanju mjeru.

2.   Ako kibernetički napad utječe na prekogranične protoke električne energije, jedinstvene kontaktne točke pogođenih subjekata s kritičnim utjecajem i subjekata s velikim utjecajem surađuju radi međusobne razmjene informacija koju koordinira nadležno tijelo države članice u kojoj je prvi put izviješteno o kibernetičkom napadu.

3.   Subjekti s kritičnim utjecajem i subjekti s velikim utjecajem:

4.   Države članice mogu delegirati zadaće iz stavka 1. i regionalnim koordinacijskim centrima u skladu s člankom 37. stavkom 2. Uredbe (EU) 2019/943.

1.   Ako nadležno tijelo utvrdi da je elektroenergetska kriza povezana s kibernetičkim napadom koji ima posljedice u više država članica, nadležna tijela iz pogođenih država članica, nadležna tijela odgovorna za kibernetičku sigurnost, nadležna tijela za pripravnost za rizike i tijela za upravljanje kibernetičkosigurnosnim krizama u području mrežne i informacijske sigurnosti iz pogođenih država članica zajednički osnivaju ad hoc skupinu za koordinaciju prekograničnih kriznih situacija.

2.    Ad hoc skupina za koordinaciju prekograničnih kriznih situacija:

3.   Ako se kibernetički napad može smatrati kibernetičkosigurnosnim incidentom velikih razmjera ili se očekuje da će ga se smatrati kibernetičkosigurnosnim incidentom velikih razmjera, ad hoc skupina za koordinaciju prekograničnih kriznih situacija odmah obavješćuje nacionalna tijela za upravljanje kibernetičkim krizama u skladu s člankom 9. stavkom 1. Direktive (EU) 2022/2555 u državama članicama pogođenima incidentom, kao i Komisiju i mrežu EU CyCLONe. U takvoj situaciji ad hoc skupina za koordinaciju prekograničnih kriznih situacija dostavlja mreži EU CyCLONe informacije o sektorskim posebnostima.

4.   Subjekti s kritičnim utjecajem i velikim utjecajem razvijaju i imaju na raspolaganju kapacitete, interne smjernice, planove pripravnosti i osoblje za sudjelovanje u otkrivanju i ublažavanju prekograničnih kriza. Subjekt s kritičnim utjecajem ili velikim utjecajem na koji je utjecala istodobna elektroenergetska kriza istražuje temeljni uzrok takve krize u suradnji sa svojim nadležnim tijelom kako bi se utvrdilo u kojoj je mjeri kriza povezana s kibernetičkim napadom.

5.   Države članice mogu delegirati zadaće iz stavka 4. i regionalnim koordinacijskim centrima u skladu s člankom 37. stavkom 2. Uredbe (EU) 2019/943.

1.   U roku od 24 mjeseca nakon dostavljanja ACER-u izvješća o procjeni rizika na razini Unije, ACER u bliskoj suradnji s ENISA-om, ENTSO-om za električnu energiju, tijelom EU-a za ODS-ove, nadležnim tijelima odgovornima za kibernetičku sigurnost, nadležnim tijelima, nadležnim tijelima za pripravnost za rizike, nacionalnim regulatornim tijelima i nacionalnim tijelima za upravljanje kibernetičkosigurnosnim krizama u području mrežne i informacijske sigurnosti izrađuje plan za upravljanje kibernetičkosigurnosnim krizama i odgovor na njih na razini Unije.

2.   U roku od 12 mjeseci nakon što ACER izradi plan upravljanja kibernetičkosigurnosnim krizama i odgovor na njih na razini Unije za elektroenergetski sektor u skladu sa stavkom 1., svako nadležno tijelo izrađuje nacionalni plan za upravljanje kibernetičkosigurnosnim krizama i odgovor na njih za prekogranične protoke električne energije, uzimajući u obzir plan upravljanja kibernetičkosigurnosnim krizama na razini Unije i nacionalni plan pripravnosti na rizike uspostavljen u skladu s člankom 10. Uredbe (EU) 2019/941. Taj plan mora biti u skladu s planom za odgovor na kibernetičkosigurnosne incidente velikih razmjera i kibernetičkosigurnosne krize u skladu s člankom 9. stavkom 4. Direktive (EU) 2022/2555. Nadležno tijelo djeluje koordinirano sa subjektima s kritičnim i velikim utjecajem te s nadležnim tijelima za pripravnost za rizike u svojoj državi članici.

3.   Nacionalni plan za odgovor na kibernetičkosigurnosne incidente velikih razmjera i kibernetičkosigurnosne krize koji se zahtijeva na temelju članka 9. stavka 4. Direktive (EU) 2022/2555 smatra se nacionalnim planom za upravljanje kibernetičkosigurnosnim krizama na temelju ovog članka ako uključuje odredbe o upravljanju krizama i odgovoru na njih za prekogranične protoke električne energije.

4.   Zadaće navedene u stavcima 1. i 2. države članice mogu delegirati i regionalnim koordinacijskim centrima u skladu s člankom 37. stavkom 2. Uredbe (EU) 2019/943.

5.   Subjekti s kritičnim i velikim utjecajem osiguravaju da njihovi procesi upravljanja kibernetičkosigurnosnim krizama ispunjavaju sljedeće uvjete:

6.   U roku od 12 mjeseci nakon što prime obavijest o tome da su utvrđeni kao subjekti s velikim i kritičnim utjecajem u skladu s člankom 24. stavkom 6. i svake tri godine nakon toga ti subjekti izrađuju plan upravljanja krizama na razini subjekta za kibernetičkosigurnosnu krizu koji se uključuje u njihove opće planove upravljanja krizama. Taj plan obuhvaća barem sljedeće:

7.   Mjere za upravljanje krizama u skladu s člankom 21. stavkom 2. točkom (c) Direktive (EU) 2022/2555 smatraju se planom upravljanja krizama na razini subjekta za elektroenergetski sektor u skladu s ovim člankom ako uključuje sve zahtjeve navedene u stavku 6.

8.   Planovi upravljanja krizama testiraju se tijekom vježbi u području kibernetičke sigurnosti iz članaka 43., 44. i 45.

9.   Subjekti s kritičnim utjecajem i velikim utjecajem uključuju svoje planove upravljanja krizama na razini subjekta u svoje planove kontinuiteta poslovanja za procese s kritičnim ili velikim utjecajem. Planovi upravljanja kriznim situacijama na razini subjekta uključuju:

10.   Subjekti s kritičnim i velikim utjecajem ažuriraju svoje planove upravljanja krizama na razini subjekta najmanje svake tri godine i kad god je to potrebno.

11.   ACER ažurira plan upravljanja krizama u području kibernetičke sigurnosti i odgovora na njih na razini Unije za elektroenergetski sektor izrađen u skladu sa stavkom 1. najmanje svake tri godine i kad god je to potrebno.

12.   Svako nadležno tijelo ažurira nacionalni plan za upravljanje krizama u području kibernetičke sigurnosti i odgovora na njih za prekogranične protoke električne energije izrađen u skladu sa stavkom 2. najmanje svake tri godine i kad god je to potrebno.

13.   Subjekti s kritičnim utjecajem i velikim utjecajem testiraju svoje planove kontinuiteta poslovanja najmanje jednom svake tri godine ili nakon velikih promjena u procesu s kritičnim utjecajem. Rezultati testiranja plana kontinuiteta poslovanja dokumentiraju se. Subjekti s kritičnim utjecajem i velikim utjecajem mogu uključiti ispitivanje svojeg plana kontinuiteta poslovanja u vježbe u području kibernetičke sigurnosti.

14.   Subjekti s kritičnim utjecajem ili velikim utjecajem ažuriraju svoj plan kontinuiteta poslovanja kad god je to potrebno, a najmanje jednom svake tri godine, uzimajući u obzir ishod ispitivanja.

15.   Ako se testiranjem utvrde nedostaci u planu kontinuiteta poslovanja, subjekt s kritičnim ili velikim utjecajem te nedostatke ispravlja u roku od 180 kalendarskih dana nakon ispitivanja i provodi novo ispitivanje kako bi dokazao da su korektivne mjere djelotvorne.

16.   Ako subjekt s kritičnim ili velikim utjecajem ne može ispraviti nedostatke u roku od 180 kalendarskih dana, on o tome dostavlja izvješće svojem nadležnom tijelu u skladu s člankom 27., u kojem navodi razloge za to.

1.   Nadležna tijela surađuju s ENISA-om na razvoju kapaciteta ranog upozoravanja u području kibernetičke sigurnosti za elektroenergetski sektor (ECEAC) u okviru pomoći državama članicama u skladu s člankom 6. stavkom 2. i člankom 7. Uredbe (EU) 2019/881.

2.   ECEAC omogućuje ENISA-i da pri obavljanju zadaća navedenih u članku 7. stavku 7. Uredbe (EU) 2019/881:

3.   CSIRT-ovi bez odgode prosljeđuju informacije primljene od ENISA-e predmetnim subjektima u okviru svojih zadaća utvrđenih u članku 11. stavku 3. točki (b) Direktive (EU) 2022/2555.

4.   ACER prati djelotvornost ECEAC-a. ENISA pomaže ACER-u tako što mu dostavlja sve potrebne informacije u skladu s člankom 6. stavkom 2. i člankom 7. stavkom 1. Uredbe (EU) 2019/881. Analiza te aktivnosti praćenja dio je praćenja u skladu s člankom 12. ove Uredbe.

1.   Do 31. prosinca godine nakon primanja obavijesti o tome da je utvrđen kao subjekt s kritičnim utjecajem i svake tri godine nakon toga svaki takav subjekt dužan je izvesti vježbu u području kibernetičke sigurnosti u koja je obuhvaćen najmanje jedan scenarij s kibernetičkim napadom koji izravno ili neizravno utječu na prekogranične protoke električne energije i koji je povezan s rizicima utvrđenima tijekom procjena kibernetičkosigurnosnih rizika na razini države članice i subjekta u skladu s člancima 20. i 27.

2.   Odstupajući od stavka 1., nadležno tijelo za pripravnost za rizike može nakon savjetovanja s nadležnim tijelom i relevantnim tijelom za upravljanje kibernetičkosigurnosnim krizama kako je imenovano ili uspostavljeno u skladu s člankom 9. Direktive (EU) 2022/2555 odlučiti organizirati vježbu u području kibernetičke sigurnosti na razini države članice kako je opisano u stavku 1. umjesto da provodi takvu vježbu na razini subjekta. U tu svrhu nadležno tijelo obavješćuje:

3.   Nadležno tijelo za pripravnost za rizike uz tehničku potporu svojih CSIRT-ova organizira vježbu u području kibernetičke sigurnosti opisanu u stavku 2. na razini države članice neovisno ili u kontekstu druge vježbe u području kibernetičke sigurnosti u toj državi članici. Kako bi se te vježbe mogle grupirati, nadležno tijelo za pripravnost za rizike može odgoditi vježbu u području kibernetičke sigurnosti na razini države članice iz stavka 1. za godinu dana.

4.   Vježbe u području kibernetičke sigurnosti na razini subjekta i na razini država članica moraju biti u skladu s nacionalnim okvirima za upravljanje krizama u području kibernetičke sigurnosti u skladu s člankom 9. stavkom 4. točkom (d) Direktive (EU) 2022/2555.

5.   Do 31. prosinca 2026. i svake tri godine nakon toga ENTSO za električnu energiju u suradnji s tijelom EU-a za ODS-ove stavlja na raspolaganje predložak scenarija za izvođenje vježbi u području kibernetičke sigurnosti na razini subjekta i država članica iz stavka 1. U tom predlošku uzimaju se u obzir najnovije procjene kibernetičkosigurnosnih rizika na razini subjekta i država članica te su u njemu definirani glavni kriteriji uspješnosti. ENTSO za električnu energiju i tijelo EU-a za ODS-ove uključuju ACER i ENISA-u u izradu takvog predloška.

1.   Do 31. prosinca 2029. i svake tri godine nakon toga u svakoj regiji pogona sustava ENTSO za električnu energiju u suradnji s tijelom EU-a za ODS-ove organizira regionalnu vježbu u području kibernetičke sigurnosti. Subjekti s kritičnim utjecajem u regiji pogona sustava sudjeluju u regionalnoj vježbi u području kibernetičke sigurnosti. ENTSO za električnu energiju, u suradnji s tijelom EU-a za ODS-ove, može umjesto regionalne vježbe u području kibernetičke sigurnosti organizirati međuregionalnu vježbu u više regija pogona sustava u istom razdoblju. U vježbi bi trebalo uzeti u obzir druge postojeće procjene i scenarije kibernetičkosigurnosnih rizika izrađene na razini Unije.

2.   ENISA podupire ENTSO za električnu energiju i tijelo EU-a za ODS-ove u pripremi i organizaciji vježbe za kibernetičku sigurnost na regionalnoj ili međuregionalnoj razini.

3.   ENTSO za električnu energiju, u koordinaciji s tijelom EU-a za ODS-ove, obavješćuje subjekte s kritičnim utjecajem koji sudjeluju u regionalnoj ili međuregionalnoj vježbi u području kibernetičke sigurnosti šest mjeseci prije početka vježbe.

4.   Organizator redovite vježbe u području kibernetičke sigurnosti na razini Unije u skladu s člankom 7. stavkom 5. Uredbe (EU) 2019/881 ili bilo koje obvezne vježbe u području kibernetičke sigurnosti povezane s elektroenergetskim sektorom unutar istog geografskog područja može pozvati ENTSO za električnu energiju i tijelo EU-a za ODS-ove da sudjeluju u takvim vježbama. U takvim se slučajevima ne primjenjuje obveza iz stavka 1. ako svi subjekti s kritičnim utjecajem u regiji pogona sustava sudjeluju u istoj vježbi.

5.   Ako u vježbi u području kibernetičke sigurnosti iz stavka 4. sudjeluju ENTSO za električnu energiju i tijelo EU-a za ODS-ove, onu mogu godinu dana odgoditi regionalnu ili međuregionalnu vježbu za kibernetičku sigurnost iz stavka 1.

6.   Do 31. prosinca 2027. i svake tri godine nakon tog datuma ENTSO za električnu energiju dužan je u suradnji s tijelom EU-a za ODS-ove staviti na raspolaganje predložak vježbe za provedbu regionalnih i međuregionalnih vježbi u području kibernetičke sigurnosti. U tom predlošku uzimaju se u obzir najnovije procjene kibernetičkosigurnosnih rizika na regionalnoj razini te su u njemu definirani glavni kriteriji uspješnosti. ENTSO za električnu energiju savjetuje se s Komisijom i može zatražiti savjet ACER-a, ENISA-e i Zajedničkog istraživačkog centra o organizaciji i provedbi regionalnih i međuregionalnih vježbi u području kibernetičke sigurnosti.

1.   Na zahtjev subjekta s kritičnim utjecajem pružatelji ključnih usluga sudjeluju u vježbama u području kibernetičke sigurnosti iz članka 43. stavaka 1. i 2. i iz članka 44. stavka 1. kad pružaju usluge subjektu s kritičnim utjecajem u području koje odgovara opsegu relevantne vježbe u području kibernetičke sigurnosti.

2.   Organizatori vježbi u području kibernetičke sigurnosti iz članka 43. stavaka 1. i 2. i iz članka 44. stavka 1. uz savjetovanje s ENISA-om na njihov zahtjev i u skladu s člankom 7. stavkom 5. Uredbe (EU) 2019/881 analiziraju i dovršavaju relevantnu vježbu u području kibernetičke sigurnosti u obliku izvješća u kojem su sažeta stečena iskustva i koje je upućeno svim sudionicima. Izvješće mora sadržavati:

3.   Ako to zatraži mreža CSIRT-ova, skupina za suradnju u području mrežne i informacijske sigurnosti ili mreža EU CyCLONe, organizatori vježbi u području kibernetičke sigurnosti iz članka 43. stavaka 1. i 2. te iz članka 44. stavka 1. razmjenjuju informacije o ishodu relevantne vježbe u području kibernetičke sigurnosti. Organizatori sa svakim subjektom koji sudjeluje u vježbama razmjenjuju informacije iz stavka 2. točaka (a) i (b) ovog članka. Organizatori dijele popis preporuka iz tog stavka točke (c) isključivo sa subjektima navedenima u preporukama.

4.   Organizatori vježbi u području kibernetičke sigurnosti iz članka 43. stavaka 1. i 2. te iz članka 44. stavka 1. redovito prate provedbu preporuka u skladu sa stavkom 2. točkom (c) ovog članka sa subjektima koji sudjeluju u vježbama.

1.   Subjekti iz članka 2. stavka 1. osiguravaju da su informacije koje se pružaju, primaju, razmjenjuju ili prenose u skladu s ovom Uredbom dostupne samo na temelju nužnosti pristupa informacijama i u skladu s relevantnim pravilima Unije i nacionalnim pravilima o sigurnosti informacija.

2.   Subjekti iz članka 2. stavka 1. osiguravaju da se informacije koje se pružaju, primaju, razmjenjuju ili prenose u skladu s ovom Uredbom obrađuju i prate tijekom cijelog svojeg životnog ciklusa te da se mogu objaviti na kraju svojeg životnog ciklusa tek nakon što su anonimizirane.

3.   Subjekti iz članka 2. stavka 1. osiguravaju da su uspostavljene sve potrebne zaštitne mjere organizacijske i tehničke prirode za zaštitu povjerljivosti, cjelovitosti, dostupnosti i neosporivosti informacija dostavljenih, primljenih, razmijenjenih ili prenesenih u skladu s ovom Uredbom, neovisno o korištenim sredstvima. Zaštitne mjere ispunjavaju sljedeće uvjete:

4.   Subjekti iz članka 2. stavka 1. osiguravaju da svaka osoba kojoj je odobren pristup informacijama koje se pružaju, primaju, razmjenjuju ili prenose u skladu s ovom Uredbom bude obaviještena o sigurnosnim pravilima koja se primjenjuju na razini subjekta te o mjerama i postupcima relevantnima za zaštitu informacija. Ti subjekti osiguravaju da predmetni pojedinac preuzme odgovornost za zaštitu informacija kako je naloženo tijekom informativnog sastanka.

5.   Subjekti iz članka 2. stavka 1. osiguravaju da pristup informacijama koje se pružaju, primaju, razmjenjuju ili prenose u skladu s ovom Uredbom imaju samo pojedinci:

6.   Subjekti iz članka 2. stavka 1. imaju pisanu suglasnost fizičke ili pravne osobe koja je izvorno stvorila ili dostavila informacije prije nego što te informacije dostave trećoj strani koja nije obuhvaćena područjem primjene ove Uredbe.

7.   Subjekt iz članka 2. stavka 1. može smatrati da se te informacije razmjenjuju bez usklađivanja sa stavcima 1. i 4. ovog članka kako bi se spriječila istodobna elektroenergetska kriza čiji je temeljni uzrok povezan s kibernetičkom sigurnošću ili bilo koja prekogranična kriza u Uniji u drugom sektoru. U tom slučaju taj subjekt:

8.   Odstupajući od stavka 6. ovog članka, nadležna tijela mogu dostaviti informacije dostavljene, primljene, razmijenjene ili prenesene na temelju ove Uredbe trećoj strani koja nije navedena u članku 2. stavku 1. bez prethodne pisane suglasnosti autora informacija, ali o tome što prije obavješćuju treću stranu. Prije otkrivanja bilo kakvih informacija dostavljenih, primljenih, razmijenjenih ili prenesenih na temelju ove Uredbe trećoj strani koja nije navedena u članku 2. stavku 1., predmetno nadležno tijelo razumno osigurava da je predmetna treća strana upoznata sa sigurnosnim pravilima koja su na snazi i dobiva razumno jamstvo da predmetna treća strana može zaštititi primljene informacije u skladu sa stavcima od 1. do 5. ovog članka. Nadležno tijelo anonimizira takve informacije bez gubitka elemenata potrebnih za obavješćivanje javnosti o neposrednom i ozbiljnom riziku za prekogranične protoke električne energije i mogućim mjerama ublažavanja te za zaštitu identiteta autora informacija. U tom slučaju treća strana koja nije navedena u članku 2. stavku 1. štiti primljene informacije u skladu s odredbama koje su već na snazi na razini subjekta ili, ako to nije moguće, odredbama i uputama relevantnog nadležnog tijela.

9.   Ovaj se članak ne primjenjuje na subjekte koji nisu navedeni u članku 2. stavku 1., a kojima se pružaju informacije u skladu sa stavkom 6. ovog članka. U tom slučaju primjenjuje se stavak 7. ovog članka ili nadležno tijelo tom subjektu može osigurati pisane odredbe koje se primjenjuju onda kad su informacije primljene u skladu s ovom Uredbom.

1.   Sve informacije dostavljene, primljene, razmijenjene ili prenesene u skladu s ovom Uredbom podliježu uvjetima čuvanja poslovne tajne utvrđenima u stavcima od 2. do 5. ovog članka ove Uredbe i zahtjevima utvrđenima u članku 65. Uredbe (EU) 2019/943. Sve informacije koje se dostavljaju, primaju, razmjenjuju ili prenose među subjektima iz članka 2. ove Uredbe za potrebe provedbe ove Uredbe štite se uzimajući u obzir razinu povjerljivosti informacija koju primjenjuje autor podataka.

2.   Obveza čuvanja poslovne tajne primjenjuje se na subjekte iz članka 2.

3.   Nadležna tijela odgovorna za kibernetičku sigurnost, nacionalna regulatorna tijela, nadležna tijela za pripravnost za rizike i CSIRT-ovi razmjenjuju sve informacije potrebne za obavljanje svojih zadaća.

4.   Sve informacije primljene, razmijenjene ili prenesene među subjektima iz članka 2. stavka 1. za potrebe provedbe članka 23. anonimiziraju se i agregiraju.

5.   Informacije koje bilo koji subjekt ili tijelo koje podliježe ovoj Uredbi primi tijekom obavljanja svojih dužnosti ne smiju se otkrivati nijednom drugom subjektu ili tijelu, ne dovodeći u pitanje slučajeve obuhvaćene nacionalnim pravom, drugim odredbama ove Uredbe ili drugim relevantnim zakonodavstvom Unije.

6.   Ne dovodeći u pitanje nacionalno zakonodavstvo ili zakonodavstvo Unije, tijelo, subjekt ili fizička osoba koja prima informacije u skladu s ovom Uredbom ne smije ih upotrebljavati ni u koju drugu svrhu osim obavljanja svojih dužnosti na temelju ove Uredbe.

7.   ACER, nakon savjetovanja s ENISA-om, svim nadležnim tijelima, ENTSO-om za električnu energiju i tijelom EU-a za ODS-ove, do 13. lipnja 2025. izdaje smjernice za sve subjekte iz članka 2. stavka 1. za razmjenu informacija, a posebno predviđenih komunikacijskih tokova, te metode anonimizacije i agregiranja informacija za potrebe provedbe ovog članka.

8.   Informacije koje su povjerljive u skladu s pravilima Unije i nacionalnim pravilima razmjenjuju se s Komisijom i drugim relevantnim tijelima samo ako je ta razmjena potrebna za primjenu ove Uredbe. Razmijenjene informacije ograničene su na ono što je nužno i razmjerno svrsi te razmjene. Pri razmjeni informacija čuva se njihova povjerljivost te štite sigurnost i komercijalni interesi subjekata s kritičnim ili velikim utjecajem.

1.   Do odobrenja odredaba i uvjeta ili metodologija iz članka 6. stavka 2. ili planova iz članka 6. stavka 3., ENTSO za električnu energiju u suradnji s tijelom EU-a za ODS-ove izrađuje neobvezujuće smjernice o sljedećim pitanjima:

2.   Do 13. listopada 2024. ENTSO za električnu energiju u suradnji s tijelom EU-a za ODS-ove izrađuje preporuku za privremeni ECII. ENTSO za električnu energiju u suradnji s tijelom EU-a za ODS-ove obavješćuje nadležna tijela o preporučenom privremenom indeksu ECII.

3.   Četiri mjeseca od primitka preporučenog privremenog indeksa ECII, ili najkasnije do 13. veljače 2025., nadležna tijela utvrđuju subjekte koji su kandidati za subjekte s velikim i kritičnim utjecajem u svojoj državi članici na temelju preporučenog indeksa ECII te izrađuju privremeni popis subjekata s velikim i kritičnim utjecajem. Subjekti s velikim i kritičnim utjecajem navedeni na privremenom popisu mogu dobrovoljno ispuniti svoje obveze utvrđene u ovoj Uredbi na temelju načela predostrožnosti. Do 13. ožujka 2025., nadležna tijela obavješćuju subjekte s privremenog popisa da su utvrđeni kao subjekti s velikim ili kritičnim utjecajem.

4.   Do 13. prosinca 2024., ENTSO za električnu energiju, u suradnji s tijelom EU-a za ODS-ove, izrađuje privremeni popis postupaka s velikim i kritičnim utjecajem na razini Unije. Subjekti obaviješteni u skladu sa stavkom 3. koji dobrovoljno odluče ispuniti svoje obveze kako je utvrđeno u ovoj Uredbi na temelju načela predostrožnosti upotrebljavaju privremeni popis procesa s velikim i kritičnim utjecajem kako bi utvrdili privremena područja od velikog i kritičnog utjecaja te koja se imovina treba uključiti u prvu procjenu kibernetičkosigurnosnih rizika na razini subjekta.

5.   Do 13. rujna 2024., svako nadležno tijelo u skladu s člankom 4. stavkom 1. dostavlja ENTSO-u za električnu energiju i tijelu EU-a za ODS-ove popis svojeg nacionalnog zakonodavstva koji se odnosi na kibernetičkosigurnosne aspekte prekograničnih protoka električne energije.

6.   Do 13. lipnja 2025. ENTSO za električnu energiju, u suradnji s tijelom EU-a za ODS-ove, priprema privremeni popis europskih i međunarodnih normi i kontrola koje se zahtijevaju nacionalnim zakonodavstvom i koje su relevantne za kibernetičkosigurnosne aspekte prekograničnih protoka električne energije, uzimajući u obzir informacije koje su dostavila nadležna tijela.

7.   Privremeni popis europskih i međunarodnih normi i kontrola uključuje:

8.   Pri finalizaciji privremenog popisa normi ENTSO za električnu energiju i tijelo EU-a za ODS-ove uzimaju u obzir stajališta ENISA-e i ACER-a. ENTSO za električnu energiju i tijelo EU-a za ODS-ove objavljuju prijelazni popis europskih i međunarodnih normi i kontrola na svojim internetskim stranicama.

9.   ENTSO za električnu energiju i tijelo EU-a za ODS-ove savjetuju se s ENISA-om i ACER-om o prijedlozima neobvezujućih smjernica izrađenih u skladu sa stavkom 1.

10.   Dok se minimalne i napredne kibernetičkosigurnosne kontrole ne budu razvijale u skladu s člankom 29. i donosile na temelju članka 8., svi subjekti iz članka 2. stavka 1. nastoje postupno primjenjivati neobvezujuće smjernice izrađene u skladu sa stavkom 1.