elektroenerģijas uzņēmumi, kas definēti Direktīvas (ES) 2019/944 2. panta 57. punktā;

nominētie elektroenerģijas tirgus operatori (“NETO”), kas definēti Regulas (ES) 2019/943 2. panta 8. punktā;

organizētas tirgus vietas vai “organizētie tirgi”, kas definēti Komisijas Īstenošanas Regulas (ES) Nr. 1348/2014 ( 1 ) 2. panta 4. punktā, kas veic darījumus ar produktiem, kuri ir būtiski pārrobežu elektroenerģijas plūsmām;

kritisko IKT pakalpojumu sniedzēji, kas minēts šīs regulas 3. panta 9. punktā;

ENTSO-E, kas izveidota saskaņā ar Regulas (ES) 2019/943 28. pantu;

ES SSO struktūra, kas izveidota saskaņā ar Regulas (ES) 2019/943 52. pantu;

balansatbildīgās puses, kas definētas Regulas (ES) 2019/943 2. panta 14. punktā;

uzlādes punktu operatori, kas definēti Direktīvas (ES) 2022/2555 I pielikumā;

reģionālie koordinācijas centri (“RKC”), kas izveidoti saskaņā ar Regulas (ES) 2019/943 35. pantu;

pārvaldītu drošības pakalpojumu sniedzēji (“PDPS”), kas definēti Direktīvas (ES) 2022/2555 6. panta 40. punktā;

visas citas vienības vai trešās personas, kurām ir deleģēti vai uzdoti pienākumi saskaņā ar šo regulu.

Eiropas Savienības Energoregulatoru sadarbības aģentūra (“ACER”), kas izveidota saskaņā Eiropas Parlamenta un Padomes Regulu (ES) 2019/942 ( 2 );

valsts kompetentās iestādes, kuras ir atbildīgas par to uzdevumu izpildi, kuri tām ir uzdoti saskaņā ar šo regulu, un kuras dalībvalstis izraudzījušās saskaņā ar šīs regulas 4. pantu (“kompetentā iestāde”);

valsts regulatīvās iestādes (“VRI”), ko katra dalībvalsts izraudzījusies saskaņā ar Direktīvas (ES) 2019/944 57. panta 1. punktu;

riskgatavības kompetentās iestādes (“RKI”), kas izveidotas saskaņā ar Regulas (ES) 2019/941 3. pantu;

datordrošības incidentu reaģēšanas vienības (“CSIRT”), kas izraudzītas vai izveidotas saskaņā ar Direktīvas (ES) 2022/2555 10. pantu;

kiberdrošības kompetentās iestādes (“KKI”), kas izraudzītas vai izveidotas saskaņā ar Direktīvas (ES) 2022/2555 8. pantu;

Eiropas Savienības Kiberdrošības aģentūra, kas izveidotas saskaņā ar Regulu (ES) 2019/881;

visas citas iestādes vai trešās personas, kurām ir deleģēti vai uzdoti pienākumi saskaņā ar šīs regulas 4. panta 3. punktu.

kiberdrošības risku novērtēšanas metodikas saskaņā ar šīs regulas 18. panta 1. punktu;

visaptverošais pārrobežu elektroenerģijas plūsmu kiberdrošības risku novērtējuma ziņojums saskaņā ar šīs regulas 23. pantu;

minimālie un pastiprinātie kiberdrošības kontroles pasākumi saskaņā ar šīs regulas 29. pantu, elektroenerģijas kiberdrošības kontroles pasākumu kartēšana salīdzinājumā ar standartiem saskaņā ar šīs regulas 34. pantu, tajā skaitā minimālie un pastiprinātie kiberdrošības kontroles pasākumi piegādes ķēdē saskaņā ar šīs regulas 33. pantu;

kiberdrošības iepirkuma ieteikums saskaņā ar šīs regulas 35. pantu;

kiberuzbrukumu klasifikācijas skalas metodika saskaņā ar šīs regulas 37. panta 8. punktu.

PSO, kas pārstāv vismaz 55 % no dalībvalstīm, un

PSO, kas pārstāv dalībvalstis, kurās dzīvo vismaz 65 % no Savienības iedzīvotājiem.

PSO, kas pārstāv vismaz 72 % no iesaistītajām dalībvalstīm, un

PSO, kas pārstāv dalībvalstis, kurās dzīvo vismaz 65 % no attiecīgās teritorijas iedzīvotājiem.

izskata, kā notiek piemērojamo kiberdrošības risku pārvaldības pasākumu īstenošana attiecībā uz lielas ietekmes un kritiskas ietekmes vienībām;

nosaka, vai risku novēršanai elektroenerģijas sektorā var būt nepieciešami papildu noteikumi par kopīgām prasībām, plānošanu, uzraudzību, ziņošanu un krīzes pārvaldību; un

nosaka jomas, kurās jāveic uzlabojumi, pārskatot šo regulu, vai regulas neaptvertās jomas un jaunās prioritātes, kas var rasties sakarā ar tehnoloģiju attīstību.

mazina riskus, kas ietekmē pārrobežu elektroenerģijas plūsmas;

sniedz vēlamos rezultātus un rada efektivitātes pieaugumu elektroenerģijas sistēmu attīstībā;

ir efektīvas un integrētas aktīvu un pakalpojumu vispārējā iepirkumā.

tādu ar kiberdrošību saistīto izdevumu vidējais apmērs, kuri paredzēti, lai mazinātu riskus, kas ietekmē pārrobežu elektroenerģijas plūsmas, jo īpaši attiecībā uz lielas ietekmes un kritiskas ietekmes vienībām;

sadarbībā ar ENTSO-E un ES SSO struktūru – tādu kiberdrošības pakalpojumu, sistēmu un produktu vidējās cenas, kas lielā mērā veicina kiberdrošības risku pārvaldības pasākumu uzlabošanu un uzturēšanu dažādos sistēmas darbības reģionos;

šīs regulas īstenošanai piemērotu kiberdrošības pakalpojumu, sistēmu un risinājumu esība un to izmaksu un funkciju salīdzināmības pakāpe, apzinot iespējamos nepieciešamos pasākumus tēriņu efektivitātes uzlabošanai, jo īpaši situācijās, kad var būt nepieciešamas investīcijas kiberdrošības tehnoloģijās.

kiberdrošības risku novērtēšanas metodiku izstrāde saskaņā ar šīs regulas 18. panta 1. punktu;

visaptverošā pārrobežu elektroenerģijas plūsmu kiberdrošības risku novērtējuma ziņojuma izstrāde saskaņā ar šīs regulas 23. pantu;

vienotā elektroenerģijas kiberdrošības satvara izstrāde saskaņā ar III nodaļu;

kiberdrošības iepirkuma ieteikuma izstrāde saskaņā ar šīs regulas 35. pantu;

kiberuzbrukumu klasifikācijas skalas metodikas izstrāde saskaņā ar šīs regulas 37. panta 8. punktu;

elektroenerģijas kiberdrošības ietekmes indeksa (“ECII”) pagaidu versijas izstrāde saskaņā ar šīs regulas 48. panta 1. punkta a) apakšpunktu;

lielas ietekmes un kritiskas ietekmes vienību apvienotā pagaidu saraksta izveide saskaņā ar šīs regulas 48. panta 3. punktu;

Savienības mēroga lielas ietekmes un kritiskas ietekmes procesu pagaidu saraksta izveide saskaņā ar šīs regulas 48. panta 4. punktu;

Eiropas un starptautisko standartu un kontroles pasākumu pagaidu saraksta sagatavošana saskaņā ar šīs regulas 48. panta 6. punktu;

Savienības mēroga kiberdrošības risku novērtējuma sagatavošana saskaņā ar šīs regulas 19. pantu;

reģionālo kiberdrošības risku novērtējumu sagatavošana saskaņā ar šīs regulas 21. pantu;

reģionālo kiberdrošības risku mazināšanas plānu sagatavošana saskaņā ar šīs regulas 22. pantu;

norāžu izstrāde par IKT produktiem, IKT pakalpojumiem un IKT procesiem paredzētām Eiropas kiberdrošības sertifikācijas shēmām saskaņā ar šīs regulas 36. pantu;

šīs regulas īstenošanas vadlīniju izstrāde sadarbībā ar ACER un ENISA.

saraksts, kurā uzskaitīti aplūkojamie kiberdraudi, tajā skaitā vismaz šādi piegādes ķēdes apdraudējumi:

kritēriji, pēc kādiem nosaka, vai kiberdrošības risku ietekme ir liela vai kritiska, šim nolūkam izmantojot sekām un iespējamībai noteiktās sliekšņvērtības;

pieeja, ko izmanto, lai analizētu kiberdrošības riskus, ko rada mantotās sistēmas, kiberuzbrukumu izraisītā lavīnveida ietekme un tīkla ekspluatēšanā izmantoto sistēma darbība reāllaikā;

pieeja, ko izmanto, lai analizētu kiberdrošības riskus, ko rada atkarība no viena IKT produktu, IKT pakalpojumu vai IKT procesu piegādātāja.

mēra kiberuzbrukumu sekas, pamatojoties uz šādiem kritērijiem:

mēra incidenta iespējamību, ko izsaka kā kiberuzbrukumu biežumu gadā.

Savienības mēroga lielas ietekmes procesi un Savienības mēroga kritiskas ietekmes procesi;

riska ietekmes matrica, ko vienības un kompetentās iestādes izmanto, lai novērtētu kiberdrošības risku, kas konstatēts dalībvalsts līmeņa kiberdrošības risku novērtējumā, kurš veikts saskaņā ar šīs regulas 20. pantu, un vienības līmeņa kiberdrošības risku novērtējumā, kurš veikts saskaņā ar šīs regulas 26. panta 2. punkta b) apakšpunktu.

kiberuzbrukuma iespējamo seku novērtējumu, izmantojot rādītājus, kas ir noteikti kiberdrošības risku novērtēšanas metodikā, kas izstrādāta saskaņā ar šīs regulas 18. panta 2., 3. un 4. punktu un apstiprināta saskaņā ar šīs regulas 8. pantu;

ECII un lielas ietekmes un kritiskas ietekmes sliekšņvērtības, ko kompetentās iestādes izmanto saskaņā ar šīs regulas 24. panta 1. un 2. punktu, lai identificētu lielas ietekmes un kritiskas ietekmes vienības, kas ir iesaistītas Savienības mēroga lielas ietekmes procesos un Savienības mēroga kritiskas ietekmes procesos.

šīs regulas 29. pantā minēto minimālo un pastiprināto kiberdrošības kontroles pasākumu īstenošanas statuss;

saraksts, kurā uzskaitīti kiberuzbrukumi, par kuriem iepriekšējos trīs gados ir ziņots saskaņā ar šīs regulas 38. panta 3. punktu;

pārskats, kurā apkopota informācija par kiberdraudiem, par kuriem iepriekšējos trīs gados ir ziņots saskaņā ar šīs regulas 38. panta 6. punktu;

par katru Savienības mēroga lielas ietekmes vai kritiskas ietekmes procesu – aplēse par informācijas un attiecīgo aktīvu konfidencialitātes, integritātes un pieejamības apdraudējuma riskiem;

nepieciešamības gadījumā – saraksts, kurā uzskaitītas papildu vienības, kas ir identificētas kā lielas ietekmes vai kritiskas ietekmes vienības saskaņā ar šīs regulas 24. panta 1., 2., 3. un 5. punktu.

minimālos un pastiprinātos kiberdrošības kontroles pasākumus, ko lielas ietekmes un kritiskas ietekmes vienības piemēro sistēmas darbības reģionā;

kiberdrošības riskus, kas ir atlikuši sistēmas darbības reģionos pēc šā punkta a) apakšpunktā minēto kontroles pasākumu piemērošanas.

saraksts, kurā uzskaitīti Savienības mēroga lielas ietekmes un kritiskas ietekmes procesi, kas identificēti Savienības mēroga kiberdrošības risku novērtējuma ziņojumā saskaņā ar šīs regulas 19. panta 2. punkta a) apakšpunktu, tajā skaitā aplēses par to kiberdrošības risku iespējamību un ietekmi, kuri izvērtēti reģionālo kiberdrošības risku novērtējuma ziņojumos saskaņā ar šīs regulas 21. panta 2. punktu un 19. panta 3. punkta a) apakšpunktu;

aktuālie kiberdraudi, pievēršot īpašu uzmanību jaunradušamies draudiem un riskiem, kas apdraud elektroenerģijas sistēmu;

kiberuzbrukumi iepriekšējā periodā Savienības līmenī, sniedzot kritisku pārskatu par to, kā šādi kiberuzbrukumi varēja ietekmēt pārrobežu elektroenerģijas plūsmas;

kiberdrošības pasākumu īstenošanas vispārējais statuss;

37. un 38. punktā minēto informācijas plūsmu īstenošanas statuss;

saraksts, kurā uzskaitīta informācija vai konkrēti kritēriji informācijas klasificēšanai saskaņā ar šīs regulas 46. pantu;

konstatētie un uzsvērtie riski, ko var radīt piegādes ķēdes nedroša pārvaldība;

saskaņā ar šīs regulas 44. pantu organizēto reģionālo un starpreģionālo kiberdrošības mācību rezultāti un šādās mācībās gūtā pieredze;

analīze par vispārējo pārrobežu kiberdrošības risku attīstību elektroenerģijas sektorā kopš iepriekšējiem reģionālo kiberdrošības risku novērtējumiem;

cita informācija, kas var būt noderīga, lai apzinātu šīs regulas iespējamos uzlabojumus vai nepieciešamību pārskatīt šo regulu vai kādus no tās instrumentiem;

apkopota un anonimizēta informācija par atkāpēm, kas atļautas saskaņā ar šīs regulas 30. panta 3. punktu.

vienība ietilpst grupā, kas sastāv no vairākām vienībām, un pastāv nozīmīgs risks, ka kiberuzbrukums tās ietekmēs vienlaikus;

vienību grupas kopējais ECII pārsniedz lielas ietekmes vai kritiskas ietekmes sliekšņvērtību.

profesionālizvērtēšanas, revīzijas vai inspekcijas veicējs ir neatkarīgs no verificējamās kritiskas ietekmes vienības un neatrodas interešu konfliktā;

darbiniekiem, kuri veic profesionālizvērtēšanu, revīziju vai pārbaudi, ir pierādāmas zināšanas šādās jomās:

profesionālizvērtēšanas, revīzijas vai pārbaudes veicējam ir pietiekami daudz laika savu uzdevumu izpildei;

profesionālizvērtēšanas, revīzijas vai pārbaudes veicējs veic pienācīgus pasākumus, lai verifikācijas laikā iegūto informāciju aizsargātu atbilstoši tās konfidencialitātes līmenim; un

profesionālizvērtēšanu, revīziju vai inspekcijas veic vismaz reizi gadā un ne retāk kā ik pēc trim gadiem – par visu verifikācijas tvērumu.

konteksta noskaidrošana;

kiberdrošības risku novērtēšana vienības līmenī;

kiberdrošības risku mazināšana;

kiberdrošības risku pieņemšana.

nosaka kiberdrošības risku novērtēšanas tvērumu, kurā iekļauj ENTSO-E un ES SSO struktūras identificētos lielas ietekmes un kritiskas ietekmes procesus un citus procesus, pret kuriem var vērst kiberuzbrukumus, kam ir liela vai kritiska ietekme uz pārrobežu elektroenerģijas plūsmām; un

nosaka riska izvērtēšanas un riska pieņemšanas kritērijus saskaņā ar riska ietekmes matricu, kuru vienības un kompetentās iestādes izmanto kiberdrošības risku novērtēšanai un kura ir iekļauta Savienības līmeņa, reģionālā līmeņa un dalībvalsts risku novērtēšanas metodikās, ko ENTSO-E un ES SSO struktūra izstrādājuši saskaņā ar šīs regulas 19. panta 2. punktu.

identificē kiberdrošības riskus, ņemot vērā tālāk minēto:

analizē saskaņā ar šā punkta a) apakšpunktu noteikto kiberdrošības risku iespējamību un sekas un nosaka kiberdrošības riska līmeni, izmantojot riska ietekmes matricu, kuru izmanto kiberdrošības risku novērtēšanai un kura ir iekļauta Savienības līmeņa, reģionālā līmeņa un dalībvalsts risku novērtēšanas metodikās, ko PSO ar ENTSO-E palīdzību un sadarbībā ar ES SSO struktūru izstrādāja saskaņā ar šīs regulas 19. panta 2. punktu;

klasificē aktīvus atkarībā no iespējamām sekām kiberdrošības apdraudējuma gadījumā un nosaka lielas ietekmes un kritiskas ietekmes perimetru, veicot šādas darbības:

izvērtē kiberdrošības riskus un sakārto tos prioritārā secībā, izmantojot šā panta 3. punkta b) apakšpunktā minētos risku izvērtēšanas un risku pieņemšanas kritērijus.

minimālie kiberdrošības kontroles pasākumi, kas izstrādāti saskaņā ar šīs regulas 29. pantu;

pastiprinātie kiberdrošības kontroles pasākumi, kas izstrādāti saskaņā ar šīs regulas 29. pantu;

saskaņā ar šīs regulas 34. pantu izstrādātā kartēšanas matrica, kurā šā punkta a) un b) apakšpunktā minētie kontroles pasākumi ir kartēti salīdzinājumā ar atsevišķiem Eiropas un starptautiskiem standartiem un valsts tiesiskajiem vai regulatīvajiem satvariem;

saskaņā ar šīs regulas 32. pantu izveidota kiberdrošības pārvaldības sistēma.

izņēmuma apstākļos, ja vienība var pierādīt, ka atbilstošo kiberdrošības kontroles pasākumu īstenošanas izmaksas ievērojami pārsniegs ieguvumus. Lai palīdzētu vienībām, ACER un ENTSO-E sadarbībā ar SSO struktūru var kopīgi izstrādāt norādes par kiberdrošības kontroles pasākumu izmaksu aplēšanu;

ja vienība iesniedz vienības līmeņa risku mazināšanas plānu, kas paredz izmantot alternatīvus kontroles pasākumus, kuri mazinās kiberdrošības riskus līdz līmenim, kas ir pieņemams saskaņā ar šīs regulas 26. panta 3. punkta b) apakšpunktā minētajiem risku pieņemšanas kritērijiem.

noteiktu kiberdrošības pārvaldības sistēmas tvērumu, ņemot vērā mijiedarbi ar un atkarību no citām vienībām;

nodrošinātu, ka visa augstākā vadība ir informēta par attiecīgajiem juridiskajiem pienākumiem un ar savlaicīgu lēmumu pieņemšanu un ātru reaģēšanu aktīvi veicina kiberdrošības pārvaldības sistēmas īstenošanu;

nodrošinātu, ka ir pieejami drošības pārvaldības sistēmai nepieciešamie resursi;

izstrādātu kiberdrošības politiku, ko dokumentē un izplata gan vienībā, gan pusēm, kuras ietekmē drošības riski;

sadalītu un izziņotu pienākumus saistībā ar kiberdrošībai būtiskiem uzdevumiem;

īstenotu kiberdrošības risku pārvaldību vienības līmenī, kā tā ir definēta šīs regulas 26. pantā;

noteiktu un nodrošinātu resursus, kas ir nepieciešami kiberdrošības pārvaldības sistēmas īstenošanai, uzturēšanai un pastāvīgai uzlabošanai, ņemot vērā nepieciešamo kompetenci un informētību par kiberdrošības resursiem;

noteiktu kiberdrošībai būtisku iekšējo un ārējo saziņu;

izstrādātu, atjauninātu un kontrolētu dokumentētu informāciju saistībā ar kiberdrošības pārvaldības sistēmu;

izvērtētu kiberdrošības pārvaldības sistēmas sniegumu un lietderību;

ar plānotiem intervāliem rīkotu iekšējās revīzijas nolūkā nodrošināt kiberdrošības pārvaldības sistēmas sekmīgu īstenošanu un uzturēšanu;

ar plānotiem intervāliem izskatītu kiberdrošības pārvaldības sistēmas īstenošanu; un kontrolētu kiberdrošības pārvaldības sistēmas resursu un darbību atbilstību politikai, procedūrām un vadlīnijām un novērstu neatbilstības.

ietver ieteikumus IKT produktu, IKT pakalpojumu un IKT procesu iepirkumam attiecībā uz kiberdrošības specifikācijām, kuri paredz vismaz tālāk minēto:

nosaka, ka šādām vienībām jāņem vērā šā punkta a) apakšpunktā minētie ieteikumi iepirkuma organizēšanai, slēdzot līgumus ar piegādātājiem, sadarbības partneriem un citiem piegādes ķēdes dalībniekiem, kuri aptver gan IKT produktu, IKT pakalpojumu vai IKT procesu piegādes parastajā kārtībā, gan nevēlamus notikumus un apstākļus, piemēram, līgumu izbeigšanu vai nodošanu citam līguma partnera nolaidības dēļ;

nosaka, ka šādām vienībām jāņem vērā rezultāti, kas iegūti, veicot attiecīgos koordinētos kritisko piegādes ķēžu drošības riska novērtējumus saskaņā ar Direktīvas (ES) 2022/2555 22. panta 1. punktu;

ietver kritērijus tādu piegādātāju atlasei un nolīgšanai, kuri spēj izpildīt šā punkta a) apakšpunktā norādītās kiberdrošības specifikācijas un kuru kiberdrošības līmenis ir atbilstošs piegādātāja piegādāto IKT produktu, IKT pakalpojumu vai IKT procesu kiberdrošības riskiem;

ietver kritērijus, kas ir paredzēti, lai dažādotu IKT produktu, IKT pakalpojumu un IKT procesu piegādes avotus un mazinātu risku kļūt atkarīgam no viena tirgotāja;

ietver kritērijus piegādātāja iekšējo darbības procesu kiberdrošības specifikāciju regulārai uzraudzībai, pārskatīšanai vai revīzijai katra IKT produkta, IKT pakalpojuma un IKT procesa visā aprites ciklā.

to IKT produktu, IKT pakalpojumu un IKT procesu apraksts un veidu klasifikācija, kurus lielas ietekmes un kritiskas ietekmes vienības izmanto lielas ietekmes un kritiskas ietekmes perimetrā;

saraksts, kurā ir uzskaitīti to IKT produktu, IKT pakalpojumu un IKT procesu veidi, kuriem izstrādā nesaistošu kiberdrošības iepirkuma ieteikumu kopumu, pamatojoties uz attiecīgajiem reģionālo kiberdrošības risku novērtējuma ziņojumiem un lielas ietekmes un kritiskas ietekmes vienību prioritātēm.

atbilst Direktīvā 2014/24/ES noteiktajiem iepirkuma principiem; un

un ir saderīgi ar jaunākajām pieejamajām Eiropas kiberdrošības sertifikācijas shēmām, kuras attiecas uz IKT produktu, IKT pakalpojumu vai IKT procesu, un ņem vērā šādas shēmas.

novērtē šādas informācijas konfidencialitātes līmeni un paziņo novērtējuma iznākumu vienībai bez liekas kavēšanās, bet ne vēlāk kā 24 stundu laikā pēc informācijas saņemšanas;

mēģina atrast Savienībā līdzīgu kiberuzbrukumu, par kuru būtu ziņots citām kompetentajām iestādēm, lai noteiktu sakarības starp informāciju, kas saņemta sakarā ar ziņojamo kiberuzbrukumu, un informāciju, kas iesniegta sakarā ar citiem kiberuzbrukumiem, un papildinātu esošo informāciju, stiprinātu un koordinētu reaģēšanu kiberdrošības jomā;

ir atbildīga par komercnoslēpumu izņemšanu un informācijas anonimizēšanu saskaņā ar attiecīgajiem valsts un Savienības tiesību aktiem;

kopīgo informāciju ar valsts vienotajiem kontaktpunktiem, CSIRT un visām saskaņā ar šīs regulas 4. punktu izraudzītajām kompetentajām iestādēm pārējās dalībvalstīs bez liekas kavēšanās, bet ne vēlāk kā 24 stundu laikā pēc informācijas saņemšanas par ziņojamo kiberuzbrukumu, un regulāri sniedz minētajām iestādēm vai struktūrām atjauninātu informāciju;

pēc šā panta 1. punkta c) apakšpunktā paredzētās anonimizācijas un komercnoslēpumu izņemšanas izplata informāciju par kiberuzbrukumu kritiskas ietekmes un lielas ietekmes vienībām savā dalībvalstī bez liekas kavēšanās, bet ne vēlāk kā 24 stundu laikā pēc informācijas saņemšanas saskaņā ar šā panta 1. punkta a) apakšpunktu, un regulāri sniedz atjauninātu informāciju, kas ļauj vienībām organizēt iedarbīgu aizsardzību;

var pieprasīt, lai ziņojošā lielas ietekmes vai kritiskas ietekmes vienība drošā veidā izplatītu ziņojamo informāciju par kiberuzbrukumu tālāk citām vienībām, kuras tas var ietekmēt, lai panāktu situācijas apzināšanos elektroenerģijas sektorā un nepieļautu, ka īstenojas risks, kas var izraisīt pārrobežu elektroenerģijas plūsmu kiberdrošības incidentu;

iesniedz ENISA kopsavilkuma ziņojumu ar informāciju par kiberuzbrukumu, kas ir anonimizēta un no kuras ir izņemti komercnoslēpumi.

nevilcinoties informē par to ENISA, izmantojot piemērotu, drošu informācijas apmaiņas kanālu, ja vien citos Savienības tiesību aktos nav noteikts citādi;

sniedz atbalstu attiecīgajai vienībai, lai tā saņemtu no ražotāja vai pakalpojuma sniedzēja risinājumu, kā iedarbīgi, koordinēti un ātri pārvaldīt aktīvi izmantoto neizlaboto ievainojamību vai kādus iedarbīgus un efektīvus pasākumus veikt riska mazināšanai;

nodod pieejamo informāciju tirgotājam un, ja tas ir iespējams, lūdz ražotāju vai pakalpojuma sniedzēju sagatavot sarakstu, kurā ir uzskaitītas dalībvalstu CSIRT, uz kurām attiecas aktīvi izmantotā neizlabotā ievainojamība un kuras ir jāinformē;

kopīgo pieejamo informāciju ar CSIRT, kuras noskaidrotas saskaņā ar iepriekšējo apakšpunktu, pamatojoties uz principu “nepieciešamība zināt”;

kopīgo riska mazināšanas stratēģijas un pasākumus, ja tādi ir, attiecībā uz ziņoto aktīvi izmantoto neizlaboto ievainojamību.

rīkojoties saskaņoti ar CSIRT savā dalībvalstī, kopīgo riska mazināšanas stratēģijas un pasākumus, ja tādi ir, attiecībā uz ziņoto aktīvi izmantoto neizlaboto ievainojamību;

kopīgo informāciju ar CSIRT tajā dalībvalstī, kurā tika ziņots par aktīvi izmantoto neizlaboto ievainojamību.

potenciālā ietekme, ņemot vērā apdraudētos aktīvus un perimetrus, kas noteikti saskaņā ar šīs regulas 26. panta 4. punkta (c) apakšpunktu; un

kiberuzbrukuma nopietnība.

tas atbalsta lielas ietekmes un kritiskas ietekmes vienības, sniedzot attiecīgu ar drošību saistītu informāciju par pārrobežu elektroenerģijas plūsmu darbību, piemēram, ziņojot par kiberuzbrukumiem tuvu reāllaikam un izplatot agrīnos brīdinājumus saistībā ar kiberdrošības jautājumiem un neizpaustām ievainojamībām aprīkojumā, ko izmanto elektroenerģijas sistēmā;

to var uzturēt piemērotā un ļoti uzticamā vidē;

tas ļauj vākt datus no kritiskas ietekmes un lielas ietekmes vienībām un atvieglo konfidenciālas informācijas izņemšanu un datu anonimizāciju, kā arī datu ātru izplatīšanu kritiskas ietekmes un lielas ietekmes vienībām.

apspriežas ar ENISA un TID sadarbības grupu, valstu vienotajiem kontaktpunktiem un galveno ieinteresēto personu pārstāvjiem, vērtējot minētās iespējas;

iesniedz priekšizpētes rezultātus ACER un TID sadarbības grupai.

attiecībā uz visiem aktīviem savā kiberdrošības perimetrā, ko nosaka saskaņā ar šīs regulas 26. panta 4. punkta c) apakšpunktu, izveido vismaz KOC spējas:

ir tiesīga iepirkt visas vai kādu daļu no a) apakšpunktā minētajām spējām no PDPS. Kritiskas ietekmes un lielas ietekmes vienības saglabā atbildību par PDPS un uzrauga to darbu;

informācijas kopīgošanas vajadzībām izraudzīt vienības līmeņa vienoto kontaktpunktu.

informācija ir būtiska citām kritiskas ietekmes un lielas ietekmes vienībām, lai tās varētu novērst vai atklāt risku, reaģēt uz to vai mazināt tā ietekmi;

konstatētie paņēmieni, taktika un procedūras, ko izmantoja saistībā ar uzbrukumu, ļauj iegūt tādu informāciju kā, piemēram, apdraudētie URL vai IP adreses, jaucējkodi vai citi atribūti, kas noder uzbrukuma kontekstualizēšanai un sakarību noteikšanai;

kiberdraudu labākai novērtēšanai un kontekstualizācijai var noderēt papildu informācija, ko sniedz pakalpojumu sniedzēji vai trešās personas, uz kurām šī regula neattiecas.

ka informāciju iesniedz saskaņā ar šo regulu;

vai informācija attiecas uz:

ja tas ir ziņojams kiberuzbrukums – kiberuzbrukuma līmeni saskaņā ar šīs regulas 37. panta 8. punktā minēto kiberuzbrukumu klasifikācijas skalas metodiku un informāciju, ko izmantoja klasifikācijai, tajā skaitā vismaz kiberuzbrukuma smaguma pakāpi.

nodrošina, ka to vienības līmeņa vienotajam kontaktpunktam, pamatojoties uz principu “nepieciešamība zināt”, ir piekļuve informācijai, ko tās ar kompetentās iestādes starpniecību saņēma no valsts vienotā kontaktpunkta;

ja tas jau nav izdarīts saskaņā ar Direktīvas (ES) 2022/2555 3. panta 4. punktu, paziņo savas iedibinājuma dalībvalsts kompetentajai iestādei un valsts vienotajam kontaktpunktam sarakstu, kurā norāda savus vienības līmeņa vienotos kontaktpunktus kiberdrošības jautājumos:

kiberuzbrukumu gadījumiem izstrādā kiberuzbrukuma pārvaldības procedūras, tajā skaitā nosaka funkcijas un pienākumus, uzdevumus un reaģēšanas darbības, pamatojoties uz kritiskas ietekmes un lielas ietekmes perimetrā novērojamajām izmaiņām kiberuzbrukuma gaitā;

vismaz reizi gadā testē vispārējās kiberuzbrukuma pārvaldības procedūras, testējot vismaz vienu scenāriju par tiešu vai netiešu ietekmi uz pārrobežu elektroenerģijas plūsmām. Kritiskas ietekmes un lielas ietekmes vienības var veikt šādu ikgadējo testu šīs regulas 43. pantā minēto regulāro mācību laikā. Par plāna reaģēšanai uz kiberuzbrukumu ikgadējo testu var izmantot jebkuru reālu darbību reaģēšanai uz kiberuzbrukumu, kura sekas atbilst vismaz 2. līmenim saskaņā ar šīs regulas 37. panta 8. punktā minēto kiberuzbrukumu klasifikācijas skalas metodiku un kura pamatcēlonis ir kiberdrošība.

koordinē visas attiecīgās kiberdrošības informācijas efektīvu izguvi un tās tālāku izplatīšanu krīzes pārvaldības procesā iesaistītajām vienībām;

organizē saziņu starp visām krīzes skartajām vienībām un kompetentajām iestādēm, lai mazinātu pārklāšanos un lai analīze un tehniskie reaģēšanas pasākumi, kuru mērķis ir atrisināt vienlaicīgas elektroenerģētiskās krīzes, kuru pamatcēlonis ir kiberdrošība, būtu efektīvāki;

sadarbībā ar kompetentajām CSIRT nodrošina nepieciešamās specializētās zināšanas, tajā skaitā sniedz incidenta skartajām vienībām praktiskus padomus par iespējamo ietekmes mazināšanas pasākumu īstenošanu;

ievērojot šīs regulas 46. pantā noteiktos aizsardzības principus, informē Komisiju un Elektroenerģijas jautājumu koordinācijas grupu un turpmāk regulāri sniedz tām jaunāko informāciju par incidenta statusu;

lūdz padomu attiecīgajām iestādēm, aģentūrām vai vienībām, kuras var palīdzēt mazināt elektroenerģētisko krīzi.

paredz saderīgas pārrobežu kiberdrošības incidenta risināšanas procedūras, kā definēts Direktīvas (ES) 2022/2555 6. panta 8. punktā, un tās ir oficiāli iekļautas vienību krīzes pārvaldības plānos;

ir iekļauti vispārējos krīzes pārvaldības pasākumos.

krīzes izziņošanas noteikumus, kas ir izklāstīti Regulas (ES) 2019/941 14. panta 2. un 3. punktā;

skaidrus uzdevumus un pienākumus krīzes pārvaldībai, tajā skaitā citu attiecīgu kritiskas ietekmes un lielas ietekmes vienību uzdevumus;

atjauninātu kontaktinformāciju, kā arī noteikumus saziņai un informācijas kopīgošanai krīzes situācijā, tajā skaitā savienojumu ar CSIRT.

procesus, kuri ir atkarīgi no IT pakalpojumu pieejamības, integritātes un uzticamības;

visu darbības nepārtrauktības objektu izvietojumu, tajā skaitā aparatūras un programmatūras atrašanās vietas;

visus ar darbības nepārtrauktības procesus saistītos uzdevumus un pienākumus.

vākt informāciju, ko brīvprātīgi iesniedz:

novērtēt un klasificēt saņemto informāciju;

novērtēt informāciju, kurai var piekļūt ENISA, lai noskaidrotu kiberrisku nosacījumus un attiecīgos rādītājus attiecībā uz pārrobežu elektroenerģijas plūsmu aspektiem;

noteikt apstākļus un rādītājus, kas bieži ir saistīti ar kiberuzbrukumiem elektroenerģijas sektoram;

īstenojot novērtējumu un konstatējot riska faktorus, noteikt, vai ir jāveic tālāka analīze un preventīvi pasākumi;

informēt kompetentās iestādes par konstatētajiem riskiem un attiecīgajām vienībām ieteiktajiem preventīvajiem pasākumiem;

informēt visas attiecīgās vienības, kas ir uzskaitītas šīs regulas 2. pantā, par rezultātiem, ko ieguva, vērtējot informāciju saskaņā ar šā panta b), c) un d) apakšpunktu;

periodiski iekļaut attiecīgo informāciju situācijas apzināšanās ziņojumā, ko sagatavo saskaņā ar Regulas (ES) 2019/881 7. panta 6. punktu;

ja iespējams, pamatojoties uz saņemto informāciju, izdarīt secinājumus par piemērojamajiem datiem, kuri liecina par iespējamu drošības pārkāpumu vai kiberuzbrukumu (“aizskāruma rādītāji”).

visas kritiskas ietekmes vienības dalībvalstī, VRI, CSIRT un KKI ne vēlāk kā līdz 30. jūnijam iepriekšējā gadā pirms vienības līmeņa kiberdrošības mācībām;

katru vienību, kura piedalīsies dalībvalsts līmeņa kiberdrošības mācībās, ne vēlāk kā sešus mēnešus pirms mācību plānotā sākuma.

mācību scenāriji, sanāksmju protokoli, pamatnostājas, panākumi un atziņas, ko guva elektroenerģijas vērtības ķēdes jebkurā līmenī;

vai tika izpildīti galvenie sekmīguma kritēriji;

saraksts, kurā uzskaitīti ieteikumi vienībām, kuras piedalījās attiecīgajās kiberdrošības mācībās, par to, kā labot, pielāgot vai mainīt kiberdrošības krīzes procesus, procedūras, saistītos pārvaldības modeļus un esošās līgumattiecības ar kritisko pakalpojumu sniedzējiem.

ir samērīgi;

ņem vērā kiberdrošības riskus, kuri ir saistīti ar jau zināmiem un jauniem apdraudējumiem, kam šāda informācija var tikt pakļauta šīs regulas kontekstā;

iespēju robežās pamatojas uz valsts, Eiropas vai starptautiskiem standartiem un paraugpraksi;

tiek dokumentēti.

kuras ir pilnvarotas piekļūt šādai informācijai, pamatojoties uz to darba pienākumiem un tikai tādā apmērā, kāds ir nepieciešams tām uzdoto uzdevumu izpildei;

kuru ētikas un godprātības principus vienība varēja novērtēt un par kuru iepriekšējās darbības pārbaudē fiziskās personas uzticamības izvērtēšanai saskaņā ar paraugpraksi un vienības standarta drošības prasībām, un, ja nepieciešams, arī saskaņā ar valsts tiesību aktiem neguva pierādījumus, kuru dēļ pārbaudes iznākums būtu nelabvēlīgs.

apspriežas ar kompetento iestādi un saņem no tās atļauju nodot šādu informāciju;

anonimizē šādu informāciju, saglabājot elementus, kas ir nepieciešami, lai informētu sabiedrību par nenovēršamu un nopietnu risku, kas apdraud pārrobežu elektroenerģijas plūsmas, un par iespējamiem ietekmes mazināšanas pasākumiem;

aizsargā informācijas oriģinatora, kā arī to vienību identitāti, kuras apstrādā šādu informāciju saskaņā ar šo regulu.

elektroenerģijas kiberdrošības ietekmes indeksa (“ECII”) pagaidu versija saskaņā ar šā panta 2. punktu;

Savienības mēroga lielas ietekmes un kritiskas ietekmes procesu pagaidu saraksts saskaņā ar šā panta 4. punktu; un

pagaidu saraksts, kurā uzskaita Eiropas un starptautiskos standartus un kontroles pasākumus, ko jāievēro saskaņā ar valsts tiesību aktiem, kuri attiecas uz pārrobežu elektroenerģijas plūsmu kiberdrošības aspektiem, saskaņā ar šā panta 6. punktu.

Eiropas un starptautiskos standartus un valsts tiesību aktus, kuri sniedz norādes par vienības līmeņa kiberdrošības risku pārvaldības metodikām; un

kiberdrošības kontroles pasākumus, kas ir līdzvērtīgi tiem kontroles pasākumiem, kurus ir paredzēts iekļaut minimālajos un pastiprinātajos kiberdrošības kontroles pasākumos.