le imprese elettriche quali definite all’articolo 2, punto 57), della direttiva (UE) 2019/944;

i gestori del mercato elettrico designati quali definiti all’articolo 2, punto 8), della direttiva (UE) 2019/943;

i mercati organizzati quali definiti all’articolo 2, punto 4), del regolamento di esecuzione (UE) n. 1348/2014 della Commissione ( 1 ) che gestiscono operazioni su prodotti pertinenti ai flussi transfrontalieri di energia elettrica;

i prestatori di servizi TIC critici di cui all’articolo 3, punto 9), del presente regolamento;

l’ENTSO per l’energia elettrica istituita a norma dell’articolo 28 del regolamento (UE) 2019/943;

l’EU DSO istituito a norma dell’articolo 52 del regolamento (UE) 2019/943;

i responsabili del bilanciamento quali definiti all’articolo 2, punto 14), del regolamento (UE) 2019/943;

i gestori di punti di ricarica quali definiti nell’allegato I della direttiva (UE) 2022/2555;

i centri di coordinamento regionali (RCC) istituiti a norma dell’articolo 35 del regolamento (UE) 2019/943;

i prestatori di servizi di sicurezza gestiti (MSSP) quali definiti all’articolo 6, punto 40), della direttiva (UE) 2022/2555;

ogni altro soggetto o terzo cui sono state delegate o attribuite responsabilità a norma del presente regolamento.

l’Agenzia dell’Unione europea per la cooperazione fra i regolatori nazionali dell’energia (ACER) istituita dal regolamento (UE) 2019/942 del Parlamento europeo e del Consiglio ( 2 );

le autorità nazionali competenti per l’esecuzione dei compiti loro assegnati a norma del presente regolamento e designate dagli Stati membri a norma dell’articolo 4 («autorità competente»);

le autorità nazionali di regolazione designate da ciascuno Stato membro ai sensi dell’articolo 57, paragrafo 1, della direttiva (UE) 2019/944;

le autorità competenti per la preparazione ai rischi istituite a norma dell’articolo 3 del regolamento (UE) 2019/941;

i team di risposta agli incidenti di sicurezza informatica («CSIRT») quali designati o istituiti a norma dell’articolo 10 della direttiva (UE) 2022/2555;

le autorità competenti per la cibersicurezza quali designate o istituite a norma dell’articolo 8 della direttiva (UE) 2022/2555;

l’Agenzia dell’Unione europea per la cibersicurezza, istituita a norma del regolamento (UE) 2019/881;

ogni altra autorità o terzo cui sono state delegate o attribuite responsabilità a norma dell’articolo 4, paragrafo 3.

le metodologie di valutazione del rischio per la cibersicurezza di cui all’articolo 18, paragrafo 1;

la relazione globale di valutazione transfrontaliera del rischio per la cibersicurezza dell’energia elettrica a norma dell’articolo 23;

i controlli minimi e avanzati di cibersicurezza a norma dell’articolo 29, la mappatura dei controlli sulla cibersicurezza dell’energia elettrica in riferimento alle norme di cui all’articolo 34, compresi i controlli minimi e avanzati di cibersicurezza nella catena di approvvigionamento conformemente all’articolo 33;

una raccomandazione per gli appalti riguardo alla cibersicurezza a norma dell’articolo 35;

la metodologia della scala di classificazione degli attacchi informatici a norma dell’articolo 37, paragrafo 8.

TSO rappresentanti almeno il 55 % degli Stati membri; e

TSO rappresentanti Stati membri che totalizzano almeno il 65 % della popolazione dell’Unione.

TSO rappresentanti almeno il 72 % degli Stati membri interessati; e

TSO rappresentanti Stati membri che totalizzano almeno il 65 % della popolazione dell’area interessata.

riesaminare lo stato di attuazione delle misure di gestione dei rischi per la cibersicurezza applicabili per quanto riguarda i soggetti ad alto impatto e a impatto critico;

individuare l’eventuale necessità di ulteriori disposizioni in materia di requisiti comuni, pianificazione, controllo, comunicazione e gestione delle crisi per prevenire i rischi nel settore dell’energia elettrica; e

individuare margini di miglioramento per la revisione del presente regolamento o determinare gli ambiti non disciplinati e le nuove priorità che possono emergere in funzione degli sviluppi tecnologici.

attenuano i rischi che hanno un impatto sui flussi transfrontalieri di energia elettrica;

ottengono i risultati auspicati e aumentano i guadagni di efficienza per lo sviluppo dei sistemi elettrici;

sono efficienti e bene integrati nei processi di acquisizione di asset e servizi.

la spesa media per la cibersicurezza volta ad attenuare i rischi che hanno un impatto sui flussi transfrontalieri di energia elettrica, in particolare per quanto riguarda i soggetti ad alto impatto e a impatto critico;

in cooperazione con l’ENTSO per l’energia elettrica e con l’EU DSO, i prezzi medi dei servizi, dei sistemi e dei prodotti di cibersicurezza che contribuiscono in larga misura al miglioramento e alla manutenzione delle misure di gestione dei rischi per la cibersicurezza nelle diverse regioni di gestione del sistema;

l’esistenza e il livello di comparabilità di costi e funzioni dei servizi, dei sistemi e delle soluzioni di cibersicurezza idonei all’attuazione del presente regolamento, individuando possibili misure necessarie per promuovere l’efficienza della spesa, in particolare ove possano essere necessari investimenti tecnologici in cibersicurezza.

elaborazione delle metodologie di valutazione dei rischi per la cibersicurezza di cui all’articolo 18, paragrafo 1;

elaborazione della relazione globale di valutazione transfrontaliera del rischio per la cibersicurezza dell’energia elettrica a norma dell’articolo 23;

elaborazione del quadro comune per la cibersicurezza dell’energia elettrica a norma del capo III;

formulazione della raccomandazione per gli appalti riguardo alla cibersicurezza a norma dell’articolo 35;

elaborazione della metodologia della scala di classificazione degli attacchi informatici a norma dell’articolo 37, paragrafo 8;

elaborazione dell’indice provvisorio di impatto sulla cibersicurezza dell’energia elettrica (ECII) a norma dell’articolo 48, paragrafo 1, lettera a);

stesura dell’elenco provvisorio consolidato dei soggetti ad alto impatto e a impatto critico a norma dell’articolo 48, paragrafo 3;

stesura dell’elenco provvisorio dei processi ad alto impatto e a impatto critico a livello dell’Unione a norma dell’articolo 48, paragrafo 4;

stesura dell’elenco provvisorio delle norme e dei controlli europei e internazionali a norma dell’articolo 48, paragrafo 6;

esecuzione della valutazione dei rischi per la cibersicurezza a livello dell’Unione a norma dell’articolo 19;

esecuzione delle valutazioni dei rischi per la cibersicurezza a livello regionale a norma dell’articolo 21;

definizione dei piani di attenuazione dei rischi per la cibersicurezza a livello regionale a norma dell’articolo 22;

elaborazione di orientamenti su sistemi europei di certificazione della cibersicurezza per prodotti TIC, servizi TIC e processi TIC conformemente all’articolo 36;

elaborazione di orientamenti per l’attuazione del presente regolamento in consultazione con l’ACER e l’ENISA.

un elenco delle minacce informatiche da considerare, comprendente almeno le seguenti minacce alla catena di approvvigionamento:

i criteri per valutare l’impatto del rischio per la cibersicurezza come alto o critico, utilizzando soglie definite per le conseguenze e per la probabilità;

un approccio per analizzare il rischio per la cibersicurezza derivante da sistemi legacy, da effetti a cascata degli attacchi informatici e dal funzionamento in tempo reale dei sistemi che gestiscono la rete;

un approccio per analizzare il rischio per la cibersicurezza derivante dalla dipendenza da un unico fornitore di prodotti TIC, servizi TIC o processi TIC.

misura le conseguenze degli attacchi informatici sulla base dei criteri seguenti:

misura la probabilità di un incidente in termini di frequenza annuale di attacchi informatici.

i processi ad alto impatto e a impatto critico a livello dell’Unione;

una matrice dell’impatto del rischio che i soggetti e le autorità competenti utilizzano per valutare il rischio per la cibersicurezza individuato nella valutazione del rischio per la cibersicurezza a livello di Stato membro effettuata a norma dell’articolo 20 e nella valutazione del rischio per la cibersicurezza a livello di soggetto a norma dell’articolo 26, paragrafo 2, lettera b).

una valutazione delle possibili conseguenze di un attacco informatico utilizzando i parametri definiti nella metodologia di valutazione del rischio per la cibersicurezza elaborata a norma dell’articolo 18, paragrafi 2, 3 e 4, e approvata a norma dell’articolo 8;

l’ECII e le soglie di alto impatto e di impatto critico che le autorità competenti utilizzano a norma dell’articolo 24, paragrafi 1 e 2, per individuare i soggetti ad alto impatto e a impatto critico coinvolti nei processi ad alto impatto e a impatto critico a livello dell’Unione.

lo stato di attuazione dei controlli minimi e avanzati di cibersicurezza a norma dell’articolo 29;

un elenco di tutti gli attacchi informatici segnalati nei tre anni precedenti a norma dell’articolo 38, paragrafo 3;

una sintesi di tutte le minacce informatiche segnalate nei tre anni precedenti a norma dell’articolo 38, paragrafo 6;

per ciascun processo ad alto impatto o a impatto critico a livello dell’Unione, una stima del rischio di compromissione della riservatezza, dell’integrità e della disponibilità delle informazioni e degli asset corrispondenti;

se necessario, un elenco di altri soggetti individuati come ad alto impatto o a impatto critico a norma dell’articolo 24, paragrafi 1, 2, 3 e 5.

i controlli minimi e avanzati di cibersicurezza che i soggetti ad alto impatto e a impatto critico devono applicare nella regione di gestione del sistema;

i rischi residui di cibersicurezza nelle regioni di gestione del sistema dopo l’applicazione dei controlli di cui alla lettera a).

l’elenco dei processi a livello dell’Unione ad alto impatto e a impatto critico individuati nella relazione di valutazione del rischio per la cibersicurezza a livello dell’Unione conformemente all’articolo 19, paragrafo 2, lettera a), compresa la stima della probabilità e dell’impatto dei rischi per la cibersicurezza valutati nelle relazioni di valutazione del rischio per la cibersicurezza a livello regionale a norma dell’articolo 21, paragrafo 2, e dell’articolo 19, paragrafo 3, lettera a);

le minacce informatiche attuali, con particolare attenzione alle minacce e ai rischi emergenti per il sistema elettrico;

gli attacchi informatici del periodo precedente a livello dell’Unione, con una sintesi critica di come tali attacchi informatici possono aver avuto un impatto sui flussi transfrontalieri di energia elettrica;

la situazione generale dell’attuazione delle misure di cibersicurezza;

la situazione dei flussi di informazioni a norma degli articoli 37 e 38;

l’elenco delle informazioni o i criteri specifici per la classificazione delle informazioni a norma dell’articolo 46;

i rischi individuati ed evidenziati che possono derivare da una gestione non sicura della catena di approvvigionamento;

i risultati e le esperienze acquisiti con le esercitazioni di cibersicurezza regionali e transregionali organizzate a norma dell’articolo 44;

un’analisi dello sviluppo dei rischi transfrontalieri complessivi per la cibersicurezza nel settore dell’energia elettrica dopo le ultime valutazioni del rischio per la cibersicurezza a livello regionale;

ogni altra informazione che possa essere utile per individuare eventuali perfezionamenti del presente regolamento o la necessità di una revisione del presente regolamento o di uno dei suoi strumenti; e

informazioni aggregate e anonimizzate sulle deroghe concesse a norma dell’articolo 30, paragrafo 3.

il soggetto fa parte di un gruppo di soggetti esposti a un rischio significativo di subire simultaneamente un attacco informatico;

l’ECII aggregato per il gruppo di soggetti è superiore alla soglia di alto impatto o di impatto critico.

qualsiasi soggetto che effettua la valutazione inter pares, l’audit o l’ispezione è indipendente dal soggetto a impatto critico sottoposto a verifica e non ha conflitti di interesse;

il personale che effettua la valutazione inter pares, l’audit o l’ispezione ha una conoscenza dimostrabile di:

al soggetto che effettua la valutazione inter pares, l’audit o l’ispezione è concesso un periodo di tempo sufficiente per svolgere tali attività;

il soggetto che effettua la verifica inter pares, l’audit o l’ispezione adotta le misure appropriate per proteggere le informazioni raccolte durante la verifica, in linea con il loro livello di riservatezza; e

le verifiche inter pares, gli audit o le ispezioni sono effettuati almeno una volta all’anno e coprono l’intero ambito della verifica almeno ogni tre anni.

definizione del contesto;

valutazione del rischio per la cibersicurezza a livello di soggetto;

trattamento del rischio per la cibersicurezza;

accettazione del rischio per la cibersicurezza.

definisce l’ambito di applicazione della valutazione del rischio per la cibersicurezza, compresi i processi ad alto impatto e a impatto critico individuati dall’ENTSO per l’energia elettrica e dall’EU DSO e altri processi suscettibili di subire attacchi informatici ad alto impatto o a impatto critico sui flussi transfrontalieri di energia elettrica; e

definisce i criteri per la valutazione e l’accettazione del rischio conformemente alla matrice di impatto del rischio che i soggetti e le autorità competenti utilizzano nelle metodologie di valutazione del rischio per la cibersicurezza a livello dell’Unione, a livello regionale e a livello di Stato membro elaborate dall’ENTSO per l’energia elettrica e dall’EU DSO conformemente all’articolo 19, paragrafo 2.

individua i rischi per la cibersicurezza tenendo conto:

analizza la probabilità e le conseguenze dei rischi per la cibersicurezza individuati alla lettera a) e determina il livello del rischio per la cibersicurezza mediante la matrice di impatto utilizzata nelle metodologie di valutazione del rischio per la cibersicurezza a livello dell’Unione, a livello regionale e a livello di Stato membro elaborate dai TSO con l’assistenza dell’ENTSO per l’energia elettrica e in collaborazione con l’EU DSO conformemente all’articolo 19, paragrafo 2;

classifica gli asset in base alle possibili conseguenze della compromissione della cibersicurezza e determina il perimetro ad alto impatto e a impatto critico procedendo come segue:

valuta il grado di priorità dei rischi per la cibersicurezza in base ai criteri di valutazione e di accettazione di cui al paragrafo 3, lettera b).

i controlli minimi di cibersicurezza, elaborati conformemente all’articolo 29;

i controlli avanzati di cibersicurezza, elaborati conformemente all’articolo 29;

la matrice di mappatura, elaborata conformemente all’articolo 34, che rileva i controlli di cui alle lettere a) e b) in riferimento a norme europee e internazionali e quadri legislativi o regolamentari nazionali selezionati;

il sistema di gestione della cibersicurezza istituito in applicazione dell’articolo 32.

in circostanze eccezionali, se il soggetto può dimostrare che i costi di attuazione dei controlli di cibersicurezza superano significativamente i benefici. L’ACER e l’ENTSO per l’energia elettrica, in cooperazione con l’EU DSO, possono elaborare congiuntamente orientamenti per stimare i costi dei controlli di cibersicurezza, ad uso dei soggetti;

se il soggetto fornisce un piano di trattamento del rischio a livello di soggetto che attenua i rischi per la cibersicurezza utilizzando controlli alternativi a un livello accettabile conformemente ai criteri di accettazione del rischio di cui all’articolo 26, paragrafo 3, lettera b).

determinare l’ambito di applicazione del sistema di gestione della cibersicurezza tenendo conto delle interfacce e delle dipendenze con altri soggetti;

garantire che l’integralità della sua alta dirigenza sia portata a conoscenza dei pertinenti obblighi giuridici e contribuisca attivamente all’attuazione del sistema di gestione della cibersicurezza con decisioni tempestive e reazioni rapide;

garantire la disponibilità delle risorse necessarie per il sistema di gestione della cibersicurezza;

istituire una politica in materia di cibersicurezza che è documentata e comunicata internamente in seno al soggetto e alle parti interessate dai rischi per la sicurezza;

attribuire e comunicare le responsabilità per i ruoli attinenti alla cibersicurezza;

gestire i rischi per la cibersicurezza a livello di soggetto come definito all’articolo 26;

determinare e fornire le risorse necessarie per l’attuazione, il mantenimento e il miglioramento continuo del sistema di gestione della cibersicurezza, tenendo conto delle necessarie competenze e della conoscenza delle risorse per la cibersicurezza;

determinare la comunicazione interna ed esterna pertinente alla cibersicurezza;

creare, aggiornare e controllare le informazioni documentate relative al sistema di gestione della cibersicurezza;

valutare le prestazioni e l’efficacia del sistema di gestione della cibersicurezza;

effettuare audit interni a intervalli pianificati per garantire che il sistema di gestione della cibersicurezza sia attuato e mantenuto in modo efficace;

riesaminare l’attuazione del sistema di gestione della cibersicurezza a intervalli pianificati; controllare e correggere la non conformità delle risorse e delle attività alle politiche, alle procedure e agli orientamenti del sistema di gestione della cibersicurezza.

comprendono raccomandazioni per gli appalti di prodotti TIC, servizi TIC e processi TIC con riferimento alle specifiche di cibersicurezza, riguardanti almeno:

impongono a tali soggetti di tenere conto delle raccomandazioni per gli appalti di cui alla lettera a) al momento di concludere contratti con fornitori, collaboratori e altri partecipanti alla catena di approvvigionamento, riguardanti le consegne ordinarie di prodotti TIC, servizi TIC e processi TIC, nonché eventi e circostanze non previsti quali la risoluzione e la riassegnazione di contratti in caso di negligenza della parte contrattuale;

impongono a tali soggetti di tenere conto dei risultati delle pertinenti valutazioni coordinate del rischio per la sicurezza delle catene di approvvigionamento critiche effettuate a norma dell’articolo 22, paragrafo 1, della direttiva (UE) 2022/2555;

includono criteri per selezionare e appaltare fornitori in grado di soddisfare le specifiche di cibersicurezza di cui alla lettera a) e che possiedono un livello di cibersicurezza adeguato ai rischi per la cibersicurezza del prodotto TIC, del servizio TIC o dei processi TIC forniti;

includono criteri per diversificare le fonti di approvvigionamento per i prodotti TIC, i servizi TIC e i processi TIC e ridurre il rischio di dipendenza da un fornitore;

includono criteri per monitorare, rivedere o verificare periodicamente le specifiche di cibersicurezza per i processi operativi interni del fornitore durante l’intero ciclo di vita di ciascun prodotto TIC, servizio TIC e processo TIC.

una descrizione e una classificazione dei tipi di prodotti TIC, servizi TIC e processi TIC utilizzati dai soggetti ad alto impatto e a impatto critico nel perimetro ad alto impatto e a impatto critico;

un elenco dei tipi di prodotti TIC, servizi TIC e processi TIC per i quali è elaborata una serie di raccomandazioni non vincolanti riguardo alla cibersicurezza sulla base delle pertinenti relazioni di valutazione del rischio per la cibersicurezza a livello regionale e delle priorità dei soggetti ad alto impatto e a impatto critico.

rispettino i principi di aggiudicazione degli appalti a norma della direttiva 2014/24/UE; e

siano compatibili con i più recenti sistemi europei di certificazione della cibersicurezza disponibili per il prodotto TIC, il servizio TIC o il processo TIC e ne tengano conto.

valuta il livello di riservatezza di tali informazioni e informa il soggetto in merito all’esito della sua valutazione senza indebito ritardo e comunque entro 24 ore dal ricevimento delle informazioni;

si adopera per reperire eventuali altri attacchi informatici analoghi nell’Unione segnalati ad altre autorità competenti, al fine di correlare le informazioni ricevute nel contesto dell’attacco informatico da segnalare con quelle fornite nel contesto di altri attacchi informatici e di arricchire le informazioni esistenti, rafforzando e coordinando le risposte alle minacce alla cibersicurezza;

è responsabile della rimozione dei segreti commerciali e dell’anonimizzazione delle informazioni conformemente alle pertinenti disposizioni nazionali e dell’Unione;

condivide le informazioni con i punti di contatto unici nazionali, i CSIRT e tutte le autorità competenti designate a norma dell’articolo 4 in altri Stati membri, senza indebito ritardo ed entro 24 ore dalla presa di conoscenza di un attacco informatico da segnalare, e trasmette periodicamente informazioni aggiornate a dette autorità o organismi;

diffonde le informazioni relative all’attacco informatico, previa anonimizzazione e rimozione dei segreti commerciali a norma del paragrafo 1, lettera c), ai soggetti a impatto critico e ad alto impatto nel proprio Stato membro, senza indebito ritardo ed entro 24 ore dal ricevimento delle informazioni di cui alla lettera a) e trasmette periodicamente informazioni aggiornate che consentano ai soggetti di organizzare efficacemente la propria difesa;

possono chiedere al soggetto ad alto impatto o a impatto critico che ha riferito l’informazione su un attacco informatico da segnalare di diffonderla in modo sicuro ad altri soggetti che potrebbero esserne interessati, al fine di generare una consapevolezza situazionale nel settore dell’energia elettrica e prevenire il concretizzarsi di un rischio che potrebbe aggravarsi e diventare un incidente di cibersicurezza transfrontaliero;

condivide con l’ENISA una relazione di sintesi, previa anonimizzazione e rimozione dei segreti commerciali, con le informazioni relative all’attacco informatico.

la condivide senza indugio con l’ENISA attraverso un adeguato canale sicuro per lo scambio di informazioni, salvo se diversamente specificato in altre normative dell’Unione;

presta assistenza al soggetto interessato per ottenere dal fabbricante o dal prestatore una gestione efficace, coordinata e rapida della vulnerabilità sfruttata attivamente non risolta o misure di attenuazione efficaci ed efficienti;

condivide le informazioni disponibili con il fornitore e chiede al fabbricante o al prestatore, ove possibile, di individuare un elenco di CSIRT negli Stati membri interessati dalla vulnerabilità sfruttata attivamente non risolta cui trasmettere le medesime informazioni;

condivide le informazioni disponibili con i CSIRT individuati al punto precedente, sulla base del principio della necessità di conoscere;

condivide, ove esistano, strategie e misure di attenuazione della vulnerabilità sfruttata attivamente non risolta oggetto della segnalazione.

condivide, ove esistano, strategie e misure di attenuazione della vulnerabilità sfruttata attivamente non risolta oggetto della segnalazione, in coordinazione con i CSIRT del proprio Stato membro;

condivide le informazioni con un CSIRT dello Stato membro in cui è stata segnalata la vulnerabilità sfruttata attivamente non risolta.

l’impatto potenziale, considerando gli asset e i perimetri esposti, determinato conformemente all’articolo 26, paragrafo 4, lettera c); e

la gravità dell’attacco informatico.

sostenga i soggetti ad alto impatto e a impatto critico con informazioni attinenti alla sicurezza delle operazioni di flussi transfrontalieri di energia elettrica, quali la segnalazione quasi in tempo reale di attacchi informatici, allarmi precoci connessi alla cibersicurezza e vulnerabilità non divulgate di apparecchiature in uso nel sistema elettrico;

sia mantenuto in un ambiente adeguato e altamente affidabile;

consenta la raccolta di dati dai soggetti a impatto critico e ad alto impatto e faciliti la rimozione delle informazioni riservate e l’anonimizzazione dei dati e la loro rapida diffusione a soggetti a impatto critico e ad alto impatto.

nel valutare la fattibilità consulta l’ENISA e il gruppo di cooperazione NIS, i punti di contatto unici nazionali e i rappresentanti dei principali portatori di interessi;

presenta i risultati dello studio di fattibilità all’ACER e al gruppo di cooperazione NIS.

stabilisce, per tutti gli asset all’interno del proprio perimetro di cibersicurezza determinato a norma dell’articolo 26, paragrafo 4, lettera c), almeno le capacità del centro operativo per la cibersicurezza di:

ha il diritto di acquisire, in tutto o in parte, le capacità di cui alla lettera a) tramite MSSP. I soggetti a impatto critico e ad alto impatto rispondono dell’operato degli MSSP e ne supervisionano l’attività;

designa un punto di contatto unico a livello di soggetto ai fini della condivisione delle informazioni.

le informazioni hanno rilevanza per altri soggetti a impatto critico e ad alto impatto a fini di prevenzione, individuazione, risposta o attenuazione dell’impatto del rischio;

le tecniche, tattiche e procedure individuate utilizzate nel contesto di un attacco conseguono informazioni quali indirizzi URL o IP compromessi, hash o qualsiasi altro attributo utile per contestualizzare e correlare l’attacco;

una minaccia informatica può essere ulteriormente valutata e contestualizzata con informazioni aggiuntive fornite da prestatori di servizi o da terzi non soggetti al presente regolamento.

che le informazioni sono trasmesse a norma del presente regolamento;

se le informazioni riguardano:

nel caso di un attacco informatico da segnalare, il livello dell’attacco informatico secondo la metodologia della scala di classificazione degli attacchi informatici di cui all’articolo 37, paragrafo 8, e le informazioni che determinano tale classificazione, compresa almeno la criticità dell’attacco informatico.

garantiscono che il loro punto di contatto unico a livello di soggetto abbia accesso, in base alla necessità di conoscere, alle informazioni ricevute dal punto di contatto unico nazionale tramite la rispettiva autorità competente;

salvo se si sia già provveduto in tal senso a norma dell’articolo 3, paragrafo 4, della direttiva (UE) 2022/2555, notificano all’autorità competente dello Stato membro in cui sono stabiliti e al punto di contatto unico nazionale un elenco dei loro punti di contatto unici per la cibersicurezza a livello di soggetto:

stabiliscono procedure di gestione degli attacchi informatici, compresi i ruoli e le responsabilità, i compiti e le reazioni sulla base dell’evoluzione osservabile dell’attacco informatico all’interno dei perimetri a impatto critico e ad alto impatto;

sottopongono a prova le procedure generali di gestione degli attacchi informatici almeno ogni anno sperimentando almeno uno scenario che incide direttamente o indirettamente sui flussi transfrontalieri di energia elettrica. Tale prova annuale può essere condotta da soggetti a impatto critico e ad alto impatto durante le esercitazioni periodiche di cui all’articolo 43. Qualsiasi attività di risposta in tempo reale agli attacchi informatici di gravità almeno al livello 2 della scala, secondo la metodologia di classificazione degli attacchi informatici di cui all’articolo 37, paragrafo 8, e derivanti da problemi di cibersicurezza, può fungere da prova annuale del piano di risposta agli attacchi informatici.

coordina il recupero efficiente e l’ulteriore diffusione di tutte le informazioni pertinenti sulla cibersicurezza ai soggetti partecipanti al processo di gestione della crisi;

organizza la comunicazione tra tutti i soggetti interessati dalla crisi e le autorità competenti, al fine di ridurre le sovrapposizioni e aumentare l’efficienza delle analisi e delle risposte tecniche per porre rimedio alle crisi simultanee dell’energia elettrica derivanti da problemi di cibersicurezza;

mette a disposizione dei soggetti colpiti dall’incidente, in cooperazione con i CSIRT competenti, le competenze necessarie, compresa la consulenza operativa sull’attuazione di eventuali misure di attenuazione;

notifica e fornisce aggiornamenti periodici sullo stato dell’incidente alla Commissione e al gruppo di coordinamento per l’energia elettrica, secondo i principi di protezione di cui all’articolo 46;

chiede consulenza alle autorità, alle agenzie o ai soggetti che possono offrire assistenza per attenuare la crisi dell’energia elettrica.

dispongano di procedure compatibili di gestione degli incidenti di cibersicurezza a livello transfrontaliero, di cui all’articolo 6, punto 8), della direttiva (UE) 2022/2555, formalmente integrate nei loro piani di gestione delle crisi;

facciano parte delle attività generali di gestione delle crisi.

disposizioni per la dichiarazione dello stato di crisi di cui all’articolo 14, paragrafi 2 e 3, del regolamento (UE) 2019/941;

ruoli e responsabilità chiari per la gestione delle crisi, compreso il ruolo di altri soggetti pertinenti a impatto critico e ad alto impatto;

informazioni di contatto aggiornate e disposizioni per la comunicazione e la condivisione delle informazioni durante una situazione di crisi, compreso il collegamento con i CSIRT.

processi che dipendono dalla disponibilità, dall’integrità e dall’affidabilità dei servizi informatici;

tutti i siti di continuità operativa, compresi quelli per hardware e software;

tutti i ruoli e responsabilità interni connessi ai processi di continuità operativa.

raccogliere informazioni condivise su base volontaria da:

valutare e classificare le informazioni raccolte;

valutare le informazioni cui l’ENISA ha accesso per individuare le condizioni di rischio informatico e gli indicatori pertinenti per aspetti dei flussi transfrontalieri di energia elettrica;

individuare le condizioni e gli indicatori spesso correlati agli attacchi informatici nel settore dell’energia elettrica;

stabilire, attraverso la valutazione e l’individuazione dei fattori di rischio, se debbano essere effettuate ulteriori analisi e azioni preventive;

informare le autorità competenti in merito ai rischi individuati e alle azioni preventive raccomandate specificamente per i soggetti interessati;

informare tutti i soggetti elencati all’articolo 2 in merito ai risultati della valutazione delle informazioni conformemente alle lettere b), c) e d);

includere periodicamente le informazioni pertinenti nella relazione sulla situazione tecnica della cibersicurezza pubblicata a norma dell’articolo 7, paragrafo 6, del regolamento (UE) 2019/881;

ricavare dalle informazioni raccolte, ove possibile, dati indicanti una potenziale violazione della sicurezza o un attacco informatico («indicatori di compromissione»).

tutti i soggetti a impatto critico del proprio Stato membro, l’autorità nazionale di regolazione, i CSIRT e le autorità competenti per la cibersicurezza al più tardi entro il 30 giugno dell’anno precedente l’esercitazione di cibersicurezza a livello di soggetto;

ciascun soggetto che partecipa all’esercitazione di cibersicurezza a livello di Stato membro al più tardi 6 mesi prima dello svolgimento dell’esercitazione.

gli scenari di esercitazione, i resoconti delle riunioni, le principali posizioni, i successi e gli insegnamenti tratti a qualsiasi livello della catena del valore dell’energia elettrica;

se sono stati soddisfatti i principali criteri di riuscita;

un elenco di raccomandazioni per i soggetti che partecipano all’esercitazione di cibersicurezza al fine di correggere, adattare o modificare processi di crisi, procedure, modelli di governance associati ed eventuali impegni contrattuali esistenti con prestatori di servizi critici.

sono proporzionate;

tengono conto dei rischi per la cibersicurezza connessi a minacce note passate ed emergenti alle quali le informazioni possono essere soggette nel contesto del presente regolamento;

si basano, per quanto possibile, su norme e migliori pratiche nazionali, europee o internazionali;

sono documentate.

autorizzate ad accedere alle informazioni sulla base delle loro funzioni e limitatamente all’esecuzione dei compiti loro assegnati;

per le quali il soggetto sia stato in grado di valutare i principi etici e di integrità e non vi siano prove di esito negativo di una verifica dei precedenti personali volto a valutare l’affidabilità della persona conformemente alle migliori pratiche e ai requisiti di sicurezza standard del soggetto e, se necessario, alle disposizioni legislative e regolamentari nazionali.

consulta l’autorità competente ed è autorizzato da quest’ultima a condividere le informazioni;

anonimizza le informazioni senza privarle degli elementi necessari per informare il pubblico di un rischio imminente e grave per i flussi transfrontalieri di energia elettrica e delle possibili misure di attenuazione;

salvaguarda l’identità dell’originatore e dei soggetti che hanno trattato le informazioni a norma del presente regolamento.

un indice provvisorio di impatto sulla cibersicurezza dell’energia elettrica (ECII) a norma del paragrafo 2;

un elenco provvisorio dei processi ad alto impatto e a impatto critico a livello dell’Unione a norma del paragrafo 4; e

un elenco provvisorio delle norme e dei controlli europei e internazionali disposti dalla legislazione nazionale che hanno rilevanza per gli aspetti di cibersicurezza dei flussi transfrontalieri di energia elettrica a norma del paragrafo 6.

le norme europee e internazionali e gli atti legislativi nazionali contenenti orientamenti sulle metodologie per la gestione dei rischi per la cibersicurezza a livello di soggetto; e

i controlli di cibersicurezza equivalenti ai controlli che presumibilmente faranno parte dei controlli minimi e avanzati di cibersicurezza.