1.   Il presente regolamento si applica agli aspetti di cibersicurezza dei flussi transfrontalieri di energia elettrica nelle attività dei seguenti soggetti, se sono individuati come soggetti ad alto impatto o a impatto critico a norma dell’articolo 24:

2.   Le autorità seguenti sono responsabili, nell’ambito dei loro attuali mandati, dell’esecuzione dei compiti assegnati dal presente regolamento:

3.   Il presente regolamento si applica anche a tutti i soggetti che non sono stabiliti nell’Unione ma prestano servizi a soggetti nell’Unione, a condizione che le autorità competenti li abbiano individuati come soggetti ad alto impatto o a impatto critico a norma dell’articolo 24, paragrafo 2.

4.   Il presente regolamento lascia impregiudicata la responsabilità degli Stati membri di tutelare la sicurezza nazionale e il loro potere di salvaguardare altre funzioni essenziali dello Stato, tra cui la garanzia della sua integrità territoriale e il mantenimento dell’ordine pubblico.

5.   Il presente regolamento lascia impregiudicata la responsabilità degli Stati membri di salvaguardare la sicurezza nazionale relativamente alle attività di produzione di energia elettrica da centrali nucleari, comprese le attività all’interno della catena del valore nucleare, conformemente ai trattati.

6.   I soggetti, le autorità competenti, i punti di contatto unici a livello di soggetto e i CSIRT trattano i dati personali nella misura necessaria ai fini del presente regolamento e conformemente al regolamento (UE) 2016/679, in particolare trattandoli in base all’articolo 6 dello stesso.

1.   Quanto prima e in ogni caso entro 13 dicembre 2024, ciascuno Stato membro designa un’autorità nazionale governativa o di regolazione responsabile dell’esecuzione dei compiti assegnati dal presente regolamento («autorità competente»). Fino a quando non siano stati assegnati all’autorità competente, i compiti previsti dal presente regolamento sono eseguiti dall’autorità di regolazione designata da ciascuno Stato membro a norma dell’articolo 57, paragrafo 1, della direttiva (UE) 2019/944.

2.   Gli Stati membri notificano senza indugio alla Commissione, all’ACER, all’ENISA, al gruppo di cooperazione NIS istituito a norma dell’articolo 14 della direttiva (UE) 2022/2555 e al gruppo di coordinamento per l’energia elettrica istituito a norma dell’articolo 1 della decisione della Commissione del 15 novembre 2012 (17) la loro autorità competente designata a norma del paragrafo 1 del presente articolo, con comunicazione del nome e dei recapiti, e ogni successiva modifica.

3.   Gli Stati membri possono autorizzare la loro autorità competente a delegare i compiti assegnatile dal presente regolamento ad altre autorità nazionali, ad eccezione dei compiti elencati all’articolo 5. Ciascuna autorità competente controlla l’applicazione del presente regolamento da parte delle autorità cui ha delegato compiti. L’autorità competente comunica alla Commissione, all’ACER, al gruppo di coordinamento per l’energia elettrica, all’ENISA e al gruppo di cooperazione NIS il nome, i recapiti, i compiti assegnati, e le eventuali successive modifiche, delle autorità cui è stato delegato un compito.

1.   I TSO elaborano, in cooperazione con l’EU DSO, proposte di termini e condizioni o metodologie a norma del paragrafo 2, o di piani a norma del paragrafo 3.

2.   I termini e condizioni o le metodologie elencati di seguito, nonché eventuali modifiche, sono subordinati all’approvazione di tutte le autorità competenti:

3.   Le proposte di piani di attenuazione dei rischi per la cibersicurezza a livello regionale a norma dell’articolo 22 sono soggette all’approvazione di tutte le autorità competenti della regione di gestione del sistema interessata.

4.   Le proposte di termini e condizioni e di metodologie di cui al paragrafo 2 o di piani di cui al paragrafo 3 includono una proposta di calendario attuativo e una descrizione dell’impatto previsto sugli obiettivi del presente regolamento.

5.   L’EU DSO può fornire un parere motivato ai TSO interessati fino a 3 settimane prima del termine per la presentazione alle autorità competenti della proposta di termini e condizioni o di metodologie o di piani. I TSO responsabili della proposta di termini e condizioni o di metodologie o di piani tengono conto del parere motivato dell’EU DSO prima di presentarla alle autorità competenti per approvazione. I TSO motivano l’eventuale decisione di non prendere in considerazione il parere dell’EU DSO.

6.   Se elaborano congiuntamente i termini e le condizioni, le metodologie e i piani, i TSO partecipanti cooperano strettamente. I TSO, con l’assistenza dell’ENTSO per l’energia elettrica e in cooperazione con l’EU DSO, informano regolarmente le autorità competenti e l’ACER in merito ai progressi compiuti nell’elaborazione dei termini e delle condizioni o delle metodologie o dei piani.

1.   Se non sono in grado di raggiungere un accordo, i TSO che decidono in merito alle proposte di termini e condizioni o di metodologie decidono a maggioranza qualificata. La maggioranza qualificata per tali proposte è calcolata come segue:

2.   La minoranza di blocco per le decisioni riguardanti le proposte di termini e condizioni o di metodologie di cui all’articolo 6, paragrafo 2, comprende TSO che rappresentino almeno quattro Stati membri; in caso contrario si ritiene raggiunta la maggioranza qualificata.

3.   Se non sono in grado di raggiungere un accordo in una regione composta da più di cinque Stati membri, i TSO che decidono in merito alle proposte di piani di cui all’articolo 6, paragrafo 2, deliberano a maggioranza qualificata. La maggioranza qualificata per le proposte di cui all’articolo 6, paragrafo 2, esige una maggioranza di:

4.   La minoranza di blocco per le decisioni in merito a proposte di piani include almeno il numero minimo di TSO che rappresentano oltre il 35 % della popolazione degli Stati membri partecipanti, più i TSO che rappresentano almeno un altro Stato membro interessato; in caso contrario si ritiene raggiunta la maggioranza qualificata.

5.   Per le decisioni dei TSO riguardanti proposte di termini e condizioni o di metodologie in applicazione dell’articolo 6, paragrafo 2, a ogni Stato membro è attribuito un voto. Se sul territorio di uno Stato membro esistono più TSO, lo Stato membro assegna i diritti di voto fra i TSO.

6.   Se i TSO, in cooperazione con l’EU DSO, non presentano alle autorità competenti interessate una proposta iniziale o modificata di termini e condizioni o di metodologie, o di piani, entro i termini stabiliti nel presente regolamento, essi trasmettono alle autorità competenti interessate e all’ACER i progetti dei termini e delle condizioni o delle metodologie o dei piani. I TSO motivano il mancato raggiungimento di un accordo. Le autorità competenti prendono congiuntamente i provvedimenti opportuni per l’adozione dei termini e delle condizioni o delle metodologie necessari, o dei piani necessari. Può trattarsi, ad esempio, di chiedere modifiche dei progetti a norma del presente paragrafo, di rivederli e completarli o, se non sono stati trasmessi progetti, di definire e approvare i termini e le condizioni o le metodologie necessari, o i piani necessari.

1.   I TSO presentano le proposte di termini e condizioni o di metodologie, o di piani, per approvazione, alle autorità competenti interessate entro i rispettivi termini di cui agli articoli 18, 23, 29, 33, 34, 35 e 37. Le autorità competenti possono prorogare congiuntamente tali termini in circostanze eccezionali, in particolare nei casi in cui un termine non possa essere rispettato per motivi fuori del controllo dei TSO o dell’EU DSO.

2.   Le proposte di termini e condizioni, di metodologie o di piani a norma del paragrafo 1 sono trasmesse per informazione all’ACER contemporaneamente alla presentazione alle autorità competenti.

3.   Su richiesta congiunta delle autorità nazionali di regolazione, l’ACER formula un parere sulla proposta di termini e condizioni o di metodologie, o di piani, entro sei mesi dall’averla ricevuta, e lo trasmette alle autorità nazionali di regolazione e alle autorità competenti. Le autorità nazionali di regolazione, le autorità competenti per la cibersicurezza e ogni altra autorità designata come autorità competente si coordinano prima che le autorità di regolazione richiedano un parere all’ACER. L’ACER può includere nel parere le proprie raccomandazioni. Prima di emettere un parere sulle proposte di cui all’articolo 6, paragrafo 2, l’ACER consulta l’ENISA.

4.   Le autorità competenti si consultano fra loro e mettono in atto una stretta cooperazione e coordinazione al fine di raggiungere un accordo sui termini e sulle condizioni, sulle metodologie o sui piani proposti. Prima di approvare i termini e le condizioni o le metodologie, o i piani, esse rivedono e completano le proposte, se necessario, previa consultazione dell’ENTSO per l’energia elettrica e dell’EU DSO, al fine di garantire che le proposte siano in linea con il presente regolamento e contribuiscano a un alto livello comune di cibersicurezza in tutta l’Unione.

5.   Le autorità competenti decidono in merito ai termini e alle condizioni o alle metodologie o ai piani entro sei mesi dalla data in cui li hanno ricevuti o, se del caso, dalla data in cui li ha ricevuti l’ultima autorità competente interessata.

6.   Qualora l’ACER emetta un parere, le autorità competenti interessate ne tengono conto e adottano le loro decisioni entro sei mesi dal suo ricevimento.

7.   Qualora le autorità competenti richiedano congiuntamente una modifica dei termini e delle condizioni o delle metodologie o dei piani proposti, al fine di approvarli, i TSO elaborano, in collaborazione con l’EU DSO, una proposta di modifica. I TSO presentano la proposta modificata per approvazione entro due mesi dalla richiesta delle autorità competenti. Le autorità competenti decidono in merito ai termini e alle condizioni o alle metodologie o ai piani modificati entro due mesi dalla loro presentazione.

8.   Qualora le autorità competenti non abbiano raggiunto un accordo entro il termine di cui al paragrafo 5 o 7, ne informano la Commissione. La Commissione può prendere i provvedimenti opportuni per rendere possibile l’adozione dei termini e condizioni o delle metodologie, o dei piani, necessari.

9.   I TSO, con l’assistenza dell’ENTSO per l’energia elettrica e dell’EU DSO, pubblicano i termini e le condizioni o le metodologie, o i piani, sui loro siti web, previa approvazione delle autorità competenti interessate, salvo nei casi in cui tali informazioni sono considerate riservate a norma dell’articolo 47.

10.   Le autorità competenti possono richiedere congiuntamente ai TSO e all’EU DSO proposte di modifica dei termini e delle condizioni o delle metodologie, o dei piani, da presentare entro un termine da esse stabilito. I TSO, in cooperazione con l’EU DSO, possono proporre modifiche alle autorità competenti anche di propria iniziativa. Le proposte di modifica dei termini e condizioni o delle metodologie, o dei piani, sono elaborate e approvate secondo la procedura di cui al presente articolo.

11.   Almeno ogni tre anni dopo la prima adozione dei rispettivi termini e condizioni o metodologie, o dei rispettivi piani adottati, i TSO, in cooperazione con l’EU DSO, svolgono un riesame dell’efficacia dei termini e delle condizioni o delle metodologie, o dei piani adottati, e ne comunicano senza indebito ritardo i risultati alle autorità competenti e all’ACER.

1.   I TSO, con l’assistenza dell’ENTSO per l’energia elettrica e in cooperazione con l’EU DSO, consultano i portatori di interessi, tra cui l’ACER, l’ENISA e l’autorità competente di ciascuno Stato membro, in merito ai progetti di proposte di termini e condizioni o di metodologie elencati all’articolo 6, paragrafo 2, e di piani di cui all’articolo 6, paragrafo 3. La consultazione ha una durata di almeno un mese.

2.   Le proposte di termini e condizioni o di metodologie di cui all’articolo 6, paragrafo 2, presentate dai TSO, in cooperazione con l’EU DSO, sono pubblicate e sottoposte a consultazione a livello dell’Unione. Le proposte di piani di cui all’articolo 6, paragrafo 3, presentate a livello regionale dai TSO interessati, in cooperazione con l’EU DSO, sono pubblicate e sottoposte a consultazione almeno a livello regionale.

3.   I TSO, con l’assistenza dell’ENTSO per l’energia elettrica, e dell’EU DSO responsabile della proposta di termini e condizioni o di metodologie, o di piani, tengono debitamente conto dei pareri dei portatori di interessi emersi dalle consultazioni svolte a norma del paragrafo 1, prima di presentarla per approvazione regolamentare. In ogni caso, insieme alla proposta è presentata una motivazione valida che giustifichi l’inclusione o l’esclusione dei punti di vista emersi dalla consultazione ed è pubblicata tempestivamente prima della proposta di termini e condizioni o di metodologie o contemporaneamente ad essa.

1.   I costi sostenuti dai TSO e dai DSO soggetti alla regolamentazione delle tariffe di rete e derivanti dagli obblighi stabiliti dal presente regolamento, compresi i costi sostenuti dall’ENTSO per l’energia elettrica e dall’EU DSO, sono valutati dall’autorità nazionale di regolazione competente di ciascuno Stato membro.

2.   I costi ritenuti ragionevoli, efficienti e proporzionati sono recuperati mediante tariffe di rete o altri meccanismi appropriati, secondo quanto stabilito dall’autorità nazionale di regolazione competente.

3.   Su richiesta delle autorità nazionali di regolazione competenti, i TSO e i DSO di cui al paragrafo 1 trasmettono, entro un termine ragionevole stabilito dall’autorità nazionale di regolazione, le informazioni necessarie per facilitare la valutazione dei costi sostenuti.

1.   L’ACER controlla l’attuazione del presente regolamento conformemente all’articolo 32, paragrafo 1, del regolamento (UE) 2019/943 e all’articolo 4, paragrafo 2, del regolamento (UE) 2019/942. Nell’effettuare tale controllo, l’ACER può cooperare con l’ENISA e chiedere il sostegno dell’ENTSO per l’energia elettrica e dell’EU DSO. L’ACER informa periodicamente il gruppo di coordinamento per l’energia elettrica e il gruppo di cooperazione NIS in merito all’attuazione del presente regolamento.

2.   L’ACER pubblica una relazione almeno ogni tre anni dopo l’entrata in vigore del presente regolamento per:

3.   Entro il 13 giugno 2025, l’ACER, in cooperazione con l’ENISA e previa consultazione dell’ENTSO per l’energia elettrica e dell’EU DSO, può emanare orientamenti sulle informazioni pertinenti che devono esserle comunicate ai fini del controllo, nonché sul processo e sulla frequenza della raccolta, sulla base degli indicatori di prestazione definiti conformemente al paragrafo 5.

4.   Le autorità competenti possono avere accesso alle informazioni pertinenti detenute dall’ACER, raccolte a norma del presente articolo.

5.   L’ACER, in cooperazione con l’ENISA e con il sostegno dell’ENTSO per l’energia elettrica e dell’EU DSO, pubblica indicatori di prestazione non vincolanti per valutare l’affidabilità operativa, in termini di cibersicurezza, dei flussi transfrontalieri di energia elettrica.

6.   I soggetti elencati all’articolo 2, paragrafo 1, trasmettono all’ACER le informazioni di cui necessita per svolgere i compiti di cui al paragrafo 2.

1.   Entro il 13 giugno 2025, l’ACER, in cooperazione con l’ENISA, emana una guida non vincolante per l’analisi comparativa della cibersicurezza. La guida illustra alle autorità nazionali di regolazione i principi dell’analisi comparativa dei controlli di cibersicurezza attuati a norma del paragrafo 2, tenendo conto dei costi di attuazione dei controlli e dell’efficacia della funzione svolta da processi, prodotti, servizi, sistemi e soluzioni utilizzati per attuarli. Per l’elaborazione della guida non vincolante per l’analisi comparativa della cibersicurezza, l’ACER tiene conto delle relazioni di analisi comparativa esistenti. L’ACER trasmette alle autorità nazionali di regolazione, per informazione, la guida non vincolante per l’analisi comparativa della cibersicurezza.

2.   Entro 12 mesi dall’emanazione della guida per l’analisi comparativa di cui al paragrafo 1, le autorità nazionali di regolazione effettuano un’analisi comparativa per valutare se gli attuali investimenti nella cibersicurezza:

3.   Per l’analisi comparativa, le autorità nazionali di regolazione possono tenere conto della guida non vincolante per l’analisi comparativa della cibersicurezza elaborata dall’ACER e valutano in particolare:

4.   Tutte le informazioni relative all’analisi comparativa sono gestite e trattate conformemente alle prescrizioni di classificazione dei dati di cui al presente regolamento, ai controlli minimi di cibersicurezza e alla relazione di valutazione transfrontaliera del rischio per la cibersicurezza dell’energia elettrica. L’analisi comparativa di cui ai paragrafi 2 e 3 non è resa pubblica.

5.   Fatti salvi gli obblighi di riservatezza di cui all’articolo 47 e la necessità di proteggere la sicurezza dei soggetti cui si applicano le disposizioni del presente regolamento, l’analisi comparativa di cui ai paragrafi 2 e 3 del presente articolo è condivisa con tutte le autorità nazionali di regolazione, tutte le autorità competenti, l’ACER, l’ENISA e la Commissione.

1.   Entro 18 mesi dall’entrata in vigore del presente regolamento, i TSO di una regione di gestione del sistema confinante con un paese terzo si adoperano per concludere accordi con i TSO del paese terzo confinante che siano conformi al pertinente diritto dell’Unione e definiscano la base per la cooperazione in materia di protezione della cibersicurezza e gli accordi di cooperazione in materia di cibersicurezza con detti TSO.

2.   I TSO informano l’autorità competente in merito agli accordi conclusi a norma del paragrafo 1.

1.   I soggetti che non sono stabiliti nell’Unione ma forniscono servizi a soggetti nell’Unione e a cui è stato notificato di essere soggetti ad alto impatto o ad impatto critico a norma dell’articolo 24, paragrafo 6, designano per iscritto, entro tre mesi dalla notifica, un rappresentante nell’Unione e ne informano l’autorità competente notificante.

2.   Il rappresentante di cui al paragrafo 1 è incaricato di fungere da punto di contatto cui un’autorità competente o CSIRT nell’Unione può rivolgersi in aggiunta o in sostituzione del soggetto ad alto impatto o a impatto critico riguardo agli obblighi di quest’ultimo a norma del presente regolamento. Il soggetto ad alto impatto o a impatto critico conferisce al proprio rappresentante legale le deleghe necessarie e risorse sufficienti per consentire la sua cooperazione efficiente e tempestiva con le autorità competenti o i CSIRT.

3.   Il rappresentante è stabilito in uno degli Stati membri in cui il soggetto offre i propri servizi. Il soggetto è considerato soggiacente alla giurisdizione dello Stato membro in cui è stabilito il suo rappresentante. I soggetti ad alto impatto e a impatto critico notificano il nome, l’indirizzo postale, l’indirizzo di posta elettronica e il numero di telefono del loro rappresentante legale all’autorità competente nello Stato membro in cui il rappresentante legale risiede o è stabilito.

4.   Il rappresentante legale designato può essere ritenuto responsabile del mancato rispetto degli obblighi derivanti dal presente regolamento, fatte salve le responsabilità e le azioni legali che potrebbero essere avviate nei confronti del soggetto ad alto impatto o a impatto critico.

5.   Nell’assenza di un rappresentante nell’Unione designato a norma del presente articolo, qualsiasi Stato membro in cui il soggetto fornisce servizi può avviare un’azione legale nei suoi confronti per mancato rispetto degli obblighi di cui al presente regolamento.

6.   La designazione di un rappresentante legale all’interno dell’Unione a norma del paragrafo 1 non equivale a uno stabilimento nell’Unione.

1.   L’ENTSO per l’energia elettrica e l’EU DSO cooperano nello svolgimento delle valutazioni dei rischi per la cibersicurezza a norma degli articoli 19 e 21, in particolare per quanto riguarda i seguenti compiti:

2.   La cooperazione tra l’ENTSO per l’energia elettrica e l’EU DSO può prendere la forma di un gruppo di lavoro sui rischi per la cibersicurezza.

3.   L’ENTSO per l’energia elettrica e l’EU DSO informano regolarmente l’ACER, l’ENISA, il gruppo di cooperazione NIS e il gruppo di coordinamento per l’energia elettrica in merito ai progressi compiuti nell’attuazione delle valutazioni del rischio per la cibersicurezza a livello dell’Unione e regionale a norma degli articoli 19 e 21.

1.   Entro il 13 marzo 2025, i TSO, con l’assistenza dell’ENTSO per l’energia elettrica, in cooperazione con l’EU DSO e previa consultazione del gruppo di cooperazione NIS, presentano una proposta di metodologie di valutazione del rischio per la cibersicurezza a livello dell’Unione, a livello regionale e a livello di Stato membro.

2.   Le metodologie di valutazione del rischio per la cibersicurezza a livello dell’Unione, a livello regionale e a livello di Stato membro comprendono:

3.   Le metodologie di valutazione del rischio per la cibersicurezza a livello dell’Unione, a livello regionale e a livello di Stato membro fanno uso di un’unica matrice dell’impatto del rischio. La matrice dell’impatto del rischio:

4.   Le metodologie di valutazione del rischio per la cibersicurezza a livello di Unione descrivono il modo in cui saranno definiti i valori ECII per le soglie di alto impatto e di impatto critico. L’ECII consente ai soggetti di stimare, valendosi dei criteri di cui al paragrafo 2, lettera b), l’impatto dei rischi sui loro processi operativi durante le valutazioni dell’impatto operativo svolte a norma dell’articolo 26, paragrafo 4, lettera c), punto i).

5.   L’ENTSO per l’energia elettrica, in coordinamento con l’EU DSO, informa il gruppo di coordinamento per l’energia elettrica in merito alle proposte di metodologie di valutazione del rischio per la cibersicurezza elaborate a norma del paragrafo 1.

1.   Entro 9 mesi dall’approvazione delle metodologie di valutazione del rischio per la cibersicurezza a norma dell’articolo 8 e successivamente ogni tre anni, l’ENTSO per l’energia elettrica, in cooperazione con l’EU DSO e in consultazione con il gruppo di cooperazione NIS, effettua, fatto salvo l’articolo 22 della direttiva (UE) 2022/2555, una valutazione del rischio per la cibersicurezza a livello dell’Unione ed elabora un progetto di relazione sulla valutazione del rischio per la cibersicurezza a livello dell’Unione. A tal fine saranno utilizzate le metodologie sviluppate a norma dell’articolo 18 e approvate a norma dell’articolo 8 per individuare, analizzare e valutare le possibili conseguenze degli attacchi informatici che incidono sulla sicurezza operativa del sistema elettrico e perturbano i flussi transfrontalieri di energia elettrica. La valutazione del rischio per la cibersicurezza a livello dell’Unione non tiene conto dei danni di natura giuridica o finanziaria o dei danni alla reputazione causati da attacchi informatici.

2.   La relazione di valutazione del rischio per la cibersicurezza a livello dell’Unione comprende i seguenti elementi:

3.   Per quanto riguarda i processi ad alto impatto e a impatto critico a livello dell’Unione, la relazione di valutazione del rischio per la cibersicurezza a livello dell’Unione comprende:

4.   L’ENTSO per l’energia elettrica, in cooperazione con l’EU DSO, presenta all’ACER, per parere, il progetto di relazione di valutazione del rischio per la cibersicurezza a livello dell’Unione con i relativi risultati. L’ACER formula un parere sul progetto di relazione entro tre mesi dal ricevimento. L’ENTSO per l’energia elettrica e l’EU DSO ultimano la relazione tenendo nella massima considerazione il parere dell’ACER.

5.   Entro tre mesi dal ricevimento del parere dell’ACER, l’ENTSO per l’energia elettrica, in cooperazione con l’EU DSO, notifica la relazione finale di valutazione del rischio per la cibersicurezza a livello dell’Unione all’ACER, alla Commissione, all’ENISA e alle autorità competenti.

1.   L’autorità competente effettua una valutazione del rischio per la cibersicurezza dello Stato membro valutando tutti i soggetti ad alto impatto e a impatto critico nello Stato membro con le metodologie elaborate a norma dell’articolo 18 e approvate a norma dell’articolo 8. La valutazione del rischio per la cibersicurezza a livello di Stato membro individua e analizza i rischi di attacchi informatici che incidono sulla sicurezza operativa del sistema elettrico e perturbano i flussi transfrontalieri di energia elettrica. La valutazione del rischio per la cibersicurezza a livello di Stato membro non tiene conto dei danni di natura giuridica o finanziaria o dei danni alla reputazione causati da attacchi informatici.

2.   Entro 21 mesi dalla notifica dei soggetti ad alto impatto e a impatto critico a norma dell’articolo 24, paragrafo 6, e ogni tre anni dopo tale data, e previa consultazione dell’autorità competente per la cibersicurezza dell’energia elettrica, l’autorità competente, con il sostegno del CSIRT, presenta all’ENTSO per l’energia elettrica e all’EU DSO una relazione di valutazione del rischio per la cibersicurezza a livello di Stato membro contenente le seguenti informazioni per ciascun processo operativo ad alto impatto e a impatto critico:

3.   La relazione di valutazione del rischio per la cibersicurezza a livello di Stato membro tiene conto del piano di preparazione ai rischi dello Stato membro elaborato a norma dell’articolo 10 del regolamento (UE) 2019/941.

4.   Le informazioni contenute nella relazione di valutazione del rischio per la cibersicurezza a livello di Stato membro a norma del paragrafo 2, lettere da a) a d), non sono collegate a soggetti o asset specifici. La relazione di valutazione del rischio per la cibersicurezza a livello di Stato membro include anche una valutazione del rischio delle deroghe temporanee rilasciate dalle autorità competenti degli Stati membri a norma dell’articolo 30.

5.   L’ENTSO per l’energia elettrica e l’EU DSO possono richiedere informazioni supplementari alle autorità competenti in relazione ai compiti di cui al paragrafo 2, lettere a) e c).

6.   Le autorità competenti garantiscono che le informazioni da esse fornite sono esatte e corrette.

1.   L’ENTSO per l’energia elettrica, in collaborazione con l’EU DSO e in consultazione con il pertinente centro di coordinamento regionale, effettua una valutazione del rischio per la cibersicurezza a livello regionale per ciascuna regione di gestione del sistema, utilizzando le metodologie elaborate a norma dell’articolo 19 e approvate a norma dell’articolo 8, al fine di individuare, analizzare e valutare i rischi di attacchi informatici che incidono sulla sicurezza operativa del sistema elettrico e perturbano i flussi transfrontalieri di energia elettrica. Le valutazioni del rischio per la cibersicurezza a livello regionale non tengono conto dei danni di natura giuridica o finanziaria o dei danni alla reputazione causati da attacchi informatici.

2.   Entro 30 mesi dalla notifica dei soggetti ad alto impatto e a impatto critico a norma dell’articolo 24, paragrafo 6, e successivamente ogni tre anni, l’ENTSO per l’energia elettrica, in cooperazione con l’EU DSO e in consultazione con il gruppo di cooperazione NIS, redige una relazione di valutazione del rischio per la cibersicurezza a livello regionale per ciascuna regione di gestione del sistema.

3.   La relazione di valutazione del rischio per la cibersicurezza a livello regionale tiene conto delle informazioni pertinenti contenute nelle relazioni di valutazione del rischio per la cibersicurezza a livello dell’Unione e nelle relazioni di valutazione del rischio per la cibersicurezza a livello di Stati membri.

4.   La valutazione del rischio per la cibersicurezza a livello regionale tiene conto degli scenari regionali di crisi dell’energia elettrica connessi alla cibersicurezza individuati a norma dell’articolo 6 del regolamento (UE) 2019/941.

1.   Entro 36 mesi dalla notifica dei soggetti ad alto impatto e a impatto critico a norma dell’articolo 24, paragrafo 6, e non oltre il 13 giugno 2031, e successivamente ogni tre anni, i TSO, con l’ausilio dell’ENTSO per l’energia elettrica, in cooperazione con l’EU DSO e in consultazione con il gruppo di cooperazione NIS, elabora un piano di attenuazione dei rischi per la cibersicurezza a livello regionale per ciascuna regione di gestione del sistema.

2.   I piani di attenuazione dei rischi per la cibersicurezza a livello regionale comprendono:

3.   L’ENTSO per l’energia elettrica trasmette i piani di attenuazione dei rischi a livello regionale ai pertinenti gestori dei sistemi di trasmissione, alle autorità competenti e al gruppo di coordinamento per l’energia elettrica. Il gruppo di coordinamento per l’energia elettrica può raccomandare modifiche.

4.   I TSO, con l’assistenza dell’ENTSO per l’energia elettrica, in collaborazione con l’EU DSO e in consultazione con il gruppo di cooperazione NIS, aggiornano i piani di attenuazione dei rischi a livello regionale ogni tre anni, a meno che le circostanze giustifichino aggiornamenti più frequenti.

1.   Entro 40 mesi dalla notifica dei soggetti ad alto impatto e a impatto critico a norma dell’articolo 24, paragrafo 6, e successivamente ogni tre anni, i TSO, con l’assistenza dell’ENTSO per l’energia elettrica, in cooperazione con l’EU DSO e in consultazione con il gruppo di cooperazione NIS, trasmettono al gruppo di coordinamento per l’energia elettrica una relazione sull’esito della valutazione del rischio per la cibersicurezza in relazione ai flussi transfrontalieri di energia elettrica («relazione globale di valutazione transfrontaliera del rischio per la cibersicurezza dell’energia elettrica»).

2.   La relazione globale di valutazione transfrontaliera del rischio per la cibersicurezza dell’energia elettrica si basa sulle relazioni di valutazione del rischio per la cibersicurezza a livello dell’Unione, di Stati membri e di regioni e comprende le seguenti informazioni:

3.   I soggetti elencati all’articolo 2, paragrafo 1, possono contribuire all’elaborazione della relazione globale di valutazione transfrontaliera del rischio per la cibersicurezza dell’energia elettrica, nel rispetto della riservatezza delle informazioni conformemente all’articolo 47. I TSO, con l’assistenza dell’ENTSO per l’energia elettrica e in collaborazione con l’EU DSO, consultano questi soggetti sin dalle prime fasi.

4.   La relazione globale di valutazione transfrontaliera del rischio per la cibersicurezza dell’energia elettrica è soggetta alle disposizioni sulla protezione dello scambio di informazioni a norma dell’articolo 46. Fatti salvi l’articolo 10, paragrafo 4, e l’articolo 47, paragrafo 4, l’ENTSO per l’energia elettrica e l’EU DSO divulgano una versione pubblica della relazione che non contiene informazioni suscettibili di arrecare danni ai soggetti elencati all’articolo 2, paragrafo 1. La versione pubblica della relazione non è divulgata senza l’accordo del gruppo di cooperazione NIS e del gruppo di coordinamento per l’energia elettrica. L’ENTSO per l’energia elettrica, in coordinamento con l’EU DSO, è responsabile della compilazione e della divulgazione della versione pubblica della relazione.

1.   L’autorità competente individua, utilizzando l’ECII e le soglie di alto impatto e di impatto critico inclusi nella relazione di valutazione del rischio per la cibersicurezza a livello dell’Unione di cui all’articolo 19, paragrafo 3, lettera b), i soggetti ad alto impatto e a impatto critico nel proprio Stato membro che sono coinvolti nei processi ad alto impatto e a impatto critico a livello dell’Unione. Le autorità competenti possono richiedere informazioni a un soggetto nel loro Stato membro per determinarne i valori ECII. Se l’ECII determinato di un soggetto è superiore alla soglia di alto impatto o di impatto critico, il soggetto individuato è elencato nella relazione di valutazione del rischio per la cibersicurezza dello Stato membro di cui all’articolo 20, paragrafo 2.

2.   L’autorità competente individua, utilizzando l’ECII e le soglie di alto impatto e di impatto critico inclusi nella relazione di valutazione del rischio per la cibersicurezza a livello dell’Unione di cui all’articolo 19, paragrafo 3, lettera b), i soggetti ad alto impatto e a impatto critico non stabiliti nell’Unione che sono attivi nell’Unione. L’autorità competente può richiedere informazioni a un soggetto non stabilito nell’Unione per determinarne i valori ECII.

3.   L’autorità competente può individuare altri soggetti nel proprio Stato membro come soggetti ad alto impatto o a impatto critico se sono soddisfatti i seguenti criteri:

4.   Se l’autorità competente individua altri soggetti conformemente al paragrafo 3, tutti i processi presso tali soggetti per i quali l’ECII aggregato del gruppo è superiore alla soglia di alto impatto sono considerati processi ad alto impatto e tutti i processi presso tali soggetti per i quali l’ECII aggregato del gruppo supera le soglie di impatto critico sono considerati processi a impatto critico.

5.   Se l’autorità competente individua soggetti di cui al paragrafo 3, lettera a), in più Stati membri, ne informa le rispettive autorità competenti, l’ENTSO per l’energia elettrica e l’EU DSO. L’ENTSO per l’energia elettrica, in cooperazione con l’EU DSO, sulla base delle informazioni ricevute da tutte le autorità competenti, fornisce alle autorità competenti un’analisi dell’aggregazione di soggetti in più di uno Stato membro che può creare un disturbo distribuito ai flussi transfrontalieri di energia elettrica ed eventualmente risultare in un attacco informatico. Se un gruppo di soggetti in più Stati membri è individuato come un’aggregazione il cui ECII è superiore alla soglia di alto impatto o di impatto critico, tutte le autorità competenti interessate individuano i soggetti che vi appartengono come soggetti ad alto impatto o a impatto critico per il rispettivo Stato membro, sulla base dell’ECII aggregato per il gruppo di soggetti, e i soggetti così individuati sono elencati nella relazione di valutazione del rischio per la cibersicurezza a livello dell’Unione.

6.   Entro nove mesi dalla notifica da parte dell’ENTSO per l’energia elettrica e dell’EU DSO della relazione di valutazione del rischio per la cibersicurezza a livello dell’Unione a norma dell’articolo 19, paragrafo 5, e in ogni caso entro il 13 giugno 2028, l’autorità competente notifica ai soggetti figuranti nell’elenco che sono stati individuati come soggetti ad alto impatto o a impatto critico nello Stato membro.

7.   Quando un prestatore di servizi è segnalato all’autorità competente come prestatore di servizi TIC critico a norma dell’articolo 27, lettera c), l’autorità lo notifica alle autorità competenti degli Stati membri in cui ha sede il prestatore o il suo rappresentante. Quest’ultima autorità competente notifica al prestatore di servizi che è stato identificato come prestatore di servizi critici.

1.   Le autorità competenti possono istituire un sistema nazionale di verifica per accertare che i soggetti a impatto critico individuati a norma dell’articolo 24, paragrafo 1, abbiano attuato il quadro legislativo nazionale incluso nella matrice di mappatura di cui all’articolo 34. Il sistema nazionale di verifica può basarsi su un’ispezione effettuata dall’autorità competente, su audit di sicurezza indipendenti o su valutazioni reciproche inter pares effettuate da soggetti a impatto critico dello stesso Stato membro sotto la supervisione dell’autorità competente.

2.   L’autorità competente che decide di istituire un sistema nazionale di verifica garantisce che la verifica sia effettuata conformemente ai seguenti requisiti:

3.   L’autorità competente che decide di istituire un sistema nazionale di verifica comunica annualmente all’ACER la frequenza con cui ha effettuato le ispezioni nell’ambito del sistema.

1.   Il soggetto ad alto impatto e a impatto critico individuato dalle autorità competenti a norma dell’articolo 24, paragrafo 1, gestisce il rischio per la cibersicurezza di tutti gli asset nei suoi perimetri ad alto impatto e a impatto critico. Il soggetto ad alto impatto e a impatto critico effettua ogni tre anni la gestione del rischio secondo le fasi di cui al paragrafo 2.

2.   Il soggetto ad alto impatto e a impatto critico fonda la propria gestione del rischio per la cibersicurezza su un approccio che mira a proteggere i propri sistemi informatici e di rete e comprende le seguenti fasi:

3.   Durante la fase di definizione del contesto, il soggetto ad alto impatto e a impatto critico:

4.   Durante la fase di valutazione del rischio per la cibersicurezza il soggetto ad alto impatto e a impatto critico:

5.   Durante la fase di trattamento del rischio per la cibersicurezza il soggetto ad alto impatto e a impatto critico stabilisce un piano di attenuazione dei rischi a livello di soggetto selezionando opzioni di trattamento del rischio adeguate per gestire i rischi e individuare quelli residui.

6.   Durante la fase di accettazione del rischio per la cibersicurezza, il soggetto ad alto impatto e a impatto critico decide se accettare il rischio residuo sulla base dei criteri di accettazione di cui al paragrafo 3, lettera b).

7.   Il soggetto ad alto impatto e a impatto critico registra in un inventario gli asset individuati al paragrafo 1. L’inventario di asset non fa parte della relazione di valutazione del rischio.

8.   L’autorità competente può ispezionare gli asset dell’inventario durante le ispezioni.

1.   Il quadro comune per la cibersicurezza dell’energia elettrica si compone dei seguenti controlli e del sistema di gestione della cibersicurezza:

2.   Tutti i soggetti ad alto impatto applicano i controlli minimi di cibersicurezza di cui al paragrafo 1, lettera a), all’interno del loro perimetro di alto impatto.

3.   Tutti i soggetti a impatto critico applicano i controlli avanzati di cibersicurezza di cui al paragrafo 1, lettera b), all’interno del loro perimetro di impatto critico.

4.   Entro 7 mesi dalla presentazione del primo progetto di relazione di valutazione del rischio per la cibersicurezza a livello dell’Unione a norma dell’articolo 19, paragrafo 4, il quadro comune per la cibersicurezza dell’energia elettrica di cui al paragrafo 1 è integrato dai controlli minimi e avanzati di cibersicurezza nella catena di approvvigionamento, elaborati a norma dell’articolo 33.

1.   Entro 7 mesi dalla presentazione del primo progetto di relazione di valutazione del rischio per la cibersicurezza a livello dell’Unione a norma dell’articolo 19, paragrafo 4, i TSO, con l’assistenza dell’ENTSO per l’energia elettrica e in cooperazione con l’EU DSO, elaborano una proposta di controlli minimi e avanzati di cibersicurezza.

2.   Entro 6 mesi dalla stesura della relazione di valutazione del rischio per la cibersicurezza a livello regionale a norma dell’articolo 21, paragrafo 2, i TSO, con l’assistenza dell’ENTSO per l’energia elettrica e in cooperazione con l’EU DSO, propongono all’autorità competente una modifica dei controlli minimi e avanzati di cibersicurezza. La proposta sarà conforme all’articolo 8, paragrafo 10, e terrà conto dei rischi individuati nella valutazione del rischio a livello regionale.

3.   I controlli minimi e avanzati di cibersicurezza sono verificabili attraverso la partecipazione a un sistema nazionale di verifica secondo la procedura di cui all’articolo 31 o per mezzo di audit di sicurezza condotti da terzi indipendenti conformemente alle prescrizioni di cui all’articolo 25, paragrafo 2.

4.   I controlli minimi e avanzati di cibersicurezza iniziali elaborati a norma del paragrafo 1 si basano sui rischi individuati nella relazione di valutazione del rischio per la cibersicurezza a livello dell’Unione di cui all’articolo 19, paragrafo 5. I controlli minimi e avanzati di cibersicurezza modificati elaborati a norma del paragrafo 2 si basano sulla relazione di valutazione del rischio per la cibersicurezza a livello regionale di cui all’articolo 21, paragrafo 2.

5.   I controlli minimi di cibersicurezza comprendono controlli per proteggere le informazioni scambiate a norma dell’articolo 46.

6.   Entro 12 mesi dall’approvazione dei controlli minimi e avanzati di cibersicurezza a norma dell’articolo 8, paragrafo 5, o dopo ciascun aggiornamento a norma dell’articolo 8, paragrafo 10, i soggetti elencati all’articolo 2, paragrafo 1, e identificati come soggetti a impatto critico e ad alto impatto a norma dell’articolo 24, durante la definizione del piano di attenuazione dei rischi a livello di soggetto a norma dell’articolo 26, paragrafo 5, applicano i controlli minimi di cibersicurezza all’interno del perimetro di alto impatto e i controlli avanzati di cibersicurezza all’interno del perimetro di impatto critico.

1.   I soggetti elencati all’articolo 2, paragrafo 1, possono chiedere alla rispettiva autorità competente una deroga all’obbligo di applicare i controlli minimi e avanzati di cibersicurezza di cui all’articolo 29, paragrafo 6. L’autorità competente può concedere la deroga per uno dei motivi seguenti:

2.   Entro tre mesi dal ricevimento della richiesta di cui al paragrafo 1, l’autorità competente interessata decide se concedere una deroga ai controlli minimi e avanzati di cibersicurezza. Le deroghe ai controlli minimi o avanzati di cibersicurezza sono concesse per un massimo di tre anni, con possibilità di rinnovo.

3.   Le informazioni aggregate e anonimizzate per le deroghe concesse sono incluse in allegato alla relazione globale di valutazione transfrontaliera del rischio per la cibersicurezza dell’energia elettrica di cui all’articolo 23. Se necessario, l’ENTSO per l’energia elettrica e l’EU DSO aggiornano congiuntamente l’elenco.

1.   Entro 24 mesi dall’adozione dei controlli di cui all’articolo 28, paragrafo 1, lettere a), b) e c), e dall’istituzione del sistema di gestione della cibersicurezza di cui alla lettera d) del medesimo articolo, il soggetto a impatto critico individuato a norma dell’articolo 24, paragrafo 1, è in grado di dimostrare la propria conformità al sistema di gestione della cibersicurezza e ai controlli minimi o avanzati di cibersicurezza, su richiesta dell’autorità competente.

2.   Il soggetto a impatto critico adempie all’obbligo di cui al paragrafo 1 sottoponendosi a audit di sicurezza condotti da terzi indipendenti, conformemente ai requisiti di cui all’articolo 25, paragrafo 2, oppure partecipando a un sistema nazionale di verifica a norma dell’articolo 25, paragrafo 1.

3.   La verifica della conformità del soggetto a impatto critico al sistema di gestione della cibersicurezza e ai controlli minimi o avanzati di cibersicurezza interessa tutti gli asset all’interno del perimetro di impatto critico del soggetto a impatto critico.

4.   La verifica della conformità del soggetto a impatto critico al sistema di gestione della cibersicurezza e ai controlli minimi o avanzati di cibersicurezza si esegue nuovamente non più di 36 mesi dopo la fine della prima verifica e successivamente ogni tre anni.

5.   Il soggetto a impatto critico definito conformemente all’articolo 24 dimostra la propria conformità ai controlli di cui all’articolo 28, paragrafo 1, lettere a), b) e c), e l’istituzione del sistema di gestione della cibersicurezza di cui alla lettera d) del medesimo articolo riferendo all’autorità competente in merito all’esito della verifica di conformità.

1.   Entro 24 mesi dal ricevimento della notifica dell’autorità competente che lo individua come soggetto ad alto impatto o a impatto critico a norma dell’articolo 24, paragrafo 6, il soggetto ad alto impatto e a impatto critico istituisce un sistema di gestione della cibersicurezza, che successivamente riesamina ogni tre anni, al fine di:

2.   L’ambito di applicazione del sistema di gestione della cibersicurezza comprende tutti gli asset all’interno del perimetro ad alto impatto e a impatto critico del soggetto ad alto impatto e a impatto critico.

3.   Le autorità competenti, evitando di imporre o discriminare l’uso di un particolare tipo di tecnologia, incoraggiano l’uso di norme e specifiche europee o internazionali relative ai sistemi di gestione e pertinenti alla sicurezza dei sistemi informatici e di rete.

1.   Entro 7 mesi dalla presentazione del primo progetto di relazione di valutazione del rischio per la cibersicurezza a livello dell’Unione a norma dell’articolo 19, paragrafo 4, i TSO, con l’assistenza dell’ENTSO per l’energia elettrica e in cooperazione con l’EU DSO, elaborano una proposta di controlli minimi e avanzati di cibersicurezza nella catena di approvvigionamento volti ad attenuare i rischi che vi sono stati individuati dalle valutazioni del rischio per la cibersicurezza a livello dell’Unione, integrando i controlli minimi e avanzati di cibersicurezza elaborati a norma dell’articolo 29. I controlli minimi e avanzati di cibersicurezza nella catena di approvvigionamento sono elaborati insieme ai controlli minimi e avanzati di cibersicurezza a norma dell’articolo 29. I controlli minimi e avanzati di cibersicurezza nella catena di approvvigionamento coprono l’intero ciclo di vita di tutti i prodotti TIC, servizi TIC e processi TIC all’interno dei perimetri ad alto impatto o a impatto critico del soggetto ad alto impatto o a impatto critico. Il gruppo di cooperazione NIS è consultato in sede di elaborazione della proposta di controlli minimi e avanzati di cibersicurezza nella catena di approvvigionamento.

2.   I controlli minimi di cibersicurezza nella catena di approvvigionamento consistono in controlli, per i soggetti ad alto impatto e a impatto critico, che:

3.   Per le specifiche di cibersicurezza interessate dalla raccomandazione per gli appalti riguardo alla cibersicurezza di cui al paragrafo 2, lettera a), i soggetti ad alto impatto o a impatto critico utilizzano i principi relativi agli appalti a norma della direttiva 2014/24/UE del Parlamento europeo e del Consiglio (19), conformemente all’articolo 35, paragrafo 4, del presente regolamento, o definiscono le proprie specifiche sulla base dei risultati della valutazione del rischio per la cibersicurezza a livello di soggetto.

4.   I controlli avanzati di cibersicurezza nella catena di approvvigionamento comprendono controlli per i soggetti a impatto critico destinati a verificare, durante la procedura di appalto, che i prodotti TIC, i servizi TIC e i processi TIC che saranno utilizzati come asset a impatto critico soddisfino le specifiche di cibersicurezza. Il prodotto TIC, il servizio TIC o il processo TIC è verificato mediante un sistema europeo di certificazione della cibersicurezza di cui all’articolo 31 o mediante attività di verifica selezionate e organizzate dal soggetto. Il dettaglio e l’ampiezza delle attività di verifica sono sufficienti a garantire che il prodotto TIC, il servizio TIC o il processo TIC possa essere utilizzato per attenuare i rischi individuati nella valutazione del rischio a livello di soggetto. Il soggetto a impatto critico documenta le misure adottate per ridurre i rischi individuati.

5.   I controlli minimi e avanzati di cibersicurezza nella catena di approvvigionamento si applicano agli appalti di prodotti TIC, di servizi TIC e di processi TIC. I controlli minimi e avanzati di cibersicurezza della catena di approvvigionamento si applicheranno alle procedure di appalto nei soggetti individuati come ad alto impatto e a impatto critico a norma dell’articolo 24 avviate sei mesi dopo l’adozione o l’aggiornamento dei controlli minimi e avanzati di cibersicurezza di cui all’articolo 29.

6.   Entro 6 mesi dalla stesura della relazione di valutazione del rischio per la cibersicurezza a livello regionale a norma dell’articolo 21, paragrafo 2, i TSO, con l’assistenza dell’ENTSO per l’energia elettrica e in cooperazione con l’EU DSO, propongono all’autorità competente una modifica dei controlli minimi e avanzati di cibersicurezza nella catena di approvvigionamento. La proposta sarà conforme all’articolo 8, paragrafo 10, e terrà conto dei rischi individuati nella valutazione del rischio a livello regionale.

1.   Entro 7 mesi dalla presentazione del primo progetto di relazione di valutazione del rischio per la cibersicurezza a livello dell’Unione a norma dell’articolo 19, paragrafo 4, i TSO, con l’assistenza dell’ENTSO per l’energia elettrica, in cooperazione con l’EU DSO e in consultazione con l’ENISA, elaborano una proposta di matrice per la mappatura dei controlli di cui all’articolo 28, paragrafo 1, lettere a) e b), in riferimento a determinate norme europee e internazionali nonché alle pertinenti specifiche tecniche («matrice di mappatura»). L’ENTSO per l’energia elettrica e l’EU DSO documentano l’equivalenza fra i diversi controlli e i controlli di cui all’articolo 28, paragrafo 1, lettere a) e b).

2.   Le autorità competenti possono fornire all’ENTSO per l’energia elettrica e all’EU DSO una mappatura dei controlli di cui all’articolo 28, paragrafo 1, lettere a) e b), con un riferimento ai relativi quadri legislativi o regolamentari nazionali, comprese le pertinenti norme nazionali degli Stati membri a norma dell’articolo 25 della direttiva (UE) 2022/2555. Se l’autorità competente dello Stato membro fornisce una mappatura nazionale di questo tipo, l’ENTSO per l’energia elettrica e l’EU DSO la integrano nella matrice di mappatura.

3.   Entro 6 mesi dalla stesura della relazione di valutazione del rischio per la cibersicurezza a livello regionale a norma dell’articolo 21, paragrafo 2, i TSO, con l’assistenza dell’ENTSO per l’energia elettrica, in cooperazione con l’EU DSO e in consultazione con l’ENISA, propongono all’autorità competente una modifica della matrice di mappatura. La proposta sarà conforme all’articolo 8, paragrafo 10, e terrà conto dei rischi individuati nella valutazione del rischio a livello regionale.

1.   I TSO, con l’assistenza dell’ENTSO per l’energia elettrica e in cooperazione con l’EU DSO, elaborano, in un programma di lavoro da stabilire e aggiornare ogni volta che viene adottata una relazione regionale di valutazione del rischio per la cibersicurezza, serie di raccomandazioni non vincolanti per gli appalti riguardo alla cibersicurezza che i soggetti ad alto impatto e a impatto critico possono utilizzare come base per gli appalti di prodotti TIC, servizi TIC e processi TIC nei perimetri ad alto impatto e a impatto critico. Il programma di lavoro contiene:

2.   Entro 6 mesi dall’adozione o dall’aggiornamento della relazione di valutazione del rischio per la cibersicurezza a livello regionale, l’ENTSO per l’energia elettrica, in cooperazione con l’EU DSO, trasmette all’ACER una sintesi del programma di lavoro.

3.   I TSO, con l’assistenza dell’ENTSO per l’energia elettrica e in cooperazione con l’EU DSO, si adoperano per garantire che le raccomandazioni non vincolanti per gli appalti riguardo alla cibersicurezza elaborate sulla base della pertinente valutazione del rischio per la cibersicurezza a livello regionale siano simili o comparabili tra le diverse regioni di gestione del sistema. Le serie di raccomandazioni per gli appalti riguardo alla cibersicurezza coprono almeno le specifiche di cui all’articolo 33, paragrafo 2, lettera a). Ove possibile, le specifiche sono selezionate tra le norme europee e internazionali.

4.   I TSO, con l’assistenza dell’ENTSO per l’energia elettrica e in collaborazione con l’EU DSO, garantiscono che le serie di raccomandazioni per gli appalti riguardo alla cibersicurezza:

1.   Le raccomandazioni non vincolanti per gli appalti riguardo alla cibersicurezza elaborate a norma dell’articolo 35 possono includere orientamenti settoriali sull’uso dei sistemi europei di certificazione della cibersicurezza, ogniqualvolta sia disponibile un sistema adeguato per un tipo di prodotto TIC, servizio TIC o processo TIC utilizzato dai soggetti a impatto critico, fatto salvo il quadro per l’istituzione di sistemi europei di certificazione della cibersicurezza a norma dell’articolo 46 del regolamento (UE) 2019/881.

2.   I TSO, con l’assistenza dell’ENTSO per l’energia elettrica e in cooperazione con l’EU DSO, cooperano strettamente con l’ENISA nel fornire gli orientamenti settoriali specifici inclusi nelle raccomandazioni non vincolanti per gli appalti riguardo alla cibersicurezza a norma del paragrafo 1.

1.   L’autorità competente che riceve informazioni relative a un attacco informatico da segnalare:

2.   Il CSIRT che viene a conoscenza di una vulnerabilità sfruttata attivamente non risolta:

3.   L’autorità competente che viene a conoscenza di una vulnerabilità sfruttata attivamente non risolta:

4.   L’autorità competente che viene a conoscenza di una vulnerabilità non risolta di cui non ha motivo di ritenere che sia già stata sfruttata attivamente si coordina senza indebito ritardo con il CSIRT ai fini della divulgazione coordinata della vulnerabilità come stabilito all’articolo 12, paragrafo 1, della direttiva (UE) 2022/2555.

5.   Il CSIRT che riceve informazioni relative a minacce informatiche da uno o più soggetti ad alto impatto o a impatto critico a norma dell’articolo 38, paragrafo 6, diffonde tali informazioni e ogni altra informazione rilevante ai fini della prevenzione, dell’individuazione, della risposta o dell’attenuazione del relativo rischio per i soggetti a impatto critico e ad alto impatto nel suo Stato membro e, se del caso, a tutti i CSIRT interessati e al suo punto di contatto unico nazionale, senza indebito ritardo ed entro quattro ore dal ricevimento delle informazioni.

6.   L’autorità competente che viene a conoscenza di informazioni relative a minacce informatiche provenienti da uno o più soggetti ad alto impatto o a impatto critico le trasmette al CSIRT ai fini del paragrafo 5.

7.   Le autorità competenti possono delegare, in tutto o in parte, le responsabilità di cui ai paragrafi 3 e 4 per quanto riguarda uno o più soggetti ad alto impatto o a impatto critico che operano in più di uno Stato membro a un’altra autorità competente in uno di tali Stati membri, previo accordo tra le autorità competenti interessate.

8.   I TSO, con l’assistenza dell’ENTSO per l’energia elettrica e in cooperazione con l’EU DSO, elaborano una metodologia della scala di classificazione degli attacchi informatici entro il 13 giugno 2025. I TSO, con l’assistenza dell’ENTSO per l’energia elettrica e dell’EU DSO, possono chiedere alle autorità competenti di consultare l’ENISA e le loro autorità competenti per la cibersicurezza per ricevere assistenza nell’elaborazione di tale scala di classificazione. La metodologia consente di classificare la gravità di un attacco informatico con una scala a cinque livelli, di cui i due più elevati sono «alta» e «critica». La classificazione si basa sulla valutazione dei parametri seguenti:

9.   Entro il 13 giugno 2026, l’ENTSO per l’energia elettrica, in collaborazione con l’EU DSO, effettua uno studio di fattibilità per valutare se è possibile sviluppare, e a quali costi finanziari, uno strumento comune che consenta a tutti i soggetti di condividere le informazioni con le autorità nazionali competenti.

10.   Lo studio di fattibilità esamina la possibilità che tale strumento comune:

11.   L’ENTSO per l’energia elettrica, in cooperazione con l’EU DSO:

12.   L’ENTSO per l’energia elettrica, in cooperazione con l’EU DSO, può analizzare e agevolare le iniziative proposte da soggetti a impatto critico e ad alto impatto per valutare e sperimentare tali strumenti di condivisione di informazioni.

1.   Il soggetto ad alto impatto e a impatto critico:

2.   L’ENISA può emanare orientamenti non vincolanti sull’acquisizione di tali capacità o sul subappalto del servizio agli MSSP, nell’ambito del compito definito all’articolo 6, paragrafo 2, del regolamento (UE) 2019/881.

3.   Il soggetto a impatto critico e ad alto impatto condivide le informazioni rilevanti relative a un attacco informatico da segnalare con i propri CSIRT e con la propria autorità competente, senza indebito ritardo ed entro quattro ore dal momento in cui viene a conoscenza del fatto che l’incidente è da segnalare.

4.   Le informazioni relative a un attacco informatico sono considerate da segnalare quando la valutazione dell’attacco informatico eseguita dal soggetto interessato stima una criticità da «alta» a «critica», secondo la metodologia della scala di classificazione degli attacchi informatici a norma dell’articolo 37, paragrafo 8. Il punto di contatto unico a livello di soggetto designato a norma del paragrafo 1, lettera c), comunica la classificazione dell’incidente.

5.   Qualora i soggetti a impatto critico e ad alto impatto notifichino informazioni rilevanti relative a vulnerabilità sfruttate attivamente non risolte a un CSIRT, quest’ultimo può trasmetterle alla propria autorità competente. Alla luce del livello di sensibilità delle informazioni notificate, il CSIRT può trattenere le informazioni o ritardarne la trasmissione sulla base di giustificati motivi connessi alla cibersicurezza.

6.   Il soggetto a impatto critico e ad alto impatto trasmette senza indebito ritardo ai propri CSIRT tutte le informazioni relative a una minaccia informatica da segnalare che possa avere un effetto transfrontaliero. Le informazioni relative a una minaccia informatica sono considerate da segnalare quando è soddisfatta almeno una delle seguenti condizioni:

7.   All’atto della condivisione delle informazioni a norma del presente articolo, il soggetto a impatto critico e ad alto impatto specifica quanto segue:

8.   Quando il soggetto critico o ad alto impatto notifica un incidente significativo a norma dell’articolo 23 della direttiva (UE) 2022/2555 e la segnalazione dell’incidente a norma di tale articolo contiene le informazioni pertinenti di cui al paragrafo 3 del presente articolo, la segnalazione del soggetto a norma dell’articolo 23, paragrafo 1, di detta direttiva costituisce una segnalazione di informazioni ai sensi del paragrafo 3 del presente articolo.

9.   Il soggetto a impatto critico e ad alto impatto riferisce alla propria autorità competente o al proprio CSIRT indicando chiaramente le informazioni specifiche che devono essere condivise esclusivamente con l’autorità competente o il CSIRT nei casi in cui la condivisione delle informazioni potrebbe essere fonte di un attacco informatico. Il soggetto a impatto critico e ad alto impatto ha il diritto di fornire una versione non riservata delle informazioni al CSIRT competente.

1.   I soggetti a impatto critico e ad alto impatto acquisiscono le capacità necessarie per gestire gli attacchi informatici individuati con il necessario sostegno della pertinente autorità competente, dell’ENTSO per l’energia elettrica e dell’EU DSO. I soggetti a impatto critico e ad alto impatto possono essere sostenuti dal CSIRT designato nei loro rispettivi Stati membri nell’ambito del compito assegnato ai CSIRT dall’articolo 11, paragrafo 5, lettera a), della direttiva (UE) 2022/2555. I soggetti ad impatto critico e ad alto impatto attuano processi efficaci per individuare, classificare e dare risposta agli attacchi informatici che incideranno o potrebbero incidere sui flussi transfrontalieri di energia elettrica, al fine di ridurne al minimo l’impatto.

2.   Se un attacco informatico ha un effetto sui flussi transfrontalieri di energia elettrica, i punti di contatto unici a livello dei soggetti a impatto critico e ad alto impatto interessati cooperano per condividere informazioni tra loro, coordinati dall’autorità competente dello Stato membro in cui l’attacco informatico è stato segnalato per la prima volta.

3.   I soggetti a impatto critico e ad alto impatto:

4.   I compiti di cui al paragrafo 1 possono essere delegati dagli Stati membri anche ai centri di coordinamento regionali conformemente all’articolo 37, paragrafo 2, del regolamento (UE) 2019/943.

1.   Quando l’autorità competente determina che una crisi dell’energia elettrica è connessa a un attacco informatico che ha un impatto su più di uno Stato membro, le autorità competenti degli Stati membri interessati, le autorità competenti per la cibersicurezza, le autorità competenti per la preparazione ai rischi e le autorità di gestione delle crisi informatiche nei sistemi informatici e di rete degli Stati membri colpiti istituiscono congiuntamente un gruppo ad hoc di coordinamento transfrontaliero di crisi.

2.   Il gruppo ad hoc di coordinamento transfrontaliero di crisi:

3.   Se l’attacco informatico rientra – o si prevede che possa rientrare – nella classificazione di incidente di cibersicurezza su vasta scala, il gruppo ad hoc di coordinamento transfrontaliero di crisi informa immediatamente le autorità nazionali di gestione delle crisi informatiche negli Stati membri interessati dall’incidente, a norma dell’articolo 9, paragrafo 1, della direttiva (UE) 2022/2555, nonché la Commissione e EU CyCLONe. In tale situazione, il gruppo ad hoc di coordinamento transfrontaliero di crisi sostiene EU CyCLONe riguardo alle specificità settoriali.

4.   I soggetti a impatto critico e ad alto impatto elaborano e detengono capacità, orientamenti interni e piani di preparazione e tengono a disposizione membri del personale per partecipare all’individuazione e all’attenuazione delle crisi transfrontaliere. Il soggetto a impatto critico o ad alto impatto colpito da una crisi simultanea dell’energia elettrica indaga sulle cause alla radice di tale crisi in cooperazione con la sua autorità competente, per determinare in che misura la crisi sia connessa a un attacco informatico.

5.   I compiti di cui al paragrafo 4 possono essere delegati dagli Stati membri anche ai centri di coordinamento regionali conformemente all’articolo 37, paragrafo 2, del regolamento (UE) 2019/943.

1.   Entro 24 mesi dalla notifica all’ACER della relazione di valutazione del rischio a livello dell’Unione, l’ACER, in stretta cooperazione con l’ENISA, l’ENTSO per l’energia elettrica, l’EU DSO, le autorità competenti, le autorità competenti per la cibersicurezza, le autorità competenti per la preparazione ai rischi, le autorità nazionali di regolazione e le autorità nazionali di gestione delle crisi informatiche nei sistemi informatici e di rete, elabora un piano di gestione delle crisi di cibersicurezza e di risposta a livello dell’Unione per il settore dell’energia elettrica.

2.   Entro 12 mesi dall’elaborazione, da parte dell’ACER, del piano di gestione delle crisi di cibersicurezza e di risposta a livello dell’Unione per il settore dell’energia elettrica a norma del paragrafo 1, l’autorità competente elabora un piano nazionale di gestione delle crisi di cibersicurezza e di risposta per i flussi transfrontalieri di energia elettrica che tenga conto del piano di gestione delle crisi di cibersicurezza a livello dell’Unione e del piano nazionale di preparazione ai rischi istituito a norma dell’articolo 10 del regolamento (UE) 2019/941. Tale piano è coerente con il piano di risposta agli incidenti e alle crisi di cibersicurezza su vasta scala a norma dell’articolo 9, paragrafo 4, della direttiva (UE) 2022/2555. L’autorità competente si coordina con i soggetti a impatto critico e ad alto impatto e con l’autorità competente per la preparazione ai rischi nel proprio Stato membro.

3.   Il piano nazionale di risposta agli incidenti e alle crisi di cibersicurezza su vasta scala a norma dell’articolo 9, paragrafo 4, della direttiva (UE) 2022/2555 è considerato un piano nazionale di gestione delle crisi di cibersicurezza a norma del presente articolo se include disposizioni in materia di gestione delle crisi e risposta alle crisi per i flussi transfrontalieri di energia elettrica.

4.   I compiti elencati ai paragrafi 1 e 2 possono essere delegati dagli Stati membri anche ai centri di coordinamento regionali conformemente all’articolo 37, paragrafo 2, del regolamento (UE) 2019/943.

5.   I soggetti a impatto critico e ad alto impatto garantiscono che i loro processi di gestione delle crisi connesse alla cibersicurezza:

6.   Entro 12 mesi dalla notifica dei soggetti ad alto impatto e a impatto critico a norma dell’articolo 24, paragrafo 6, e successivamente ogni tre anni, i soggetti a impatto critico e ad alto impatto elaborano un piano di gestione delle crisi a livello di soggetto per una crisi connessa alla cibersicurezza, che inseriscono nei loro piani generali di gestione delle crisi. Tale piano include almeno:

7.   Le misure per la gestione delle crisi di cui all’articolo 21, paragrafo 2, lettera c), della direttiva (UE) 2022/2555 sono considerate un piano di gestione delle crisi a livello di soggetto per il settore dell’energia elettrica ai sensi del presente articolo se includono tutti gli elementi elencati al paragrafo 6.

8.   I piani di gestione delle crisi sono sperimentati durante le esercitazioni di cibersicurezza di cui agli articoli 43, 44 e 45.

9.   I soggetti a impatto critico e ad alto impatto includono i loro piani di gestione delle crisi a livello di soggetto nei loro piani di continuità operativa per i processi a impatto critico e ad alto impatto. I piani di gestione delle crisi a livello di soggetto comprendono:

10.   I soggetti a impatto critico e ad alto impatto aggiornano i loro piani di gestione delle crisi a livello di soggetto almeno ogni tre anni e ogniqualvolta necessario.

11.   L’ACER aggiorna il piano di gestione delle crisi di cibersicurezza e di risposta a livello dell’Unione per il settore dell’energia elettrica elaborato a norma del paragrafo 1 almeno ogni tre anni e ogniqualvolta necessario.

12.   L’autorità competente aggiorna il piano nazionale di gestione delle crisi di cibersicurezza e di risposta per i flussi transfrontalieri di energia elettrica elaborato a norma del paragrafo 2 almeno ogni tre anni e ogniqualvolta necessario.

13.   I soggetti a impatto critico e ad alto impatto sperimentano i loro piani di continuità operativa almeno una volta ogni tre anni o in seguito a modifiche di rilievo apportate a un processo a impatto critico. L’esito della prova del piano di continuità operativa è documentato. I soggetti a impatto critico e ad alto impatto possono includere la prova del loro piano di continuità operativa nelle esercitazioni di cibersicurezza.

14.   I soggetti a impatto critico e ad alto impatto aggiornano il loro piano di continuità operativa ogniqualvolta necessario e almeno una volta ogni tre anni, tenendo conto dell’esito della prova.

15.   Se una prova individua carenze nel piano di continuità operativa, il soggetto a impatto critico e ad alto impatto le corregge entro 180 giorni di calendario dalla verifica ed effettua una nuova prova per dimostrare l’efficacia delle misure correttive.

16.   Il soggetto a impatto critico o ad alto impatto che non è in grado di correggere le carenze entro 180 giorni di calendario include i motivi nella relazione da trasmettere alla propria autorità competente a norma dell’articolo 27.

1.   Le autorità competenti cooperano con l’ENISA per acquisire capacità di preallarme di cibersicurezza per l’energia elettrica nell’ambito dell’assistenza agli Stati membri a norma dell’articolo 6, paragrafo 2, e dell’articolo 7 del regolamento (UE) 2019/881.

2.   Le capacità di preallarme di cibersicurezza per l’energia elettrica consentono all’ENISA, nello svolgimento dei compiti di cui all’articolo 7, paragrafo 7, del regolamento (UE) 2019/881, di:

3.   I CSIRT diffondono senza indugio le informazioni ricevute dall’ENISA ai soggetti interessati, nell’ambito dei loro compiti definiti all’articolo 11, paragrafo 3, lettera b), della direttiva (UE) 2022/2555.

4.   L’ACER controlla l’efficacia delle capacità di preallarme di cibersicurezza per l’energia elettrica. L’ENISA assiste l’ACER fornendo tutte le informazioni necessarie a norma dell’articolo 6, paragrafo 2, e dell’articolo 7, paragrafo 1, del regolamento (UE) 2019/881. L’analisi di tale attività di controllo rientra nel controllo di cui all’articolo 12 del presente regolamento.

1.   Entro il 31 dicembre dell’anno successivo alla notifica dei soggetti ad impatto critico, e successivamente ogni tre anni, il soggetto ad impatto critico effettua un’esercitazione di cibersicurezza comprendente uno o più scenari con attacchi informatici che incidono direttamente o indirettamente sui flussi transfrontalieri di energia elettrica e relativi ai rischi individuati durante le valutazioni del rischio per la cibersicurezza a livello di Stato membro e di soggetto conformemente all’articolo 20 e all’articolo 27.

2.   In deroga al paragrafo 1, le autorità competenti per la preparazione ai rischi, previa consultazione dell’autorità competente e della pertinente autorità di gestione delle crisi di cibersicurezza designata o istituita a norma dell’articolo 9 della direttiva (UE) 2022/2555, possono decidere di organizzare un’esercitazione di cibersicurezza a livello di Stato membro, come descritto al paragrafo 1, anziché a livello di soggetto. A tale riguardo, l’autorità competente informa:

3.   L’autorità competente per la preparazione ai rischi, con il sostegno tecnico dei suoi CSIRT, organizza l’esercitazione di cibersicurezza di cui al paragrafo 2 a livello di Stato membro in modo indipendente o nel contesto di una diversa esercitazione di cibersicurezza nel medesimo Stato membro. Al fine di poter raggruppare tali esercitazioni, l’autorità competente per la preparazione ai rischi può rinviare di un anno l’esercitazione di cibersicurezza a livello di Stato membro di cui al paragrafo 1.

4.   Le esercitazioni di cibersicurezza a livello di soggetto e di Stato membro sono coerenti con i quadri nazionali di gestione delle crisi informatiche conformemente all’articolo 9, paragrafo 4, lettera d), della direttiva (UE) 2022/2555.

5.   Entro il 31 dicembre 2026, e successivamente ogni tre anni, l’ENTSO per l’energia elettrica, in cooperazione con l’EU DSO, mette a disposizione un modello di scenario di esercitazione per effettuare le esercitazioni di cibersicurezza a livello di soggetto e di Stato membro di cui al paragrafo 1. Il modello tiene conto dei risultati della più recente valutazione del rischio per la cibersicurezza a livello di soggetto e di Stato membro e include i principali criteri di riuscita. L’ENTSO per l’energia elettrica e l’EU DSO coinvolgono l’ACER e l’ENISA nell’elaborazione del modello.

1.   Entro il 31 dicembre 2029, e successivamente ogni tre anni, in ciascuna regione di gestione di sistema l’ENTSO per l’energia elettrica organizza, in cooperazione con l’EU DSO, un’esercitazione di cibersicurezza regionale. Partecipano all’esercitazione di cibersicurezza regionale i soggetti a impatto critico della regione di gestione di sistema. L’ENTSO per l’energia elettrica, in cooperazione con l’EU DSO, può organizzare, in luogo di un esercizio regionale di cibersicurezza, un’esercitazione di cibersicurezza transregionale in più di una regione di gestione di sistema nello stesso arco di tempo. L’esercitazione dovrebbe tenere conto di altri scenari e valutazioni del rischio per la cibersicurezza esistenti elaborati a livello dell’Unione.

2.   L’ENISA sostiene l’ENTSO per l’energia elettrica e l’EU DSO nella preparazione e nell’organizzazione dell’esercitazione di cibersicurezza a livello regionale o transregionale.

3.   L’ENTSO per l’energia elettrica, in coordinamento con l’EU DSO, informa i soggetti a impatto critico che partecipano all’esercitazione di cibersicurezza regionale o transregionale sei mesi prima dello svolgimento dell’esercitazione.

4.   L’organizzatore di un’esercitazione di cibersicurezza periodica a livello dell’Unione a norma dell’articolo 7, paragrafo 5, del regolamento (UE) 2019/881, o di qualsiasi esercitazione obbligatoria di cibersicurezza relativa al settore dell’energia elettrica all’interno dello stesso perimetro geografico, può invitare l’ENTSO per l’energia elettrica e l’EU DSO a partecipare. In tali casi, l’obbligo di cui al paragrafo 1 non si applica, a condizione che tutti i soggetti a impatto critico della regione di gestione del sistema partecipino alla stessa esercitazione.

5.   Se partecipano a un’esercitazione di cibersicurezza di cui al paragrafo 4, l’ENTSO per l’energia elettrica e l’EU DSO possono rinviare di un anno l’esercitazione di cibersicurezza regionale o interregionale di cui al paragrafo 1.

6.   Entro il 31 dicembre 2027, e successivamente ogni tre anni, l’ENTSO per l’energia elettrica, in coordinamento con l’EU DSO, mette a disposizione un modello di esercitazione per effettuare le esercitazioni di cibersicurezza regionali e transregionali. Il modello tiene conto dei risultati della più recente valutazione del rischio per la cibersicurezza a livello regionale e include i principali criteri di riuscita. L’ENTSO per l’energia elettrica consulta la Commissione e può chiedere il parere dell’ACER, dell’ENISA e del Centro comune di ricerca sull’organizzazione e sull’esecuzione delle esercitazioni di cibersicurezza regionali e transregionali.

1.   Su richiesta del soggetto a impatto critico, i prestatori di servizi critici partecipano alle esercitazioni di cibersicurezza di cui all’articolo 43, paragrafi 1 e 2, e all’articolo 44, paragrafo 1, quando prestano servizi per il soggetto a impatto critico nell’area corrispondente all’ambito dell’esercitazione di cibersicurezza.

2.   Gli organizzatori delle esercitazioni di cibersicurezza di cui all’articolo 43, paragrafi 1 e 2, e all’articolo 44, paragrafo 1, con il parere dell’ENISA se essi lo richiedono e a norma dell’articolo 7, paragrafo 5, del regolamento (UE) 2019/881, analizzano e completano l’esercitazione di cibersicurezza con una relazione di sintesi degli insegnamenti tratti, indirizzata a tutti i partecipanti. La relazione comprende:

3.   Se richiesto dalla rete di CSIRT, dal gruppo di cooperazione NIS o da EU CyCLONe, gli organizzatori delle esercitazioni di cibersicurezza di cui all’articolo 43, paragrafi 1 e 2, e all’articolo 44, paragrafo 1, ne condividono i risultati. Gli organizzatori condividono con ciascun soggetto partecipante alle esercitazioni le informazioni di cui al paragrafo 2, lettere a) e b). Gli organizzatori condividono l’elenco delle raccomandazioni di cui al paragrafo 2, lettera c), esclusivamente con i soggetti cui sono destinate le raccomandazioni.

4.   Gli organizzatori delle esercitazioni di cibersicurezza di cui all’articolo 43, paragrafi 1 e 2, e all’articolo 44, paragrafo 1, verificano periodicamente con i soggetti partecipanti alle esercitazioni l’attuazione delle raccomandazioni a norma del paragrafo 2, lettera c), del presente articolo.

1.   I soggetti elencati all’articolo 2, paragrafo 1, garantiscono che le informazioni fornite, ricevute, scambiate o trasmesse a norma del presente regolamento sono accessibili solo in base al principio della necessità di conoscere e conformemente alle pertinenti disposizioni nazionali e dell’Unione in materia di sicurezza delle informazioni.

2.   I soggetti elencati all’articolo 2, paragrafo 1, garantiscono che le informazioni fornite, ricevute, scambiate o trasmesse a norma del presente regolamento sono trattate e tracciate durante il loro intero ciclo di vita e possano essere divulgate alla fine del loro ciclo di vita solo dopo essere state anonimizzate.

3.   I soggetti elencati all’articolo 2, paragrafo 1, provvedono affinché siano predisposte tutte le necessarie misure di protezione di natura organizzativa e tecnica per salvaguardare e tutelare la riservatezza, l’integrità, la disponibilità e la non disconoscibilità delle informazioni fornite, ricevute, scambiate o trasmesse a norma del presente regolamento, indipendentemente dai mezzi utilizzati. Le misure di protezione:

4.   I soggetti elencati all’articolo 2, paragrafo 1, garantiscono che chiunque abbia avuto accesso alle informazioni fornite, ricevute, scambiate o trasmesse a norma del presente regolamento sia portato a conoscenza delle disposizioni di sicurezza applicabili a livello di soggetto e sulle misure e procedure pertinenti per la protezione delle informazioni. I medesimi soggetti provvedono affinché la persona interessata riconosca la responsabilità di proteggere le informazioni secondo le istruzioni impartite.

5.   I soggetti elencati all’articolo 2, paragrafo 1, garantiscono che l’accesso alle informazioni fornite, ricevute, scambiate o trasmesse a norma del presente regolamento sia limitato alle persone fisiche:

6.   I soggetti elencati all’articolo 2, paragrafo 1, ottengono il consenso scritto della persona fisica o giuridica che ha originariamente creato o fornito le informazioni prima di inviarle a terzi che non rientrano nell’ambito di applicazione del presente regolamento.

7.   Il soggetto elencato all’articolo 2, paragrafo 1, può ritenere di condividere le informazioni in deroga ai paragrafi 1 e 4 del presente articolo al fine di prevenire una crisi simultanea dell’energia elettrica derivante da problemi di cibersicurezza o qualsiasi crisi transfrontaliera nell’Unione in un altro settore. In tal caso, il soggetto:

8.   In deroga al paragrafo 6, le autorità competenti possono fornire le informazioni fornite, ricevute, scambiate o trasmesse a norma del presente regolamento a terzi non elencati all’articolo 2, paragrafo 1, senza il previo consenso scritto dell’originatore delle informazioni ma informandolo il prima possibile. Prima di divulgare le informazioni fornite, ricevute, scambiate o trasmesse a norma del presente regolamento a terzi non elencati all’articolo 2, paragrafo 1, l’autorità competente prende ragionevoli provvedimenti per garantire che il terzo interessato sia a conoscenza delle disposizioni di sicurezza in vigore e riceve ragionevoli garanzie della capacità di quest’ultimo di proteggere le informazioni ricevute in conformità dei paragrafi da 1 a 5. L’autorità competente anonimizza le informazioni senza privarle degli elementi necessari per informare il pubblico di un rischio imminente e grave per i flussi transfrontalieri di energia elettrica e di possibili misure di attenuazione e salvaguarda l’identità dell’originatore delle informazioni. In tal caso, il terzo non elencato all’articolo 2, paragrafo 1, protegge le informazioni ricevute conformemente alle disposizioni già in vigore a livello di soggetto o, qualora ciò non sia possibile, alle disposizioni e alle istruzioni fornite dall’autorità competente.

9.   Il presente articolo non si applica ai soggetti non elencati all’articolo 2, paragrafo 1, ai quali sono trasmesse informazioni a norma del paragrafo 6 del presente articolo. In tal caso si applica il paragrafo 7 del presente articolo o l’autorità competente può fornire al soggetto disposizioni scritte da applicare nei casi in cui siano ricevute informazioni a norma del presente regolamento.

1.   Le informazioni fornite, ricevute, scambiate o trasmesse a norma del presente regolamento sono soggette alle condizioni in materia di segreto professionale di cui ai paragrafi da 2 a 5 del presente articolo e alle prescrizioni di cui all’articolo 65 del regolamento (UE) 2019/943. Le informazioni fornite, ricevute, scambiate o trasmesse tra i soggetti elencati all’articolo 2 del presente regolamento sono protette, ai fini dell’attuazione del presente regolamento, tenendo conto del livello di riservatezza delle informazioni applicato dall’originatore.

2.   Ai soggetti elencati all’articolo 2 si applica l’obbligo del segreto professionale.

3.   Le autorità competenti per la cibersicurezza, le autorità nazionali di regolazione, le autorità competenti per la preparazione ai rischi e i CSIRT si scambiano tutte le informazioni necessarie per svolgere i loro compiti.

4.   Ai fini dell’attuazione dell’articolo 23, le informazioni ricevute, scambiate o trasmesse tra i soggetti elencati all’articolo 2, paragrafo 1, sono anonimizzate e aggregate.

5.   Le informazioni ricevute dal soggetto o dall’autorità cui si applica il presente regolamento nell’espletamento delle loro mansioni non possono essere divulgate ad altri soggetti o autorità, fatti salvi i casi disciplinati dalla normativa nazionale, dalle altre disposizioni del presente regolamento o da altre norme pertinenti dell’Unione.

6.   Fatta salva la legislazione nazionale o dell’Unione, l’autorità, il soggetto o la persona fisica che riceve informazioni a norma del presente regolamento non può utilizzarle per scopi diversi dallo svolgimento delle funzioni attribuitele o attribuitegli a norma del presente regolamento.

7.   Entro il 13 giugno 2025 l’ACER, previa consultazione dell’ENISA, di tutte le autorità competenti, dell’ENTSO per l’energia elettrica e l’EU DSO, emana orientamenti sui meccanismi che consentono a tutti i soggetti elencati all’articolo 2, paragrafo 1, di scambiare informazioni, in particolare i flussi di comunicazione previsti, e sui metodi per anonimizzare e aggregare le informazioni ai fini dell’attuazione del presente articolo.

8.   Le informazioni che sono riservate in forza di disposizioni nazionali e dell’Unione sono scambiate con la Commissione e le altre autorità del caso soltanto se necessario ai fini dell’applicazione del presente regolamento. Le informazioni scambiate sono limitate alle informazioni necessarie e commisurate a tale scopo. Lo scambio di informazioni tutela la riservatezza di dette informazioni e protegge la sicurezza e gli interessi commerciali dei soggetti a impatto critico o ad alto impatto.

1.   Fino all’approvazione dei termini e delle condizioni o delle metodologie di cui all’articolo 6, paragrafo 2, o dei piani di cui all’articolo 6, paragrafo 3, l’ENTSO per l’energia elettrica, in cooperazione con l’EU DSO, elabora orientamenti non vincolanti sulle questioni seguenti:

2.   Entro il 13 ottobre 2024, l’ENTSO per l’energia elettrica, in cooperazione con l’EU DSO, elabora una raccomandazione di ECII provvisorio. L’ENTSO per l’energia elettrica, in cooperazione con l’EU DSO, notifica la raccomandazione di ECII provvisorio alle autorità competenti.

3.   Quattro mesi dopo il ricevimento della raccomandazione di ECII provvisorio, o al più tardi entro il 13 febbraio 2025, le autorità competenti individuano i candidati a soggetti ad alto impatto e a impatto critico nel loro Stato membro sulla base dell’ECII provvisorio e redigono un elenco provvisorio di soggetti ad alto impatto e a impatto critico. I soggetti ad alto impatto e a impatto critico individuati nell’elenco provvisorio possono adempiere volontariamente ai loro obblighi di cui al presente regolamento sulla base di un principio di precauzione. Entro il 13 marzo 2025, le autorità competenti notificano ai soggetti individuati nell’elenco provvisorio che sono stati identificati come soggetti ad alto impatto o a impatto critico.

4.   Entro il 13 dicembre 2024, l’ENTSO per l’energia elettrica, in cooperazione con l’EU DSO, elabora un elenco provvisorio di processi ad alto impatto e a impatto critico a livello dell’Unione. I soggetti notificati a norma del paragrafo 3 che decidono di adempiere volontariamente agli obblighi di cui al presente regolamento sulla base di un principio di precauzione utilizzano l’elenco provvisorio dei processi ad alto impatto e a impatto critico per determinare i perimetri provvisori ad alto impatto e a impatto critico e per determinare quali attività devono essere incluse nella prima valutazione del rischio per la cibersicurezza a livello di soggetto.

5.   Entro il 13 settembre 2024, l’autorità competente a norma dell’articolo 4, paragrafo 1, trasmette all’ENTSO per l’energia elettrica e all’EU DSO un elenco dei propri atti legislativi nazionali che hanno rilevanza per gli aspetti di cibersicurezza dei flussi transfrontalieri di energia elettrica.

6.   Entro il 13 giugno 2025, l’ENTSO per l’energia elettrica, in cooperazione con l’EU DSO, elabora un elenco provvisorio delle norme e dei controlli europei e internazionali disposti dalla legislazione nazionale che hanno rilevanza per gli aspetti di cibersicurezza dei flussi transfrontalieri di energia elettrica, tenendo conto delle informazioni fornite dalle autorità competenti.

7.   L’elenco provvisorio delle norme e dei controlli europei e internazionali comprende:

8.   In sede di ultimazione dell’elenco provvisorio di norme, l’ENTSO per l’energia elettrica e l’EU DSO tengono conto dei pareri espressi dall’ENISA e dall’ACER. L’ENTSO per l’energia elettrica e l’EU DSO pubblicano sui loro siti web l’elenco provvisorio delle norme e dei controlli europei e internazionali.

9.   L’ENTSO per l’energia elettrica e l’EU DSO consultano l’ENISA e l’ACER in merito alle proposte di orientamenti non vincolanti elaborate a norma del paragrafo 1.

10.   In attesa dell’elaborazione dei controlli minimi e avanzati di cibersicurezza a norma dell’articolo 29 e della loro adozione a norma dell’articolo 8, tutti i soggetti elencati all’articolo 2, paragrafo 1, si adoperano per applicare progressivamente gli orientamenti non vincolanti elaborati a norma del paragrafo 1.