az (EU) 2019/944 irányelv 2. cikke 57. pontjában meghatározott villamosenergia-ipari vállalkozások;

az (EU) 2019/943 rendelet 2. cikkének 8. pontjában meghatározott kijelölt villamosenergiapiac-üzemeltetők;

az 1348/2014/EU bizottsági végrehajtási rendelet ( 1 ) 2. cikkének 4. pontjában meghatározott szervezett kereskedési helyek vagy „szervezett piacok”, amelyek a határkeresztező villamosenergia-áramlás szempontjából releváns termékekkel kapcsolatos ügyleteket bonyolítanak le;

az e rendelet 3. cikkének 9. pontjában említett kritikus IKT-szolgáltatók;

az (EU) 2019/943 rendelet 28. cikke alapján létrehozott villamosenergia-piaci ENTSO;

az (EU) 2019/943 rendelet 52. cikke alapján létrehozott EU DSO;

az (EU) 2019/943 rendelet 2. cikkének 14. pontjában meghatározott mérlegkörfelelősök;

az (EU) 2022/2555 irányelv I. mellékletében meghatározott elektromos töltőpontok üzemeltetői;

az (EU) 2019/943 rendelet 35. cikke alapján létrehozott regionális koordinációs központok;

az (EU) 2022/2555 irányelv 6. cikkének 40. pontjában meghatározott irányított biztonsági szolgáltatók (MSSP);

bármely más szervezet vagy harmadik fél, amelyre e rendelet alapján feladatokat ruháztak.

az (EU) 2019/942 európai parlamenti és tanácsi rendelettel ( 2 ) létrehozott Energiaszabályozók Európai Uniós Együttműködési Ügynöksége (ACER);

az e rendelet alapján rájuk ruházott feladatok végrehajtásáért felelős és a tagállamok által a 4. cikk alapján kijelölt illetékes nemzeti hatóságok vagy „illetékes hatóság”;

az egyes tagállamok által az (EU) 2019/944 irányelv 57. cikkének (1) bekezdése alapján kijelölt nemzeti szabályozó hatóságok;

az (EU) 2019/941 rendelet 3. cikke alapján létrehozott, a kockázati készültség tekintetében illetékes hatóságok;

az (EU) 2022/2555 irányelv 10. cikke alapján kijelölt vagy létrehozott számítógép-biztonsági eseményekre reagáló csoportok (CSIRT-ek);

az (EU) 2022/2555 irányelv 8. cikke alapján kijelölt vagy létrehozott, kiberbiztonságért felelős illetékes hatóságok;

az (EU) 2019/881 rendelet alapján létrehozott Európai Uniós Kiberbiztonsági Ügynökség;

bármely más hatóság vagy harmadik fél, amelyre 4. cikk (3) bekezdése alapján feladatokat ruháztak.

a 18. cikk (1) bekezdése szerinti kiberbiztonsági kockázatértékelési módszertanok;

a 23. cikk szerinti, a határkeresztező villamos energia kiberbiztonsági kockázatértékeléséről szóló átfogó jelentés;

a 29. cikk szerinti minimális és fejlett kiberbiztonsági ellenőrzések, a 34. cikk szerinti, a villamos energia kiberbiztonsági ellenőrzéseinek a szabványoknak való megfeleltetése, beleértve a 33. cikk szerinti, az ellátási láncon belüli minimális és fejlett kiberbiztonsági ellenőrzéseket;

a 35. cikk szerinti kiberbiztonsági beszerzési ajánlás;

a 37. cikk (8) bekezdése szerinti, a kibertámadások besorolási skálájának módszertana.

a tagállamok legalább 55 %-át képviselő átvitelirendszer-üzemeltetők; valamint

az Unió népességének legalább 65 %-át magukban foglaló tagállamokat képviselő átvitelirendszer-üzemeltetők.

az érintett tagállamok legalább 72 %-át képviselő átvitelirendszer-üzemeltetők; valamint

az érintett régió népességének legalább 65 %-át magukban foglaló tagállamokat képviselő átvitelirendszer-üzemeltetők.

megvizsgálja az alkalmazandó kiberbiztonsági kockázatkezelési intézkedések végrehajtásának állapotát a nagy hatású és kritikus hatású szervezetek tekintetében;

meghatározza, hogy szükség lehet-e további szabályokra a közös követelményekre, a tervezésre, a nyomon követésre, a jelentéstételre és a válságkezelésre vonatkozóan a villamosenergia-ágazatot érintő kockázatok megelőzése érdekében; valamint

az e rendelet felülvizsgálata céljából azonosítsa a javításra szoruló területeket, vagy meghatározza a technológiai fejlődés következtében esetlegesen felmerülő, le nem fedett területeket és új prioritásokat.

csökkentik-e a határkeresztező villamosenergia-áramlásokat érintő kockázatokat;

a kívánt eredményt nyújtják-e és a növelik-e a hatékonyságot a villamosenergia-rendszerek fejlesztése terén;

hatékonyak-e, és beépülnek-e az eszközök és szolgáltatások általános beszerzésébe.

a határkeresztező villamosenergia-áramlásokra hatást gyakorló kockázatok mérséklése céljából a kiberbiztonsággal kapcsolatban keletkezett átlagos kiadások, különös tekintettel a nagy hatású és kritikus hatású szervezetekre;

a villamosenergia-piaci ENTSO-val és az EU DSO-val együttműködve azon kiberbiztonsági szolgáltatások, rendszerek és termékek átlagárai, amelyek nagymértékben hozzájárulnak a kiberbiztonsági kockázatkezelési intézkedések javításához és fenntartásához a különböző rendszerüzemeltetési régiókban;

az e rendelet végrehajtására alkalmas kiberbiztonsági szolgáltatások, rendszerek és megoldások költségeinek és funkcióinak megléte és összehasonlíthatóságának szintje, meghatározva a kiadások hatékonyságának növeléséhez szükséges lehetséges intézkedéseket, különösen azokban az esetekben, amikor kiberbiztonsági technológiai beruházásokra lehet szükség.

a 18 cikk (1) bekezdése szerinti kiberbiztonsági kockázatértékelési módszerek kidolgozása;

a 23. cikk szerinti, a határkeresztező villamos energia kiberbiztonsági kockázatértékeléséről szóló átfogó jelentés kidolgozása;

a III. fejezet szerinti, a villamos energia közös kiberbiztonsági keretének kidolgozása;

a 35. cikk szerinti kiberbiztonsági beszerzési ajánlás kidolgozása;

a 37 cikk (8) bekezdése szerinti, a kibertámadások besorolási skálája módszertanának kidolgozása;

a 48. cikk (1) bekezdése szerinti, a villamos energia ideiglenes kiberbiztonsági hatásmutatójának (a továbbiakban: ECII) kidolgozása;

a nagy hatású és kritikus hatású szervezetek 48. cikk (3) bekezdése szerinti, egységes szerkezetben foglalt ideiglenes jegyzékének kidolgozása;

az egész Unióra kiterjedő, nagy hatású és kritikus hatású folyamatok 48. cikk (4) bekezdése szerinti ideiglenes jegyzékének kidolgozása;

az európai és nemzetközi szabványok és ellenőrzések 48. cikk (6) bekezdése szerinti ideiglenes jegyzékének kidolgozása;

a 19. cikk szerinti, az egész Unióra kiterjedő kiberbiztonsági kockázatértékelés elvégzése;

a 21. cikk szerinti regionális kiberbiztonsági kockázatértékelések elvégzése;

a 22. cikk szerinti regionális kiberbiztonsági kockázatcsökkentési tervek meghatározása;

a 36. cikk szerinti, az IKT-termékekre, IKT-szolgáltatásokra és IKT-folyamatokra vonatkozó európai kiberbiztonsági tanúsítási rendszerekről szóló iránymutatás kidolgozása;

e rendelet végrehajtására vonatkozó iránymutatások kidolgozása az ACER-rel és az ENISA-val konzultálva.

a vizsgálandó kiberfenyegetések listája, beleértve legalább a következő, az ellátási láncot érintő fenyegetéseket:

a kiberbiztonsági kockázatok magas vagy kritikus hatásának értékelésére szolgáló kritériumok, a következményekre és a valószínűségre vonatkozóan meghatározott küszöbértékek alkalmazásával;

az örökölt rendszerekből eredő kiberbiztonsági kockázatok, a kibertámadások lépcsőzetes hatásai és a hálózatot működtető rendszerek valós idejű jellegének elemzésére szolgáló megközelítés;

az IKT-termékek, IKT-szolgáltatások vagy IKT-folyamatok egyetlen beszállítójától való függőségből eredő kiberbiztonsági kockázatok elemzésére szolgáló megközelítés.

a kibertámadások következményeit a következő kritériumok alapján méri:

a biztonsági esemény valószínűségének mérése a kibertámadások évenkénti gyakoriságaként.

az egész Unióra kiterjedő, nagy hatású folyamatok és az egész Unióra kiterjedő kritikus hatású folyamatok;

a szervezetek és az illetékes hatóságok kockázati hatásmátrixot használnak 20. cikk értelmében végzett tagállami kiberbiztonsági kockázatértékelésben és a 26. cikk (2) bekezdésének b) pontja értelmében végzett szervezetszintű kiberbiztonsági kockázatértékelésben azonosított kiberbiztonsági kockázat értékeléséhez.

a kibertámadás lehetséges következményeinek értékelése a 18. cikk (2), (3) és (4) bekezdése alapján kidolgozott és a 8. cikk szerint jóváhagyott kiberbiztonsági kockázatértékelési módszertanban meghatározott mérőszámok felhasználásával;

az ECII, valamint a nagy hatású és kritikus hatású küszöbértékek, amelyeket az illetékes hatóságok a 24. cikk (1) és (2) bekezdése alapján használnak az egész Unióra kiterjedő nagy hatású folyamatokban és az egész Unióra kiterjedő kritikus hatású folyamatokban részt vevő, nagy hatású és kritikus hatású szervezetek azonosítására.

a 29. cikk szerinti minimális és fejlett kiberbiztonsági ellenőrzések végrehajtásának állapota;

a 38. cikk (3) bekezdése alapján az előző három évben bejelentett valamennyi kibertámadás jegyzéke;

a 38. cikk (6) bekezdése alapján az előző három évben bejelentett kiberfenyegetésekkel kapcsolatos információk összefoglalása;

minden uniós szintű, nagy hatású vagy kritikus hatású folyamat esetében az információk és a releváns eszközök bizalmas jellegének, integritásának és elérhetőségének veszélyeztetésével kapcsolatos kockázatok becslése;

szükség esetén a 24. cikk (1), (2), (3) és (5) bekezdése értelmében nagy vagy kritikus hatásúként azonosított további szervezetek jegyzéke.

a nagy hatású és kritikus hatású szervezetek által a rendszerüzemeltetési régióban alkalmazandó minimális és fejlett kiberbiztonsági ellenőrzések;

az a) pontban említett ellenőrzések alkalmazását követően a rendszerüzemeltetési régiókban fennmaradó kiberbiztonsági kockázatok.

az egész Unióra kiterjedő kiberbiztonsági kockázatértékelési jelentésben a 19. cikk (2) bekezdésének a) pontjával összhangban azonosított, uniós szintű nagy hatású és kritikus hatású folyamatok jegyzéke, beleértve a 21. cikk (2) bekezdése és a 19. cikk (3) bekezdésének a) pontja szerint a regionális kiberbiztonsági kockázatértékelési jelentésekben értékelt kiberbiztonsági kockázatok valószínűségének és hatásának becslését;

aktuális kiberfenyegetések, különös tekintettel a villamosenergia-rendszert érintő új fenyegetésekre és kockázatokra;

az előző időszakot érintő, uniós szintű kibertámadások, kritikus áttekintést nyújtva arról, hogy az ilyen kibertámadások hogyan befolyásolhatták a határkeresztező villamosenergia-áramlásokat;

a kiberbiztonsági intézkedések végrehajtásának általános állapota;

a 37. és 38. cikk szerinti információáramlás megvalósításnak állapota;

az információk jegyzéke vagy az információk ►C1  osztályozására ◄ vonatkozó konkrét kritériumok a 46. cikk szerint;

azonosított és kiemelt kockázatok, amelyek az ellátási lánc nem biztonságos irányításából származhatnak;

a 44. cikk szerint szervezett regionális és régiók közötti kiberbiztonsági gyakorlatok eredményei és tapasztalatai;

a villamosenergia-ágazatban a legutóbbi regionális kiberbiztonsági kockázatértékelések óta a határokon átnyúló általános kiberbiztonsági kockázatok alakulásának elemzése;

bármely egyéb információ, amely hasznos lehet e rendelet lehetséges javításainak, illetve az e rendelet vagy az abban foglalt bármely eszköz felülvizsgálata szükségességének megállapításához; valamint

a 30. cikk (3) bekezdése alapján engedélyezett eltérésekre vonatkozó összesített és anonimizált információk.

a szervezet olyan szervezetek csoportjának része, amelyek esetében jelentős a kockázata annak, hogy egyidejű kibertámadás sújthatja őket;

a szervezetek csoportjára vonatkozóan aggregált ECII meghaladja a nagy hatásra vagy kritikus hatásra vonatkozó küszöbértéket.

a szakértői értékelést, auditot vagy ellenőrzést végző bármely fél független a hitelesítés tárgyát képező kritikus hatású szervezettől, és nem állhat fenn összeférhetetlenség;

a szakértői értékelést, auditot vagy ellenőrzést végző személyzetnek igazolható ismeretekkel kell rendelkeznie a következőkről:

a szakértői értékelést, auditot vagy ellenőrzést végző fél számára elegendő időt kell biztosítani e tevékenységek elvégzésére;

a szakértői értékelést, auditot vagy ellenőrzést végző fél a titoktartás szintjének megfelelően megteszi a megfelelő intézkedéseket a hitelesítés során gyűjtött információk védelme érdekében; valamint

a szakértői értékelést, auditokat vagy ellenőrzéseket évente legalább egyszer el kell végezni, és azok legalább háromévente a teljes hitelesítési körre kiterjednek.

összefüggések megállapítása;

szervezeti szinten végzett kiberbiztonsági kockázatértékelés;

kiberbiztonsági kockázatkezelés;

kiberbiztonsági kockázatok elfogadása.

meghatározza a kiberbiztonsági kockázatértékelés hatókörét, beleértve a villamosenergia-piaci ENTSO és az EU DSO által azonosított nagy hatású és kritikus hatású folyamatokat, valamint más olyan folyamatokat, amelyek a határkeresztező villamosenergia-áramlásokra nagy hatást vagy kritikus hatást gyakorló kibertámadások célpontjai lehetnek; valamint

meghatározza a kockázatértékelés és a kockázatelfogadás kritériumait a szervezetek és az illetékes hatóságok által a 19. cikk (2) bekezdésével összhangban kidolgozott uniós, regionális és tagállami szintű kiberbiztonsági kockázatértékelési módszertanokban a kiberbiztonsági kockázatok értékeléséhez felhasználandó kockázati hatásmátrixnak megfelelően.

azonosítja a kiberbiztonsági kockázatokat a következők figyelembevételével:

elemzi az a) pontban azonosított kiberbiztonsági kockázatok valószínűségét és következményeit, és meghatározza a kiberbiztonsági kockázati szintet a kiberbiztonsági kockázatok értékeléséhez használt, az átvitelirendszer-üzemeltetők által a 19. cikk (2) bekezdésével összhangban a villamosenergia-piaci ENTSO segítségével és az EU DSO-val együttműködésben kidolgozott uniós, regionális és tagállami szintű kiberbiztonsági kockázatértékelési módszertanokban a kiberbiztonsági kockázatok értékelésére szolgáló kockázati hatásmátrix felhasználásával;

osztályozza az eszközöket a kiberbiztonság veszélyeztetésének lehetséges következményei szerint, továbbá a következő lépések alapján meghatározza a nagy hatású és kritikus hatású hatókört:

értékeli a kiberbiztonsági kockázatokat azáltal, hogy a (3) bekezdés b) pontjában említett kockázatértékelési kritériumok és kockázatelfogadási kritériumok alapján rangsorolja azokat.

a 29. cikkel összhangban kidolgozott minimális kiberbiztonsági ellenőrzések;

a 29. cikkel összhangban kidolgozott fejlett kiberbiztonsági ellenőrzések;

az a) és b) pontban említett ellenőrzéseket a kiválasztott európai és nemzetközi szabványokhoz és nemzeti jogszabályi vagy szabályozási keretekhez hozzárendelő, a 34. cikkel összhangban kidolgozott megfeleltetési mátrix;

a 32. cikk alapján létrehozott kiberbiztonsági irányítási rendszer.

kivételes körülmények között, ha a szervezet bizonyítani tudja, hogy a megfelelő kiberbiztonsági ellenőrzések végrehajtásának költségei jelentősen meghaladják az előnyöket. Az ACER és a villamosenergia-piaci ENTSO az elosztórendszer-üzemeltetők szervezetével együttműködve közösen iránymutatást dolgozhat ki a kiberbiztonsági ellenőrzések költségeinek becslésére, hogy így segítse a szervezeteket;

ha a szervezet olyan szervezeti szintű kockázatkezelési tervet nyújt be, amely alternatív ellenőrzések alkalmazásával a 26. cikk (3) bekezdésének b) pontjában említett kockázatelfogadási kritériumoknak megfelelően elfogadható szintre csökkenti a kiberbiztonsági kockázatokat.

meghatározza a kiberbiztonsági irányítási rendszer hatókörét, figyelembe véve a más szervezetekkel való kapcsolódási pontokat és függőségeket;

biztosítsa, hogy teljes felső vezetése tájékoztatást kapjon a vonatkozó jogi kötelezettségekről, és kellő időben hozott döntések és gyors reakciók segítségével aktívan hozzájáruljon a kiberbiztonsági irányítási rendszer végrehajtásához;

biztosítsa, hogy a kiberbiztonsági irányítási rendszerhez szükséges erőforrások rendelkezésre állnak;

kiberbiztonsági szabályzatot alakítson ki, amelyet dokumentál és közzétesz a szervezeten belül, valamint a biztonsági kockázatok által érintett felek részére;

kijelölje és közölje a kiberbiztonság szempontjából fontos szerepekkel kapcsolatos felelősségi köröket;

a 26. cikkben meghatározott szervezeti szintű kiberbiztonsági kockázatkezelést végezzen;

meghatározza és biztosítja a kiberbiztonsági irányítási rendszer végrehajtásához, karbantartásához és folyamatos fejlesztéséhez szükséges erőforrásokat, figyelembe véve a kiberbiztonsági erőforrások szükséges hozzáértését és ismereteit;

meghatározza a kiberbiztonság szempontjából releváns belső és külső kommunikációt;

létrehozza, frissítse és ellenőrizze a kiberbiztonsági irányítási rendszerrel kapcsolatban dokumentált információkat;

értékelje a kiberbiztonsági irányítási rendszer teljesítményét és hatékonyságát;

tervezett időközönként belső auditokat végezzen a kiberbiztonsági irányítási rendszer hatékony végrehajtásának és fenntartásának biztosítása érdekében;

tervezett időközönként felülvizsgálja a kiberbiztonsági irányítási rendszer végrehajtását; továbbá ellenőrizze és korrigálja az erőforrásoknak és tevékenységeknek a kiberbiztonsági irányítási rendszer szabályzatainak, eljárásainak és iránymutatásainak való meg nem felelését.

kiberbiztonsági előírásokra hivatkozó ajánlásokat tartalmaznak az IKT-termékek, az IKT-szolgáltatások és IKT-folyamatok beszerzésére vonatkozóan, legalább a következőkre kiterjedően:

előírja az ilyen szervezetek számára, hogy vegyék figyelembe az a) albekezdésben említett közbeszerzési ajánlásokat a beszállítókkal, az együttműködő partnerekkel és az ellátási láncban részt vevő más felekkel kötött szerződések megkötésekor, amelyek kiterjednek az IKT-termékek, az IKT-szolgáltatások és az IKT-folyamatok szokásos szállítására, valamint az olyan nem kívánt eseményekre és körülményekre, mint a szerződéses partner gondatlansága esetén a szerződések felmondása és átruházása;

előírja az ilyen szervezetek számára, hogy vegyék figyelembe a kritikus ellátási láncokra vonatkozóan az (EU) 2022/2555 irányelv 22. cikkének (1) bekezdésével összhangban elvégzett összehangolt biztonsági kockázatértékelések eredményeit;

kritériumokat tartalmaz az a) pontban meghatározott kiberbiztonsági előírásoknak megfelelő és a beszállító által szállított IKT-termék, IKT-szolgáltatás vagy IKT-folyamatok kiberbiztonsági kockázatainak megfelelő kiberbiztonsági szinttel rendelkező beszállítók kiválasztására és a velük való szerződéskötésre vonatkozóan;

az IKT-termékek, az IKT-szolgáltatások és az IKT-folyamatok beszerzési forrásainak diverzifikálására, valamint a vállalkozóhoz kötöttség kockázatának csökkentésére vonatkozó kritériumokat tartalmaz;

az egyes IKT-termékek, IKT-szolgáltatások és IKT-folyamatok teljes életciklusa során rendszeresen meghatározza a beszállítók belső működési folyamataira vonatkozó kiberbiztonsági előírások nyomon követésére, felülvizsgálatára vagy auditálására vonatkozó kritériumokat.

a nagy hatású és kritikus hatású szervezetek által a nagy hatású és kritikus hatású hatókörökön belül használt IKT-termékek, IKT-szolgáltatások és IKT-folyamatok típusainak leírása és besorolása;

azon IKT-termékek, IKT-szolgáltatások és IKT-folyamatok típusainak jegyzéke, amelyekre vonatkozóan az adott regionális kiberbiztonsági kockázatértékelési jelentések, valamint a nagy hatású és kritikus hatású szervezetek prioritásai alapján nem kötelező erejű kiberbiztonsági ajánlásokat kell kidolgozni.

megfeleljenek a 2014/24/EU irányelv szerinti közbeszerzési elveknek; valamint

kompatibilisek legyenek az IKT-termék, az IKT-szolgáltatás vagy az IKT-folyamat szempontjából releváns legújabb rendelkezésre álló európai kiberbiztonsági tanúsítási rendszerekkel, és figyelembe vegyék azokat.

értékeli az információ bizalmas jellegének mértékét, és indokolatlan késedelem nélkül, de legkésőbb az információ kézhezvételétől számított 24 órán belül tájékoztatja a szervezetet az értékelésének eredményéről;

kísérletet tesz arra, hogy az Unióban más illetékes hatóságoknak bejelentett hasonló kibertámadást találjon annak érdekében, hogy a bejelentendő kibertámadással összefüggésben kapott információkat összekapcsolja az egyéb kibertámadásokkal összefüggésben szolgáltatott információkkal, és ily módon gazdagítsa a meglévő információkat, megerősítse és koordinálja a kiberbiztonsági válaszlépéseket;

felelős az üzleti titkok eltávolításáért és az információk anonimizálásáért a vonatkozó nemzeti és uniós szabályokkal összhangban;

indokolatlan késedelem nélkül, de legkésőbb 24 órával a bejelentendő kibertámadás kézhezvételét követően megosztja az információkat a nemzeti egyedüli kapcsolattartó pontokkal, a CSIRT-ekkel és a többi tagállamban a 4. cikk szerint kijelölt valamennyi illetékes hatósággal, továbbá rendszeresen naprakész információkkal látja el ezeket a hatóságokat vagy szerveket;

az üzleti titkok (1) bekezdés c) pontja szerinti anonimizálását és eltávolítását követően indokolatlan késedelem nélkül, de legkésőbb az (1) bekezdés a) pontja szerinti információ kézhezvételét követő 24 órán belül továbbítja a kibertámadásra vonatkozó információkat a saját tagállamában található kritikus hatású és nagy hatású szervezeteknek, és rendszeresen naprakész információkat szolgáltat, amelyek lehetővé teszik a szervezetek számára, hogy hatékonyan megszervezzék védelmüket;

felkérheti a nagy hatású vagy kritikus hatású szervezetet, hogy a bejelentendő kibertámadásra vonatkozó információkat biztonságos módon terjessze az esetlegesen érintett más szervezetek részére azzal a céllal, hogy fokozza a villamosenergia-ágazat helyzetismeretét, és megelőzze a határkeresztező villamos energiát érintő kiberbiztonsági esemény során esetlegesen eszkalálódó kockázat bekövetkezését;

az üzleti titkok anonimizálását és eltávolítását követően a kibertámadásra vonatkozó információkat tartalmazó összefoglaló jelentést oszt meg az ENISA-val.

megfelelően biztonságos információcsere-csatornán keresztül haladéktalanul megosztja azt az ENISA-val, kivéve, ha más uniós jogszabály másként rendelkezik;

támogatja az érintett szervezetet abban, hogy a gyártó vagy a szolgáltató biztosítsa részére a kijavítatlan, aktívan kihasznált sérülékenység hatékony, összehangolt és gyors kezelését vagy hatékony és eredményes enyhítő intézkedéseket;

megosztja a rendelkezésre álló információkat az értékesítővel, és lehetőség szerint felkéri a gyártót vagy a szolgáltatót, hogy azonosítsa a kijavítatlan, aktívan kihasznált sérülékenység által érintett tagállamokban működő CSIRT-ek jegyzékét, amelyeket tájékoztatni kell;

megosztja a rendelkezésre álló információkat az előző pontban azonosított CSIRT-ekkel a szükséges ismeret elve alapján;

megosztja a bejelentett kijavítatlan, aktívan kihasznált sérülékenységgel kapcsolatos mérséklési stratégiákat és intézkedéseket, amennyiben vannak ilyenek.

a saját tagállamában működő CSIRT-ekkel egyeztetve megosztja a bejelentett kijavítatlan, aktívan kihasznált sérülékenységre vonatkozó mérséklési stratégiákat és intézkedéseket, amennyiben vannak ilyenek;

megosztja az információkat annak a tagállamnak a CSIRT-jével, ahol a kijavítatlan, aktívan kihasznált sérülékenységet bejelentették.

az esetleges hatás, figyelembe véve a 26. cikk (4) bekezdésének c) pontjával összhangban meghatározott, kitett eszközöket és hatóköröket; valamint

a kibertámadás súlyossága.

támogassa a kritikus hatású és nagy hatású szervezeteket a határkeresztező villamosenergia-áramlások műveleteire vonatkozó releváns, biztonsági vonatkozású információkkal, mint például a kibertámadások közel valós idejű bejelentése, a kiberbiztonsági kérdésekkel kapcsolatos korai riasztások és a villamosenergia-rendszerben használt berendezések nyilvánosságra nem hozott sebezhetőségei;

megfelelő és rendkívül megbízható környezetben működjön;

tegye lehetővé a kritikus hatású és nagy hatású szervezetektől történő adatgyűjtést, és segítse elő a bizalmas információk eltávolítását és az adatok anonimizálását, valamint azok gyors terjesztését a kritikus hatású és nagy hatású szervezetek felé.

a megvalósíthatóság értékelése során konzultál az ENISA-val és a Kiberbiztonsági Együttműködési Csoporttal, a nemzeti egyedüli kapcsolattartókkal és a fő érdekelt felek képviselőivel;

benyújtja a megvalósíthatósági tanulmány eredményeit az ACER-nek és a Kiberbiztonsági Együttműködési Csoportnak.

a 26. cikk (4) bekezdésének c) pontja szerint meghatározott kiberbiztonsági hatókörébe tartozó valamennyi eszköz tekintetében létrehozza legalább a CSOC-képességeket, hogy:

jogosult arra, hogy az a) pont szerinti képességek egészét vagy egy részét MSSP-ken keresztül szerezze be. A kritikus hatású és nagy hatású szervezetek továbbra is felelősek az MSSP-kért, és felügyelik azok törekvéseit;

egyetlen kapcsolattartó pontot jelöl ki szervezeti szinten az információmegosztás céljára.

releváns információkat nyújt más kritikus hatású és nagy hatású szervezetek számára a kockázat megelőzéséhez, felderítéséhez, kezeléséhez vagy hatásának enyhítéséhez;

a támadással összefüggésben alkalmazott azonosított technikák, taktikák és eljárások olyan információkhoz vezetnek, mint például a sérült URL-címek vagy IP-címek, hashek vagy bármely más, a támadás kontextusba helyezése és korrelálása szempontjából hasznos attribútum;

a kiberfenyegetés az e rendelet hatálya alá nem tartozó szolgáltatók vagy harmadik felek által nyújtott további információkkal tovább értékelhető és kontextusba helyezhető.

hogy az információkat e rendelet alapján nyújtották-e be;

az információk a következőkre vonatkoznak-e:

bejelentendő kibertámadás esetén a kibertámadás szintje a kibertámadásoknak a 37. cikk (8) bekezdésében említett besorolási skála módszertana szerint, valamint az e besorolás alapjául szolgáló információk, beleértve legalább a kibertámadás kritikusságát.

biztosítják, hogy saját, szervezeti szintű egyedüli kapcsolattartó pontjuk a szükséges ismeret elve alapján hozzáférjen azokhoz az információkhoz, amelyeket a nemzeti egyedüli kapcsolattartó ponttól az illetékes hatóságukon keresztül kaptak;

amennyiben erre az (EU) 2022/2555 irányelv 3. cikkének (4) bekezdése alapján még nem került sor, értesítik a székhelyük szerinti tagállam illetékes hatóságát és a nemzeti egyedüli kapcsolattartó pontot a szervezeti szintű kiberbiztonsági egyedüli kapcsolattartó pontjaik jegyzékével együtt:

kibertámadás-kezelési eljárásokat hoznak létre a kibertámadásokra vonatkozóan, beleértve a szerepeket és felelősségi köröket, feladatokat és reakciókat a kibertámadásnak a kritikus hatású és nagy hatású hatókörökön belül megfigyelhető alakulása alapján;

legalább évente tesztelik az átfogó kibertámadás-kezelési eljárásokat, legalább egy olyan forgatókönyv tesztelésével, amely közvetlenül vagy közvetve érinti a határkeresztező villamosenergia-áramlásokat. Ezt az éves tesztet a kritikus hatású és nagy hatású szervezetek is elvégezhetik a 43. cikkben említett rendszeres gyakorlatok során. A kibertámadásokra való reagálási terv éves tesztjeként szolgálhat minden olyan éles kibertámadásra való reagálási tevékenység, amelynek következménye a 37. cikk (8) bekezdésében említett kibertámadás-besorolási skála módszertana szerint legalább 2. fokozatú és a kiberbiztonsági kiváltó okkal rendelkezik.

koordinálja az összes releváns kiberbiztonsági információ hatékony lekérdezését és a válságkezelési folyamatban részt vevő szervezetek részére történő további terjesztését;

megszervezi a válság által érintett valamennyi szervezet és az illetékes hatóságok közötti kommunikációt az átfedések csökkentése, valamint az elemzések és a technikai válaszlépések hatékonyságának növelése érdekében, a kiberbiztonsági kiváltó okkal rendelkező egyidejű villamosenergia-ellátási válságok orvoslása érdekében;

az illetékes CSIRT-ekkel együttműködve biztosítja a szükséges szakértelmet, beleértve a biztonsági esemény által érintett szervezetek számára a lehetséges kockázatcsökkentő intézkedések végrehajtásával kapcsolatos operatív tanácsadást is;

értesíti a Bizottságot és a villamosenergia-ügyi koordinációs csoportot és rendszeres tájékoztatást ad részükre a biztonsági esemény állásáról, a 46. cikkben meghatározott védelmi elvek szerint;

tanácsot kér az érintett hatóságoktól, ügynökségektől vagy szervezetektől, amelyek segíthetnek a villamosenergia-ellátási válság enyhítésében.

rendelkezzenek az (EU) 2022/2555 irányelv 6. cikkének 8. pontjában meghatározott, összeegyeztethető, határokon átnyúló kiberbiztonsági események kezelésére szolgáló eljárásokkal, amelyeket hivatalosan beépítettek válságkezelési terveikbe;

az általános válságkezelési tevékenységek részét képezzék.

a válsághelyzet bejelentésére vonatkozó szabályok, amelyeket az (EU) 2019/941 az rendelet 14. cikkének (2) és (3) bekezdése állapít meg;

egyértelmű szerepek és felelősségi körök a válságkezelésben, beleértve az egyéb releváns kritikus hatású és nagy hatású szervezetek szerepét is;

naprakész kapcsolattartási információk, valamint a válsághelyzet alatti kommunikációra és információmegosztásra vonatkozó szabályok, beleértve a CSIRT-ekkel való kapcsolatot is.

az IT-szolgáltatások rendelkezésre állásától, integritásától és megbízhatóságától függő folyamatok;

minden üzletmenet-folytonossági helyszín, a hardver és szoftver helyét is beleértve;

az üzletmenet-folytonossági folyamatokhoz kapcsolódó valamennyi belső szerep és felelősség.

önkéntesen megosztott információkat gyűjtsön a következőktől:

értékeli és osztályozza az összegyűjtött információkat;

értékeli azokat az információkat, amelyekhez az ENISA hozzáfér a kiberkockázati feltételek és a határkeresztező villamosenergia-áramlás szempontjaira vonatkozó releváns mutatók azonosításához;

azonosítja azokat a feltételeket és mutatókat, amelyek gyakran korrelálnak a villamosenergia-ágazaton belüli kibertámadásokkal;

meghatározza, hogy szükség van-e további elemzésekre és megelőző intézkedésekre a kockázati tényezők értékelése és azonosítása révén;

tájékoztatja az illetékes hatóságokat az azonosított kockázatokról és az érintett szervezetekre vonatkozóan javasolt megelőző intézkedésekről;

tájékoztatja a 2. cikkben felsorolt valamennyi érintett szervezetet az e bekezdés b), c) és d) pontjával összhangban értékelt információk eredményeiről;

rendszeres időközönként belefoglalja a releváns információkat az (EU) 2019/881 rendelet 7. cikkének (6) bekezdésével összhangban kiadott helyzetismereti jelentésbe;

amennyiben lehetséges, az összegyűjtött információkból levezeti azokat az alkalmazandó adatokat, amelyek a biztonság esetleges megsértésére vagy kibertámadásra utalnak (a továbbiakban: fertőzöttségi mutató).

tagállamának valamennyi kritikus hatású szervezetét, a nemzeti szabályozó hatóságot, a CSIRT-eket és a kiberbiztonságért felelős illetékes hatóságot legkésőbb a szervezeti szintű kiberbiztonsági gyakorlatot megelőző év június 30-ig;

minden olyan szervezetet, amely legkésőbb 6 hónappal a gyakorlat előtt részt vesz a tagállami szintű kiberbiztonsági gyakorlatban.

a gyakorlatok forgatókönyvei, az ülésekről szóló jelentések, főbb álláspontok, sikerek és a levont tanulságok a villamosenergia-értéklánc bármely szintjén;

teljesültek-e a fő sikerkritériumok;

a kiberbiztonsági gyakorlatban részt vevő szervezetek számára a kiberbiztonsági válságkezelési folyamatok, eljárások, kapcsolódó irányítási modellek és a kritikus szolgáltatókkal fennálló szerződéses kötelezettségek helyesbítésére, kiigazítására vagy megváltoztatására vonatkozó ajánlások jegyzéke.

arányosak;

figyelembe veszik az olyan ismert múltbeli és újonnan megjelenő fenyegetésekkel kapcsolatos kiberbiztonsági kockázatokat, amelyeknek az ilyen információk e rendelettel összefüggésben ki lehetnek téve;

a lehetőségekhez mérten nemzeti, európai vagy nemzetközi szabványokon és bevált gyakorlatokon alapulnak;

dokumentálva vannak.

akik beosztásuk alapján és a rájuk bízott feladatok végrehajtására korlátozódóan jogosultak hozzáférni ezekhez az információkhoz;

akik esetében a szervezet értékelni tudta az etikai és feddhetetlenségi elveket, és akikre vonatkozóan nincs bizonyíték arra, hogy az egyén megbízhatóságának a szervezet bevált gyakorlataival és standard biztonsági követelményeivel, valamint szükség esetén a nemzeti jogszabályokkal és rendelkezésekkel összhangban történő értékelése céljából végzett háttérellenőrzés során negatív eredmény született volna.

konzultál az illetékes hatósággal, és megszerzi az illetékes hatóságnak az ilyen információk megosztására irányuló engedélyét;

anonimizálja ezeket az információkat anélkül, hogy elvesznének a nyilvánosságnak a határkeresztező villamosenergia-áramlást fenyegető közvetlen és súlyos kockázatról és a lehetséges kockázatcsökkentő intézkedésekről való tájékoztatásához szükséges elemek;

óvja a kezdeményező és az ilyen információkat e rendelet alapján kezelő szervezetek kilétét.

az e cikk (2) bekezdése szerinti, a villamos energia ideiglenes kiberbiztonsági hatásmutatója (a továbbiakban: ECII);

az egész Unióra kiterjedő, nagy hatású és kritikus hatású folyamatok e cikk (4) bekezdése szerinti ideiglenes jegyzéke; valamint

az e cikk (6) bekezdése szerinti, a határkeresztező villamosenergia-áramlás kiberbiztonsági szempontjai számára releváns európai és nemzetközi szabványok és a nemzeti jogszabályok által előírt ellenőrzések ideiglenes jegyzéke.

olyan európai és nemzetközi szabványok és nemzeti jogszabályok, amelyek iránymutatást nyújtanak a szervezeti szintű kiberbiztonsági kockázatkezelés módszertanára vonatkozóan; valamint

a várhatóan a minimális és fejlett kiberbiztonsági ellenőrzések részét képező ellenőrzésekkel egyenértékű kiberbiztonsági ellenőrzések.